2024 on Liangweidong's blog

Ubuntu 发行版实战：22.04 / 24.04 server 装机、换源、netplan、LVM、ufw 防火墙

Fri, 15 Nov 2024 00:00:00 +0800

一、为什么是 2024 年这一份

2024 年这个时间点是 Ubuntu 的关键节点：

Ubuntu 22.04 LTS (Jammy Jellyfish) —— 2022-04 发布，2027-04 维护到期，2024 主力
Ubuntu 24.04 LTS (Noble Numbat) —— 2024-04 发布，2027-04 起进入主流
netplan 已成 Ubuntu 网络配置唯一方式（interfaces 退场）
systemd-resolved 是 DNS 解析默认
ufw 是 iptables 之上最常用的防火墙前端
Linux Mint 21.2 “Victoria”（2022）基于 Ubuntu 22.04 LTS，内核 5.15

这一篇覆盖 Ubuntu 22.04 / 24.04 server 装机、U 盘制作、换源（清华 / 中科大 / 阿里云）、netplan 静态 IP、systemd-resolved DNS、ufw 防火墙、LVM on RAID10、Linux Mint 美化——Ubuntu 装机一站式手册。

阅读建议：本文按"先看版本 → 选对应章节"组织。22.04 与 24.04 大部分操作通用，差异点单独标注。

二、Ubuntu 22.04 装机流程

2.1 下载镜像

1
2
3
4


# 官方下载
https://cn.ubuntu.com/download/server/step1

# 22.04.2 live-server-amd64.iso

2.2 U 盘制作工具

工具	平台	特点
Rufus	Windows	轻量、绿色版、首选
imageUSB	Windows	老牌工具
UltraISO	Windows	老牌但被 Rufus 取代
balenaEtcher	跨平台	macOS / Linux 也用

1
2


# Rufus 4.0 绿色版
https://github.com/pbatard/rufus/releases/download/v4.0/rufus-4.0p.exe

2.3 U 盘写入步骤

打开 Rufus
选择下载的 ISO
选择 U 盘
默认设置（MBR / FAT32）即可
点"开始"等完成

关于 UEFI vs Legacy：UEFI 模式建议选 GPT；Legacy 模式选 MBR。Rufus 默认是 MBR + BIOS，UEFI 需要手动改。

三、换源：清华 / 中科大 / 阿里云

3.1 清华源（22.04）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


# 备份
mv /etc/apt/sources.list /etc/apt/sources.listbak

# 写入清华源
cat > /etc/apt/sources.list << "EOF"
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ jammy main restricted universe multiverse
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ jammy-updates main restricted universe multiverse
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ jammy-backports main restricted universe multiverse

deb http://security.ubuntu.com/ubuntu/ jammy-security main restricted universe multiverse
EOF

apt update

# 还原
mv /etc/apt/sources.listbak /etc/apt/sources.list

3.2 中科大源

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


cat << "EOF" > /etc/apt/sources.list
deb https://mirrors.ustc.edu.cn/ubuntu/ jammy main restricted universe multiverse
deb-src https://mirrors.ustc.edu.cn/ubuntu/ jammy main restricted universe multiverse
deb https://mirrors.ustc.edu.cn/ubuntu/ jammy-updates main restricted universe multiverse
deb-src https://mirrors.ustc.edu.cn/ubuntu/ jammy-updates main restricted universe multiverse
deb https://mirrors.ustc.edu.cn/ubuntu/ jammy-backports main restricted universe multiverse
deb-src https://mirrors.ustc.edu.cn/ubuntu/ jammy-backports main restricted universe multiverse
deb https://mirrors.ustc.edu.cn/ubuntu/ jammy-security main restricted universe multiverse
deb-src https://mirrors.ustc.edu.cn/ubuntu/ jammy-security main restricted universe multiverse
deb https://mirrors.ustc.edu.cn/ubuntu/ jammy-proposed main restricted universe multiverse
deb-src https://mirrors.ustc.edu.cn/ubuntu/ jammy-proposed main restricted universe multiverse
EOF

3.3 sed 一键替换

1
2


# 默认 cn.archive.ubuntu.com 替换为清华
sed -i 's/http://cn.archive.ubuntu.com/https://mirrors.tuna.tsinghua.edu.cn/g' /etc/apt/sources.list

四、netplan 网络配置

4.1 静态 IP（22.04）

1

vim /etc/netplan/00-installer-config.yaml

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


network:
 ethernets:
 eno1:
 dhcp4: false
 addresses:
 - 192.168.10.127/24
 routes:
 - to: default
 via: 192.168.10.1
 nameservers:
 addresses: [211.138.24.66, 114.114.114.114, 192.168.10.1]
 eno2:
 dhcp4: true
 eno3:
 dhcp4: true
 eno4:
 dhcp4: true
 version: 2

1

netplan apply

YAML 严格缩进：netplan 对 YAML 缩进敏感，缩进错一个空格都可能报错。

4.2 改回 DHCP

1
2
3
4
5
6
7
8
9


cat > /etc/netplan/00-installer-config.yaml << "EOF"
network:
 ethernets:
 eno1:
 dhcp4: true
 version: 2
EOF

netplan apply

五、systemd-resolved DNS

5.1 配置

1

vim /etc/systemd/resolved.conf

1
2
3
4
5
6
7
8
9


[Resolve]
# Some examples of DNS servers which may be used for DNS= and FallbackDNS=:
# Cloudflare: 1.1.1.1#cloudflare-dns.com 1.0.0.1#cloudflare-dns.com ...
# Google: 8.8.8.8#dns.google 8.8.4.4#dns.google ...
# Quad9: 9.9.9.9#dns.quad9.net ...
#DNS=
DNS=114.114.114.114

systemctl restart systemd-resolved

5.2 验证

1
2
3


resolvectl status
# 或
cat /run/systemd/resolve/resolv.conf

关于 /etc/resolv.conf：Ubuntu 17.10+ 的 /etc/resolv.conf 是软链接到 /run/systemd/resolve/stub-resolv.conf，手动修改 /etc/resolv.conf 重启后失效。正确做法是改 /etc/systemd/resolved.conf。

六、ufw 防火墙

6.1 启用与默认策略

1
2
3
4


# 启用
ufw enable
# 默认拒绝入站
ufw default deny

6.2 查看规则

1

ufw status numbered

1
2
3
4
5
6


Status: active
 To Action From
 -- ------ ----
[ 1] 22/tcp ALLOW IN Anywhere
[ 2] 80/tcp ALLOW IN Anywhere
[ 3] 443/tcp ALLOW IN Anywhere

6.3 添加规则

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 允许指定端口
ufw allow 22

# 允许指定服务
ufw allow ssh

# 允许指定 IP
ufw allow from 192.168.1.0/24

# 允许指定 IP + 端口
ufw allow from 192.168.1.100 to any port 3306

6.4 删除规则

1
2
3
4
5


# 按编号删除
ufw delete 3

# 按规则删除
ufw delete allow 3690

6.5 禁用

1

ufw disable

七、磁盘挂载到已有目录

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25


# 1. 查磁盘
fdisk -l

# 2. 假设要把 /dev/sdb1 挂到 /home
# 如果 /home 已有内容，先备份
cp -r /home /home.bak

# 3. 卸载（如果已挂）
umount /home

# 4. 创建文件系统
mkfs.ext4 /dev/sdb1

# 5. 挂载
mount /dev/sdb1 /home

# 6. 还原内容
cp -r /home.bak/* /home/
chown -R <原用户>:<原组> /home/<原用户>

# 7. 写 fstab 永久挂载
echo "UUID=$(blkid -s UUID -o value /dev/sdb1) /home ext4 defaults 0 2" >> /etc/fstab

# 8. 测试
mount -a

八、Ubuntu 24.04 (Noble Numbat) 装机全流程

8.1 RAID10 + LVM 分区方案

服务器场景：4 块 40G 盘做 RAID10 + LVM

用途	大小	类型
`/boot`	1G	ext4
`/`	30G	ext4
`/home`	48.9G	ext4

可用空间计算：4 块 40G RAID10 可用 80G，分配：1G boot + 30G / + 48.9G /home ≈ 80G（留少量未分配）。

8.2 装机步骤

启动安装器（VMware 中引导）
选择语言：English
选择键盘：English (US)
选择类型：Ubuntu Server (minimized)
配置网络：
- 选 eno1
- 选 Edit IPv4
- 选 Manual
- Subnet: 192.168.132.0/24
- Address: 192.168.132.139
- Gateway: 192.168.132.2
- Name servers: 192.168.132.2
- Search domains: 114.114.114.114
配置代理：留空
配置源：
- 替换 http://cn.archive.ubuntu.com/ubuntu/ 为 https://mirrors.tuna.tsinghua.edu.cn/ubuntu/
自定义分区：
- 选第一块盘 /dev/sda
- Use As Boot Device
- /dev/sda 留 unformatted
- /dev/sdb、sdc、sdd 同样 unformatted
创建 RAID10：4 块盘全部加入
创建 LVM：
- 在 RAID10 上建 VG（vg0）
- 建 LV：lv-0（1G 给 /boot）、lv-1（30G 给 /）、lv-2（48.9G 给 /home）
格式化：
- lv-0 → ext4 → /boot
- lv-1 → ext4 → /
- lv-2 → ext4 → /home
配置用户：username/password
是否升级到 pro：选 Skip
安装 OpenSSH Server：勾选
可选软件：留空
开始安装
重启

