SSH on Liangweidong's blog

Linux 远程登录与安全实践：SSH 公私钥、scp 免密、Wake-on-LAN 远程开机与网络配置

Wed, 15 Mar 2017 00:00:00 +0800

一、为什么是 2017 年这一份

2017 年这个时间点前后，Linux 远程管理进入"工具标准化"阶段：

OpenSSH 7.x（2016-2017 时代）已修复大量历史漏洞，sshd 默认配置趋于安全
Wake-on-LAN 仍是有线网卡机器远程开机的主流方案
Debian/Ubuntu 的网络配置正经历重构——Debian 9 (2017-06) 仍用 /etc/network/interfaces，但 Ubuntu 18.04 (2018-04) 起改用 netplan
systemd-resolved 在 Ubuntu 17.10 (2017-10) 起成为默认 DNS 解析

这一篇覆盖远程登录、远程拷贝、远程开机、网卡配置、DNS 配置——一个系统管理员日常要用的"远程"工具箱。

阅读建议：本文分四块——远程登录（SSH）、远程拷贝（SCP）、远程开机（WoL）、网络配置。强烈建议所有公开服务器禁止密码登录，只用密钥。

二、SSH 远程登录

2.1 sshpass：脚本里的免密登录

sshpass 允许在一条命令里把密码带上——典型场景是自动化脚本里临时用一下，生产环境请用 SSH 公私钥。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 安装（CentOS）
yum install -y sshpass

# 安装（Debian/Ubuntu）
apt install -y sshpass

# 免密 SSH 登录
sshpass -p 'your-password' ssh root@<host-ip>

# sshpass + ssh 不提示 yes/no
sshpass -p 'your-password' ssh \
 -o StrictHostKeyChecking=no user@<host-ip>

2.2 优化：去掉"是否连接"的提示

第一次 SSH 连接到新主机时，会问"是否信任该主机（yes/no）"。在自动化场景下这个交互很烦。两种解决方案：

客户端配置（影响本机的所有 SSH 客户端）：

1
2
3
4


vim /etc/ssh/ssh_config

# 加上这一行
StrictHostKeyChecking no

服务端配置（影响所有客户端连这台机器）：

1
2
3
4
5
6


vim /etc/ssh/sshd_config

GSSAPIAuthentication no
UseDNS no

service sshd restart

三、SSH 公私钥登录：生产环境标配

强烈推荐：所有公开服务器禁止密码登录，只用密钥。

3.1 生成密钥对

1
2
3
4
5
6


ssh-keygen -t rsa
# 默认 2048 位 RSA，公私钥存在 ~/.ssh/

# 当前目录下多出两个文件
# id_rsa ← 私钥（**绝不能泄露**）
# id_rsa.pub ← 公钥（要上传到服务器）

3.2 上传公钥到服务器

方法一：手动复制

1
2
3
4
5
6
7
8


# 假设你已经在服务器上
mkdir -p ~/.ssh
chmod 700 ~/.ssh
touch ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

# 把本地公钥内容粘贴进去
cat id_rsa.pub >> ~/.ssh/authorized_keys

方法二：ssh-copy-id（如果装了）

1

ssh-copy-id -i ~/.ssh/id_rsa.pub user@<host-ip>

3.3 服务端配置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


vim /etc/ssh/sshd_config

# 启用 RSA 认证（默认是 yes）
RSAAuthentication yes
PubkeyAuthentication yes

# 指定公钥文件位置
AuthorizedKeysFile .ssh/authorized_keys

# 允许 root 登录（视业务）
PermitRootLogin yes

# **关键：禁用密码登录**
PasswordAuthentication no

# 重启 sshd
service sshd restart

顺序很重要：先确认至少有一个账号能用公钥登录了，再去禁密码。否则一旦失联，就只能接显示器登录。

3.4 多个公钥

1

cat other_id_rsa.pub >> ~/.ssh/authorized_keys

一行一个公钥，OpenSSH 按顺序匹配。

四、scp 远程拷贝

4.1 本地 → 远程

1
2
3
4
5
6
7
8


# 文件
scp /local/file.txt user@<host>:/remote/path/

# 目录（加 -r）
scp -r /local/dir user@<host>:/remote/path/

# 携带密码（自动化场景）
sshpass -p 'your-password' scp -r /local/dir user@<host>:/remote/path/

4.2 远程 → 本地

1
2
3
4
5
6
7
8


# 文件
scp user@<host>:/remote/file.txt /local/path/

# 目录
scp -r user@<host>:/remote/dir /local/path/

# 携带密码
sshpass -p 'your-password' scp user@<host>:/remote/file.txt /local/path/

4.3 常用选项

选项	含义
`-P port`	指定端口（大写 P，不是 `-p`）
`-q`	去掉进度显示
`-l limit`	限速（单位 Kbit/s）
`-C`	压缩传输
`-i keyfile`	指定私钥文件

更现代的替代：rsync 和 sftp 都已经基本替代 scp 在生产环境的位置。rsync 增量传输、sftp 支持断点续传，scp 适合"小文件、临时一次性"的场景。

五、Wake-on-LAN 远程开机

WoL（Wake-on-LAN）允许通过网络发一个"魔术包"，让关机状态下的机器开机。要求机器的有线网卡和主板都支持。

5.1 检查网卡是否支持 WoL

1
2
3
4


ethtool eno1
# 找到 "Supports Wake-on:" 和 "Wake-on:" 两行
# Supports Wake-on: pumbg
# Wake-on: d ← d = 禁用

字段值	含义
`p`	Wake on PHY activity
`u`	Wake on unicast messages
`m`	Wake on multicast messages
`b`	Wake on broadcast messages
`a`	Wake on ARP
`g`	Wake on MagicPacket（最常用）
`s`	Enable SecureOn password for MagicPacket
`d`	Disable（默认）

5.2 启用 WoL

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 立即启用（重启后失效）
ethtool -s eno1 wol g

# 永久启用：写进网卡配置
# CentOS/RHEL
echo "ETHTOOL_OPTS='-s eno1 wol g'" >> /etc/sysconfig/network-scripts/ifcfg-eno1

# Debian/Ubuntu
# 在 /etc/network/interfaces 里加
# up ethtool -s eno1 wol g

5.3 查网卡物理地址（MAC）

1
2


ip a
# link/ether 58:11:22:c3:1b:4d

5.4 安装并发送魔术包

1
2
3
4
5
6
7
8
9


# 安装 wakeonlan
apt install wakeonlan # Debian/Ubuntu
yum install wakeonlan # CentOS（需 EPEL）

# 在同一局域网内发送
wakeonlan 58:11:22:c3:1b:4d

# 指定目标 IP（跨网段需要中继）
wakeonlan -i 10.8.33.5 58:11:22:c3:1b:4d

5.5 BIOS 也要打开 WoL

掉电恢复来电后 WoL 经常失效——这是主板 BIOS 没开。

开机进 BIOS → Power Management Setup：

找 Wake On LAN → 设为 Enable
没有就找 Wake On PCI Card → 设为 Enable（注意：PCI 选项可能有两个，确保只开一个，否则循环重启）
找 PME Event Wake Up → 设为 Enabled

