2022 on Liangweidong's blog

Linux 开发环境搭建：JDK 8 / Maven 3.9 / NVM 与 Node 多版本管理

Fri, 30 Dec 2022 00:00:00 +0800

一、为什么是 2022 年这一份

2022 年这个时间点，Linux 后端/前端开发环境进入"标准化"阶段：

JDK 8 仍是企业主流（Spring Boot 2.x、Solr、大数据生态全靠它）
JDK 17 在 2021-09 发布后逐步成新项目首选
Maven 3.9（2023-01 发布）已经稳定，3.8 系列成为过去
NVM 0.39.x（2021-2022 系列）稳定，Node 14/16/18 三版本并行
npm 镜像 经历 npm.taobao.org → npmmirror.com 的迁移（2022-05）
systemd 全面接管 Java 服务启动

这一篇覆盖 JDK 8 / Maven / NVM 三大主力工具的安装、镜像、版本管理、与 systemd 集成——后端/前端开发者的"装机手册"。

阅读建议：本文是"工具栈"性质——按"装什么 → 配什么 → 用什么"组织。

二、JDK 8 安装（2022 仍主流）

2.1 下载与解压

1
2
3
4
5
6
7


# 下载 jdk-8u371-linux-x64.tar.gz
cd /usr/local
mkdir jdk
cd jdk
tar -xf jdk-8u371-linux-x64.tar.gz

# 解压到 /usr/local/jdk/jdk1.8.0_371

关于 8u371：Oracle JDK 8u371 是 2023-04 发布的。如果坚持 2022 时间线，可以选 8u341（2022-04）或 8u351（2022-10）。

2.2 环境变量

1

vim /etc/profile

1
2
3


export JAVA_HOME=/usr/local/jdk/jdk1.8.0_371
export CLASSPATH=$JAVA_HOME/bin:$JAVA_HOME/lib:$JAVA_HOME/jre/lib
export PATH=.:$JAVA_HOME/bin:$JAVA_HOME/jre/bin:$PATH

1

source /etc/profile

2.3 验证

1
2
3
4


java -version
# java version "1.8.0_371"
# Java(TM) SE Runtime Environment (build 1.8.0_371-b11)
# Java HotSpot(TM) 64-Bit Server VM (build 25.371-b11, mixed mode)

三、Maven 3.9 安装

3.1 下载与解压

1
2
3
4
5
6
7
8


cd /usr/local/maven

# 3.9.2（2023-01 发布的 3.9.2 仍是很多 CI 的稳定选择）
wget https://archive.apache.org/dist/maven/maven-3/3.9.2/binaries/apache-maven-3.9.2-bin.tar.gz
tar -xf apache-maven-3.9.2-bin.tar.gz

# 改名
mv apache-maven-3.9.2 apache-maven-3.9.2

3.2 更换 settings.xml

把默认的 conf/settings.xml 替换成公司/个人定制的（国内镜像、代理、私服等）。

1
2
3
4
5
6


# 备份
cp /usr/local/maven/apache-maven-3.9.2/conf/settings.xml \
 /usr/local/maven/apache-maven-3.9.2/conf/settings.xml.bak

# 替换
vim /usr/local/maven/apache-maven-3.9.2/conf/settings.xml

3.3 环境变量

1

vim /etc/profile

1
2


export MAVEN_HOME=/usr/local/maven/apache-maven-3.9.2
export PATH=$MAVEN_HOME/bin:$PATH

1

source /etc/profile

3.4 验证

1
2
3
4
5
6


mvn -v
# Apache Maven 3.9.2 (21122926829f1ead511c958d89bd2f672198ae9f)
# Maven home: /usr/local/maven/apache-maven-3.9.2
# Java version: 1.8.0_371, vendor: Oracle Corporation, runtime: /usr/local/jdk/jdk1.8.0_371/jre
# Default locale: en_US, platform encoding: UTF-8
# OS name: "linux", version: "5.19.0-46-generic", arch: "amd64", family: "linux"