8.3 装机后基本配置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29


# 1. 登录
# 用创建的用户登录

# 2. 启用 root
sudo passwd root
# 输入当前用户密码
# 输入新 root 密码
# 确认 root 密码

# 3. 切换到 root
su
# 输入 root 密码

# 4. 启动 root 远程 SSH
sed -i 's/^#PermitRootLogin.*/PermitRootLogin yes/' /etc/ssh/sshd_config
systemctl restart ssh

# 5. 测试远程登录
# 用 ssh root@<host> 验证

# 6. 上传公钥开私钥登录
curl https://<your-internal-file-server>/id_rsa.pub -o /root/id_rsa.pub --create-dirs
mkdir -p /root/.ssh && touch /root/.ssh/authorized_keys
cat /root/id_rsa.pub >> /root/.ssh/authorized_keys
rm -f /root/id_rsa.pub

# 7. 禁用密码登录
sed -i 's/^#PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
systemctl restart ssh

8.4 装机后查磁盘

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


lsblk
# NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS
# sda 8:0 0 40G 0 disk
# ├─sda1 8:1 0 1M 0 part
# └─sda2 8:2 0 40G 0 part
# └─md0 9:0 0 79.9G 0 raid10
# ├─vg0-lv--0 252:0 0 1G 0 lvm /boot
# ├─vg0-lv--1 252:1 0 30G 0 lvm /
# └─vg0-lv--2 252:2 0 48.9G 0 lvm /home
# sdb 8:16 0 40G 0 disk
# └─sdb1 8:17 0 40G 0 part
# └─md0 9:0 0 79.9G 0 raid10
# ...

8.5 fstab 验证

1
2
3
4
5
6


cat /etc/fstab
# /etc/fstab: static file system information.
#
# <file system> <mount point> <type> <options> <dump> <pass>
# / was on /dev/vg0/lv-1 during curtin installation
/dev/disk/by-id/dm-uuid-LVM-... / ext4 defaults 0 1

关于 /dev/disk/by-id/dm-uuid-LVM-...：24.04 用 /dev/disk/by-id/ 路径而不是传统的 /dev/vg0/lv-1，这是 curiin 安装器做的"稳定路径"映射，避免 LV 顺序变化时挂错。

九、Linux Mint 21.2 “Victoria” 美化

Linux Mint 21.2 “Victoria”（2022 年发布）底层仍是 Ubuntu 22.04 LTS，内核采用 Linux 5.15。

9.1 安装

选择兼容性安装
进入桌面点击安装
选择中文简体
安装解码器
键盘布局默认 Chinese
分区自动
等待安装
重启完成

9.2 Windows 11 迁移验证

常用软件列表：Chrome、VSCode、Office、Notion、QQ、微信等。

9.3 美化

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# 1. 安装 plank（仿 macOS 的 dock）
sudo apt install -y plank
# 开机自启动
sudo ln -s /usr/share/applications/plank.desktop /etc/xdg/autostart/

# 2. 添加 dock 图标
vim ~/.config/plank/dock1/launchers/firefox.dockitem
# [PlankDockItemPreferences]
# Launcher=file:///usr/share/applications/firefox.desktop

# 3. 装 Numix 主题（圆角图标）
sudo add-apt-repository ppa:numix/ppa
sudo apt update
sudo apt install numix-icon-theme-circle

十、Ubuntu 装机常见问题

10.1 apt-get update 报 GPG 错

1
2
3
4


W: GPG error: ... NO_PUBKEY 648ACFD622F3D138

# 解决：换 HTTPS 源
apt install apt-transport-https ca-certificates

10.2 中文乱码 / locale 设置

1
2
3
4
5
6


# 生成 zh_CN.UTF-8
locale-gen zh_CN.UTF-8
update-locale LANG=zh_CN.UTF-8

# 立即生效
export LANG=zh_CN.UTF-8

10.3 安装 SSH 后 root 登录被拒

1
2
3
4
5
6


# 检查 sshd_config
grep -i "PermitRootLogin\|PasswordAuthentication" /etc/ssh/sshd_config

# 启用 root
sed -i 's/^#PermitRootLogin.*/PermitRootLogin yes/' /etc/ssh/sshd_config
systemctl restart ssh

十一、前置知识 / 下一步

想看 Debian 9/10/11 装机 → 翻本系列《Debian 家族发行版全指南》
想看 LVM 详细操作 → 翻本系列《Linux 磁盘与 LVM 深度实践》
想看 netplan 高级配置（VLAN、bridge、bond）→ 翻独立文章
想看 ufw 高级配置（rate limit、IPv6）→ 翻独立文章
想看 Deepin 桌面 + Wine → 翻本系列《Deepin 与 Kali 发行版实战》

十二、参考资源

Ubuntu Server Guide：https://ubuntu.com/server/docs
Ubuntu 24.04 Release Notes：https://discourse.ubuntu.com/t/noble-numbat-release-notes/
netplan 官方：https://netplan.io/
UFW 官方 wiki：https://wiki.ubuntu.com/UncomplicatedFirewall
Linux Mint 官方：https://linuxmint.com/
Rufus 官方：https://rufus.ie/zh/
清华源 Ubuntu：https://mirrors.tuna.tsinghua.edu.cn/ubuntu/
中科大源 Ubuntu：https://mirrors.ustc.edu.cn/ubuntu/

2024+ 视角：写于 2024-11，半年后 Ubuntu 24.04.2 LTS 已成"实战稳定版"

本文写于 2024-11-15——半年后（2025 年中）Ubuntu 24.04 已发布 24.04.2（2025-02）LTS 更新。

一、Ubuntu 24.04 LTS 半年回顾（2024-11 → 2025-05）

Ubuntu 24.04.1 LTS（2024-08）：首个点版本，大量 bug 修复。
Ubuntu 24.04.2 LTS（2025-02）：第二个点版本，硬件 enablement kernel（5.15 → 6.8 HWE）。
Ubuntu 24.10（2024-10 发布，非 LTS）：半年版，体验 Gnome 47。
Ubuntu 25.04（2025-04 发布，非 LTS）：半年版。
LTS 长期支持：
- 标准支持：到 2029-04（5 年）
- Ubuntu Pro / ESM：到 2034-04（10 年）

二、Ubuntu 24.04 LTS 装机后的"坑"

2024-11 装机半年后，最常见的"踩坑"：

netplan + NetworkManager 双管理器冲突——必须只用一个。
IPv6 PD 默认开启但默认防火墙没放行——手动配置：
1

ufw allow in proto ipv6

snap store 服务（snapd）开机很慢——可以禁掉：

1
2


systemctl disable --now snapd.service snapd.socket snapd.seeded.service
apt purge snapd

systemd-resolved 与 resolvconf 冲突——apt purge resolvconf。

三、Ubuntu 24.04 + AI 生态

Ubuntu 24.04 起 官方支持 NVIDIA AI Workbench。
Snap 商店 集成 LLM 工具（Ollama / LM Studio）。
Python 3.12 + CUDA 12.x + PyTorch 2.4 是 2024 AI 训练首选环境。

1
2
3
4
5
6


# 2024 AI 开发环境
sudo apt install -y python3.12 python3.12-venv
curl -fsSL https://ollama.com/install.sh | sh
ollama pull llama3.1:8b
# 本地 LLM 跑通
ollama run llama3.1:8b

四、Linux Mint 22 (Wilma) 2024 发布

Linux Mint 22 “Wilma”（2024-08 发布）：基于 Ubuntu 24.04 LTS。
Cinnamon 6.2 桌面（Linux Mint 招牌）。
Linux Mint Edge（基于 Debian 13 testing，滚动版）。

