Debian on Liangweidong's blog

JDK 自建镜像实战：从 JDK 8 到 JDK 21 的三大流派

Sun, 15 Dec 2024 00:00:00 +0800

在企业里跑 Java 容器，最常见的一条路是 docker pull openjdk:8 然后把 jar 塞进去。但稍微严肃一点的场景——生产环境要可控、要带字体、要带时区、要 wait 启动——都会走向自建 JDK 基础镜像这条路。这篇把 5 年间从 JDK 8u333 一直到 JDK 21 的演进整理一遍，把踩过的坑一次说清楚。

阅读对象：需要维护 Java 应用基础镜像的运维 / 后端工程师 覆盖范围：JDK 8u333 / 8u351 / 8u371 / 8u381 / 8u401（Alpine）/ JDK 21 + Debian / Ubuntu / Alpine 三大基础镜像流派 + wait-for-it 启动 + 中文乱码 + 字体 + 时区 + TLS 1.0/1.1 兼容

一、为什么需要自建 JDK 基础镜像

官方 openjdk 镜像有两个"够用但不舒服"的地方：

时区不是上海：容器里 date 永远差 8 小时，日志时间戳对不上排查窗口特别痛苦
没有字体：用到图形验证码、PDF 导出、POI 操作 Excel 的应用，直接 OOM 崩溃
没有 wait.sh：微服务启动顺序错乱，A 服务没等 B 服务的注册中心起来就启动
没有 tzdata / curl / iputils-ping 等常用工具：调试时 ping / nslookup 找不到，只能 exec 进去手动装

自建基础镜像的本质是：把这些"跑生产迟早要的东西"预先 bake 进去，业务镜像只关心应用本身。

When to use：

一个团队有 ≥ 3 个 Java 微服务需要部署 → 必须自建 JDK 基础镜像

公司内部有"安全合规"要求，必须用某特定 JDK 版本 / 特定 OS → 自建

单个临时 demo → 没必要，openjdk:8-jre-slim 凑合用

二、Debian 流派：JDK 8u371 / 8u381

Debian 11 是 JDK 8 / 11 时代最稳的基础镜像——包管理 apt 完善、镜像体积可控、对 glibc 应用兼容好。

2.1 基础 Dockerfile

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


FROM debian:11.8
LABEL maintainer="ops@example.com"
WORKDIR /
RUN mkdir /usr/local/jdk && chmod 777 /usr/local/jdk
ADD jdk-8u381-linux-x64.tar.gz /usr/local/jdk
ENV JAVA_HOME /usr/local/jdk/jdk1.8.0_381
ENV CLASSPATH=$JAVA_HOME/bin:$JAVA_HOME/lib:$JAVA_HOME/jre/lib
ENV PATH=.:$JAVA_HOME/bin:$JAVA_HOME/jre/bin:$PATH
ENV LANG C.UTF-8
ENV TZ=Asia/Shanghai DEBIAN_FRONTEND=noninteractive
RUN ln -fs /usr/share/zoneinfo/${TZ} /etc/localtime \
 && echo ${TZ} > /etc/timezone \
 && dpkg-reconfigure --frontend noninteractive tzdata \
 && rm -rf /var/lib/apt/lists/*

关键点：

LABEL maintainer 用部门邮箱而非个人邮箱，避免人员流动留下旧地址
ENV LANG C.UTF-8 解决Java 应用中文乱码最常见原因
dpkg-reconfigure tzdata 让 java.util.Date 也走上海时区（不是只改了 /etc/localtime）
末尾 rm -rf /var/lib/apt/lists/* 必须保留，否则镜像会大 100MB+

2.2 镜像版本演进

实战中一个 JDK 8u381 基础镜像可能要经过 5~6 次迭代：

Tag	增加的能力	触发场景
`8u381`	基础 JDK + 时区	第一次发版
`8u381-2`	+ 中文字体（fontconfig）	应用导出 PDF 报错
`8u381-3`	+ `dmidecode`	arthas / sigar 读硬件信息
`8u381-4`	+ TLS 1.0 / 1.1 启用	接入老客户的 HTTPS 服务
`8u381-5`	合并 -3 和 -4 全部能力	版本归一
`8u381-6`	+ skywalking agent + arthas-boot.jar	接入分布式追踪
`8u381-7`	+ 第三方 SDK（硬盘录像机 .so）	视频监控项目
`8u381-8`	+ mysqldump / mysql 客户端	容器内做 DB 备份

经验法则：每加一个能力就 +1 版本号，永远不要覆盖旧 tag——历史容器用的就是旧镜像，回头调试时还能拉下来。

2.3 时区必须做两件事

只改 /etc/localtime 不够。完整做法：

1
2
3
4
5
6


# 1. 软链时区文件
ln -fs /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
# 2. 写 timezone 文件（apt 工具会读这个）
echo "Asia/Shanghai" > /etc/timezone
# 3. 让 glibc 知道
dpkg-reconfigure --frontend noninteractive tzdata

第 3 步会更新 /etc/localtime 并设置内部状态。不执行第 3 步时 date 命令对，new Date() 错——Java 用的是 glibc 内部状态。

2.4 wait-for-it：解决启动顺序

微服务 xjAuth 依赖 nacos 先启动，直接 depends_on 没用——Docker 只控制启动顺序，不等待端口。

引入 wait.sh（基于 wait-for-it.sh）：

1
2
3
4


docker run -d --name xjAuth \
 --network_mode: "host" \
 <your-public-ip>:13001/base/lwd/jdk:8u381 \
 /wait.sh localhost:8848 -t 0 -- java -jar /jar/xjrsoft-auth.jar

wait.sh 会先阻塞直到 localhost:8848 可达，再 exec 真正启动命令。-t 0 表示无限等待（生产推荐，避免临时网络抖动让容器直接退出）。