四、NVM 装 Node 多版本

4.1 下载 NVM 0.39.3

1

wget https://github.com/nvm-sh/nvm/archive/refs/tags/v0.39.3.tar.gz

4.2 安装

1
2
3
4


cd ~
mkdir .nvm
tar -zxvf v0.39.3.tar.gz --strip-components 1 -C /root/.nvm
rm -rf v0.39.3.tar.gz

4.3 环境变量

1

vim /etc/profile

1
2
3
4


export NVM_BIN="/root/.nvm/versions/node"
export NVM_DIR="/root/.nvm"
[ -s "$NVM_DIR/nvm.sh" ] && \. "$NVM_DIR/nvm.sh" # This loads nvm
[ -s "$NVM_DIR/bash_completion" ] && \. "$NVM_DIR/bash_completion" # This loads nvm bash_completion

1
2
3
4


source /etc/profile
source ~/.zshrc

nvm --version

4.4 设置镜像

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# Windows
nvm node_mirror https://npm.taobao.org/mirrors/node/
nvm npm_mirror https://npm.taobao.org/mirrors/npm/

# 2023-07-19 之后：原 taobao.org 改为 npmmirror.com
nvm node_mirror https://npmmirror.com/mirrors/node/
nvm npm_mirror https://npmmirror.com/mirrors/npm/

# Linux 改环境变量
vim /etc/profile
export NVM_NODEJS_ORG_MIRROR=https://npm.taobao.org/mirrors/node/

# 测试
curl $NVM_NODEJS_ORG_MIRROR

关于 npm 镜像迁移：2022-05-31 之后 npm.taobao.org 域名失效，全部迁移到 npmmirror.com。新项目必须用新域名。

4.5 装 Node 14

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 查可用版本
nvm ls-remote

# 装 Node 14.21.3
nvm install v14.21.3

# 验证
whereis node
# node: /root/.nvm/versions/node/v14.21.3/bin/node

node -v
# v14.21.3

npm -v
# 6.14.18

4.6 多版本共存

1
2
3
4
5
6
7
8
9


# 装第二个版本
nvm install v14.17.3

# 切换
nvm use v14.21.3

# 把 nvm 整体迁移到数据盘
mv /root/.nvm /data/jenkins/
# 改 NVM_DIR 路径

4.7 npm 镜像与 yarn

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


# 设 sass 镜像
npm config set sass_binary_site=https://npm.taobao.org/mirrors/node-sass

# 设 registry 镜像
npm config set registry https://registry.npmmirror.com

# 装 nrm（registry 切换器）
npm install -g nrm
nrm ls
nrm use taobao

# 装 yarn
npm i -g yarn
yarn -v
# 1.22.19

# 临时使用镜像
SASS_BINARY_SITE=https://npm.taobao.org/mirrors/node-sass npm install node-sass

五、zsh 下 Node 多版本切换

1
2
3
4


vim ~/.zshrc

export NODE_HOME=/data/jenkins/.nvm/versions/node/v14.17.3
export PATH=$NODE_HOME/bin:$PATH

六、Jenkins 跑前端项目

1
2
3
4
5
6
7
8
9


killall -9 node_modules || true
source /etc/profile
cd /home/docker/jenkins/workspace/safe-frontend-dev
rm -rf node_modules
npm config set sass_binary_site=https://npm.taobao.org/mirrors/node-sass
npm config set registry https://registry.npm.taobao.org/
npm -g i yarn
yarn
nohup yarn run serve > /dev/null 2>&1 &