五、Ubuntu Pro 2024 变化

Ubuntu Pro（2023 起个人免费 5 台机器）：
- 10 年安全更新（LTS 5 年 + ESM 5 年）
- CIS hardening、FIPS 140-2、Livepatch
- 覆盖 apt 仓库额外 5 年（23,000+ 包）
个人 Pro：免费 5 台机器（2023-09 起）。
企业 Pro：付费，含 Landscape、Ansible、Support。

1
2
3
4


# 启用 Ubuntu Pro
sudo pro attach
sudo pro enable livepatch
sudo pro enable esm-apps esm-infra

六、Netplan 0.106+ 新特性（24.04）

Netplan 0.106（2024 起）：
- Open vSwitch 支持
- TC（traffic control） 配置
- VRF（Virtual Routing and Forwarding）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# netplan VRF 配置
network:
 version: 2
 vrfs:
 vrf-red:
 table: 1000
 interfaces: [eno1]
 ethernets:
 eno1:
 dhcp4: false

七、UFW 2024 增强

UFW 0.36+（2024）：ufw app 命令管理应用配置。
ufw limit 限速（防爆破）：

1
2
3


# 限制 SSH 速率（防爆破）
ufw limit 22/tcp comment "SSH 速率限制"
# 默认每 30 秒 6 次连接

ufw route 路由规则（高级用法）：

1
2


# 允许从 10.0.0.0/8 到 192.168.1.100:3306
ufw route allow from 10.0.0.0/8 to 192.168.1.100 port 3306 proto tcp

八、Ubuntu Server 24.04 的"云原生"姿势

2024 起 Ubuntu Server 默认安装 multipass + LXD（K8s / 容器）。
LXD 5.21+（2024 LTS）：支持 GPU 直通（AI 训练 / 推理）。
Multipass 1.14+：云镜像本地跑（VM-based 容器）。

1
2
3
4
5


# LXD 起 GPU 容器
lxc launch ubuntu:24.04 ai-vm --vm -c limits.cpu=4 -c limits.memory=8GiB --gpu

# Multipass 起 K8s 集群
multipass launch --name k8s-1 --cpus 4 --memory 8G --disk 50G

九、apt 2.7+ 的 DEB822 格式

apt 2.7+（Ubuntu 24.04）：支持 DEB822 格式（.sources 文件）—— 比传统 .list 更结构化。

1
2
3
4
5
6


# /etc/apt/sources.list.d/ubuntu.sources
Types: deb
URIs: https://mirrors.tuna.tsinghua.edu.cn/ubuntu
Suites: noble noble-updates noble-security
Components: main restricted universe multiverse
Signed-By: /usr/share/keyrings/ubuntu-archive-keyring.gpg

优势：支持多个签名 key、更清晰的注释、snap 集成更顺。

十、Ubuntu 24.04 与 snap 的"恩怨"

2024 视角：snap 在 Ubuntu Server 24.04 仍是默认——snap install 装 chromium、code、spotify。
争议：
- snap 应用启动慢（10+ 秒）
- snap 占用磁盘大（多版本共存）
- 不能完全卸载 snap（apt purge snapd 后部分应用受影响）
替代：
- 用 apt 装（chromium chromium-browser）
- 用 Flatpak（跨发行版）
- 用 AppImage（单文件可执行）

十一、Ubuntu 24.04 LTS 装机"经验教训"半年汇总

装好后必做：
1. apt update && apt upgrade -y（首次 24.04.0 → 24.04.2）
2. 配时区 / NTP：timedatectl set-timezone Asia/Shanghai
3. 禁用 snap（如果不想要）
4. 配 sshd：禁止 root 密码登录、强制 ed25519
5. 配 ufw：放行 22 + 必要端口
6. 装 fail2ban：防 SSH 爆破
2024 推荐装机方式：
- 云厂商：直接用云市场镜像（Ubuntu 24.04 LTS + 云厂商优化）
- 本地：Ventoy + Ubuntu 24.04 ISO + manual 分区（LVM on LUKS）

OpenWrt 实战：x86 软路由 + OpenClash 科学上网

Tue, 15 Oct 2024 00:00:00 +0800

一、为什么 2024 年要装 x86 软路由

家用路由器固件一般分两派：

原厂固件（TP-Link / 华为 / 小米）—— 功能弱，但稳定
第三方固件：
- 梅林（Asuswrt-Merlin）：基于华硕开源的 Asuswrt，专为华硕路由器定制
- OpenWrt：开源、原生 Linux、功能极强，x86 软路由用得最多

x86 软路由 vs 硬路由：

维度	硬路由	x86 软路由
性能	弱（几百 MHz MIPS）	强（多核 x86_64）
功能	原厂固件	OpenWrt 全功能
硬件成本	低（200-2000）	中（一台 NUC / J4125 准系统 500-1500）
维护	简单	需要 Linux 基础
科学上网	部分支持	OpenClash / PassWall 全支持

本文只讲 x86 软路由——把 OpenWrt 跑在 VMware ESXi / Workstation 虚拟机里。

本文写于 2024-10-15。示例基于 DHDAXCW/OpenWRT_x86_x64 的 2024.06.13 Lean 版。梅林固件是华硕路由器的固件选择，文末简单介绍。

二、下载 OpenWrt x86_64 镜像

社区维护的集成 Lean / immortalwrt 的 x86 镜像最常用：

1

https://github.com/DHDAXCW/OpenWRT_x86_x64/releases/download/2024.06.13-Lean/2024.06.13-openwrt-x86-64-squashfs-efi.img.gz

两个关键参数：

x86-64：64 位 x86 架构
squashfs：只读压缩文件系统 + overlay 写入（生产环境用）
efi：UEFI 启动（现代机器用）

老的 BIOS 机器下 x86-64-generic-squashfs-combined.img.gz 版本。

三、转换镜像格式

VMware / ESXi 用的 VMDK 文件，要用 StarWind V2V Converter 把 img 转成 vmdk：

1

https://www.starwindsoftware.com/tmplink/starwindconverter.exe

步骤：

解压 2024.06.13-openwrt-x86-64-squashfs-efi.img.gz → 得到 .img
打开 StarWind V2V Converter
源格式：Local file → 选 .img
目标格式：VMware growable image (VMDK)
输出文件：2024.06.13-openwrt-x86-64-squashfs-efi.vmdk
把 .vmdk 拷到虚拟机的存储目录（VMware 默认是 D:\soft\Virtual Machines\openwrt\）

四、在 VMware 里创建虚拟机

4.1 选兼容性

ESXi：兼容性选 ESXi 6.7 或更高
Workstation：Workstation 17.x 即可

4.2 系统类型

客户机操作系统：Linux
版本：Other Linux 5.x or later kernel (64-bit)
固件：UEFI（关键，否则启动不了 efi 镜像）

4.3 硬件配置

CPU：1-2 核
内存：512 MB-1 GB（OpenWrt 占用很小）
硬盘：删掉默认的"新硬盘"，选现有虚拟磁盘 → 选刚才转换的 vmdk
网络：选 VM Network（同物理网段）或自定义网络

4.4 启动

开机 → 自动进 OpenWrt。

五、配置网络

OpenWrt 默认 LAN 口是 br-lan（桥接 br-lan），DHCP 启用，默认 IP 192.168.1.1。

5.1 改 IP

如果跟现有路由器网段冲突，先改 IP。这里改成 192.168.132.250：

1
2
3
4
5
6
7
8
9


vi /etc/config/network

config interface 'lan'
 option ifname 'eth0'
 option proto 'static'
 option ipaddr '192.168.132.250'
 option netmask '255.255.255.0'
 option gateway '192.168.132.2'
 option dns '114.114.114.114'

坑提醒：VMware Workstation 的 VMnet8 (NAT) 网关默认是 192.168.132.2，改 IP 跟它对得上才能上网。

5.2 重启网络

1

/etc/init.d/network restart

5.3 验证

1
2
3


ping 192.168.132.2
ping 8.8.8.8
ping baidu.com

六、Web 访问

浏览器开 http://192.168.132.250：

默认用户名：root
默认密码：password（第一次登录必须改）

七、配置 SSH 公钥登录

7.1 客户端生成密钥

1
2


ssh-keygen -t ed25519 -C "lwd@<your-host>"
# 生成 ~/.ssh/id_ed25519 和 ~/.ssh/id_ed25519.pub