实战日志：

1
2


wait.sh: waiting for localhost:8848 without a timeout
wait.sh: localhost:8848 is available after 23 seconds

三、Ubuntu 流派：JDK 8u333 / 8u351

Ubuntu 适合老系统延续——ubuntu:22.10 / 22.04 都有官方仓库支持。

1
2
3
4
5
6
7
8


FROM ubuntu:22.10
MAINTAINER ops@example.com
WORKDIR ./usr/local
RUN mkdir jdk && chmod 777 /usr/local/jdk
ADD jdk-8u351-linux-x64.tar.gz /usr/local/jdk
ENV JAVA_HOME /usr/local/jdk/jdk1.8.0_351
ENV CLASSPATH=$JAVA_HOME/bin:$JAVA_HOME/lib:$JAVA_HOME/jre/lib
ENV PATH=.:$JAVA_HOME/bin:$JAVA_HOME/jre/bin:$PATH

注意：Ubuntu 基础镜像默认没有 ca-certificates——HTTPS 请求会报 x509: certificate signed by unknown authority。要么 apt install -y ca-certificates，要么用 wget --no-check-certificate（不推荐）。

四、Alpine 流派：JDK 8u401（极致小）

Alpine 用 musl libc 而非 glibc，镜像只有 5MB 级别——但 JDK 跑在 Alpine 上要绕开 glibc 依赖。

4.1 坑：Alpine 自带 musl，Java 跑不动

解决方案：装 sgerrand/alpine-pkg-glibc 包。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28


FROM alpine:v3.19.1
LABEL author="ops"
WORKDIR /opt
# 1. 换 Alpine 源到清华
RUN sed -i 's/dl-cdn.alpinelinux.org/mirrors.tuna.tsinghua.edu.cn/g' /etc/apk/repositories
RUN apk update && apk upgrade
# 2. 装 ca-certificates
RUN apk --no-cache --upgrade add ca-certificates
# 3. 装 glibc（关键！）
ADD sgerrand.rsa.pub /etc/apk/keys/sgerrand.rsa.pub
COPY glibc-2.35-r1.apk glibc-bin-2.35-r1.apk glibc-dev-2.35-r1.apk glibc-i18n-2.35-r1.apk /opt/
RUN apk add --no-cache --force-overwrite glibc-2.35-r1.apk \
 glibc-bin-2.35-r1.apk glibc-dev-2.35-r1.apk glibc-i18n-2.35-r1.apk \
 && rm -f glibc-*.apk
# 4. 装时区数据
RUN apk add --no-cache tzdata && cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
# 5. 装中文字体（alpine 3.15+ 必需，否则图形验证码 OOM）
RUN apk add --no-cache fontconfig
# 6. 解压 JDK
ADD jdk-8u401-linux-x64.tar.gz /opt
# 7. 环境变量
ENV JAVA_HOME=/opt/jdk1.8.0_401
ENV JRE_HOME=/opt/jdk1.8.0_401/jre
ENV CLASS_PATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOME/lib
ENV PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin
# 8. 软链 ld-linux 解决库文件报错
RUN ln -sf /usr/glibc-compat/lib/ld-linux-x86-64.so.2 /lib64/ld-linux-x86-64.so.2
CMD ["java", "-version"]

4.2 镜像大小对比

基础镜像	JDK 8u401 后大小
`debian:11.8` + JDK 8u381	~ 800 MB
`ubuntu:22.10` + JDK 8u351	~ 750 MB
`alpine:v3.19.1` + JDK 8u401 + glibc	~ 350 MB

Alpine 省了一半体积，冷启动时间和拉取速度都更友好——但 apk add 包要慎重（musl 与 glibc 二进制不兼容）。

五、JDK 21：新时代的开端

JDK 21 是 LTS（2023-09 发布，支持到 2031 年），如果新项目可以直接上 21。

5.1 Liberica JDK 21 Dockerfile

Liberica 是 BellSoft 出品的 OpenJDK 发行版，支持 alpine 和 glibc 两种打包，省心：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


FROM debian:12.12
LABEL maintainer="ops@example.com"
LABEL description="Debian 12.12 + BellSoft Liberica JDK 21"

RUN mkdir /usr/local/jdk && chmod 755 /usr/local/jdk
ADD bellsoft-jdk21.0.5+11-linux-amd64-full.tar.gz /usr/local/jdk
ENV JAVA_HOME /usr/local/jdk/jdk-21.0.5-full
ENV PATH=$JAVA_HOME/bin:$PATH:.
ENV LANG C.UTF-8
ENV TZ=Asia/Shanghai DEBIAN_FRONTEND=noninteractive

RUN sed -i 's|URIs: http://deb.debian.org/debian|URIs: http://mirrors.ustc.edu.cn/debian|g' /etc/apt/sources.list.d/debian.sources \
 && apt clean \
 && apt update \
 && apt install -y --no-install-recommends fontconfig \
 && ln -snf /usr/share/zoneinfo/${TZ} /etc/localtime \
 && echo ${TZ} > /etc/timezone \
 && fc-cache -fv \
 && rm -rf /var/lib/apt/lists/* \
 && java -version && javac -version

WORKDIR /app

5.2 JDK 21 的 Virtual Thread

JDK 21 的最大亮点是 Virtual Thread（虚拟线程，JEP 444）——轻量级线程，百万级并发不再是梦想：

1
2
3
4
5
6
7


// 旧写法：平台线程
Thread.startVirtualThread(() -> {
 handleRequest(request);
});