七、用 systemd 启动 Java 微服务

7.1 准备启动脚本

1
2


# 写微服务启动脚本
vim /home/project/safety/sh/gateway.sh

1
2
3
4
5
6
7


#!/bin/bash
# gateway.sh 示例
export JAVA_HOME=/usr/local/jdk/jdk1.8.0_371
export PATH=$JAVA_HOME/bin:$PATH

cd /home/project/safety
java -jar gateway.jar --spring.profiles.active=prod

1

chmod +x /home/project/safety/sh/gateway.sh

7.2 写 service 文件

1

vim /etc/systemd/system/gateway.service

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


[Unit]
Description=Gateway Service
After=network.target

[Service]
Type=simple
User=root
ExecStart=/home/project/safety/sh/gateway.sh
Restart=always
RestartSec=10
StandardOutput=journal
StandardError=journal

[Install]
WantedBy=multi-user.target

7.3 启动与管理

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19


systemctl daemon-reload

# 启动
systemctl start gateway

# 开机启动
systemctl enable gateway

# 状态
systemctl status gateway

# 停止
systemctl stop gateway

# 失败重置
systemctl reset-failed gateway

# 卸载
rm -rf /etc/systemd/system/gateway.service

八、Java 反代启动命令

1
2
3
4
5


# 远程调试
java -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5003 \
 -Xverify:none \
 -cp /jar/xjrsoft-base/lib/*:/jar/xjrsoft-base/config \
 com.xjrsoft.BaseApplication

关于 jdwp 端口：调试端口要开放给开发机，不能开放在公网。生产环境记得移除 jdwp 参数。

九、envsubst 模板化配置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27


# 模板 t.yaml
cat << "EOF" > t.yaml
systeminfo:
 OS: $OS
 user: $USER
 home: $HOME
 args:
 [
 "$args"
 ]
EOF

# 脚本 t.sh
cat << "EOF" > t.sh
#!/usr/bin/env bash
export OS=$(uname -s)
export args="/wait.sh 10.8.33.127:8848 -t 0"
ports=(100 200 300)
nodePort=30000
for p in ${ports[*]}; do
 nodePort=$[$nodePort+1]
 sed -i "8a \ - name: port$p\n port: $p\n targetPort: $p\n nodePort: $nodePort" t.yaml
done
envsubst < t.yaml > t1.yaml
EOF

bash t.sh

场景：用一份模板 + 环境变量生成 K8s manifest / docker-compose / nginx 配置。

十、前置知识 / 下一步

想看 JDK 17/21 新特性 → 翻本系列《JDK 升级与新特性》
想看 Maven 私服（Nexus / Artifactory）→ 翻本系列《Maven 私服搭建》
想看 Node 微前端构建优化 → 翻独立文章
想看 systemd 高级用法（target、socket 激活）→ 翻本系列《Linux 监控与系统性能工具》

十一、参考资源

Oracle JDK 8u 文档：https://docs.oracle.com/javase/8/docs/
Apache Maven 文档：https://maven.apache.org/
NVM GitHub：https://github.com/nvm-sh/nvm
Node.js 发布历史：https://nodejs.org/en/about/previous-releases
npmmirror：https://npmmirror.com/
systemd.service 文档：https://www.freedesktop.org/software/systemd/man/systemd.service.html

2024 视角：JDK 21 LTS 已经发布，Node 20/22 时代来了

2022 年写的那套"JDK 8 + Maven 3.9 + NVM + Node 14"在 2024 仍然可用，但新项目已经普遍升级。

一、JDK：JDK 17 已是新项目主流，JDK 21 LTS 已发布

JDK 21 LTS（2023-09 发布）是 2024 新项目首选——虚拟线程（Virtual Threads）正式 GA：

1
2
3
4
5
6
7
8
9


// 虚拟线程写法（替代传统 Thread / ExecutorService）
try (var executor = Executors.newVirtualThreadPerTaskExecutor()) {
 IntStream.range(0, 10_000).forEach(i -> {
 executor.submit(() -> {
 Thread.sleep(Duration.ofSeconds(1));
 return i;
 });
 });
}

JDK 17 LTS（2021-09 发布）仍是 2024 大量"半新"项目的目标版本。
JDK 8（2014）已 2022-03 进入"个人免费但商业收费"模式（Oracle），2024 新项目不应该用 Oracle JDK 8——改用：
- Adoptium Eclipse Temurin 8（免费、长期维护）
- Amazon Corretto 8（AWS 维护）
- Alibaba Dragonwell 8（国内阿里维护，对 JVM 调优有特化）