两种 WoL 模式的区别：

Wake On LAN —— 完全关机也能唤醒
Wake On PCI Card —— 深度休眠（hibernate）才能唤醒

5.6 远程关机

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


# 立即关机
shutdown now
# 或
shutdown --poweroff now

# 取消关机
shutdown -c

# 预关机（带警告）
shutdown --poweroff

# 深度睡眠
pm-hibernate

# 重启
shutdown --reboot

六、Debian / Ubuntu 网络配置

6.1 Debian 9/10：`/etc/network/interfaces`

1
2
3
4
5
6


# 重启网络
/etc/init.d/networking restart
systemctl restart networking

# 网卡配置
vim /etc/network/interfaces

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*

# 环回口
auto lo
iface lo inet loopback

# DHCP 自动获取
auto eth0
iface eth0 inet dhcp

# 静态 IP
auto eth0
iface eth0 inet static
address 192.168.1.122
netmask 255.255.255.0
gateway 192.168.1.2

6.2 查看 DNS

1
2
3
4
5
6
7


# 临时配置
cat /etc/resolv.conf
# nameserver 8.8.8.8
# nameserver 114.114.114.114

# 永久配置
sudo apt install resolvconf

6.3 Ubuntu 18.04+：`netplan`

Ubuntu 18.04 起改用 netplan（YAML 格式）：

1
2


# 配置
vim /etc/netplan/00-installer-config.yaml

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


network:
 ethernets:
 eno1:
 dhcp4: false
 addresses:
 - 192.168.10.127/24
 routes:
 - to: default
 via: 192.168.10.1
 nameservers:
 addresses: [211.138.24.66, 114.114.114.114, 192.168.10.1]
 eno2:
 dhcp4: true
 eno3:
 dhcp4: true
 eno4:
 dhcp4: true
 version: 2

1
2


# 应用配置
netplan apply

从 interfaces 迁移到 netplan：2017-2018 是过渡期，老教程仍是 interfaces，新机器按 netplan 走。

6.4 DNS：`systemd-resolved`

Ubuntu 17.10 起默认启用 systemd-resolved。

1
2
3
4
5
6
7
8


vim /etc/systemd/resolved.conf

[Resolve]
# 几个公开 DNS（示例）
#DNS=1.1.1.1 8.8.8.8
DNS=114.114.114.114

systemctl restart systemd-resolved

/etc/resolv.conf 经常被覆盖：/etc/resolv.conf 实际上是软链接到 /run/systemd/resolve/stub-resolv.conf，手动改 /etc/resolv.conf 重启后会失效。正确做法是改 /etc/systemd/resolved.conf。

七、Debian 静态 IP 实际案例

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


# 1. 查当前 IP
ip a
# 或
ifconfig

# 2. 备份原配置
cp /etc/network/interfaces /etc/network/interfaces.bak

# 3. 改成静态
cat > /etc/network/interfaces << "EOF"
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.1.122
netmask 255.255.255.0
gateway 192.168.1.2
EOF

# 4. 重启
systemctl restart networking

八、前置知识 / 下一步

想了解 SSH 高级用法（端口转发、代理）→ 翻独立文章
想了解 fail2ban 防爆破 → 翻本系列《Linux 用户管理与安全加固》
想了解 Wake-on-LAN 跨网段（需要路由器支持）→ 翻独立文章
想了解 rsync 增量同步替代 scp → 翻独立文章
想了解 ufw 防火墙配置 → 翻本系列《Ubuntu 发行版实战》

九、参考资源

OpenSSH 官方文档：https://www.openssh.com/manual.html
Ubuntu Netplan 文档：https://netplan.io/
Debian 网络配置 wiki：https://wiki.debian.org/NetworkConfiguration
Wake-on-LAN 原理（Wikipedia）：https://en.wikipedia.org/wiki/Wake-on-LAN
ethtool 手册：man ethtool

2024 视角：7 年后远程管理的"新王"和"新坑"

2017 那篇的 SSH 公私钥、scp、Wake-on-LAN 在 2024 仍管用——但有 3 个新趋势必须知道：

一、ed25519 全面替代 RSA 2048

2017 那篇示范 ssh-keygen -t rsa（默认 2048 位）。2024 实际项目里 ed25519 已经是事实标准：

算法	密钥长度	性能	抗量子	兼容性
RSA 2048	2048 位	慢（签名/验签 1-3ms）	弱（量子 Shor 算法秒破）	全平台
RSA 4096	4096 位	极慢（10-30ms）	较弱	全平台
ed25519	256 位	极快（< 0.1ms）	中（仍是椭圆曲线）	OpenSSH 6.5+（2014）
ECDSA P-256	256 位	快	中	OpenSSH 5.7+（2008）
ML-DSA（Dilithium）	1312 字节	慢	强（抗量子）	OpenSSH 9.x 实验中

2024 默认推荐：

1
2
3
4
5
6


# ed25519
ssh-keygen -t ed25519 -C "lwd@<your-host>"

# 加 passphrase（用 ssh-agent / GNOME Keyring 记）
ssh-keygen -t ed25519 -a 100 -C "lwd@<your-host>"
# -a 100 = 100 轮 KDF，增强私钥文件抗爆破

二、SSH 配置的"现代化"补充

Include /etc/ssh/sshd_config.d/*.conf：2024 推荐——把配置拆到 /etc/ssh/sshd_config.d/ 目录，sshd 8.0+ 已支持。
KDF rounds on private key：私钥 KDF 迭代次数（-a 参数）。
Include ~/.ssh/config.d/*.conf：客户端也可以 Include 拆分。
GSSAPI / DNS 关闭默认已 ok。
Include 路径匹配：

1
2
3
4
5
6
7
8
9


# 客户端 ~/.ssh/config
Include config.d/*.conf

# /etc/ssh/sshd_config.d/00-hardening.conf
PasswordAuthentication no
PermitRootLogin prohibit-password
MaxAuthTries 3
X11Forwarding no
AllowAgentForwarding no

三、scp 全面弃用，改用 sftp / rsync

OpenSSH 9.0（2022-04）开始打印 WARNING: scp is deprecated。
sftp（基于 SSH 的 FTP）支持断点续传、目录浏览：

1
2
3
4
5


# 上传
sftp user@host <<< 'put -r /local/dir /remote/path'

# 下载
sftp user@host <<< 'get -r /remote/path /local/'

rsync（增量同步）做"两台机器同步"：

1
2
3
4
5


rsync -avz --progress /local/dir/ user@host:/remote/dir/
# -a 归档模式
# -v 详细
# -z 传输时压缩
# --progress 显示进度

四、Wake-on-LAN 在云时代的"替代方案"

2017 那篇 WoL 在家用 / 局域网场景仍管用。
但 2024 云服务器根本没 WoL 概念——开机通过云厂商 API。
远程开机的现代姿势：
- AWS：Lambda + CloudWatch Events + EC2 API
- 阿里云：函数计算 + 定时触发器 + ECS StartInstance
- 小米插座 / 智能插线板：远程给机器上电（家里老台式机）

1
2
3
4
5
6
7
8


# 阿里云 SDK 远程开机
from aliyunsdkcore.client import AcsClient
from aliyunsdkecs.request.v20140526 import StartInstanceRequest

client = AcsClient('<access-key-id>', '<access-key-secret>', 'cn-hangzhou')
request = StartInstanceRequest.StartInstanceRequest()
request.set_InstanceIds(['i-bp1xxxxxxxxxxxxxx'])
client.do_action_with_exception(request)

五、WireGuard 替代 SSH 隧道 + frp

2017 那篇没提 SSH 端口转发 -L / -R。2024 的"点对点 VPN"首选是 WireGuard：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 装
apt install wireguard

# 生成密钥
wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey

# 配置 /etc/wireguard/wg0.conf
[Interface]
Address = 10.0.0.1/24
PrivateKey = <server-private-key>
ListenPort = 51820

[Peer]
PublicKey = <client-public-key>
AllowedIPs = 10.0.0.2/32

优势：内核态实现（性能是 OpenVPN 4 倍）、配置极简（单文件）、roaming 友好（IP 变化不重连）。
SSH 隧道还在用：但主要是"临时单端口转发"，长期组网全部走 WireGuard / Tailscale / ZeroTier。

六、网络配置：NetworkManager 已成"事实上默认"

2017 那篇给的 /etc/network/interfaces 写法，在 Debian 12+（2023-06）已经被 NetworkManager 取代：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 看现有连接
nmcli connection show

# 改 IP
nmcli connection modify "Wired connection 1" \
 ipv4.addresses 192.168.1.100/24 \
 ipv4.gateway 192.168.1.1 \
 ipv4.dns "1.1.1.1,8.8.8.8" \
 ipv4.method manual

nmcli connection up "Wired connection 1"