// Spring Boot 3.2+ 自动集成
spring.threads.virtual.enabled=true

实战效果：同等 QPS 下，线程数从 200 降到 50，P99 延迟下降 30%。这是 JDK 21 值得升级的核心动力。

六、典型坑位

6.1 中文乱码三连击

症状：Java 应用读 CSV 出现 ???、写 MySQL 中文 ?、导出 PDF □。

排查顺序：

1
2
3
4
5
6
7
8


# 1. 看 locale
docker exec -it app locale
# 期望：C C.UTF-8 POSIX en_US.utf8
# 2. 看 JDK 编码
docker exec -it app java -XshowSettings:properties -version 2>&1 | grep encoding
# 期望：file.encoding = UTF-8
# 3. 看 MySQL 客户端字符集
docker exec -it app locale -a | grep -i utf

根治方案：

Dockerfile 加 ENV LANG C.UTF-8
JVM 参数加 -Dfile.encoding=UTF-8 -Dsun.jnu.encoding=UTF-8
MySQL 连接串加 useUnicode=true&characterEncoding=UTF-8

6.2 TLS 1.0 / 1.1 兼容

症状：对接老客户的 HTTPS 接口报 SSLHandshakeException。

原因：JDK 8u381 默认 jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, ...，TLS 1.0/1.1 被禁用。

修复：

1
2
3
4
5
6


vim $JAVA_HOME/jre/lib/security/java.security
# 找到 jdk.tls.disabledAlgorithms
# 删掉 TLSv1, TLSv1.1
jdk.tls.disabledAlgorithms=SSLv3, RC4, DES, MD5withRSA, \
 DH keySize < 1024, EC keySize < 224, anon, NULL, \
 include jdk.disabled.namedCurves

注意：TLS 1.0/1.1 已不安全，只在必须对接老客户时开。新项目应该让客户升级到 TLS 1.2+。

6.3 容器内 `ping` / `ip` 找不到

Debian 镜像默认最小化，连 ping 都没有：

1

RUN apt install -y iputils-ping iproute2 dnsutils curl wget

七、Jenkins Agent 镜像

CI/CD 场景需要 JNLP 客户端连 Jenkins Master：

1
2
3
4
5


FROM dockerhub.example.com/base/jenkins/inbound-agent:latest-jdk21
USER root
COPY jenkins /usr/local/bin/jenkins
RUN chmod +x /usr/local/bin/jenkins
USER jenkins

配套 Jenkinsfile：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28


pipeline {
 agent {
 kubernetes {
 cloud 'k8s'
 inheritFrom 'jnlp-slave'
 namespace 'kube-ops'
 }
 }
 environment {
 time_now = createVersion()
 }
 tools {
 jdk 'jdk1.8'
 maven 'maven3.9.6'
 }
 stages {
 stage("get releaseHost") {
 steps {
 script {
 sh 'jenkins -h'
 }
 }
 }
 }
}
def createVersion() {
 return new Date().format("yyyy-MM-dd'T'HH-mm-ss", TimeZone.getTimeZone("Asia/Shanghai")) + "_${env.BUILD_ID}"
}

八、镜像分发：自建 vs Docker Hub

方案	适用场景	优缺点
自建 Harbor	企业内网 / 等保合规	速度快、可扫描 CVE、可审计；但要维护 Harbor
Docker Hub 私有仓库	小团队 / 个人	零运维；但国内拉取慢、可能泄露
阿里云容器镜像 ACR	国内企业	国内快、便宜；但要绑定阿里云账号

生产推荐：Harbor + 跨地域复制。构建在 北方节点，自动同步到 华东 / 华南 / 华北 三个 Harbor。

九、构建与分发完整命令

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# 1. 构建
docker build -f Dockerfile -t dockerhub.example.com/base/lwd/jdk:8u381-2 .

# 2. 验证
docker run --rm dockerhub.example.com/base/lwd/jdk:8u381-2 java -version
docker run --rm dockerhub.example.com/base/lwd/jdk:8u381-2 date

# 3. 推 Harbor
docker login -u admin -p {{REDACTED}} dockerhub.example.com
docker push dockerhub.example.com/base/lwd/jdk:8u381-2

# 4. 离线分发（内网或保密环境）
docker save dockerhub.example.com/base/lwd/jdk:8u381-2 > jdk8u381-2.tar
docker load < jdk8u381-2.tar

十、最佳实践清单

版本号带具体 patch 号：8u381 而非 8，便于回溯
基础镜像锁版本：debian:11.8 而非 debian:latest，避免某天突然构建失败
时区三步走：软链 + timezone 文件 + dpkg-reconfigure
wait 脚本必装：微服务架构 90% 的"启动失败"都是顺序问题
字体必装：Alpine 3.15+、Debian 12+ 都需要 apt install fontconfig
TLS 兼容性单独 tag：避免一个基础镜像同时承担新客户和老客户的兼容要求
MySQL 客户端单独 tag：不是所有 Java 应用都需要它，按需装

2024+ 视角补充

本文写于 2024-12，2025-2026 期间 JDK 自建镜像关键演进：

JDK 21 / 25 主流化：JDK 25（2025-09 发布）已成为新 LTS（支持到 2033+）——2025+ 新项目强烈推荐 JDK 25
JDK 8u421+ / 8u431+ 维护更新：Oracle 仍给付费用户提供 JDK 8 季度更新；开源社区转向 Eclipse Temurin 8u432+（2025+ 仍维护）
Eclipse Temurin 17 / 21 / 25：2024-2026 容器首选——多平台 + LTS 支持 + 商业保障
BellSoft Liberica JDK 21+：Alpine / glibc / CRaC 三种打包——云原生首选
GraalVM JDK 21+：AOT 编译 + Native Image + Truffle 多语言——Serverless 首选
Azul Zulu Prime 17 / 21：C4 Pauseless GC（亚毫秒 GC）——金融 / 电信级延迟敏感
Amazon Corretto 21+：AWS 维护，生产级 LTS——AWS 用户首选
**多架构构建（ARM64 + AMD64）**已成 2024+ 标准
CRaC（Coordinated Restore at Checkpoint）：JDK 17 / 21 实验特性，JVM 启动 < 10ms
JLink 定制 JRE：Spring Boot 3.x + JLink 50MB 级别镜像