7.2 把公钥推到 OpenWrt

方式 1：Web UI

System → Administration → SSH-Keys → 把 id_ed25519.pub 内容粘进去 → Save

方式 2：命令行

1
2
3
4
5
6
7
8


ssh root@192.168.132.250
# 输入默认密码登录

# 在 OpenWrt 上
vi /etc/dropbear/authorized_keys
# 把 id_ed25519.pub 内容粘进去
chmod 600 /etc/dropbear/authorized_keys
/etc/init.d/dropbear restart

7.3 免密登录

1
2


ssh root@192.168.132.250
# 直接进

八、装 OpenClash（科学上网）

OpenClash 是 OpenWrt 上最流行的"科学上网"客户端之一——支持订阅、规则、TUN 模式。

8.1 装

1
2
3
4
5
6
7
8


# 装依赖
opkg update
opkg install coreutils-nohup bash iptables dnsmasq-full curl ca-certificates ipset ip-full libcap libcap-bin

# 下载 OpenClash ipk
# 社区下载页：https://github.com/vernesong/OpenClash/releases
wget https://github.com/vernesong/OpenClash/releases/download/v0.46.065/luci-app-openclash_0.46.065_all.ipk
opkg install luci-app-openclash_0.46.065_all.ipk

8.2 配置订阅

Web UI：服务 → OpenClash → 配置订阅

订阅 URL 示例（仅作格式示例，请用你自己的订阅）：

1

https://sub.xeton.dev/sub?target=clash&filename=SSRDOG.yaml&new_name=true&url=https%3A%2F%2F<your-subscription-url>&insert=false&config=https%3A%2F%2Fraw.githubusercontent.com%2FACL4SSR%2FACL4SSR%2Fmaster%2FClash%2Fconfig%2FACL4SSR_Online.ini

把 URL 粘到订阅管理 → 点"下载配置" → 启动 OpenClash。

8.3 验证

服务 → OpenClash → 运行状态：

内核已启动：Yacd / Dashboard 显示连接数
访问 Google：通

九、远程访问 OpenWrt

9.1 Web 远程

路由器防火墙放行 80 / 443 端口（如果走公网访问）：

1
2


# 改 /etc/config/firewall
# 把 lan zone 的 input 改成 ACCEPT

9.2 SSH 远程

路由器 22 端口映射到公网
生产环境强烈不推荐——OpenWrt 默认密码 password 是公开的

十、典型坑速查

现象	原因	处理
VMware 启动卡住	选了 BIOS 启动	改成 UEFI 启动
转换 VMDK 失败	选错源格式	选 Local file 而非 Physical disk
改 IP 后 SSH 断	VMnet 网段不匹配	确认 IP 跟宿主 VMnet 网段匹配
Web UI 进不去	浏览器缓存	清缓存或换无痕模式
OpenClash 启动失败	没装依赖	走 §8.1 装依赖包
装了 OpenClash 但所有流量都走代理	规则不匹配	改 ACL4SSR 规则为 `Online` 全量版

十一、梅林（Asuswrt-Merlin）固件简介

梅林固件是 Asuswrt-Merlin（开发者 Eric Sauvageau / RMerl）的华硕路由器定制固件——基于华硕开源的 Asuswrt。

跟 OpenWrt 的区别：

梅林只在华硕路由器上能装（型号限制）

梅林支持软件中心（koolshare）、屏蔽广告、游戏加速、定时任务、挂载硬盘等家用功能

OpenWrt通用 x86 / ARM / MIPS 多平台

笔者 2021-04 那台 华硕 RT-AC86U（京东 629 元入手）刷的是梅林 + koolshare 软件中心。

11.1 装

确认型号在梅林支持列表：https://www.asuswrt-merlin.net/download
官方固件先升级到最新官方版本
在路由管理界面 http://192.168.1.1 → 系统管理 → 固件升级 → 上传 .trx 文件
等 2-3 分钟重启，别断电

11.2 装软件中心

刷 koolshare 改版梅林（梅林改版）
在 koolshare.cn 论坛下载软件中心离线包
软件中心 → 离线安装 → 选 .gz 包

11.3 常用功能

屏蔽广告（koolshare 软件中心 → 广告屏蔽）
科学上网（梅林自带 VPN 客户端 + koolshare 第三方插件）
游戏加速（WTFast / UU 加速器插件）

十二、下一步

想做更专业的科学上网 → OpenClash → 走 Yacd / Dashboard 控制面板
想监控所有设备流量 → OpenWrt + Prometheus + Grafana
想做企业级 SD-WAN → OPNsense / pfSense（基于 FreeBSD，UI 更好看）
想玩极致性能 → 准系统 J4125 / N5105 + 双 2.5G 网卡 + OpenWrt 主路由
不想折腾 → 买 R5S / R68S 之类的现成软路由盒

参考资料

2024+ 视角：写于 2024-10，半年后 OpenWrt 23.05 + MetaROUTER 的新生态

本文写于 2024-10-15——半年后（2025 年中）OpenWrt 生态又有了几个大变化：

一、OpenWrt 23.05 正式版（2024-06 推出）

OpenWrt 23.05（“Wavefunction”）2024-06-06 正式发布，替代 22.03 系列的快照版。
Linux Kernel 5.15 LTS（22.03 用了 5.10）。
新的 firewall4（nftables 替代 iptables）：官方推荐——fw4 用 nftables 后端，但兼容旧 iptables 语法。
odhcpd 升级：IPv6 行为更稳定。
Image Builder 改动：make menuconfig 后编译流程有变。

1
2
3
4
5
6
7
8


# 看自己跑的是哪个版本
cat /etc/openwrt_release
# DISTRIB_ID='OpenWrt'
# DISTRIB_RELEASE='23.05.0'
# DISTRIB_REVISION='r23809-234f1a2efa'
# DISTRIB_TARGET='x86/64'
# DISTRIB_ARCH='x86_64'
# DISTRIB_DESCRIPTION='OpenWrt 23.05.0 r23809-234f1a2efa'

二、OpenClash 的"接班人"：MetaROUTER + mihomo

OpenClash 2023 年起作者（vernesong）维护节奏放缓，社区开始转向 mihomo（Clash Meta 的 Go 重写版）：

1
2
3


# mihomo 内核（替代 clash premium / OpenClash Yacd）
opkg install mihomo
# 配置 /etc/mihomo/config.yaml（与 Clash Premium 配置格式兼容）

Meta 路由（2024 社区项目）：把 OpenWrt 整体做成"智能网关"——内置广告拦截、内网 DNS、智能分流。
sing-box（2023 推出，Clash 团队重组后的新项目）也是 2024 主流选择：

1
2
3


opkg install sing-box
# /etc/sing-box/config.json
# 模式：tun（透明代理）

三、x86 软路由的"新主流"硬件

2024-2025 x86 软路由盒子的"主流配置"已经升级：

年代	主流配置	价格
2018-2020	J1900 / J3455（4 网口）	¥300-500
2021-2022	J4125 / N4100（4 网口 2.5G 萌芽）	¥500-800
2024-2025	N100 / N305 / i3-N305（双 2.5G / 4×2.5G）	¥800-1500
2024 高端	Intel N100 + 4×i226-V 2.5G 网卡	¥1200-2000

N100（4 核 4 线程，6W TDP）2024 是"软路由甜点 CPU"。
Intel N305（8 核 8 线程，15W TDP）：带 2.5G 网卡 + WiFi 6。
R86S / R5S / N100 准系统是 2024-2025 的"现成方案"。

四、VMware Workstation 的"免费替代"

VMware Workstation Pro 17.5+（2024-05）已对个人用户免费（之前是付费）。
更激进的免费替代：
- VirtualBox 7.x（2024-2025 仍是 Oracle 维护，跨平台免费）
- Proxmox VE 8.x（2023+）—— 开源 KVM 虚拟化，Web 界面，2024 自托管玩家首选
- KVM + Cockpit（Linux 原生，RHEL / Ubuntu 默认装）—— 2024 系统管理员的标准动作

1
2
3
4


# Proxmox 装（Debian 12 base）
echo "deb [signed-by=/etc/apt/keyrings/proxmox-release.gpg] http://download.proxmox.com/debian/pve bookworm pve-no-subscription" > /etc/apt/sources.list.d/pve.list
apt update && apt install proxmox-default-kernel
# 然后通过 https://<ip>:8006 访问 Web