Ubuntu 22.04+ / Debian 12+：服务器版仍可装 ifupdown 用 interfaces，但新项目默认 NetworkManager。
nmcli / nmtui 比手写 YAML 更易维护。

七、Tailscale / ZeroTier 终结"内网穿透"

2017 那篇 SSH 远程登录到"内网"用 frp（2017 那篇还没提 frp，那篇主要是 SSH）。2024 趋势：
- Tailscale（基于 WireGuard，5 分钟建全球组网）—— 个人免费 100 台设备
- ZeroTier（P2P + 控制器）—— 同样免费 25 台
- Cloudflare Tunnel（云原生时代）—— cloudflared 一行命令把内网服务暴露公网

1
2
3
4


# Tailscale（2024 年最易上手）
curl -fsSL https://tailscale.com/install.sh | sh
tailscale up
# 自动获得 100.x.x.x 虚拟 IP，全网互通

Win11 OpenSSH 服务端实战：安装、连接、卸载与防火墙

Tue, 15 Sep 2015 00:00:00 +0800

一、为什么要在 Windows 上装 OpenSSH

2014 年微软开始和 PowerShell 团队一起开发 Win32-OpenSSH，2018 年起 Win10 1809+ / Win11 默认内置。SSH 是 Linux / macOS 的标配远程协议，把 Windows 暴露成 SSH 服务端有几个常见收益：

从 Linux / macOS 终端直接 ssh 上去操作 Windows（比 mstsc 远程桌面更适合开发机）
VS Code Remote - SSH 插件远程开发 Windows 上的代码
CI / CD 工具（Jenkins / GitHub Actions）用 SSH 协议往 Windows 推文件
PowerShell Remoting over SSH —— 把 PowerShell 会话走 SSH 隧道

OpenSSH 完全替代老旧的 telnet / rsh / WinRM HTTP 模式。Win10 1809+ 和 Win11 都内置了 OpenSSH 客户端和服务端。

二、查 OpenSSH 是否已装

1

Get-WindowsCapability -Online | Where-Object Name -like 'OpenSSH*'

输出形如：

1
2
3
4


Name : OpenSSH.Client~~~~0.0.1.0
State : Installed
Name : OpenSSH.Server~~~~0.0.1.0
State : NotPresent

Installed 表示已装，NotPresent 表示未装。

三、在线安装

1
2
3
4
5


# 装客户端（很多机器已经自带）
Add-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0

# 装服务端
Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0

装完：

客户端：C:\Windows\System32\OpenSSH\ + ssh.exe 在 PATH 中
服务端：C:\Windows\System32\OpenSSH\ + sshd.exe 守护进程

四、离线安装

适用场景：生产 Windows Server 不能上网、企业内网无外网、Win10 老版本没有内置 OpenSSH

4.1 下载离线包

微软官方仓库：https://github.com/PowerShell/Win32-OpenSSH/releases

下载两个文件：

OpenSSH-Win64-v9.2.2.0.msi（服务端 + 客户端 + 工具）
或 OpenSSH-Win32-v9.x.x.x.msi（32 位——老机器）

路径示例：https://github.com/PowerShell/Win32-OpenSSH/releases/download/v9.2.2.0p1-Beta/OpenSSH-Win64-v9.2.2.0.msi

4.2 安装

双击 .msi 走 GUI 安装向导；或者静默安装：

1

msiexec /i OpenSSH-Win64-v9.2.2.0.msi /qn

安装位置：%SYSTEMROOT%\System32\OpenSSH\（默认 C:\Windows\System32\OpenSSH\）

五、启动服务

5.1 启动 sshd

1
2
3
4
5
6
7
8


# 启动 SSH 守护进程
Start-Service sshd

# 设为自动启动（重启后自动拉起）
Set-Service -Name sshd -StartupType 'Automatic'

# 检查服务状态
Get-Service sshd

5.2 验证防火墙规则

1

Get-NetFirewallRule -Name *ssh*

应该看到一条 OpenSSH-Server-In-TCP 的入站规则，默认已 enable。

5.3 手动添加防火墙规则（如果没有）

1
2
3
4
5
6
7


New-NetFirewallRule -Name sshd `
 -DisplayName 'OpenSSH Server (sshd)' `
 -Enabled True `
 -Direction Inbound `
 -Protocol TCP `
 -Action Allow `
 -LocalPort 22

六、连接测试

6.1 从 Linux / macOS 连接

1

ssh username@windows-host-ip

或者指定端口：

1

ssh -p 22 username@windows-host-ip

6.2 第一次连接的 fingerprint 确认

1
2
3


The authenticity of host '...' can't be established.
ED25519 key fingerprint is SHA256:...
Are you sure you want to continue connecting (yes/no/[fingerprint])?

输入 yes，公钥会保存到 ~/.ssh/known_hosts，下次不再提示。

6.3 PowerShell 验证 OpenSSH 版本

1

ssh -V

输出形如：OpenSSH_for_Windows_8.0 或 OpenSSH_for_Windows_9.2p1。

七、SSH 密钥认证

强烈推荐：用公私钥对代替密码认证，安全性 + 自动化双提升。

7.1 在客户端生成密钥对

1

ssh-keygen -t ed25519 -C "your_email@example.com"

ed25519 是 2014+ 推荐算法，比 RSA 短而快。公私钥生成在 ~/.ssh/id_ed25519 和 ~/.ssh/id_ed25519.pub。

7.2 把公钥传到 Windows

1
2


# Linux / macOS 端
ssh-copy-id username@windows-host-ip

或者手动：

1

cat ~/.ssh/id_ed25519.pub | ssh username@windows-host-ip "umask 077; mkdir -p ~/.ssh; cat >> ~/.ssh/authorized_keys; type C:\Windows\system32\OpenSSH\ssh-keyscan.exe > nul"

7.3 关闭密码认证（可选）

服务端 C:\ProgramData\ssh\sshd_config：

1
2


PasswordAuthentication no
PubkeyAuthentication yes

改完重启 sshd：

1

Restart-Service sshd

八、PowerShell Remoting over SSH

Win10 / Win11 + PowerShell 7+ 支持 PSRemoting over SSH：

8.1 服务端准备

1
2
3
4
5


# 启用 PSRemoting
Enable-PSRemoting -Force

# 把 SSH 当 transport
# (Win10 1809+ / Win11 默认已配)

8.2 客户端连接

1
2


# 客户端
Enter-PSSession -HostName username@windows-host-ip -SSHTransport

进入交互式会话，跟本地 PowerShell 用法完全一样。

8.3 脚本化调用

1
2
3


Invoke-Command -HostName username@windows-host-ip -SSHTransport -ScriptBlock {
 Get-Service | Where-Object Status -eq 'Running' | Select-Object Name, DisplayName
}

九、常见问题排查

9.1 sshd 启动失败：`sshd: no hostkeys available`

1
2


# 手动生成 host 密钥
ssh-keygen -A

9.2 客户端报 “Permission denied (publickey)”

检查 ~/.ssh/authorized_keys 文件权限（Windows 下用 icacls）：

1
2
3
4


icacls "C:\Users\username\.ssh\authorized_keys" /inheritance:r
icacls "C:\Users\username\.ssh\authorized_keys" /grant "username:(R)"
icacls "C:\Users\username\.ssh" /inheritance:r
icacls "C:\Users\username\.ssh" /grant "username:(OI)(CI)F"

检查 sshd_config：PubkeyAuthentication yes
看服务端日志：Get-EventLog -LogName Application -Source OpenSSH -Newest 20

