В статье покажу как собрать HAProxy 3.2+ для поддержки полного QUIC не в режиме совместимости, со сборкой OpenSSL 3.5+ с поддержкой QUIC и защитой 0-RTT от replay-атак.

Сказ о том как я подготавливал защищенную версию MiniOS для запуска с Rutoken ЭЦП 2.0 Flash и работы с электронной подписью

MiniOS — легкий модульный дистрибутив Linux на базе Debian, предназначенный для работы с USB-накопителями. Он предлагает формат модулей SB, которые позволяют пользователям настраивать и конфигурировать систему под свои нужды. Утилиты apt2sb и script2sb обеспечивают простую установку и управление пакетами, а также автоматизацию процессов, что значительно упрощает взаимодействие с дистрибутивом.

Кроме того, MiniOS поддерживает установку на диск в качестве основной системы что делает его идеальным для использования на различных устройствах включая с ограниченными ресурсами оборудования. Возможность сохранения данных и работы с read-only (RO) разделами позволяет обеспечить безопасность защищая ее от нежелательных изменений.

Для токенов существует РОСА Барий, однако бесплатная версия ограничена и не так интересна как платная ее версия, подробнее можно ознакомиться тут.

Рутокен ЭЦП 2.0 Flash объединяющий в себе полноценный СКЗИ и управляемый контроллером защищенный раздел flash памяти. В моем случае токен на 32ГБ без сертификатов, разделенный на 2 раздела, Read-only для системы и скрытый раздел для хранения данных. Если у вас комплект Рутокен Диск  то данное руководство уничтожит установленный Рутокен Диск. Подробнее можно узнать в характеристиках на сайте производителя.

Используемое ПО:

MiniOS Standart 64бит 4.1.2 с ядром 6.1 (Можно использовать вариант Ultra, потребуется установить меньше ПО, только необходимое для работы с токеном. Формат системы Ultra и toolbox поддерживают secure boot из коробки, выбор за вами.

Работаем с Haproxy, маршрутизация по GeoIP и ограничения, настройка mTLS для защиты сервисов, выгрузка метрик в Prometheus. Настройка панели 3X-UI для работы с Unix Socket и персональный DNS over HTTPS.

Третья часть по маршрутизации сайтов и сервисов на 443 порту включая VLESS-Reality и VLESS+WebSocket через HAProxy.

Маршрутизируем трафик с помощью HAProxy, совмещаем сервисы на 443 порту, настраиваем GeoIP, WebSocket и сайты.

Cовмещаем Vless, WebSocket, VPN и сайт на одном порту средствами Haproxy, создаем альтернативу VPN на основе WebSocket.