实战建议（2025-2026 视角）：

新项目 → JDK 21 LTS / 25 LTS + Eclipse Temurin 或 BellSoft Liberica
Serverless / 冷启动 → GraalVM Native Image 或 CRaC
金融 / 电信级延迟 → Azul Zulu Prime 21
AWS 环境 → Amazon Corretto 21
多架构 → docker buildx linux/amd64 + linux/arm64

下一步

想看 Nginx 自建镜像（前端静态 / 反向代理 / WebSocket / TCP UDP）→ Nginx 自建镜像实战
想看 Go 自建最小镜像（scratch 5MB 级别）→ Go 自建最小镜像
想看 Java 应用 Docker 化（Tomcat / Spring Boot 打包 + HTTPS 证书）→ Java 应用 Docker 化

Debian 家族发行版全指南：Debian 9/10/11 装机、换源、桌面、root 账号与常用配置

Thu, 15 Jun 2017 00:00:00 +0800

一、为什么是 2017 年这一份

2017 年这个时间点是 Debian 的一个关键节点：

Debian 9 (stretch) —— 2017-06-17 发布，是 2017-2019 的稳定主力
Debian 10 (buster) —— 2019-07-06 发布，开始向新默认过渡
Debian 11 (bullseye) —— 2021-08-14 发布，进入新 LTS 时代

这一篇**覆盖 Debian 家族（不含 Ubuntu 子系，单独成文）**的装机、换源、桌面、root 账号、常用配置——一个完整的"Debian 全家桶"指南。

阅读建议：本文按"先看版本 → 选对应章节"组织。Debian 9 装在 2017、Debian 10 装在 2019、Debian 11 装在 2021，版本号和实际部署时间匹配。换源部分同时给 USTC、清华、阿里云三个国内镜像。

二、Debian 通用装机流程

2.1 修改密码 / 退出登录

1
2
3


passwd # 修改当前用户密码
exit # 退出登录
logout # 同 exit

2.2 切换 root 账号

Debian 安装时 root 密码默认未启用（Ubuntu 也是）。要给 root 设密码：

1
2
3
4


sudo passwd root
# 输入 sudo 用户的密码
# 输入新 root 密码
# 确认 root 密码

2.3 允许 root 登录 GNOME

如果是 desktop 安装，root 默认不能登录 GDM。要改两处：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


# 1. 改 GDM 配置
vim /etc/gdm3/daemon.conf
# [security]
# AllowRoot = true

# 2. 注释掉 PAM 限制
vim /etc/pam.d/gdm-password
# 注释这行
# auth required pam_succeed_if.so user != root quiet_success

# 3. 允许 root SSH
vim /etc/ssh/sshd_config
# PermitRootLogin yes

# 4. 重启 SSH
systemctl restart sshd

2.4 挂载 CD 驱动（安装 VMware Tools）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21


# 1. 切换 root
su

# 2. 挂载 CD
mkdir -p /mnt/cdrom
mount -t auto /dev/cdrom /mnt/cdrom
ls -l /mnt/cdrom

# 3. 解压 VMware Tools
cd /home
tar zxpf /mnt/cdrom/VMwareTools-x.x.x-yyyy.tar.gz
umount /dev/cdrom
cd vmware-tools-distrib
sudo ./vmware-install.pl

# 4. 清理
rm /tmp/VMwareTools-version.tar.gz
rm -rf /tmp/vmware-tools-distrib

# 5. Debian 9+ 直接装 open-vm-tools
apt-get install open-vm-tools

三、Debian 9 (stretch) —— 2017-06-17 发布

Debian 9 代号 stretch，是 2017-2019 的稳定主力。

3.1 换源：USTC / 清华

1
2
3
4


sudo sed -i 's/deb.debian.org/mirrors.ustc.edu.cn/g' /etc/apt/sources.list
sudo sed -i 's|security.debian.org/debian-security|mirrors.ustc.edu.cn/debian-security|g' /etc/apt/sources.list

sudo apt-get update

或者直接编辑 /etc/apt/sources.list：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


deb https://mirrors.ustc.edu.cn/debian/ stretch main contrib non-free
deb-src https://mirrors.ustc.edu.cn/debian/ stretch main contrib non-free

deb https://mirrors.ustc.edu.cn/debian/ stretch-updates main contrib non-free
deb-src https://mirrors.ustc.edu.cn/debian/ stretch-updates main contrib non-free

deb https://mirrors.ustc.edu.cn/debian/ stretch-backports main contrib non-free
deb-src https://mirrors.ustc.edu.cn/debian/ stretch-backports main contrib non-free

deb https://mirrors.ustc.edu.cn/debian-security/ stretch/updates main contrib non-free
deb-src https://mirrors.ustc.edu.cn/debian-security/ stretch/updates main contrib non-free

清华源（同样可替换）：

1
2
3
4


deb https://mirrors.tuna.tsinghua.edu.cn/debian/ stretch main contrib non-free
deb https://mirrors.tuna.tsinghua.edu.cn/debian/ stretch-updates main contrib non-free
deb https://mirrors.tuna.tsinghua.edu.cn/debian/ stretch-backports main contrib non-free
deb https://mirrors.tuna.tsinghua.edu.cn/debian-security stretch/updates main contrib non-free