9.3 连接慢 / 卡顿

服务端 sshd_config 加：

1

UseDNS no

关掉反向 DNS 查询——Windows Server 经常因为 DNS 配置不当卡几十秒。

十、彻底卸载

1
2
3
4
5


# 卸服务端
Remove-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0

# 卸客户端
Remove-WindowsCapability -Online -Name OpenSSH.Client~~~~0.0.1.0

如果是 MSI 安装：

1
2
3
4
5


# 查 product code
Get-WmiObject -Class Win32_Product | Where-Object Name -like 'OpenSSH*'

# 卸载
msiexec /x {PRODUCT_CODE} /qn

卸载后 C:\ProgramData\ssh\ 的配置和 C:\Users\<USER>\.ssh\ 的客户端密钥仍保留——Add-WindowsCapability 重新装会复用。

十一、SSH 客户端常用命令（Win11 自带）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# 连接
ssh user@host

# 指定私钥
ssh -i ~/.ssh/id_ed25519 user@host

# 端口转发（本地 8080 转到远端 80）
ssh -L 8080:localhost:80 user@host

# SFTP 文件传输
sftp user@host

# SCP 文件拷贝
scp file.txt user@host:/path/to/dest/

11.1 VS Code Remote - SSH

VS Code 装 Remote - SSH 扩展后，Ctrl+Shift+P → “Remote-SSH: Connect to Host” 就能连到 Windows 远程开发。

11.2 scp 跨机传文件

1
2
3
4
5
6
7
8


# 本地 → 远端
scp C:\file.txt user@host:D:\dest\

# 远端 → 本地
scp user@host:D:\file.txt C:\dest\

# 整目录
scp -r C:\dir user@host:D:\dest\

十二、Win10 / Win11 自带 OpenSSH 局限性

没有完整 sftp-server：Win10 1809+ 的 OpenSSH 支持 SFTP 子系统，但 2018-2020 期间有 bug，2021+ 才稳定
没有 ssh-agent 转发：默认不启用
没有 ControlMaster / ControlPersist：多窗口复用得手动
不支持 AuthorizedKeysCommand：大集群的集中密钥分发得自己写脚本

如果对 SSH 有重度需求（如集群管理、跳板机、堡垒机），用 WSL2 装 OpenSSH 服务端更稳：

1
2
3


# WSL2 里
sudo apt install openssh-server
sudo systemctl enable ssh

十三、常见 5 个坑

UseDNS yes 卡顿——改 sshd_config 设为 no
authorized_keys 权限错误——Windows 下用 icacls 而非 Linux 风格的 chmod 600
PowerShell Remoting 默认走 WinRM——加 -SSHTransport 参数才走 SSH
MSI 装的服务端和 PowerShell 装的不冲突——优先用 Add-WindowsCapability 装，MSI 是离线备用方案
OpenSSH 服务端绑 0.0.0.0——默认所有网卡都监听，生产环境改 ListenAddress 192.168.x.x 限内网

十四、总结

Win10 1809+ / Win11 自带——Add-WindowsCapability 一行装
离线安装用 OpenSSH-Win64-9.x.x.x.msi
sshd 自动启动 + 防火墙默认开启 22 端口——一行命令搞定
强烈推荐 SSH 公私钥认证，关密码
PSRemoting over SSH——PowerShell 7 + 跨平台远管
服务端局限：SFTP bug 修复在 2021+，复杂需求用 WSL2 的 openssh-server

参考资料

fail2ban 防 SSH/FRP/Nginx 爆破实战：日志正则匹配 + iptables 拉黑

Sun, 15 Mar 2015 00:00:00 +0800

背景

公网上的 SSH 22 端口，每天被全球扫描器爆破几千次。改端口可以挡一部分，但治标不治本。fail2ban 通过扫描日志匹配失败登录，自动调用 iptables/nftables 拉黑攻击 IP——简单粗暴有效，是 Linux 服务器"装了不亏"的标配。

适用场景：

SSH/RDP/FTP 暴破防御
FRP 反向代理的"真实攻击者 IP"拉黑（frpc 只看到 127.0.0.1，必须在 frps 端 ban）
Nginx 反代日志里的恶意访问拦截
自定义服务日志的异常行为检测

前置知识：

Linux 基础（systemd、iptables）
正则表达式基础（fail2ban filter 用的就是正则）

一、fail2ban 工作原理

1
2
3
4
5
6
7


服务日志（sshd/auth.log/secure）
 ↓
[filter.d/*.conf 正则匹配] → 失败次数超阈值
 ↓
[jail.local 触发动作] → iptables/nftables DROP
 ↓
[封禁时间到] → 自动解封

关键组件：

filter：正则规则（/etc/fail2ban/filter.d/）
jail：封禁策略（/etc/fail2ban/jail.local）
action：触发动作（iptables、route、cloudflare API 等）
bantime / findtime / maxretry：封禁时长 / 检测窗口 / 失败次数阈值

二、安装

2.1 CentOS

1
2


yum -y install epel-release
yum -y install fail2ban

2.2 Ubuntu / Debian

1

apt install fail2ban

2.3 启动 + 开机自启

1
2


systemctl enable --now fail2ban
systemctl status fail2ban

验证 iptables 规则已加载：

1
2


iptables -L -n
# 应看到 f2b-sshd 等 chain

三、配置 SSH 防护（默认即开）

/etc/fail2ban/jail.local（注意是 .local 不是 .conf，.local 优先级高）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


[DEFAULT]
# 忽略的 IP（公司出口、内网）
ignoreip = 127.0.0.1/8 10.0.0.0/8 192.168.0.0/16
# 默认参数（每个 jail 可单独覆盖）
bantime = 24h
findtime = 10m
maxretry = 5

[sshd]
enabled = true
# filter 内置 sshd.conf（Debian/Ubuntu） / sshd.conf（CentOS 在 filter.d/ 选）
filter = sshd
backend = systemd
# 日志路径（按发行版二选一）
logpath = %(sshd_log)s

%(sshd_log)s 是 fail2ban 内置变量，CentOS 是 /var/log/secure，Ubuntu 是 /var/log/auth.log，不用手填。

reload 生效：

1
2
3


fail2ban-client reload
# 或
systemctl restart fail2ban

验证：

1
2


fail2ban-client ping # 返回 Server replied: pong
fail2ban-client status sshd # 看当前被 ban 的 IP

四、FRP 反代场景的关键配置

核心痛点：frpc 看到的访问者 IP 永远是 127.0.0.1（因为 frps 是 localhost 转发的），必须在 frps 所在的 VPS 上配 fail2ban，按 frps 日志里的真实 IP 拉黑。

4.1 启用 FRP 日志

/usr/local/games/rp/frps.ini：

1
2
3
4
5


[common]
bind_port = 7000
log_file = /var/log/frps.log
log_level = info
log_max_days = 7

4.2 编写 filter

/etc/fail2ban/filter.d/frps.conf：

1
2
3
4


[Definition]
# frps 日志格式: get a user connection [1.2.3.4:5678]
failregex = ^.*get a user connection \[<HOST>:[0-9]*\]
ignoreregex = ^.*\[.*gateway.*

<HOST> 是 fail2ban 的内置占位符，匹配 IP 段。

4.3 编写 jail

/etc/fail2ban/jail.local 追加：

1
2
3
4
5
6
7
8


[frps]
enabled = true
filter = frps
logpath = /var/log/frps.log
findtime = 3m
maxretry = 3
bantime = 120m
action = iptables-allports[name=frps, protocol=all]

多个协议分离 jail（更精细）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26


[frps-ssh-ban]
enabled = true
filter = frps-ssh-ban
logpath = /var/log/frps.log
findtime = 3m
maxretry = 3
bantime = 120m
action = iptables-allports[name=frps-ssh-ban, protocol=tcp]

[frps-rdp-ban]
enabled = true
filter = frps-rdp-ban
logpath = /var/log/frps.log
findtime = 3m
maxretry = 6
bantime = 30m
action = iptables-allports[name=frps, protocol=tcp]

[frps-ftp-ban]
enabled = true
filter = frps-ftp-ban
logpath = /var/log/frps.log
findtime = 5m
maxretry = 30
bantime = 60m
action = iptables-allports[name=frps, protocol=tcp]

filter 内容（按代理名分组）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# /etc/fail2ban/filter.d/frps-ssh-ban.conf
[Definition]
failregex = ^.*\[.*ssh.*\] get a user connection \[<HOST>:[0-9]*\]
ignoreregex = ^.*\[.*gateway.*