装新版：

1
2
3
4
5


# Adoptium Temurin 21 (推荐)
apt install -y wget gnupg
wget -qO - https://packages.adoptium.net/artifactory/api/gpg/key/public | gpg --dearmor -o /usr/share/keyrings/adoptium.gpg
echo "deb [signed-by=/usr/share/keyrings/adoptium.gpg] https://packages.adoptium.net/artifactory/deb $(lsb_release -sc) main" > /etc/apt/sources.list.d/adoptium.list
apt update && apt install -y temurin-21-jdk

二、Maven 3.9 仍主流，但 Gradle 在 K8s / 云原生时代更受宠

Maven 3.9.6（2024-02 发布）是 2024 的稳定版，mvn -v 默认输出包含 Java version: 21.x。
Gradle 8.x（2023-10 起）支持 Java 21 + Kotlin 2.0，新项目可以选 Gradle。
Bazel（Google）和 Pants（Twitter）是更大规模 monorepo 项目的选择，但 2024 仍小众。

三、Node 20 LTS / 22 LTS 时代

Node 18（2022 LTS）2025-04 EOL，Node 20 LTS（2023-04）是 2024 主流，Node 22 LTS（2024-10 发布）开始被新项目采用。
NVM 0.39.7+ 仍是主流（但 2024 出现了 fnm 替代品，用 Rust 写、速度快 10 倍）。
Node 22 内置 --experimental-strip-types（原生运行 TypeScript，无需 ts-node 编译）。

1
2
3
4
5


# 2024 推荐：用 fnm 替代 nvm
curl -fsSL https://fnm.vercel.app/install | bash
fnm install 22
fnm use 22
node -v # v22.x.x

四、cn 镜像的变化

registry.npmmirror.com 仍是 2024 首选 npm 镜像。
新增 https://registry.npmmirror.com/-/binary/ 提供 Node 二进制镜像（替代 taobao 老的 npm.taobao.org/dist/）。

corepack（Node 16+ 内置）一站式管理 yarn / pnpm：

1
2


corepack enable
corepack prepare yarn@stable --activate

五、systemd 启动 Java 服务的"v2 写法"

2024 推荐加 cgroup v2 资源限制 + 安全沙箱：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


[Service]
Type=simple
User=appuser
ExecStart=/usr/local/jdk/bin/java -jar /opt/app.jar
Restart=always
RestartSec=10
# 资源限制
CPUQuota=200%
MemoryMax=2G
MemoryHigh=1G
# 安全加固
NoNewPrivileges=true
ProtectSystem=strict
ProtectHome=true
PrivateTmp=true
# 现代化：动态用户
DynamicUser=yes
# 日志
StandardOutput=journal
StandardError=journal

六、容器化时代的开发环境

2024 大量新项目**不再用"装在系统里的 JDK"**这套——直接走容器：

1
2
3
4
5


# 用容器跑 Maven 构建（避免污染系统）
docker run -it --rm \
 -v $PWD:/app -w /app \
 maven:3.9-eclipse-temurin-21 \
 mvn clean package

容器化开发环境的优势：

JDK 版本随项目走（不用每台机器装多个版本）
团队所有人 build 出来的产物一致
CI/CD 用同一镜像

Dev Container（VS Code Remote Containers）+ GitHub Codespaces 是 2024 的"标准动作"——开发机里根本不装 JDK，全在容器里。

Linux 安全加固：EDR 部署、OpenSSH 9.8 升级与挖矿病毒排查

Sun, 15 May 2022 00:00:00 +0800

一、为什么 2022 年要谈 Linux 安全加固

2020-2022 年是国内挖矿木马最高峰的两年——Log4j2（2021-12 CVE-2021-44228）、Confluence（2021-2022）、Spring4Shell（2022-03 CVE-2022-22965）接连爆出，攻击者用漏洞横向打穿企业内网后植入 c3Pool / MoneroOcean 等矿池挖矿代理。本文整理三件套：