3.2 报错：NO_PUBKEY

1
2
3


W: GPG error: https://mirrors.ustc.edu.cn/debian stretch-backports InRelease: 
The following signatures couldn't be verified because the public key is not available: 
NO_PUBKEY 648ACFD622F3D138 NO_PUBKEY 0E98404D386FA1D9

解决：

1
2
3


dpkg --force-depends -P debian-archive-keyring
apt --fix-broken install
apt-get update

3.3 自定义终端快捷键

GNOME 默认没有 Ctrl+Alt+T 打开终端。手动加：

鼠标右击 → 设置 → 设备 → 键盘 → 自定义快捷键 → 添加
名称：Terminal
命令：gnome-terminal
单击"编辑"，按 Ctrl+Alt+T

3.4 解决"插入光盘"提示

安装完系统后 apt update 经常弹"插入光盘"提示。原因是 /etc/apt/sources.list 里还留着 cdrom 行：

1
2


vim /etc/apt/sources.list
# 注释掉 deb cdrom:... 这一行

3.5 安装 Docker

1
2
3
4
5


curl -sSL https://get.docker.com/ | sh
systemctl status docker
systemctl enable docker
systemctl start docker
docker info

3.6 安装 docker-compose

1
2
3
4


curl -L "https://github.com/docker/compose/releases/download/v2.2.3/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose
docker-compose --version

四、Debian 10 (buster) —— 2019-07-06 发布

4.1 换源：USTC

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


vim /etc/apt/sources.list

deb https://mirrors.ustc.edu.cn/debian/ buster main contrib non-free
deb https://mirrors.ustc.edu.cn/debian/ buster-updates main contrib non-free
deb https://mirrors.ustc.edu.cn/debian/ buster-backports main contrib non-free
deb https://mirrors.ustc.edu.cn/debian-security/ buster/updates main contrib non-free

deb-src https://mirrors.ustc.edu.cn/debian/ buster main contrib non-free
deb-src https://mirrors.ustc.edu.cn/debian/ buster-updates main contrib non-free
deb-src https://mirrors.ustc.edu.cn/debian/ buster-backports main contrib non-free
deb-src https://mirrors.ustc.edu.cn/debian-security/ buster/updates main contrib non-free

apt-get update

五、Debian 11 (bullseye) —— 2021-08-14 发布

5.1 换源

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


# 方法一：sed 一行替换
sed -i "s@http://\(deb\|security\).debian.org@https://mirrors.tuna.tsinghua.edu.cn@g" /etc/apt/sources.list

# 备份
mv /etc/apt/sources.list /etc/apt/sources.listbak

# https 源需要安装
apt install apt-transport-https ca-certificates

# 完整 sources.list
cat <<"EOF" >/etc/apt/sources.list
deb http://mirrors.ustc.edu.cn/debian bullseye main
deb-src http://mirrors.ustc.edu.cn/debian bullseye main
deb http://mirrors.ustc.edu.cn/debian-security/ bullseye-security main
deb-src http://mirrors.ustc.edu.cn/debian-security/ bullseye-security main
deb http://mirrors.ustc.edu.cn/debian bullseye-updates main
deb-src http://mirrors.ustc.edu.cn/debian bullseye-updates main
EOF

5.2 阿里云源（云上 ECS 常用）

1
2


sudo sed -i 's/deb.debian.org/mirrors.ustc.edu.cn/g' /etc/apt/sources.list
sudo sed -i 's/mirrors.cloud.aliyuncs.com/mirrors.aliyun.com/g' /etc/apt/sources.list

阿里云镜像：mirrors.cloud.aliyuncs.com 是阿里云内网域名，ECS 上用最快；mirrors.aliyun.com 是公网域名。

六、装桌面 / 输入法 / 显卡

6.1 安装 oh-my-zsh

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29


# 安装 zsh
apt install zsh
chsh -s /bin/zsh
# 重新登录

# 安装 oh-my-zsh
sh -c "$(curl -fsSL https://raw.github.com/robbyrussell/oh-my-zsh/master/tools/install.sh)"

# 主题推荐
# ll ~/.oh-my-zsh/themes
vim ~/.zshrc
# ZSH_THEME="robbyrussell"
# 改为
# ZSH_THEME="bira"

# 插件：自动提示 + 语法高亮
git clone https://github.com/zsh-users/zsh-autosuggestions \
 ${ZSH_CUSTOM:-~/.oh-my-zsh/custom}/plugins/zsh-autosuggestions
git clone https://github.com/zsh-users/zsh-syntax-highlighting.git \
 ${ZSH_CUSTOM:-~/.oh-my-zsh/custom}/plugins/zsh-syntax-highlighting

vim ~/.zshrc
plugins=(
 git
 zsh-autosuggestions
 zsh-syntax-highlighting
)

source ~/.zshrc

6.2 显卡驱动

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27


# 升级系统
sudo apt update && sudo apt upgrade -y

# 禁用开源驱动 Nouveau
sudo vim /etc/modprobe.d/blacklist.conf
# blacklist nouveau
# options nouveau modeset=0
sudo update-initramfs -u
sudo reboot

# 验证禁用成功
lsmod | grep nouveau

# 卸载旧驱动（如有）
sudo apt purge nvidia-*
sudo apt autoremove

# 安装 NVIDIA 驱动
sudo add-apt-repository ppa:graphics-drivers/ppa
sudo apt update
ubuntu-drivers devices
# 选带 "recommended" 的版本
sudo apt install -y nvidia-driver-580
sudo reboot

# 验证
nvidia-smi

内核升级后驱动失效：

1
2
3


sudo apt install --reinstall nvidia-driver-580
# 或
sudo apt install build-essential linux-headers-$(uname -r)