# /etc/fail2ban/filter.d/frps-rdp-ban.conf
[Definition]
failregex = ^.*\[.*RDP.*\] get a user connection \[<HOST>:[0-9]*\]
ignoreregex =

# /etc/fail2ban/filter.d/frps-ftp-ban.conf
[Definition]
failregex = ^.*\[.*FTP_21.*\] get a user connection \[<HOST>:[0-9]*\]
ignoreregex =

测试正则匹配（上线前必做）：

1
2


fail2ban-regex /var/log/frps.log /etc/fail2ban/filter.d/frps.conf
# 末尾会输出匹配行数

五、Nginx 日志防护

如果用 Nginx 反代 RDP/SSH（stream 四层 + 自定义 log_format）：

5.1 自定义日志格式

1
2
3
4
5


log_format proxy '[$time_local] $protocol status:$status, '
 'bytes client:$bytes_sent/$bytes_received $session_time, '
 'client: $remote_addr, upstream:"$upstream_addr", '
 'bytes upstream:$upstream_bytes_sent $upstream_bytes_received';
access_log /var/log/nginx/proxy.log proxy;

5.2 写 filter

1
2
3
4


# /etc/fail2ban/filter.d/nginx-3399.conf
[Definition]
failregex = ^.*client: <HOST>, upstream:"10\..*:3389"
ignoreregex =

5.3 写 jail

1
2
3
4
5
6
7
8


[nginx-3399]
enabled = true
filter = nginx-3399
logpath = /var/log/nginx/proxy.log
findtime = 5m
maxretry = 10
bantime = 60m
action = iptables-multiport[name=nginx-3399, port="3399", protocol=tcp]

六、多日志文件支持

轮转日志场景（按天/按大小切割）：

1
2
3
4
5
6
7


# 通配符
logpath = /var/log/vpn_*.log

# 多个文件
logpath = /var/log/vpn_20191007.log
 /var/log/vpn_20191008.log
 /var/log/vpn_20191009.log

⚠️ 等号要对齐（fail2ban INI parser 严格）。

七、日常管理命令

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23


# 服务状态
fail2ban-client ping

# 列出所有 jail
fail2ban-client status

# 查看指定 jail
fail2ban-client status sshd

# 手动封 IP
fail2ban-client set sshd banip 1.2.3.4

# 手动解封
fail2ban-client set sshd unbanip 1.2.3.4

# 解封所有
fail2ban-client unban --all

# 重载配置（不重启服务）
fail2ban-client reload

# 看日志
tail -f /var/log/fail2ban.log

直接操作 iptables（不进 fail2ban 的快封）：

1
2
3
4
5
6
7
8


# 手动封
iptables -A INPUT -s 1.2.3.4 -j DROP

# 查询
iptables -L -n --line-number

# 删除 INPUT 第 3 条规则
iptables -D INPUT 3

八、常见坑

8.1 封了之后 SSH 自己进不去

症状：把整个机房 IP 段封了。

对策：

ignoreip 把内网/常用出口 IP 段加白名单
至少留一个"急救"通道（如 IPMI、Console、备用跳板）

8.2 重启服务后封禁丢失

iptables 规则在重启后清空。对策：

1
2
3
4
5
6
7
8


# CentOS
yum install iptables-services
systemctl enable iptables
service iptables save

# Ubuntu
apt install iptables-persistent
netfilter-persistent save

8.3 多网卡机器

chain = INPUT 即可默认全局生效。如果要区分内/外网卡，用 chain = FORWARD 配合路由。

8.4 日志被 logrotate 改名后 fail2ban 跟丢

backend = polling 改 backend = systemd（systemd 日志自动跟踪），或者在 /etc/logrotate.d/ 加 postrotate 通知 fail2ban。

九、卸载

1
2
3
4
5
6


# 清掉所有 fail2ban iptables 规则
iptables -L | grep f2b | awk '{print $NF}' | xargs -I{} iptables -F {}

/etc/init.d/fail2ban stop # 或 systemctl stop fail2ban
apt remove fail2ban -y
apt purge fail2ban -y # 删配置

小结

fail2ban 0.10+ 的核心是 filter 正则 + jail 策略：

SSH 默认就开（apt install 装完自带）
FRP 场景最关键——必须在 frps 端按 frps.log 真实 IP 拉黑
jail.local 永远比 jail.conf 优先（升级不会覆盖）
测试正则：fail2ban-regex 上线前必跑
iptables 持久化 否则重启失效

下一步：

配合 cloudflare action 封 CDN 后面的恶意 IP
用 recidive jail 二次封禁"被解封又来"的攻击者
集中化管理：多台机器用 fail2ban-web 或自建 dashboard

2024 视角：fail2ban 仍是经典，但 nftables 时代来了

2015 那篇基于 iptables。2024 视角下 nftables 已成事实标准——fail2ban 1.0+（2022-10 发布）已支持 nftables。

一、nftables 替代 iptables 是大势所趋

RHEL 8/9 / Fedora / Ubuntu 22.04+ / Debian 12+ 默认都是 nftables（iptables 命令其实是 nftables 的兼容层）。
fail2ban 1.0.x（2022-10 起）支持 banaction = nftables-multiport：

1
2
3
4
5


# /etc/fail2ban/jail.local
[DEFAULT]
banaction = nftables-multiport
banaction_allports = nftables-allports
chain = input

nftables 优势：
- 原子化更新（nft 是事务性的，iptables 改一条规则要逐条 add/delete）
- 规则集更紧凑（nft 的语法比 iptables 短 30-50%）
- 内建 set / map（无需 ipset 单独装）

1
2


# nftables 查 fail2ban 规则
nft list chain inet filter f2b-sshd

二、`recidive` 监狱——“二次封禁"防反复

2015 那篇提到 recidive。2024 实际配置：

1
2
3
4
5
6
7
8
9


# /etc/fail2ban/jail.local
[recidive]
enabled = true
filter = recidive
logpath = /var/log/fail2ban.log
bantime = 1w
findtime = 1d
maxretry = 5
banaction = %(banaction)s

效果：被解封后又来攻击的 IP，封一周。

三、Cloudflare Action——封 CDN 后面的 IP

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# /etc/fail2ban/action.d/cloudflare.conf
[Definition]
actionban = curl -s -X POST "https://api.cloudflare.com/client/v4/zones/<ZONE_ID>/firewall/access_rules/rules" \
 -H "Authorization: Bearer <API_TOKEN>" \
 -H "Content-Type: application/json" \
 --data '{"mode":"block","configuration":{"target":"ip","value":"<ip>"},"notes":"Fail2ban"}'
actionunban = curl -s -X DELETE "https://api.cloudflare.com/client/v4/zones/<ZONE_ID>/firewall/access_rules/rules/<RULE_ID>" \
 -H "Authorization: Bearer <API_TOKEN>"

[Init]
RULE_ID =

1
2
3
4


[sshd-cloudflare]
enabled = true
filter = sshd
action = cloudflare

四、fail2ban + Telegram 告警

1
2
3
4
5


# /etc/fail2ban/action.d/telegram.conf
[Definition]
actionban = curl -s -X POST "https://api.telegram.org/bot<TOKEN>/sendMessage" \
 -d chat_id=<CHAT_ID> \
 -d text="Fail2ban: <ip> banned (<failures> failures)"

五、fail2ban 1.1 的新特性（2023-10）

持久化 SQLite 数据库（dbfile = /var/lib/fail2ban/fail2ban.sqlite3）——重启后封禁不丢。
database 升级：以前是 BerkeleyDB（要装 python3-pyasn1），现在用 SQLite。
正则引擎优化：Python 3.11+ 提速 20%。

六、CrowdSec：fail2ban 的"现代继任者”