五、AI + 路由：eBPF + 智能 QoS

2024 OpenWrt + eBPF 实现"应用级智能 QoS"：
- 自动识别视频会议流量（Zoom/Teams/Webex）→ 优先保障
- 自动识别 P2P / BT 流量 → 限速
- 自动识别游戏流量（LOL/Steam）→ 低延迟队列
应用：QCA / OpenWrt nss（Qualcomm 加速） + eBPF 内核态 QoS。

六、IPv6 + 软路由的"原生融合"

2024 大陆运营商IPv6 全面普及（电信 / 联通 / 移动均默认下发 IPv6）。
OpenWrt 23.05 的 odhcpd 自动处理 IPv6 PD（前缀委派）+ SLAAC。
常见应用：
- 内网 IPv6 设备直连公网（NAT66 仍推荐）
- DDNS 同步 IPv6 到域名（dynv6 / afraid.org / DNSpod）
- ip6tables 防火墙规则

1
2
3


# 看 OpenWrt IPv6 状态
ip -6 addr show
ip -6 route show

七、安全加固的"必做清单"（2024 视角）

2024 OpenWrt 软路由最常见的入侵途径还是默认弱密码（password）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 必做：改 root 密码
passwd
# 必做：改 Web UI 端口
uci set uhttpd.main.listen_http='0.0.0.0:88'
uci commit uhttpd
/etc/init.d/uhttpd restart

# 必做：禁 SSH 密码登录
uci set dropbear.@dropbear[0].PasswordAuth='off'
uci set dropbear.@dropbear[0].RootPasswordAuth='off'
uci commit dropbear
/etc/init.d/dropbear restart

公网暴露 SSH = 自杀——所有公网 SSH 都被自动化扫端口，通过 Cloudflare Tunnel / Tailscale Funnel 暴露更安全。
OpenWrt 内核 5.x 的安全特性：Lockdown LSM、CFI（Control Flow Integrity）已在 23.05 启用。

2024 主流 IM 横评：钉钉 / 企业微信 / 飞书 / Slack / Teams / Discord / QQ / 微信

Mon, 15 Apr 2024 00:00:00 +0800

〇、写于 2024-04 的"2024 IM 选型"视角

2015 年我们只有 QQ + 微信，10 年后的 2024 年：钉钉、企业微信、飞书三件套占据国产企业 IM 90% 份额；Slack、Microsoft Teams 在跨境业务里是事实标准；Discord 异军突起，从游戏圈走向技术社区；老牌 QQ 仍是中国个人用户的"文件传输之王"，微信 PC 仍是国民级沟通工具。

本文按"国产企业 IM → 海外企业 IM → 个人 / 社区 IM"三大块做 2024 年的横评，所有功能描述以 2024-04 当时版本为准。

一、8 款 IM 全景对比（2024-04）

工具	定位	平台	强项	弱项	适合
钉钉	国产企业 IM	Win/Mac/Linux/iOS/Android	DING 强提醒 / OA / 考勤	海外体验一般	制造业 / 政企 / 强管理
企业微信	腾讯企业 IM	Win/Mac/iOS/Android	与微信互通 / 客户群	内部 IM 弱于钉钉	与微信客户打通的销售 / 运营
飞书	字节企业 IM	Win/Mac/Linux/iOS/Android	多维表格 / 协作文档 / 体验	老牌企业迁移成本高	互联网 / 创新业务 / 全球化
Slack	海外企业 IM	Win/Mac/Linux/iOS/Android + Web	生态 / 集成 / 频道	中文体验差	跨境业务 / 海外团队 / DevOps
Microsoft Teams	微软全家桶	Win/Mac/iOS/Android + Web	与 Office 365 深度集成	启动慢 / 占用大	已上 Office 365 的中大型企业
Discord	社区 + 语音	Win/Mac/Linux/iOS/Android	语音频道 / 社区运营	缺企业 OA	技术社区 / 开源项目 / 兴趣群
QQ	个人 + 文件传输	Win/Mac/iOS/Android	大文件 / 截图 / 远程协助	工作场景弱	个人 / 跨设备文件
微信 PC	国民级沟通	Win/Mac	国民覆盖 / 视频号	不支持多账号 / 不能加好友	客户沟通 / 朋友圈运营

二、钉钉：制造业与政企的"国民 App"

2.1 核心模块

消息：DING 消息（电话级强提醒 + 已读回执 + 未读电话外呼）
工作台：OA / 审批 / 考勤 / 打卡 / 报销
文档：钉钉文档（表格函数对标 Excel 365）
视频会议：钉钉会议（对标腾讯会议）
群直播：培训 / 公开课
考勤打卡：弹性 / 固定 / 外勤 / Wi-Fi 打卡
审批流：自定义流程 + 表单

2.2 杀手锏：DING 消息

已读回执（强制要求确认）
未读电话外呼（未读 5 次会发短信）
适合紧急通知 / 运维告警

1
2
3
4


# CI/CD 失败告警 → DING webhook
curl -X POST "https://oapi.dingtalk.com/robot/send?access_token=XXX" \
 -H "Content-Type: application/json" \
 -d '{"msgtype":"text","text":{"content":"⚠️ 构建失败: <BUILD_URL>"}}'

2.3 钉钉文档对比

工具	强项
钉钉文档	表格函数最全、考勤排班
腾讯文档	微信生态打通
飞书文档	多维表格 + 思维笔记（创新者）
语雀	程序员知识库（阿里出品）

三、企业微信：与微信互通的"销售运营神器"

3.1 核心定位

内外打通：唯一能与个人微信双向加好友的"半官方"通道
客户群：单群 500 人，群发助手 / 客户标签 / 离职继承
SCRM：第三方应用市场丰富的客户运营工具
与微信生态打通：小程序 / 视频号 / 公众号全链路

3.2 群发助手

内部群：单次 200 人
外部客户群：单次 200 客户/天（避免骚扰）
支持文字 / 图片 / 链接 / 小程序卡片

3.3 Webhook 与机器人

1
2
3
4


# 企业微信群机器人 Webhook
curl -X POST "https://qyapi.weixin.qq.com/cgi-bin/webhook/send?key=XXX" \
 -H "Content-Type: application/json" \
 -d '{"msgtype":"text","text":{"content":"部署完成"}}'

四、飞书：创新团队与多维表格的"协同一哥"

4.1 核心模块

消息：频道 + 话题（类 Slack，不强制全员打扰）
多维表格：类 Airtable（字节创新代表）
飞书文档：思维笔记 / 画板
妙记：会议自动转录 + AI 总结（2024 杀手锏）
视频会议：飞书会议
应用引擎：低代码搭建业务应用

4.2 多维表格 5 大场景

OKR 跟踪：双视图（表格 + 看板 + 甘特图）
需求池：表单收集 + 自动评审流
资产管理：设备/工位/合同到期提醒
客户 CRM：对接外部 SCRM
Bug 跟踪：状态机 + 自动通知

4.3 妙记（2024 杀手锏）

会议中自动识别发言人
会议结束 5 分钟出"摘要 + 行动项 + TODO"
多语言实时翻译
全文搜索"上次会议谁说过去做这件事"

五、Slack：海外企业 IM 的事实标准

5.1 核心特性

频道（Channel）：按主题 / 项目 / 团队分频道
线程（Thread）：主消息 + 嵌套回复，避免主频道刷屏
应用市场：2400+ 应用（Jira / GitHub / Datadog / PagerDuty 一键集成）
Slackbot：自动化工作流（Workflow Builder 2024 已图形化）
Canvas：2024 新增的"协作文档"
Huddle：轻量语音（对标 Teams 的"抱团"）

5.2 DevOps 集成示例

GitHub → Slack：新 PR / Issue 自动推到 #dev 频道
Datadog → Slack：告警分级路由（critical → @oncall）
Jenkins / GitLab CI → Slack：构建状态实时更新
Sentry → Slack：错误堆栈直接贴到 #frontend 频道

5.3 痛点

中文体验差（搜索中文分词、表情包）
免费版消息只保留 90 天
网络国内访问需稳定海外通道

六、Microsoft Teams：Office 365 全家桶的"必装件"

6.1 核心特性

与 Office 365 深度集成：Word / Excel / PowerPoint 实时协作
频道（Team）：按部门 / 项目建 Team
会议：2000 人上限，会议录制自动落到 OneDrive / SharePoint
电话（Teams Phone）：云 PBX
应用：200+ 应用 + Power Platform 集成

6.2 适用场景

已上 Office 365 / Microsoft 365 的中大型企业——Teams 是必装
跨国企业（Teams 全球网络质量好）
金融 / 政企（合规、审计、eDiscovery）