EDR Agent 一键部署——商用 EDR（终端检测与响应）平台让运维少背锅
OpenSSH 9.8 升级——修 CVE-2020-15778（OpenSSH 8.2 scp 命令注入）等高危漏洞
挖矿病毒应急排查——c3Pool 类挖矿木马的发现、定位、清理流程

本文写于 2022-05-15。OpenSSH 9.8 是 2024-07 发布的（本文示例为 9.8p1），但编译升级流程对所有 OpenSSH 大版本升级都适用。

二、EDR Agent 一键部署

EDR（Endpoint Detection and Response）平台——奇安信天擎、深信服 EDR、亚信安全、青云 Radware 等——都提供 Linux 客户端（agent）。商业 EDR 的标准装法是从管理控制台下载安装包，到终端一键部署。

2.1 命令行部署（标准动作）

1
2
3
4


wget --no-check-certificate https://<管理平台IP>:4430/download_installer_linux.php \
 -O linux_edr_installer.tar.gz \
&& tar -xzvf linux_edr_installer.tar.gz \
&& ./agent_installer.sh -c

4430 是 EDR 管理平台默认端口
-c：无参安装，从同目录的 manager_info.txt 读取管理平台地址

2.2 下载器部署（手动拷贝安装包）

登录管理控制台，下载 Linux 安装包
拷贝到服务器（scp / ftp / U 盘）
解压：
1

tar -xzvf linux_edr_installer.tar.gz

装：

1
2
3
4
5
6
7


# 无参安装（用同目录 manager_info.txt）
./agent_installer.sh

# 自定义安装
./agent_installer.sh -f
./agent_installer.sh -h <mgr-domain-or-ip>
./agent_installer.sh -h <mgr-host> -p 443 -d /root/edr/ -f

参数列表：

参数	作用
`-h host`	自定义管理平台域名 / IP
`-p port`	自定义管理平台端口（默认 4430）
`-d dir`	自定义安装路径（绝对路径）
`-f`	强制安装（覆盖已有）
`--help`	帮助

装完 agent 会自动连管理平台，进程通常叫 edr_agent / qax-anti-virus 之类。

2.3 验证

1
2
3
4
5
6
7
8


ps -ef | grep -i agent
# 看 EDR 进程是否在

netstat -antp | grep <管理平台IP>
# 看是否建立了到管理平台的连接

tail -f /var/log/edr/edr.log
# 看 agent 日志

坑提醒：EDR agent 启动会占 200-500MB 内存 + 5-10% CPU，对老旧业务机器要提前评估。

三、OpenSSH 升级：修 CVE-2020-15778

CVE-2020-15778（CVSS 7.8 高危）：OpenSSH 8.2 的 scp 命令存在命令注入漏洞——scp 在处理 scp tgt:'echo test > /tmp/hack' 这种参数时，反引号会被执行。OpenSSH 9.8p1（2024-07）已修复。

3.1 走系统源升级

1
2
3


sudo apt update && sudo apt -y upgrade
# 或 CentOS
sudo yum update openssh

大部分 LTS 发行版会自动 backport 修复，直接 apt upgrade 就够了——但版本号可能不会升到 9.8p1。

3.2 源码编译升级（需要 9.8p1 完整版本）

3.2.1 装依赖

1
2
3


sudo apt update
sudo apt install build-essential zlib1g-dev libssl-dev -y
sudo apt install autoconf -y

3.2.2 准备 PrivSep 目录

1
2
3


sudo mkdir /var/lib/sshd
sudo chmod -R 700 /var/lib/sshd/
sudo chown -R root:sys /var/lib/sshd/