完成安装后谨慎 sudo apt upgrade：可能因内核更新导致驱动失效。

七、磁盘操作

1
2
3
4
5
6


# 磁盘占用
df -h
df -lh

# 查系统版本
cat /etc/os-release

八、查路由 / 网卡

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 查路由
netstat -rn
ip route

# 查网卡
ifconfig
ip a

# 清空当前路由
ip route flush dev eth0

九、网卡配置（Debian 9/10）

1

vim /etc/network/interfaces

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*

# 环回口
auto lo
iface lo inet loopback

# DHCP
auto eth0
iface eth0 inet dhcp

# 静态 IP
auto eth0
iface eth0 inet static
address 192.168.1.122
netmask 255.255.255.0
gateway 192.168.1.2

1
2
3
4


# 重启
/etc/init.d/networking restart
# 或
systemctl restart networking

十、DNS 配置

1
2
3
4
5
6
7


# 临时
cat /etc/resolv.conf
# nameserver 8.8.8.8
# nameserver 114.114.114.114

# 永久
sudo apt install resolvconf

十一、前置知识 / 下一步

想看 Ubuntu 22.04 / 24.04 装机流程（netplan）→ 翻本系列《Ubuntu 发行版实战》
想看 LVM 扩容/缩容 → 翻本系列《Linux 磁盘与 LVM 深度实践》
想看 SSH 公私钥免密登录 → 翻本系列《Linux 远程登录与安全实践》
想看 Deepin 桌面 / Wine 兼容 → 翻本系列《Deepin 与 Kali 发行版实战》

十二、参考资源

Debian 官方发行说明：https://www.debian.org/releases/
Debian 镜像列表（USTC）：https://mirrors.ustc.edu.cn/debian/
Debian 镜像列表（清华）：https://mirrors.tuna.tsinghua.edu.cn/debian/
Debian 镜像列表（阿里云）：https://developer.aliyun.com/mirror/debian
Debian 管理员手册：https://debian-handbook.info/

2024 视角：Debian 12 (Bookworm) 已是 2024 主流，13 (Trixie) 进入测试

2017 那篇覆盖 Debian 9/10/11。2024 视角下，Debian 12 (Bookworm)（2023-06 发布）已稳定，Debian 13 (Trixie) 进入 testing 阶段。

一、Debian 12 (Bookworm) 装机要点

Debian 12.6（2024-09 最新）—— Linux 6.1 LTS + GCC 12.2 + Glibc 2.36 + systemd 252。
新增：
- APT 仓库格式：从 .list 改成 .sources（DEB822 格式）
- Multi-arch 改进：libc6:amd64 + libc6:i386 并存更稳
- needrestart 自动检测服务需要重启的库

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# /etc/apt/sources.list → 改成 .sources 格式
cat << "EOF" > /etc/apt/sources.list.d/debian.sources
Types: deb
URIs: https://mirrors.tuna.tsinghua.edu.cn/debian
Suites: bookworm bookworm-updates
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

Types: deb
URIs: https://mirrors.tuna.tsinghua.edu.cn/debian-security
Suites: bookworm-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
EOF

二、Debian 12 的"开箱即用"变化

NetworkManager 取代 ifupdown（默认启用）：

1
2
3


nmcli device status
nmcli connection show
nmcli connection up "Wired connection 1"

systemd-resolved 是默认 DNS 客户端：

1
2
3


cat /etc/systemd/resolved.conf
# DNS=1.1.1.1
# FallbackDNS=8.8.8.8

Python 3.11 默认（不是 3.9）。
OpenSSH 9.2+：默认禁用 DSA / ECDSA（只接受 ed25519 / rsa-sha2-256）。
/usr/sbin/policy-rc.d 仍然管用（apt 装包时不自动启动服务）。

三、Debian 13 (Trixie) 2024 状态

Debian 13 “Trixie”（2024 进入 testing，预计 2025 年中 GA）：
- Linux 6.10 内核
- GCC 14、Glibc 2.40
- Python 3.12、systemd 256+
- Wayland 默认（X11 退场）

1
2
3


# 2024 测 Debian 13 (testing)
cat /etc/apt/sources.list
deb https://mirrors.tuna.tsinghua.edu.cn/debian/ trixie main contrib non-free non-free-firmware

四、Debian 12 的"装机后"必做

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 1. 换源
apt install -y curl wget vim
# 改 /etc/apt/sources.list 为国内源

# 2. 装常用工具
apt install -y net-tools lsof p7zip p7zip-full git zsh neofetch

# 3. 配置时区
timedatectl set-timezone Asia/Shanghai

# 4. 启用 root SSH
sed -i 's/#PermitRootLogin.*/PermitRootLogin prohibit-password/' /etc/ssh/sshd_config
systemctl restart sshd

# 5. 配置自动更新（可选）
apt install -y unattended-upgrades
dpkg-reconfigure -plow unattended-upgrades

五、Debian 桌面环境 2024 选择

GNOME 43（Debian 12 默认）：Wayland 默认。
KDE Plasma 5.27（Debian 12）：稳定。
XFCE 4.18：轻量。
Cinnamon 5.6：Linux Mint 同款。
LXQt 1.2：超轻量。

1
2
3
4


# Debian 12 装 KDE
apt install -y kde-plasma-desktop sddm
systemctl set-default graphical.target
systemctl start sddm

六、Debian 12 装 Docker / K8s

1
2
3
4
5
6
7


# 2024 装 Docker（用 Docker 官方源，不用 Debian 仓库）
apt install -y ca-certificates curl gnupg
install -m 0755 -d /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/debian/gpg | gpg --dearmor -o /etc/apt/keyrings/docker.gpg
echo "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/debian bookworm stable" > /etc/apt/sources.list.d/docker.list
apt update
apt install -y docker-ce docker-ce-cli containerd.io docker-compose-plugin