6.3 痛点

启动慢（10-30 秒）、内存占用大（空闲 500MB+）
离职文件归属复杂（与 OneDrive / SharePoint 权限绑定）
与 Slack / 飞书对比 UI 偏传统

七、Discord：技术社区与兴趣群的"语音之王"

7.1 核心特性

服务器（Server）：类 IRC 频道
语音频道：永远在线的低延迟语音（点连接即通话）
舞台频道：1000+ 听众的"播客式"直播
机器人生态：10000+ 社区机器人（Moderation / Music / Game）
屏幕共享 + 视频
跨平台：Win/Mac/Linux/iOS/Android + Web

7.2 适用场景

开源项目社区（React、Vue、Elixir 等大项目都用 Discord）
游戏公会（语音 + 频道天然适合）
兴趣群（加密货币、AI 绘画、读书会）
企业 Meetup / 技术沙龙

7.3 痛点

缺企业 OA（考勤、审批流基本没有）
管理后台偏弱（相比企业微信 / 飞书）
国内访问偶发抽风（虽已备案）

八、QQ：2024 仍是"文件传输之王"

8.1 2024 状态

单文件 4GB（比微信 100MB 强 40 倍）
离线文件支持（接收方不在线也能传）
文件夹传输（右键 → 发送文件夹）
群最多 3000 人（超级群）
截图：Ctrl+Alt+A（国民级截图快捷键）+ OCR
远程协助（局域网极快，跨公网卡）

8.2 适用场景

跨设备传大文件
临时截图 + 标注
老牌技术群（QQ 群至今仍是很多技术社区主阵地）

九、微信 PC：国民级沟通 + 视频号 + 小程序

9.1 2024 状态

文件 100MB（小，大文件用微云）
视频号直播可在 PC 端观看
公众号 / 小程序 PC 端也能开
屏幕共享与腾讯会议联动
多开痛点：官方不支持，需用 “WeChatMultiple” 等第三方工具（有封号风险）

十、组合实战

10.1 国产企业办公三件套

1
2
3


钉钉（考勤 / DING 强通知 / 制造业）
+ 企业微信（客户群运营 / 销售）
+ 飞书（多维表格 / 协作文档 / 创新业务）

10.2 跨境 / 外贸业务

1
2
3
4


Slack（与海外客户/团队协作）
+ Teams（与微软生态客户开会）
+ 飞书（国内研发 + 海外业务）
+ 邮件（兜底）

10.3 互联网 / DevOps 团队

1
2
3
4


Slack / 飞书（IM + 频道）
+ GitHub / GitLab（PR / Issue 集成到频道）
+ Datadog / Grafana（告警推到频道）
+ 飞书妙记 / 腾讯会议录制（会议纪要）

十一、选型决策树

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23


需要 OA / 考勤 / 强管理？
└─ 是 → 钉钉

需要与微信客户群打通？
└─ 是 → 企业微信

需要创新协作 / 多维表格 / 全球化？
└─ 是 → 飞书

已上 Office 365？
└─ 是 → Teams（必装）

海外业务 / DevOps 生态集成？
└─ 是 → Slack

开源 / 游戏 / 兴趣社区？
└─ 是 → Discord

个人 / 大文件 / 跨设备？
└─ 是 → QQ

国民级客户沟通 / 朋友圈？
└─ 是 → 微信 PC

十二、常见问题

12.1 飞书 / 钉钉 / 企业微信同时装？

可以，但建议团队统一。三家都支持"通讯录互通"——选其中一家做主 IM，其它两家做"外部对接"。

12.2 Slack 国内网络问题

企业网络走合规的海外业务通道（不绕 GFW）
个人使用的请使用 Slack 官方 Web 版
建议有出海业务再装

12.3 飞书妙记 vs 腾讯会议录制

工具	强项
飞书妙记	AI 摘要、说话人识别、跨会议搜索
腾讯会议录制	视频存档、共享屏幕回放

12.4 Discord 国内使用

国内直连基本可用（Discord 在 2022 已合规备案）
部分 AI 绘画 / 加密货币社区是 Discord 主场

十三、下一步

企业 IM + DevOps 集成：参考 2024-03 飞书妙记、Slack Workflow Builder
多维表格做业务系统：参考飞书 / Airtable
会议纪要 AI：飞书妙记 / 腾讯会议 AI 字幕
旧版提示：本文首发于 2015 年，最近一次 2024-04 大改——5 款工具扩张到 8 款，去掉 ToDesk 单独成文，补充 2024 主流视角

2.1 安装与登录

官方 https://im.qq.com/。Windows PC 版 + Mac 版 + 手机版。登录方式：

账号 + 密码（已支持手机号）
扫码登录（多设备同时在线）
微信扫码（关联登录）

2.2 办公高频功能

文件传输：

拖文件到聊天窗口 → 上传到 QQ 云
单文件最大 4 GB（2024+）
文件 7 天后过期（重要文件要转存微云）
文件夹传输：右键 → 发送文件夹

截图：

Ctrl + Alt + A（默认截图快捷键）
区域截图 / 窗口截图 / 截长图
标注：方框、箭头、马赛克、文字
OCR 文字识别（2020+ 客户端内置）

远程协助：

聊天窗口 → + → 远程协助
被控端 点"接受" → 主控端 看到屏幕
可控制 vs 仅查看两种模式
速度比 ToDesk 慢（局域网优化好，跨公网卡）

通讯录：

同事 → 公司组织架构
外部客户 → 群标签管理
群最多 3000 人（超级群）

2.3 QQ 五笔

SogouWBInput.md 对应搜狗五笔——QQ 早期办公的标配输入法。比拼音快、比双拼更准。

详见 [2015-11-15 系统效率工具：7-Zip / AHK / 搜狗五笔]

三、微信 PC 版：国民级通讯

3.1 安装

https://weixin.qq.com/。注意：

微信 PC 必须先在手机端登录才能扫码登录
不支持多账号（有需求装"多开助手"）
微信 PC 不能直接加好友（先在手机加）

3.2 办公场景

文件传输：

聊天窗口拖文件 → 临时存储
单文件 100 MB（比 QQ 小）
跨设备同步：手机发的文件 PC 立即看到
大文件走微云

群：

普通群 500 人
群文件长期保留
群接龙 / 群公告功能（企业微信风格）

视频号：

PC 端可看视频号直播
屏幕共享：与"腾讯会议"联动

3.3 微信开发者工具

前端开发者必装——调试小程序：

https://developers.weixin.qq.com/miniprogram/dev/devtools/download.html
模拟手机端 + 真机调试
微信扫码登录后即可预览

3.4 微信 + IDE

IDEA WeChat Plugin：代码提交时微信通知
VSCode WeChaty：机器人框架
企业微信 Webhook：CI/CD 推送告警

四、钉钉：企业协作的"国民 App"

4.1 安装

https://www.dingtalk.com/。Windows + Mac + Linux 全平台（国产 IM 罕见）。首次启动用手机号注册 → 扫码登录。

4.2 核心模块

模块	用途
消息	IM 基础功能（DING 消息强提醒）
工作台	OA / 审批 / 考勤 / 打卡
文档	协作文档（对标飞书）
视频会议	与"腾讯会议"直接竞争
钉钉群直播	培训 / 公开课
考勤打卡	弹性 / 固定 / 外勤
审批	自定义流程

4.3 杀手锏：DING 消息

钉钉的 DING 消息是电话级强提醒——

已读回执（强制要求确认）
未读电话外呼（未读 5 次会发短信）
适合紧急通知 / 运维告警

1
2
3
4
5


实战：CI/CD 失败告警
- 触发：Jenkins / GitLab CI 失败
- 渠道：DING webhook
- 配置：群 → 群设置 → 智能群助手 → 添加机器人 → 自定义
- Webhook URL：https://oapi.dingtalk.com/robot/send?access_token=XXX

1
2
3
4
5
6
7
8
9


# curl 发送 DING 告警
curl -X POST "<webhook>" \
 -H "Content-Type: application/json" \
 -d '{
 "msgtype": "text",
 "text": {
 "content": "⚠️ 构建失败: <BUILD_URL>"
 }
 }'