3.2.3 装额外依赖（Kerberos / PAM / SELinux）

1

sudo apt install libpam0g-dev libselinux1-dev libkrb5-dev -y

3.2.4 下载 + 编译

1
2
3
4
5
6
7
8
9


curl -O https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz
sudo tar -zxf openssh-9.8p1.tar.gz
cd openssh-9.8p1
sudo autoreconf
sudo ./configure --with-kerberos5 --with-md5-passwords --with-pam \
 --with-selinux --with-privsep-path=/var/lib/sshd/ \
 --sysconfdir=/etc/ssh
sudo make
sudo make install

3.2.5 重启 + 验证

1
2
3
4


sudo systemctl restart ssh
sudo systemctl status ssh
ssh -V
# OpenSSH_9.8p1, OpenSSL 1.1.1f 31 Mar 2020

坑提醒 1：升级前先开两个 SSH 会话——一个升级、一个监视。万一升级失败，被踢出来时还有回退渠道。

坑提醒 2：编译时如果报 configure: error: OpenSSL library not found，装 libssl-dev（Debian/Ubuntu）或 openssl-devel（RHEL/CentOS）。

坑提醒 3：升级后 /etc/ssh/sshd_config 不会自动更新——但 sshd_config 5.x → 9.x 兼容性一般没问题。

四、挖矿病毒应急排查

c3Pool、MoneroOcean、Supportxmr 等门罗币矿池是国内挖矿木马最常用的"回传通道"。特征：

进程名随机（f54e90d4 / ntools / WbeGGvQK / kthrotlds 等）
CPU 持续 80%+
跟矿池的 3333 / 5555 / 7777 / 14444 / 14433 等端口建连
cron 里写 */5 * * * * /tmp/.x/...
/etc/cron.d/、/var/spool/cron/、/etc/rc.local 被改

4.1 排查步骤

第 1 步：看 CPU 占用

1

top -u <被怀疑的用户>

或精确找挖矿进程：

1

ps -ef | grep -E 'kdevtmpfsi|kinsing|xmrig|minerd|c3pool' | grep -v grep

第 2 步：查网络连接

1
2
3
4
5


# 看跟可疑矿池的连接
ss | grep -i :3333
ss | grep -i :14444
ss | grep -i :14433
netstat -antp | grep -E ':(3333|5555|7777|14444|14433)\s'

第 3 步：查定时任务

1
2
3
4
5


crontab -l
ls -la /etc/cron.d/
ls -la /etc/cron.daily/ /etc/cron.hourly/ /etc/cron.weekly/
ls -la /var/spool/cron/
cat /etc/rc.local

第 4 步：看启动项

1
2
3


systemctl list-unit-files | grep enabled
# 找可疑的 .service
cat /etc/systemd/system/<可疑>.service

第 5 步：杀进程 + 删文件

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 杀进程
pkill -9 -u <被感染用户>
# 或按 PID
ps -ef | grep -i xmrig | grep -v grep | awk '{print $2}' | xargs kill -9

# 删文件
rm -rf /tmp/.x/
rm -rf /var/tmp/.cache/
rm -rf /root/.configrc/

# 删用户
userdel -r <被感染用户>

# 清空可疑 crontab
crontab -r

第 6 步：改密码 + 收口

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


passwd root
# 改所有用户密码
# 撤 SSH 密钥
rm -f /root/.ssh/authorized_keys
rm -f /home/*/.ssh/authorized_keys

