Встановлення та налаштування непривілейованого контейнера lxc зі зміщенням uid/gid.

LANG=C SUITE=bookworm MIRROR=https://ftp.debian.org/debian/ lxc-create --name=unprivileged-lxc --template=debian

Додамо додаткові підгрупи subuids/subgids для користувача root.

usermod --add-subuids 200000-265535 root
usermod --add-subgids 200000-265535 root
# для видалення підгруп
# usermod --del-subuids 200000-265535 root
# usermod --del-subgids 200000-265535 root

Окреме зберігання заголовків cryptsetup дає деякі переваги, по-перше, без них, сам блочний пристрій - це набір ентропії, по якому не можна визначити тип розділу / шифрування / пристрою.
По-друге, це файл малого розміру, який просто бекапити не прибігаючи до dd.

Проста шпаргалка

Генеруємо пароль, записуємо.

cat /dev/urandom | tr -dc '[[:print:]]' | fold -w 256 | sed 's/ //g' | fold -w128 | head -n 1

Перед тим, як почати

Наведений варіант налаштування хоч і має деякий умовний ступінь захисту від сторонніх, проте він не передбачає публічного використання, включаючи звичайних користувачів, він розглядається як запасний канал управління для домашнього сервера і тільки для нього у випадку, якщо штатні та надійні канали немає можливості використовувати, наприклад, якщо доступний лише браузер у телефоні.
Хоча, для телефону є інші варіанти, той же Termux, і телефон не може повною мірою бути довіреним пристроєм, проте приклад є приклад.

Незважаючи на те, що сам wssh-клієнт може використовувати one-time-password, основним захистом повинен бути nginx з auth_basic та зв’язкою логін-пароль для location /webssh/ які я раджу генерувати нові після використання старих. Так як вони можуть бути використані для авторизації з обладнання, до якого немає повної довіри.
Так, звісно ж, робити у жодному разі не треба.
Але якщо дуже хочеться щось включити/вимкнути/перезапустити, то можна.

Необхідні пакети apt install fontforge и pip install fonttools.

Визначимося з необхідними гліфами, потрібна латиниця, кирилиця, спецсимволи, включаючи деякі грецькі символи (ΣΩαβγμ), аналоги грецького, схожі в накресленні, але такі, що мають інші коди (∆∑µ), і ще трохи, які можуть десь використовуватися в тексті або як елементи, що замінюють графіку (♪♫♬).

Чому декілька варіантів гліфів з різними кодами?

Тому що символ µ (mu U+00b5) та грецька літера μ (mu U+03bc) у розширених шрифтах можуть мати свій гліф з різним накресленням, або навпаки, загальний гліф, де схожі символи з начерку посилаються на один гліф.

Або, наприклад, грецька Σ (Sigma U+03a3) не те саме, що символ ∑ (summation U+2211).
Але можливо, у вас на екрані ці символи виглядають однаково.

Базовий приклад налаштування openvpn

cd /etc/openvpn
mkdir ccd
mkdir crl
mkdir keys
mkdir secret
chmod 700 keys secret
printf '00' > serial
touch index.txt

В якості прикладу.
Organization Name: OVPN-NET
Common Name: OVPN-SERVER

nano openssl.cnf