Установка и настройка непривилегированного контейнера lxc со смещением uid/gid.

LANG=C SUITE=bookworm MIRROR=https://ftp.debian.org/debian/ lxc-create --name=unprivileged-lxc --template=debian

Добавим дополнительные подгруппы subuids/subgids для пользователя root.

usermod --add-subuids 200000-265535 root
usermod --add-subgids 200000-265535 root
# для удаления подгрупп
# usermod --del-subuids 200000-265535 root
# usermod --del-subgids 200000-265535 root

Отдельное хранение заголовков cryptsetup даёт некоторые преимущества, во-первых, без них, само блочное устройство - набор энтропии, по которому нельзя определить тип раздела / шифрования / устройства.
Во-вторых, это файл малого размера, который просто бэкапить, не прибегая к dd.

Простая шпаргалка

Генерируем пароль, записываем от руки гусиным пером на бересте, прячем под пнём.

cat /dev/urandom | tr -dc '[[:print:]]' | fold -w 256 | sed 's/ //g' | fold -w128 | head -n 1

Прежде чем начать

Приведённый вариант настройки хоть и имеет некоторую условную степень защиты от посторонних, тем не менее он не предполагает публичного использования, включая обычных пользователей, он рассматривается как запасной канал управления для домашнего сервера и только для него в случае, если штатные и надёжные каналы нет возможности использовать, например, если доступен только браузер в телефоне.
Хотя, для телефона есть другие варианты, тот же Termux, и телефон не может в полной мере являться доверенным устройством, тем не менее, пример есть пример.

Несмотря на то, что сам wssh-клиент может использовать one-time-password, основной защитой должен являться nginx с auth_basic и связкой логин-пароль для location /webssh/ которые я советую генерировать новые после использования старых. Так как они могут быть использованы для авторизации с оборудования к которому нет полного доверия.
Так, конечно же, делать ни в коем случае не надо.
Но если очень хочется, что-то включить/выключить/перезапустить, то можно.

Необходимые пакеты apt install fontforge и pip install fonttools.

Определимся с необходимыми глифами, нужна латиница, кириллица, спецсимволы, включая некоторые символы греческого (ΣΩαβγμ), аналоги греческого, схожие в начертании, но имеющие другие коды (∆∑µ), и ещё немного, которые могут где-нибудь использоваться в тексте или как элементы заменяющие графику (♪♫♬).

Почему несколько вариантов глифов с разными кодами?

Потому что символ µ (mu U+00b5) и греческая буква μ (mu U+03bc) в расширенных шрифтах могут иметь свой глиф с разным начертанием, или наоборот, общий глиф, где схожие символы по начертанию ссылаются на один глиф. Или, например, греческая Σ (Sigma U+03a3) не то же самое, что символ ∑ (summation U+2211).
Но, возможно, у вас на экране эти символы выглядят одинаково.

Базовый пример настроек openvpn

cd /etc/openvpn
mkdir ccd
mkdir crl
mkdir keys
mkdir secret
chmod 700 keys secret
printf '00' > serial
touch index.txt

В качестве примера.
Organization Name: OVPN-NET
Common Name: OVPN-SERVER

nano openssl.cnf