CrowdSec（Go 写的现代版 fail2ban）2024 已成为更激进的选择：

1
2
3
4


# 装
curl -s https://packagecloud.io/install/repositories/crowdsec/crowdsec/script.deb.sh | sudo bash
sudo apt install crowdsec
sudo apt install crowdsec-firewall-bouncer-iptables

核心优势：
- 社区共享黑名单（CrowdSec 中心服务器聚合）
- Go 写（性能比 Python fail2ban 高 10 倍）
- bouncer 架构（解析 + 拉黑分离）
- PostgreSQL 存储（可查询历史）
2024 实践：fail2ban + CrowdSec 可以共存——fail2ban 处理本地 log，CrowdSec 接收社区信号。

七、fail2ban 在 Docker 时代的"困境"

fail2ban 装在 host 上时，它看不到容器里的日志（除非 mount log 目录到 host）。
fail2ban 装在容器里时，它改不了 iptables/nftables（容器网络是隔离的）。
2024 推荐方案：
- 方案 A：fail2ban 装 host，把容器日志 mount 出来（适合简单场景）
- 方案 B：用 CrowdSec + bouncer in container（更适合 K8s）
- 方案 C：直接上 WAF（Cloudflare / ModSecurity）—— 应用层防护

源文档：os/linux/第三方tools/safe/fail2ban/fail2ban.md（filter 模板、jail.local 多协议、FRP 集成）

Git 与版本控制实战：从入门到 GitHub 高级搜索

Sat, 15 Nov 2014 00:00:00 +0800

一、Git 在 2014 的地位

2014 年的 Git 已经基本统一了分布式版本控制市场。GitHub 2014 年 1 月用户突破 1000 万（2008 年成立，2013 年用户 300 万），国内 GitCafe、coding.net 同期兴起。本文整理 Git 从入门到 GitHub 高级搜索的完整工作流。

阅读建议：本文面向用过 SVN 切换到 Git 的开发者，重点在Git 概念 + 实战命令。

二、Git 安装与初始配置

2.1 安装

Windows：https://git-scm.com/download/win（Git for Windows，带 Git Bash）
macOS：brew install git（或装 Xcode Command Line Tools）
Linux：apt install git / yum install git

2.2 全局配置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 必填：用户名 + 邮箱
git config --global user.name "Your Name"
git config --global user.email "you@example.com"

# 推荐：默认编辑器
git config --global core.editor "vim"

# 推荐：默认分支名（Git 2.28+）
git config --global init.defaultBranch main

# 推荐：换行符处理（Windows 推荐）
git config --global core.autocrlf true

2.3 SSH 密钥登录 GitHub

生成密钥对：

1
2
3


ssh-keygen -t ed25519 -C "you@example.com"
# 或传统 RSA
ssh-keygen -t rsa -b 4096 -C "you@example.com"

复制公钥：

1
2
3
4
5
6


# Windows (Git Bash)
clip < ~/.ssh/id_ed25519.pub
# macOS
pbcopy < ~/.ssh/id_ed25519.pub
# Linux
cat ~/.ssh/id_ed25519.pub

GitHub Settings → SSH and GPG keys → New SSH key，粘贴。

验证：

1
2


ssh -T git@github.com
# 输出：Hi <username>! You've successfully authenticated...

2.4 HTTPS + Token 登录（GitHub 2021+ 强制）

2021-08 GitHub 取消密码推送，必须用 Personal Access Token (PAT)：

GitHub → Settings → Developer settings → Personal access tokens → Tokens (classic) → Generate new token
勾选 repo、gist、read:org、workflow
复制 token（只显示一次）

克隆时用 token：

1

git clone https://<TOKEN>@github.com/username/repo.git

IDEA 中：登录 GitHub 时填 token，不要用账户密码

三、Git 核心命令

3.1 本地仓库

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


# 初始化
git init
git init my-project
git clone https://github.com/xxx/repo.git

# 查看状态
git status
git log --oneline --graph --decorate --all

# 暂存与提交
git add <file>
git add . # 当前目录所有
git add -p # 交互式分块
git commit -m "msg"
git commit -am "msg" # add tracked files + commit

# 撤销
git checkout -- <file> # 丢弃工作区修改
git reset HEAD <file> # 取消暂存
git reset --soft HEAD~1 # 撤销 commit，保留暂存
git reset --hard HEAD~1 # 撤销 commit，丢弃修改（危险）
git revert <commit> # 反向 commit（安全）

3.2 分支

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


# 创建与切换
git branch <name> # 创建
git checkout <name> # 切换
git checkout -b <name> # 创建并切换
git switch <name> # Git 2.23+
git switch -c <name> # 创建并切换

# 推送与拉取
git push origin <branch>
git pull origin <branch>
git pull --rebase origin <branch> # 拉取后变基

# 合并
git merge <branch>
git merge --no-ff <branch> # 保留分支历史
git rebase <branch> # 变基（线性历史）

3.3 远程

1
2
3
4
5


git remote -v
git remote add origin https://github.com/xxx/repo.git
git remote set-url origin <new-url>
git fetch origin
git fetch --all

3.4 标签

1
2
3
4
5
6


git tag # 列出本地标签
git tag v1.0.0 # 轻量标签
git tag -a v1.0.0 -m "msg" # 附注标签
git push origin v1.0.0 # 推送单个
git push origin --tags # 推送所有
git checkout v1.0.0 # 切到标签

3.5 Stash（暂存工作区）

1
2
3
4


git stash # 暂存当前修改
git stash pop # 恢复
git stash list # 列出
git stash apply stash@{0} # 应用指定

四、`.gitignore` 模板

4.1 Java 项目

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30


# 编译产物
target/
build/
out/
*.class
*.jar
*.war

# IDE
.idea/
.vscode/
*.iml
*.iws
*.ipr
.project
.classpath
.settings/

# 日志
*.log
logs/

# 系统
.DS_Store
Thumbs.db

# 密钥
*.pem
*.key
secrets.yaml

4.2 Node 项目

1
2
3
4
5
6
7


node_modules/
npm-debug.log
.env
.env.local
dist/
.next/
.nuxt/

4.3 Python 项目

1
2
3
4
5
6
7


__pycache__/
*.pyc
.venv/
venv/
*.egg-info/
.pytest_cache/
.mypy_cache/

五、分支管理策略

5.1 Git Flow（2010 年 Vincent Driessen 提出）

1
2
3
4
5


master（生产）
 └── hotfix-*（紧急修复）
develop（开发）
 ├── feature-*（功能）
 └── release-*（预发布）

master：每个 commit 都是稳定版本，打 tag
develop：日常开发主分支
feature/*：功能分支，开发完 merge 回 develop
release/*：预发布分支，测试通过后 merge 到 master + develop
hotfix/*：紧急修复，直接从 master 拉，修完 merge 回 master + develop

5.2 GitHub Flow（2011 年 GitHub 提出）

只有 main + feature 分支：

从 main 拉 feature 分支
提交 + 推送到 GitHub
开 Pull Request
CI/CD 自动跑
Code Review
合并到 main
main 自动部署

适合：持续部署、单一版本的产品。

5.3 Trunk-Based Development（主干开发）

所有人在 main 上开发，短期分支（< 1 天）：

Feature flag：用代码开关控制新功能
每提交必测：CI 跑全量测试
每日合并：避免长寿命分支

适合：超大规模团队（Google、Facebook）。

六、GitHub 高级搜索

GitHub 搜索语法 2013 年就成熟了，对找开源项目、找开发者极有用。

6.1 关键词

语法	含义
`in:name xxx`	仓库名含 xxx
`in:description xxx`	描述含 xxx
`in:readme xxx`	README 含 xxx

6.2 数量

语法	含义
`stars:>xxx`	star > xxx
`stars:xx..xx`	star 在范围内
`forks:>xxx`	fork > xxx

6.3 地区/语言

语法	含义
`location:china`	地区
`language:javascript`	主语言

6.4 大小/日期

语法	含义
`size:>=5000`	仓库大小（KB）
`pushed:>2020-01-01`	最后 push 时间
`created:>2020-01-01`	创建时间