# 关可疑端口（防火墙）
iptables -A INPUT -p tcp --dport 3333 -j DROP
iptables -A INPUT -p tcp --dport 14444 -j DROP

# 查 SSH 登录历史
last -a | grep -i still
# 找可疑 IP

4.2 排查命令速查

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 1. 看哪些用户登录了
last -a

# 2. 看哪些 SSH 进程在工作
ps -ef | grep sshd | grep -v grep
netstat -antp | grep 'ESTABLISHED.*sshd'

# 3. 查进程工作目录
ps -ef | grep -i xmrig
pwdx <PID>
ll /proc/<PID>/cwd
# /proc/<PID>/cwd 是进程当前工作目录的软链接

# 4. 查被修改的二进制
rpm -Va | grep -E '^..5' # CentOS / RHEL
debsums -c # Debian / Ubuntu
# 5=MD5 不一致 → 二进制被替换

4.3 应急清单

步骤	命令	目的
1. 隔离	`iptables -I INPUT -s <可疑IP> -j DROP`	阻断攻击者 SSH 入口
2. 拍快照	云盘快照 / LVM 快照	保留现场取证
3. 杀进程	`pkill -9 -u <user>`	中断挖矿
4. 删文件	`rm -rf /tmp/.x/`	清掉二进制
5. 改密码	`passwd root`	防止再次入侵
6. 收口	封 3333/14444 等矿池端口	防止复连
7. 复盘	查 SSH 弱口令 / 未授权密钥 / 0day	找到入侵路径

五、SSH 攻击 IP 黑名单（fail2ban 思路）

fail2ban 是 Linux 标配的 SSH 防护工具——连续登录失败 N 次自动封 IP。

1
2
3
4
5
6


# Debian / Ubuntu
sudo apt install -y fail2ban

# CentOS / RHEL
sudo yum install -y epel-release
sudo yum install -y fail2ban

/etc/fail2ban/jail.local：

1
2
3
4
5
6
7
8
9


[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/secure # CentOS
# logpath = /var/log/auth.log # Ubuntu
maxretry = 5
findtime = 600
bantime = 3600

启动：

1
2


sudo systemctl enable --now fail2ban
sudo fail2ban-client status sshd

六、典型坑速查

现象	原因	处理
OpenSSH 编译失败	缺 `libssl-dev` / `libpam0g-dev`	走 §3.2.1 装依赖
SSH 升级后无法登录	`sshd_config` 配错	控制台 / VNC 登录修 `/etc/ssh/sshd_config`
EDR agent 装不上	服务器断网 / 平台端口不通	走 §2.2 下载器部署
`userdel` 失败	用户还有进程在跑	`pkill -u <user> && userdel -r <user>`
`crontab -e` 提示 “no crontab for root”	crontab 已被清空	这是好事，再 `crontab -e` 重新建
矿池连不上但 CPU 仍高	杀的是单进程、还有其他变种	`pkill -9 -u <user>` 一刀切

七、2024+ 视角补充

本文写于 2022-05，2024-2026 期间 Linux 安全加固关键演进：

OpenSSH 9.8 → 9.9 → 10.0（2024-2026）：
- OpenSSH 9.9（2024-09）：后量子算法默认启用（ML-DSA / hybrid Streamlined NTRUPrime）
- OpenSSH 10.0（2025-04）：dropbear 替代品；DSA 主机密钥完全移除
- CVE-2024-6387（regreSSHion）：OpenSSH 8.5p1 ~ 9.7p1 的 signal handler race condition——远程 RCE 漏洞，必须升 9.8p1+（2024-07 修复）
EDR 生态（2024-2026）：
- CrowdSec 1.0+（2024）：社区共享 IP 黑名单——fail2ban 的现代替代，集成 fail2ban bouncer 兼容
- Wazuh 4.9+（2025）：开源 EDR / SIEM——OSSEC 演进版，机器学习检测 / 合规基线
- Falco 0.40+（2025）：CNCF 毕业——运行时安全（eBPF），K8s 安全监控首选
- Tetragon 1.0+（2024）：eBPF 驱动的 K8s 安全——Cilium 出品
- Tracee 1.0+（2024）：Aqua Security 出品，运行时威胁检测
挖矿木马演化（2024-2026）：
- 门罗币（XMR） 仍是主流，2024+ 出现 AI 挖矿（LLM 模型训练）——更隐蔽
- APT 组织 从挖矿转向勒索 + 数据窃取双驱动——纯挖矿变少
- 供应链投毒 2024+ 高发（XZ Utils 后门 CVE-2024-3094 / Polkit 提权）
EDR 商业方案（2024+）：
- CrowdStrike Falcon（2024-07 全球蓝屏事件后信任度下降，但仍是主流）
- Microsoft Defender for Endpoint / Linux：2024+ 集成 K8s，Linux Server 端默认
- 阿里云 / 腾讯云安骑士 / 云安全中心：国内云上 EDR 首选