4.4 钉钉机器人

自定义机器人：Webhook + 加签
企业内部机器人：调用企业 OpenAPI
群机器人：自动回复 / 集成 Jenkins

4.5 钉钉文档 vs 腾讯文档 vs 飞书

工具	强项
钉钉文档	表格强（钉钉表格函数最全）
腾讯文档	微信生态打通
飞书文档	多维表格 + 思维笔记（创新者）
语雀	程序员知识库（阿里出品）

五、腾讯会议：云会议的事实标准

5.1 安装

https://meeting.tencent.com/。Windows + Mac + iOS + Android。首次启动微信扫码登录。

5.2 核心功能

会议规模：

免费版：100 人 / 60 分钟
商业版：300 人 / 24 小时
旗舰版：2000 人

关键能力：

屏幕共享（含应用窗口）
白板（多端实时同步）
会议录制（云端 + 本地）
AI 字幕（2023+ 自动转录）
背景虚化（绿幕抠图）
等候室（控制准入）
同声传译（AI 翻译）

5.3 Webhook 接入

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 会议开始/结束事件订阅（企业版）
POST /webhook HTTP/1.1
Content-Type: application/json

{
 "event": "meeting.started",
 "data": {
 "meeting_id": "123-456-789",
 "start_time": 1714100000,
 "host": "user@example.com"
 }
}

5.4 与钉钉 / 飞书对比

维度	腾讯会议	钉钉会议	飞书会议
稳定性	★★★★★	★★★★	★★★★
UI 美观	★★★★	★★★	★★★★★
生态	微信	钉钉	飞书
大型会议（>500人）	★★★★★	★★★	★★★
海外体验	★★★★	★★	★★★

选型：

腾讯系 → 腾讯会议
阿里系 → 钉钉
字节系 → 飞书
混合办公 → 腾讯会议（兼容性最好）

六、ToDesk：国产远程桌面新星

6.1 定位

ToDesk 2020 年发布，对标 TeamViewer / AnyDesk。优势：

国内服务器 → 国内连国内快（vs TeamViewer 走国外）
免费版不限速（TeamViewer 商业检测严）
个人免费（不用像 TeamViewer 一样被怀疑商用）

6.2 安装

https://www.todesk.com/。Windows + Mac + Linux + iOS + Android 全平台。

6.3 核心功能

功能	详情
远程控制	主被控角色
文件传输	拖拽即可
屏幕墙	同时看多台
命令行	终端远控
隐私屏	黑屏保护

6.4 性能优化

4K / 60 FPS：高带宽场景
色彩模式：4:4:4 文字 / 4:2:0 视频
编码：H.264 / H.265 / AV1
键盘映射：Mac → Windows / Windows → Mac

6.5 安全机制

临时密码 vs 固定密码
设备授权：信任列表
登录二次验证
黑屏 + 锁键鼠：被控时启用

七、组合实战

7.1 远程办公

1
2
3
4
5


日常沟通：微信 + 钉钉（DING 强提醒）
正式会议：腾讯会议（≥ 50 人）
小会 & 站立：腾讯会议 / 钉钉会议
文件同步：QQ（临时大文件）+ 微云（长期）
远程控制：ToDesk

7.2 团队协作分层

1
2
3
4
5


个人沟通：微信
群组协作：钉钉 / 飞书 / 微信群
正式通知：钉钉 DING + 邮件
视频会议：腾讯会议
项目管理：Jira / 飞书项目

八、选型对比

工具	适合
QQ	个人 / 团队文件传输 / 截图
微信	客户沟通 / 朋友圈运营
钉钉	企业 OA / DING 强通知
企业微信	客户群运营 / 与微信打通
飞书	创新团队 / 多维表格
腾讯会议	大型会议 / 外部协作
ToDesk	远程桌面

九、常见问题

9.1 微信多开

Windows 官方不支持。变通方案：

WeChatMultiple 开源工具
MuMu 模拟器装微信
企业微信（与微信互通）

9.2 钉钉 DING 太多被打扰

设置 → 消息 → DING 提醒 → 关闭非工作时间

9.3 腾讯会议卡顿

关闭背景虚化
切换到"流畅优先"模式
用有线网络（Wi-Fi 容易抖动）

9.4 ToDesk 黑屏

被控端开"隐私屏"是正常行为。要关闭时被控端 在 设置 → 隐私屏 → 关闭 即可。

9.5 跨平台群发

钉钉群发助手 vs 企业微信群发 vs 企业微信客户群发：

钉钉：限内部群
企业微信：内外打通（最灵活）

十、下一步

想看远程办公 IT 设施：[2015-11-15 系统效率工具：7-Zip / AHK / 输入法]
想看企业 IM 集成：[2024-07-28 AI 行业趋势综述]
想看 CI/CD 告警：[2020-12-15 K8s 集群流量入口：Ingress-nginx]

本文写于 2015 年，回看当时：钉钉 1.0 刚发布，没人预料到它能挑战微信企业版；腾讯会议 2019 年才上线，Zoom 那时还是中国远程会议的代名词；ToDesk 2020 年才发布，TeamViewer 还在被怀疑"商业用途"——4 年时间国产 IM 完成了对国外的全面替代。

Linux 安全：挖矿病毒清理、c3Pool 木马与 GVM 漏洞扫描实战

Mon, 15 Apr 2024 00:00:00 +0800

一、为什么是 2024 年这一份

2024 年这个时间点，Linux 主机安全进入"专业化"阶段：

挖矿病毒（xmrig / c3Pool / kinsing）仍是企业最常见的入侵后果
EDR 终端（Endpoint Detection and Response）成为云主机标配
OpenVAS 在 2017 改名 GVM（Greenbone Vulnerability Management），2024 已是 23.x
合规要求（等保 2.0、ISO 27001）要求定期漏洞扫描
xmrig 6.x 的对抗特征（chattr +i 防删）成为应急手册标配

这一篇覆盖挖矿病毒应急、c3Pool 木马清理、EDR 部署、GVM 漏洞扫描安装与升级、漏扫告警——一个"安全运营"工程师的实战手册。

阅读建议：本文是"应急 + 体系建设"双重性质——先应急（挖矿病毒清理），再体系（漏洞扫描）。

二、挖矿病毒应急：c3Pool 木马清理

2.1 现象与定位

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 1. top 找高 CPU 进程
top
# 看到 xmrig、kdevtmpfsi、.service 等非常规进程

# 2. 找进程 exe 路径
ls -l /proc/<pid>
# /proc/<pid>/exe -> /usr/local/lib/<挖矿二进制>

# 3. 看进程工作目录
ls -l /proc/<pid>/cwd
# 通常在 /tmp 或 /dev/shm 这种"隐蔽"位置

2.2 文件无法删除：`chattr +i`

挖矿木马常 chattr +i 锁住自己的二进制、SSH 公钥、cron 文件等，让 rm 删不掉。

1
2
3
4
5
6
7
8


# 查属性
lsattr 文件名

# 加锁（之后 rm 删不掉）
chattr -R +i ./test*

# 解除（运行完就能删）
chattr -R -i ./test*

2.3 c3Pool 矿池连接特征

c3Pool 是公开矿池（c3pool.com），挖矿木马的"标配"会连接 c3pool.com：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 1. 看进程网络连接
ss -tnp | grep <pid>
# 看是否有到矿池 IP 的 TCP 连接

# 2. 查 DNS 解析记录
cat /etc/resolv.conf
# 木马经常改 DNS 指向自建 DNS

# 3. 查 hosts
cat /etc/hosts
# 木马经常把 c3pool.com、pool.minexmr.com 指向 0.0.0.0

xmrig 配置：挖矿配置一般在 ~/.config/xmrig/config.json，里面能找到矿池地址、钱包地址、CPU 占用等。

2.4 完整清理流程

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48


# 1. 杀进程
ps -ef | grep xmrig | grep -v grep | awk '{print $2}' | xargs kill -9
pkill -9 xmrig

# 2. 解锁
find / -name "*.xmrig*" -exec chattr -i {} \;
find / -path "*/xmrig/*" -exec chattr -R -i {} \;
chattr -R -i /etc/cron.d/
chattr -R -i /etc/cron.daily/
chattr -R -i /var/spool/cron/

# 3. 删文件
rm -rf /usr/local/lib/xmrig
rm -rf /tmp/.xmrig
rm -rf /dev/shm/.xmrig

# 4. 清 cron
# 全局搜索定时任务
find / -name "cron*" -type d

# 看每个 cron 文件内容
for f in /var/spool/cron/* /etc/crontab /etc/cron.d/* /etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/* /etc/cron.weekly/*; do
 echo "=== $f ==="
 cat "$f" 2>/dev/null
done

# 找可疑条目（含 curl / wget / base64 / sh -c 的）
grep -rE "(curl|wget|base64|sh -c)" /var/spool/cron/ /etc/cron.d/ /etc/cron.daily/ /etc/cron.hourly/ 2>/dev/null