6.5 找组织/开发者

语法	含义
`user:xxx`	找用户
`org:xxx`	找组织
`followers:>=xxx`	关注者数量

6.6 License

语法	含义
`license:apache-2.0`	Apache 2.0
`license:mit`	MIT
`license:gpl-3.0`	GPL 3.0

6.7 实战示例

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 找 Java 写的、star > 10k 的 Spring Boot 项目
language:java spring boot stars:>10000

# 找 2020 年后更新的 Python 机器学习项目
language:python machine learning pushed:>2020-01-01

# 找 Apache 2.0 协议的 React 组件
react license:apache-2.0 in:readme

# 找来自中国的 JavaScript 全栈开发者
language:javascript location:china followers:>100

七、常用 Git 工作流

7.1 Fork 同步上游

Fork 别人的仓库后，怎么同步上游更新？

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 1. 关联上游仓库
git remote add upstream https://github.com/original-owner/repo.git
git remote -v

# 2. 拉取上游更新
git fetch upstream
git checkout main
git merge upstream/main

# 3. 推到自己 Fork
git push origin main

7.2 Git-FTP：用 FTP 部署静态站点

git-ftp 工具（https://github.com/git-ftp/git-ftp）让 Git 管理 FTP 部署：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 安装
# Windows: scoop install git-ftp
# macOS: brew install git-ftp

# 初始化
git ftp init --user <USER> --passwd <PASS> ftp://host/

# 部署
git ftp push --user <USER> --passwd <PASS> ftp://host/

# 只部署 master
git ftp push --syncroot . --user <USER> --passwd <PASS> ftp://host/

适用：没有 CI/CD 的小项目，纯 FTP 部署。

7.3 Git 配合 Jenkins

Jenkinsfile 经典写法：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28


pipeline {
 agent any
 stages {
 stage('Checkout') {
 steps {
 git branch: 'main',
 url: 'https://github.com/xxx/repo.git',
 credentialsId: 'github-token'
 }
 }
 stage('Build') {
 steps {
 sh 'mvn clean package -DskipTests'
 }
 }
 stage('Test') {
 steps {
 sh 'mvn test'
 }
 }
 stage('Deploy') {
 when { branch 'main' }
 steps {
 sh 'mvn deploy'
 }
 }
 }
}

7.4 Git 标签发版

1
2
3
4
5
6
7
8


# 发版流程
git checkout main
git pull
# 写 CHANGELOG
git tag -a v1.5.0 -m "Release 1.5.0"
git push origin v1.5.0

# GitHub 上：Releases → Draft a new release → 选 tag → 写变更

八、Git 内部原理

8.1 三个区

1
2
3
4
5
6
7


工作区（Working Directory）
 ↓ git add
暂存区（Staging / Index）
 ↓ git commit
本地仓库（Repository / .git）
 ↓ git push
远程仓库（Remote）

8.2 Git 对象

blob：文件内容
tree：目录结构
commit：一次提交（含 tree + parent + author + message）
tag：标签对象

每个对象都有 SHA-1 hash，git cat-file -p <hash> 看内容。

8.3 分支本质

分支是 commit 的指针。.git/refs/heads/main 文件里就一个 40 字符的 hash。

1
2
3


# 查看分支指向
cat .git/refs/heads/main
# 输出：a1b2c3d4e5f6...

九、常见问题

9.1 “Failed to connect to github.com port 443: Timed out”

1
2
3
4
5
6
7


# 设代理
git config --global http.proxy http://127.0.0.1:1081
git config --global https.proxy http://127.0.0.1:1081

# 取消代理
git config --global --unset http.proxy
git config --global --unset https.proxy

9.2 “Could not resolve host: github.com”

1
2
3
4


# 改 hosts（Windows 路径：C:\Windows\System32\drivers\etc\hosts）
# 注意：先去掉"只读"属性
140.82.112.4 github.com
140.82.112.3 github.com

或者用 SwitchHosts 工具可视化编辑。

9.3 “Your branch is ahead of ‘origin/main’ by N commits”

1

git push origin main

9.4 合并冲突

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


# 1. 拉取冲突代码
git pull origin main
# 输出：CONFLICT (content): Merge conflict in <file>

# 2. 打开文件，找到冲突标记
<<<<<<< HEAD
你的代码
=======
别人的代码
>>>>>>> branch-name

# 3. 手动编辑（保留你想要的）

# 4. 标记为已解决
git add <file>
git commit -m "resolve conflict"

9.5 “Permission denied (publickey)”

1
2
3
4
5
6
7
8


# 检查 SSH key 是否加载
ssh-add -l

# 如果没加载
ssh-add ~/.ssh/id_ed25519

# 测试连接
ssh -T git@github.com

9.6 误删分支恢复

1
2
3
4
5


# 1. 找到最后一次 commit hash
git reflog

# 2. 重建分支
git checkout -b <branch> <hash>

9.7 .git 占用空间过大

1
2
3
4
5
6


# 清理大文件历史
git gc --aggressive --prune=now
# 或用 BFG Repo-Cleaner
bfg --delete-files "*.jar" --no-blob-protection
git reflog expire --expire=now --all
git gc --prune=now --aggressive

十、下一步

想看 Java 主力 IDE：[2014-04-15 IntelliJ IDEA 全攻略]
想看 CI/CD：项目全流程 章节中的 Jenkins 实战
想看 Git 托管平台对比：[2021-05-10 开源生态观察]

本文写于 2014 年，回看当时：Git 2.1 是当时最新版，git switch / git restore 还没出来（2019 年 2.23 才发布）；GitHub 高级搜索语法至今未大变；Git Flow 在 2014 已是行业事实，但 2017 年后 Trunk-Based 越来越流行——Git 工作流的演化反映了 CI/CD 文化的演进。

Linux 基础命令速查：查版本、查公网 IP、查 CPU、SSH 登录

Mon, 15 Sep 2014 00:00:00 +0800

一、为什么是 2014 年这一份

我第一次写"Linux 速查"是 2006 年，那会儿查版本靠 /etc/redhat-release 和 /etc/debian_version 两个发行版自带的小文本，netstat -an 几乎是网络排查的唯一选项。8 年后情况变了：systemd 在 RHEL/CentOS 7（2014-07 发布）上成为默认 init，发行版统一把元数据塞进了 /etc/os-release；iproute2 包的 ss 也开始慢慢取代 net-tools 的 netstat；公网 IP 查询有了 cip.cc、ifconfig.me、ipinfo.io 等多个选择。

这一篇只覆盖 4 类最高频的命令——查版本、查公网 IP、查 CPU、SSH 登录。其他类别（进程、磁盘、网络工具深度用法）单独成文。

阅读建议：本文每个命令块都"可独立复制运行"；先收藏，遇到具体场景再回头查对应小节。

二、查看系统版本：`/etc/os-release`

/etc/os-release 是 systemd 在 2012 年引入的统一标准文件——所有遵循规范的发行版（CentOS 7、Debian 7+、Ubuntu 12.04+、Fedora 19+、Arch 等）都把元数据写在这里。不再需要 cat /etc/redhat-release 后还要 cat /etc/debian_version 各查一次。

1

cat /etc/os-release

CentOS 输出形如：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


NAME="CentOS Linux"
VERSION="7.0 (Core)"
ID="centos"
ID_LIKE="rhel fedora"
VERSION_ID="7.0"
PRETTY_NAME="CentOS Linux 7 (Core)"
ANSI_COLOR="0;31"
CPE_NAME="cpe:/o:centos:centos:7"
HOME_URL="https://www.centos.org/"
BUG_REPORT_URL="https://bugs.centos.org/"

Debian 输出形如：

1
2
3
4
5
6


PRETTY_NAME="Debian GNU/Linux 7 (wheezy)"
NAME="Debian GNU/Linux"
VERSION_ID="7"
ID=debian
ANSI_COLOR="1;31"
HOME_URL="http://www.debian.org/"