实战建议（2025-2026 视角）：

SSH 安全 → 立即升 OpenSSH 9.8p1+（修 CVE-2024-6387）
EDR 选型：
- 预算充足 / 企业 → CrowdStrike / Microsoft Defender
- 开源 / 自托管 → Wazuh 4.9+（SIEM + EDR） / Falco（K8s）
挖矿防护 → CrowdSec 替代 fail2ban（社区共享 IP 黑名单）
白名单 → SELinux Targeted + OpenSCAP（合规基线扫描）
云原生 → Falco + Tetragon 是 2024-2026 K8s 安全黄金组合

八、下一步

想做更细的病毒查杀 → 上 OSSEC / Wazuh / ClamAV 等开源 EDR
想做 SSH 集中管理 → 走堡垒机（齐治 / 安恒 / JumpServer）
想做内网横向流量检测 → 上 NDR（科来、东巽科技、聚铭网络）
想给服务器上白名单模式 → 走 SELinux Targeted 策略或 AppArmor

2022 on Liangweidong's blog

Linux 开发环境搭建：JDK 8 / Maven 3.9 / NVM 与 Node 多版本管理

一、为什么是 2022 年这一份

二、JDK 8 安装（2022 仍主流）

2.1 下载与解压

2.2 环境变量

2.3 验证

三、Maven 3.9 安装

3.1 下载与解压

3.2 更换 settings.xml

3.3 环境变量

3.4 验证

四、NVM 装 Node 多版本

4.1 下载 NVM 0.39.3

4.2 安装

4.3 环境变量

4.4 设置镜像

4.5 装 Node 14

4.6 多版本共存

4.7 npm 镜像与 yarn

五、zsh 下 Node 多版本切换

六、Jenkins 跑前端项目

七、用 systemd 启动 Java 微服务

7.1 准备启动脚本

7.2 写 service 文件

7.3 启动与管理

八、Java 反代启动命令

九、envsubst 模板化配置

十、前置知识 / 下一步

十一、参考资源

2024 视角：JDK 21 LTS 已经发布，Node 20/22 时代来了

一、JDK：JDK 17 已是新项目主流，JDK 21 LTS 已发布

二、Maven 3.9 仍主流，但 Gradle 在 K8s / 云原生时代更受宠

三、Node 20 LTS / 22 LTS 时代

四、cn 镜像的变化

五、systemd 启动 Java 服务的"v2 写法"

六、容器化时代的开发环境

Linux 安全加固：EDR 部署、OpenSSH 9.8 升级与挖矿病毒排查

一、为什么 2022 年要谈 Linux 安全加固

二、EDR Agent 一键部署

2.1 命令行部署（标准动作）

2.2 下载器部署（手动拷贝安装包）

2.3 验证

三、OpenSSH 升级：修 CVE-2020-15778

3.1 走系统源升级

3.2 源码编译升级（需要 9.8p1 完整版本）

3.2.1 装依赖

3.2.2 准备 PrivSep 目录

3.2.3 装额外依赖（Kerberos / PAM / SELinux）

3.2.4 下载 + 编译

3.2.5 重启 + 验证

四、挖矿病毒应急排查

4.1 排查步骤

第 1 步：看 CPU 占用

第 2 步：查网络连接

第 3 步：查定时任务

第 4 步：看启动项

第 5 步：杀进程 + 删文件

第 6 步：改密码 + 收口

4.2 排查命令速查

4.3 应急清单

五、SSH 攻击 IP 黑名单（fail2ban 思路）

六、典型坑速查

七、2024+ 视角补充

八、下一步

参考资料