海运的博客

yum install cryptsetup
apt install cryptsetup-bin

加密整个硬盘，加密单个分区先fdisk新建分区再加密指定分区，按提示输入大写YES和密码：

cryptsetup luksFormat /dev/sdb 
#加密单个分区
#cryptsetup luksFormat /dev/sdb1

可设置8个密码，添加新密码：

cryptsetup luksAddKey /dev/sdb

使用stdin重定向输入添加新密码：

#!/bin/bash
oldPassword=haiyun.me
newPassword=www.haiyun.me
rootdevice=`blkid |grep crypto_LUKS|awk -F':' '{print $1}'`
echo -e "$oldPassword\n$newPassword\n$newPassword" | cryptsetup luksAddKey $rootdevice

也可使用文件作为密码：

dd if=/dev/urandom of=/root/enc.key bs=1 count=4096
cryptsetup luksAddKey /dev/sdb enc.key

删除密码：

#输入要删除的密码
cryptsetup luksRemoveKey /dev/sdb
#删除文件密码
cryptsetup luksRemoveKey /dev/sdb -d enc.key

使用stdin删除密码：

echo -e "password\n" | cryptsetup luksRemoveKey `blkid |grep crypto_LUKS|awk -F':' '{print $1}'`

解开加密的磁盘并映射为可挂载的分区，在此分区上可创建pv使用lvm：

#解密的分区位于/dev/mapper/test
cryptsetup luksOpen /dev/sdb test
#cryptsetup luksOpen /dev/sdb test -d enc.key 

格式化分区并挂载目录：

mkfs.ext4 /dev/mapper/sdb
mkdir test
mount /dev/mapper/sdb /mnt/

查看状态：

cryptsetup status /dev/mapper/sdb

查看加密的分区信息：

cryptsetup luksDump /dev/sdb

开机自动挂载：

#/etc/crypttab文件添加以下：
#开机时手工输入密码
test /dev/sdb  luks
#使用密码文件自动输入
#test /dev/sdb /root/enc.key luks
#/etc/fstab文件添加以下：
/dev/mapper/sdb /mnt ext4 defaults        0 0

关闭解密的分区：

umount /mnt
cryptsetup luksClose sdb

加密raw文件可挂载磁盘：

dd if=/dev/zero of=loop.img bs=1M count=100  
#挂载  
losetup /dev/loop10 loop.img 
cryptsetup luksFormat /dev/loop10
#卸载
losetup -d /dev/loop10

http://blog.sina.com.cn/s/blog_12ce70a430102v8c7.html
https://www.jianshu.com/p/53405db83c16
https://iancoleman.io/bip39/#english
https://www.hibtc.org/2335.html
http://blog.xuite.net/metafun/life/545924715-HD+Wallet+%E5%88%86%E5%B1%A4%E7%A2%BA%E5%AE%9A%E6%80%A7%28Hierarchical+Deterministic%29%E9%8C%A2%E5%8C%85
https://zhuanlan.zhihu.com/p/34184347
https://www.liaoxuefeng.com/wiki/0015223693709562f80977e6c9549f0a1e17640a61433d6000/0015223800842062cc09cdd70dc45b8992c3b399386673a000

比特币私钥通过ecc算法生成对应的公钥，地址由公钥通过SHA256算法生成，由于交易时需提供公钥防止有朝一日公钥可以破解私钥，在交易时将剩下的余额转到一个未使用的地址（公钥未泄露）做为找零地址。
如果钱包找零地址是随机生成的且没及时备份可能导致币永久丢失，分层确定性钱包解决了此问题。

Electrum特定的助词生成确定性的bip32 root key（根密钥），然后根据确定性的算法（bip32）可生成无限数量的子私钥和子公钥，只需备份主私钥或助词词就可在任意Electrum客户端上找回所有已用的btc地址。
同时通过主公钥还可生成对应的子公钥，用于冷热钱包。
Electrum的接收地址BIP32 Derivation Path是m/0，找零地址是m/1。