Debian 12 装 K8s 1.30+（2024）：

1
2
3
4
5


curl -fsSL https://pkgs.k8s.io/core:/stable:/v1.30/deb/Release.key | gpg --dearmor -o /etc/apt/keyrings/kubernetes-apt-keyring.gpg
echo "deb [signed-by=/etc/apt/keyrings/kubernetes-apt-keyring.gpg] https://pkgs.k8s.io/core:/stable:/v1.30/deb/ /" > /etc/apt/sources.list.d/kubernetes.list
apt update
apt install -y kubelet kubeadm kubectl
apt-mark hold kubelet kubeadm kubectl

七、Debian 在云时代的"角色"

2024 容器基础镜像首选：debian:bookworm-slim（~ 75MB）。
2024 大量云项目用 Debian 作为容器基础（比 Ubuntu LTS 更稳定）。
Debian 12 衍生：
- Ubuntu 24.04 LTS（Debian 12 + Canonical 定制）
- Raspberry Pi OS（基于 Debian 12）
- Devuan（无 systemd 的 Debian 衍生版）
- Kali Linux 2024.2（Debian 12 + 渗透测试工具）

八、`backports` 仓库 2024 现状

Debian 12 backports（bookworm-backports）2024 仍在维护：
- 给生产系统装较新版本而不破坏稳定版

1
2
3
4


# 装新版 vim（从 backports）
echo "deb https://mirrors.tuna.tsinghua.edu.cn/debian/ bookworm-backports main contrib non-free" > /etc/apt/sources.list.d/backports.list
apt update
apt install -y -t bookworm-backports vim

九、Debian 的"长期支持"路线

Debian 11 (Bullseye)：LTS 到 2026-08（由 Debian LTS 团队 + Freexian 维护）。
Debian 12 (Bookworm)：LTS 到 2028-06。
Debian 13 (Trixie)：预计 2030 年中进入 LTS。

Debian 的 LTS 是"社区支持的"——不是 Red Hat 那种"商业付费支持"。

十、Debian 装机常见 2024 坑

/etc/resolv.conf 是软链接到 /run/systemd/resolve/stub-resolv.conf（不要手动改）。
NetworkManager 跟 ifupdown 冲突——新装用 NetworkManager。
systemd-resolved 是默认 DNS 客户端——改 /etc/systemd/resolved.conf 才生效。
GRUB 默认装在第一块盘——/dev/sda / /dev/nvme0n1。
UEFI + Secure Boot 装机时会自动签 kernel（不需要 mokutil）。

Linux 发行版生态：从 Debian 到 Kali 的家族图谱与个人选型

Fri, 15 Mar 2013 00:00:00 +0800

一、为什么是 2013 年这一份

2013 年这个时间点其实挺关键：

Ubuntu 13.04（Raring Ringtail）即将发布，Unity 还在主线上
CentOS 6.4 是企业生产环境绝对主流，CentOS 7 还要等到 2014-07
Arch Linux 滚动更新已是稳定派系代表
Fedora 18（Spherical Cow）刚发布
Kali 1.0 还没影（Kali 1.0.0 是 2013-03-13 刚发布）

这一篇只整理发行版家族血缘与官方源，不展开具体安装和使用——这些细节在后续的 Debian / Ubuntu / Deepin / Kali 几篇里都有。

阅读建议：本文是"地图"，不是"攻略"。先收藏，遇到具体发行版再翻对应文章。

二、Linux 发行版全景图

下面这张表把 2013 年能见到的几大派系按血缘收拢。重点关注父系 → 子系的继承关系，以及"发行版代号"是社区行为还是商业行为。

2.1 Debian 系：稳定、保守、衍生最多

Debian 是 Linux 发行版界的"祖宗之一"，1993 年由 Ian Murdock 启动。Debian 的特点是严谨、稳定、APT 包管理，并且没有任何商业公司主导。这让它成为后面无数发行版的底座。

派系	代表项目	官网	备注
Debian 本家	Debian	https://www.debian.org	“精简、稳定、发行周期长”，到 2013 年 5 月已经发布 7.0 (wheezy)
安全/取证	Kali	https://www.kali.org	设计用于数字鉴证和渗透测试，滚动更新（后来才改成滚动，2013-03 的 Kali 1.0 仍是基于 Debian 7 的固定版本）
大众桌面	Ubuntu	https://ubuntu.com	Canonical 公司主导，2013 年已是最受欢迎的桌面 Linux
↳ 子系	Linux Mint	https://www.linuxmint.com	“免费开源、现代、优雅”，基于 Ubuntu
↳ 子系	Zorin OS	https://zorinos.com	模仿 Windows 操作习惯，方便从 Windows 迁移
↳ 子系	Pop!_OS	https://pop.system76.com	电脑制造商 System76 推出（2017 才发布，2013 时还没有）
↳ 子系	elementary OS	https://elementary.io	仿 macOS 视觉风格（2013 还没发布，2017 才有正式版）
↳ 子系	KDE neon	—	基于 Qt 的开发环境（2016 才发布）

关于表格中部分子系：Pop!_OS、elementary OS、KDE neon 在 2013 年时还不存在。本文把它们列出来是为了给"Debian → Ubuntu → 桌面衍生"这条血脉做个全图，免得几年后回看一脸懵。

2.2 Arch 系：滚动发布、贴近上游

派系	代表项目	官网	备注
Arch 本家	Arch Linux	https://archlinux.org	“滚动发布”，pacman 包管理
桌面化包装	Manjaro	https://manjaro.org	2013 年已发布，“使 Arch 更方便”