# 重启 crond
systemctl restart crond

# 5. 查 SSH 攻击者后门
# 看 authorized_keys
find / -name "authorized_keys" -ls 2>/dev/null
cat ~/.ssh/authorized_keys
# 找陌生的公钥

# 6. 查新增 sudo 用户
awk -F ":" '$3==0{print $1}' /etc/passwd

# 7. 改所有用户密码
passwd root
passwd <其他用户>

# 8. 查进程还在不在
top
ps -ef | grep -E "(xmrig|kdevtmpfsi|minerd)"

2.5 xmrig 自检配置

xmrig 官方有"配置向导"：https://xmrig.com/wizard

不要去生成实际挖矿配置——这个工具只是让你理解挖矿配置长什么样，方便在应急时识别。

三、EDR 终端部署

3.1 简介

EDR（Endpoint Detection and Response）通过 agent 收集主机行为日志，实时检测异常，是现代主机的"安全底座"。

3.2 命令行部署

1
2
3
4
5


wget --no-check-certificate https://<EDR管理平台IP>:4430/download_installer_linux.php \
 -O linux_edr_installer.tar.gz

tar -xzvf linux_edr_installer.tar.gz
./agent_installer.sh -c

端口：默认 4430。

3.3 下载器部署

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 1. 把安装包拷贝到终端
scp linux_edr_installer.tar.gz root@<host>:/tmp/

# 2. 终端解压
cd /tmp
tar -xzvf linux_edr_installer.tar.gz

# 3. 安装
cd /tmp
./agent_installer.sh # 同目录有 manager_info.txt 时
# 或
./agent_installer.sh -f # 强制安装
./agent_installer.sh -h www.mgr.com # 自定义域名
./agent_installer.sh -h www.mgr.com -p 443 -d /root/edr/ -f # 完全自定义

# 4. 验证
./agent_installer.sh --help

1
2


# 4. agent 启动后会自动连接 EDR 管理中心
systemctl status edr-agent

四、OpenVAS / GVM 漏洞扫描

4.1 简介

OpenVAS（Open Vulnerability Assessment Scanner）2017 年改名 GVM（Greenbone Vulnerability Management），是开源漏洞扫描器的事实标准。

特点：

用户界面简单友好
内置测试库，每天更新
扫描目标设备的所有软件版本
匹配漏洞库后直接提示可能的漏洞

4.2 GVM 23.x 时代组件

gvmd —— Manager
gsad —— Web 前端（Greenbone Security Assistant）
openvas / ospd-openvas —— Scanner
notus —— 产品元数据
redis-server —— Scanner 缓存
PostgreSQL —— 元数据库
gvm-tools —— 命令行工具

4.3 安装（Debian/Ubuntu）

1
2
3


apt update
apt install gvm -y
# 依赖：greenbone-security-assistant gsad gvm-tools libmicrohttpd12t64

4.4 初始化

1
2
3
4
5
6
7
8
9


# 初始化（下载漏洞库，时间比较长）
gvm-setup

# 检查安装结果
gvm-check-setup
# 如果检测失败按提示执行修复命令

# GVM 的 Redis 不是开机启动
systemctl enable redis-server@openvas.service

4.5 升级漏洞库

1
2
3
4
5
6
7


# 旧命令（已废弃）
gvm-feed-update
# > This script is now deprecated
# > Please use 'sudo greenbone-feed-sync' instead

# 新命令
sudo greenbone-feed-sync

4.6 启动

1
2


gvm-start
# > GVM services are already running

4.7 修改 admin 密码

1
2
3
4
5
6
7


# 改密码为自定义值
runuser -u _gvm -- gvmd --user=admin --new-password='<your-password>'

# 第一次安装时会有初始化密码输出
# [+] Done
# [*] Please note the password for the admin user
# [*] User created with password '...uuid...'

4.8 创建新用户

1
2


# admin 填要创建的用户名，最后的 password 填密码
runuser -u _gvm -- gvmd --create-user=<username> --new-password='<password>'

4.9 修改 Web UI 监听地址

默认 gsad 只监听 127.0.0.1:9392，要对外暴露：

1
2
3
4
5
6
7
8
9


vim /usr/lib/systemd/system/gsad.service

# 把
# ExecStart=/usr/local/sbin/gsad --foreground --listen=127.0.0.1 --port=9392
# 改为
ExecStart=/usr/local/sbin/gsad --foreground --listen=0.0.0.0 --port=443

sudo systemctl daemon-reload
sudo systemctl restart gsad

4.10 查日志

1

tail -f /var/log/gvm/gvmd.log

4.11 典型 `gvm-check-setup` 输出（23.11）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


gvm-check-setup 23.11.0
 Test completeness and readiness of GVM-23.11.0
Step 1: Checking OpenVAS (Scanner)...
 OK: OpenVAS Scanner is present in version 23.0.1.
 OK: Notus Scanner is present in version 22.6.3.
 OK: Server CA Certificate is present.
 OK: redis-server is present.
 OK: scanner (db_address setting) is configured properly.
 OK: _gvm owns all files in /lib/openvas/plugins.
 OK: NVT collection contains 91760 NVTs.
 OK: The notus directory contains 464 NVTs.
Step 2: Checking GVMD Manager ...
 OK: GVM Manager (gvmd) is present in version 23.5.2.
Step 3: Checking Certificates ...
 OK: GVM client certificate is valid.
 OK: Your GVM certificate infrastructure passed validation.
Step 4: Checking data ...

关键指标：91760 NVTs（漏洞特征库）、464 notus NVTs（产品元数据）是 2024 时代正常范围。GVM 23.5.2 是 2024 上半年的版本。

五、漏扫告警体系建设

5.1 关键指标

指标	含义
CVSS 评分	通用漏洞评分系统，0-10 越高越严重
高危 / 中危 / 低危	业务常用的粗粒度分类
CVE 编号	公开漏洞编号
影响资产	漏洞影响的具体资产范围

5.2 集成方式

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 方式一：GVM 自带的 Web UI
# 浏览器访问 https://<gvm-host>:443
# 登录后：Configuration → Targets → New Target

# 方式二：Python gvm-tools
pip install gvm-tools
gvm-cli --gmp-username admin --gmp-password <password> \
 tls --hostname <gvm-host> --port 443 \
 --xml '<get_tasks/>'

# 方式三：REST API（gmp 22.4+）
# 见 https://greenbone.github.io/docs/

5.3 与企业 SIEM 集成

把 GVM 扫描结果导入 SIEM（Splunk / ELK / QRadar）：

1
2
3
4
5


# 1. GVM 导出 CSV
# Web UI → Reports → Export → CSV

# 2. 用 logstash / filebeat 采集
# 3. 用 SPL / DSL 写告警规则

六、安全基线检查清单（2024 等保 2.0 视角）

检查项	命令 / 工具
操作系统补丁	`uname -r` 比对最新安全公告
特权账号	`awk -F":" '$3==0{print $1}' /etc/passwd`
弱口令	`john --wordlist=pass.txt /etc/shadow`（破解测试）
SSH 安全	`sshd -T
防火墙	`iptables -L -n` / `ufw status`
入侵检测	AIDE / Tripwire / OSSEC
病毒查杀	chkrootkit / rkhunter / clamav
漏洞扫描	GVM / Nessus / Qualys
终端 EDR	部署 EDR agent
日志审计	auditd / rsyslog → SIEM
备份	至少 3-2-1 策略

七、前置知识 / 下一步

想看 chkrootkit / rkhunter / clamav 详细用法 → 翻独立文章
想看 SIEM 集成（ELK / Loki）→ 翻独立文章
想看 GVM 高级配置（任务、报告、调度）→ 翻独立文章
想看 AIDE / Tripwire 主机入侵检测 → 翻独立文章
想看 SELinux / AppArmor 强制访问控制 → 翻独立文章

八、参考资源

GVM 官方文档：https://greenbone.github.io/docs/
Greenbone 社区版（Greenbone CE）：https://greenbone.github.io/docs/greenbone-ce-22.04/
xmrig 官方（仅作识别参考）：https://xmrig.com/wizard
挖矿木马家族（360 报告）：https://www.360.cn/n/11701.html
国家信息安全漏洞库（CNNVD）：http://www.cnnvd.org.cn/
国家信息安全漏洞共享平台（CNVD）：https://www.cnvd.org.cn/
CVE 官方：https://cve.mitre.org/
NVD：https://nvd.nist.gov/
MITRE ATT&CK：https://attack.mitre.org/