注意通过主公钥和子私钥可算出主私钥。

冷机器最好使用物理机器断网，虚拟机宿主机有被远程控制的可能。
离线的机器上使用助记词新建钱包，用私钥在线机器生成的交易数据签名。




使用自定义助词词，相当于给助词词加个密码，防止明文助记词被别人知道。

输入自定义助记词：




复制钱包master public key用作连网的机器上生成原始交易，发送离线机器上签名后的交易数据

在线机器上导入之前复制的public key：





http://docs.electrum.org/en/latest/coldstorage.html#coldstorage

<?php
$conn = ssh2_connect('1.1.1.1', 22);
if (!$conn) {
  die("conn fail\n");
}
if (ssh2_auth_password($conn, 'root', 'password')) {
  echo "auth sus\n";
} else {
  die("auth fail\n");
}
$stream = ssh2_exec($conn, "df  --output=avail /|tail -n 1");  
stream_set_blocking($stream, true);  
$res = trim(stream_get_contents($stream));
var_dump($res);

php使用ssh交互式执行命令：

<?php
$host = '192.168.1.1';
$port = 2222;
$pass = 'xxxx';
if (!($conn = ssh2_connect($host, $port, array('hostkey'=>'ssh-rsa')))) {
  die("conn fail\n");
}
//注意路径不要使用~/.ssh/id_rsa.pub，会遇到段错误和其它莫名其妙的问题
if (ssh2_auth_pubkey_file($conn, 'root', '/root/.ssh/id_rsa.pub', '/root/.ssh/id_rsa')) {
  echo "auth sus\n";
} else {
  die("auth fail\n");
}
function expect($stream, $match) {
  $time = time();
  $res = '';
  while(!feof($stream)){
    //if (($buffer = fgets($stream, 4096)) !== false) {
    if (($buffer = fread($stream, 4096)) !== false) {
      $res .= $buffer;
    }
    if (stristr($res, $match)) {
      return 'sus';
    }
    $now = time();
    if (($now - $time) >= 10) {
      return 'timeout';
    }
    usleep(100);
  }
  return 'disconnect';
}

$shell=ssh2_shell($conn, 'xterm');
fwrite($shell, "/usr/bin/cryptroot-unlock\n");
$res = expect($shell, 'Please unlock disk');
if ($res == 'sus') {
  fwrite($shell, "{$pass}\n");
  $res = expect($shell, 'set up successfully');
  if ($res == 'sus') {
  }
  var_dump($res);
}

php也可安装expect扩展调用ssh命令交互式执行命令：

apt install php-dev tcl-dev tcl-expect-dev
wget https://pecl.php.net/get/expect-0.4.0.tgz
tar zxvf expect-0.4.0.tgz 
cd expect-0.4.0/
 phpize
./configure
make && make install
echo 'extension=expect.so' > /etc/php/7.4/cli/conf.d/20-expect.ini
php -m|grep expect

make时如果出现错误php_expect.h:34:10: fatal error: expect_tcl.h: 没有那个文件或目录：

sed -i 's/^INCLUDES =/INCLUDES = -I\/usr\/include\/tcl8.6/' Makefile

php使用expect连接ssh执行命令：

<?php
ini_set("expect.timeout", 2);
ini_set("expect.loguser", "off");

$stream = expect_popen("ssh -o StrictHostKeyChecking=no -p 22 root@www.haiyun.me");
$cases = array(
  array("password:", "password"),
  array("Last login", "shell"),
  array("yes/no)?",  "yes/no")
);

while (true) {
  switch (expect_expectl($stream, $cases)) {
  case "password":
    fwrite($stream, "password\n");
    break;
  case "yes/no":
    fwrite($stream, "yes\n");
    break;
  case "shell":
    fwrite($stream, "uptime\n");
    break;
  case EXP_TIMEOUT:
  case EXP_EOF:
    break 2; 
  default:
    die("Error has occurred!");
  }
}
fclose ($stream);