Arch 系的"卖点"是永远用最新版本，但代价是稳定性靠自己。Manjaro 之于 Arch 类似 Ubuntu 之于 Debian——把"原教旨主义"折中一下。

2.3 Fedora / Red Hat 系：企业血脉

派系	代表项目	官网	备注
Fedora	Fedora	https://fedoraproject.org	社区开发、红帽公司赞助
Red Hat Enterprise Linux	RHEL	https://www.redhat.com	商业发行版
↳ 社区克隆	CentOS	https://www.centos.org	2020-12-08 之前的社区克隆（2020-12 红帽终止 CentOS 开发）
↳ 新社区克隆	Rocky Linux	https://rockylinux.org	CentOS 8 寿命结束前的替代品（2021 才发布）

2013 年当时的现状：CentOS 6.x 是绝对主力，CentOS 7 还在测试，RHEL 7 也是同年 6 月才发布。这一年用 Fedora 当桌面 + CentOS 当服务器是典型组合。

2.4 Gentoo / Chromium OS：编译系

派系	代表项目	官网	备注
Gentoo 本家	Gentoo	https://www.gentoo.org	基于 Portage 包管理系统，几乎所有东西都从源码编译
特化	Chromium OS	https://dev.chromium.org	利用 Gentoo 的 Portage 特制化的 Linux 发行版，本身与 Gentoo Linux 无关（这是 Google Chrome OS 的开源版）

Gentoo 系的玩法是"极致定制 + 从源码编译"，性能调优空间大，但安装时间长、维护成本高。2013 年活跃用户多以"折腾向"为主。

2.5 其他

派系	代表项目	官网	备注
Slackware	Slackware	http://www.slackware.com	力图成为"UNIX 风格"的 Linux 发行版
Mandriva	—	—	2015-05-26 Business Inside 报导 Mandriva 公司已正式宣告结束营运
轻量	Alpine Linux	—	基于 musl 和 BusyBox，超级轻量级（容器镜像常用）
SUSE	openSUSE	—	前身为 SUSE Linux 和 SUSE Linux Professional

Slackware：2013 年时已经是非常"老牌"的发行版（1993 年），技术派用户偏爱它"贴近 UNIX"的设计哲学，但市场份额已经很小。

三、个人选型建议（2013 视角）

站在 2013 年这个节点上做技术选型，我的个人习惯是：

场景	推荐	理由
桌面日常	Ubuntu LTS（12.04）	用户多、社区活跃、文档全
服务器	CentOS 6.x	当时的事实标准，文档和运维生态最丰富
学习 Linux 内核	Arch	滚动发布、文档优秀（Arch Wiki）
渗透测试	BackTrack 5（Kali 1.0 刚出，可观望）	工具齐全，2013-03 Kali 1.0 才发布
嵌入式 / 容器	Alpine	体积小、musl libc 兼容性好

四、本人常用到的服务器硬盘挂载"个人笔记"

这一节是从工作笔记里捞出来的一个高频操作——在已有 LVM 的服务器上把数据盘挂到 /home。完整步骤直接搬过来，不展开 LVM 概念（详见本系列《Linux 磁盘与 LVM 深度实践》）。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33


# 1. 查看现有分区和挂载
fdisk -l

# 2. 终止占用 /home 的进程
fuser -m -v -i -k /home

# 3. 备份 /home
cp -r /home/ homebak/

# 4. 卸载 /home
umount /home

# 5. 删除 /home 所在的 lv
lvremove /dev/mapper/centos-home

# 6. 扩展 /root 所在的 lv（增加 100G）
lvextend -L +100G /dev/mapper/centos-root

# 7. 扩展 /root 文件系统（XFS 用 xfs_growfs，ext4 用 resize2fs）
xfs_growfs /dev/mapper/centos-root

# 8. 重新创建 home lv（40G）
lvcreate -L 40G -n home centos

# 9. 创建文件系统
mkfs.xfs /dev/centos/home

# 10. 挂载
mount /dev/centos/home /home

# 11. 还原 /home 下的内容（注意权限）
cp -r homebak/* /home/
chown -R hdfs:hdfs /home/hdfs # 按真实用户调整

几个关键点：

fuser -m -v -i -k 是核心：它会列出哪些进程在占用 /home，然后询问（-i）要不要 kill，不要用裸的 fuser -mk
xfs_growfs vs resize2fs：CentOS 7 默认 XFS 用前者；CentOS 6 / Ubuntu 默认 ext4 用后者
顺序：先备份 → 卸载 → 删 lv → 扩 root → 建 home → 挂载 → 还原，不要跳步

关于 CentOS 引用：原笔记里的 centos-home、centos-root 是 CentOS 7 安装器默认的 VG/LV 命名（2014-06 之后）。Ubuntu 24.04 默认是 ubuntu-vg/ubuntu-lv（Kali/Debian 类似）。

五、前置知识 / 下一步

想了解 LVM 底层原理、PV/VG/LV、扩容缩容、LVM Cache → 翻本系列《Linux 磁盘与 LVM 深度实践》
想了解 Debian 9/10/11 不同版本的装机流程 → 翻本系列《Debian 家族发行版全指南》
想了解 Ubuntu 22.04 / 24.04 server 装机、netplan 静态 IP → 翻本系列《Ubuntu 发行版实战》
想了解 Kali 的 Docker 集成、渗透工具集 → 翻本系列《Deepin 与 Kali 发行版实战》

六、参考资源

Wikipedia 中文条目：Linux 发行版列表
DistroWatch：https://distrowatch.com/（各发行版版本号、活跃度、新闻汇总）
Arch Wiki：https://wiki.archlinux.org/（讲原理最清楚的一份文档，虽然是 Arch 的）