关于截图：原始笔记里附了 CentOS / Debian 的 os-release 截图对照，本文中以等价文本输出还原。如需在自己机器上对比，直接 cat /etc/os-release 即可。

几个关键字段：

字段	含义	用途
`NAME`	发行版大写名	人类阅读
`ID`	发行版小写标识	脚本判断（shell 中用 `. /etc/os-release && echo $ID`）
`VERSION_ID`	主版本号	脚本判断主版本（适合做 `>=7` 判定）
`PRETTY_NAME`	完整描述名	报错时贴这个最清晰
`ID_LIKE`	父系/兼容发行版	知道"这机器能装哪边的包"

在脚本里这样用（避免 grep /etc/redhat-release 这种字符串匹配）：

1
2
3
4


. /etc/os-release
if [ "$ID" = "centos" ] && [ "${VERSION_ID%%.*}" -ge 7 ]; then
 echo "CentOS 7+，可以放心用 systemctl 管理服务"
fi

三、查公网 IP：`curl cip.cc`

临时想知道"出口 IP 是什么、归属哪里、用什么运营商"，最快一条：

1

curl cip.cc

输出形如：

1
2
3
4
5
6


IP : 203.0.113.45
地址 : 中国 北京 北京
运营商 : 联通
数据二 : 北京市 | 联通
数据三 : 中国北京北京 | 联通
URL : http://cip.cc

返回 IP、归属地、运营商三件套，人眼可读。这是一台第三方 HTTP 服务（cip.cc），不是机器本地命令。

同类工具（适合做容灾备份——一个挂了好切另一个）：

域名	特点
`cip.cc`	国内访问快，中文输出（本文首选）
`ifconfig.me`	海外老牌，2011 上线，英文输出，纯文本
`ipinfo.io`	JSON 输出，适合脚本里 `jq` 解析
`checkip.dyndns.org`	老牌 dyndns 提供，HTML 输出要 grep
`api.ipify.org`	极简，只返 IP 一个字段

网络受限时的备用姿势：

1
2
3
4
5
6
7


# 极简（只返 IP）
curl -s https://api.ipify.org
# 等价于
curl -s https://ifconfig.me/ip

# JSON（适合脚本）
curl -s https://ipinfo.io/json | jq .ip

注意：如果机器完全没出网（数据库/内网工具机常见），所有这些命令都会超时；这时要看"公网 IP"得去网关/路由器/云厂商控制台查。

四、查 CPU 信息

服务器出问题时，“先看硬件"比"看软件"效率高——CPU 都不知道几核几线程，调优就是瞎调。

4.1 一组核心命令

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


# 物理 CPU 个数（几颗 CPU）
cat /proc/cpuinfo | grep "physical id" | sort | uniq | wc -l

# 每颗 CPU 的核心数
cat /proc/cpuinfo | grep "cpu cores" | uniq

# 逻辑 CPU 个数（线程数）
grep 'processor' /proc/cpuinfo | sort -u | wc -l
cat /proc/cpuinfo | grep "processor" | wc -l

# CPU 型号
cat /proc/cpuinfo | grep name | cut -f2 -d: | uniq -c

# 通过 dmidecode 查详细型号
dmidecode -s processor-version

4.2 几个数字怎么对

名称	命令	关系
物理 CPU 颗数	`physical id` 去重计数	一颗 CPU 可能有 4/6/8/… 核
每颗核心数	`cpu cores`（uniq 一行）	Intel 一般物理核 = 核心数；AMD 早期有"模块"概念
逻辑 CPU 数	`processor` 行数	开了超线程后 = 核心数 × 2

典型云厂商机器输出参考（某云 ECS 通用型）：

1 颗物理 CPU，2 核心，开了超线程 → 4 个逻辑 CPU
命令输出：physical id = 1，cpu cores = 2，processor = 0,1,2,3

为什么是 /proc/cpuinfo？ 这是 Linux 内核导出的伪文件系统，硬件信息在启动时由内核从 ACPI/BIOS 读到内存里再吐出来——不需要装任何工具。dmidecode 走的是另一条路（直接读 DMI/SMBIOS 表），能拿到型号/主频等详细信息，但需要 root 权限。

五、SSH 远程登录与排错

telnet 是 TCP 层面的"能不能通"测试，ssh -v 是协议层面的"为什么连不上"诊断——两条结合用最稳。

1
2
3
4
5


# 1. 先用 telnet 测 TCP 层面能不能到达
telnet internal.example.com 81

# 2. 再用 ssh -v 看 SSH 协议细节（-v = verbose）
ssh -v -p 81 admin@internal.example.com

5.1 两条命令的分工

命令	测什么	失败时典型表现
`telnet host port`	TCP 三次握手	`Connection refused`（端口没开/服务没起） `Connection timed out`（防火墙拦了）
`ssh -v -p port user@host`	SSH 协议协商 + 认证	卡在 `debug1: SSH2_MSG_KEXINIT sent`（协议不匹配） `Permission denied (publickey)`（认证失败）

诊断顺序：先 telnet 测 TCP 通不通，不通就别往下走；通了再 ssh -v 看协议和认证。

5.2 SSH 连不上时的 3 个最常见原因

防火墙/安全组没放端口（最常见）——telnet 就超时
sshd 没监听该端口——/etc/ssh/sshd_config 里 Port 22 没改、或改了没重启
公钥没传对位置——~/.ssh/authorized_keys 权限不对（应该是 600，目录是 700）

5.3 `-v` 看到的关键日志

1
2
3
4
5
6
7
8


debug1: Connecting to internal.example.com [10.x.x.x] port 81.
debug1: Connection established.
debug1: identity file /root/.ssh/id_rsa type 1
debug1: SSH2_MSG_KEXINIT sent # 协议交换
debug1: SSH2_MSG_KEXINIT received
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Authentication succeeded (publickey).

中间任意一行卡住/报错都是诊断线索。Authentications that can continue 这一行最关键——列出了服务端愿意接受的认证方式。

六、4 类命令的速查表

类别	命令	用途
系统版本	`cat /etc/os-release`	查发行版与版本号（systemd 时代统一标准）
公网 IP	`curl cip.cc`	查出口 IP + 归属地 + 运营商
CPU 信息	`cat /proc/cpuinfo \| grep "..."`	物理/逻辑 CPU 数、核心数、型号
SSH 登录	`ssh -v -p 81 user@host`	远程登录并 verbose 排错

七、参考与延伸

内部笔记《通用命令》（2014-09-15 节选）
深入进程管理：《Linux 进程与服务管理》
服务器应急排查：《Linux 性能调试与应急排查》
官方规范：systemd /etc/os-release 手册
同类公网 IP 查询工具：ifconfig.me · ipinfo.io · api.ipify.org

2024 视角：十年后这 4 条命令的现状

站在 2024 年回望这 4 条命令，部分用法已被新工具替代或默认配置已经变了：

一、查系统版本：`/etc/os-release` 仍是标准

CentOS 7 在 2024-06-30 进入 ELS 阶段（仅安全更新，无功能更新）。/etc/os-release 仍可读，但 VERSION_ID="7" 后已经没有新的 minor 版本。
CentOS 8 已经 2021-12-31 EOL，mirror.centos.org 失效；想继续读 os-release 内容正常，但 yum update 必须先换 vault.centos.org。
新项目默认：Rocky Linux 9.x / AlmaLinux 9.x / Ubuntu 22.04 / 24.04。/etc/os-release 的 ID=rocky / ID=almalinux / ID=ubuntu 是判定主版本的最稳字段。

脚本里更现代的判定方式：

1
2
3
4
5
6


. /etc/os-release
case "$ID" in
 rocky|almalinux|centos|rhel) echo "RHEL 系，dnf 管理" ;;
 ubuntu|debian) echo "Debian 系，apt 管理" ;;
 *) echo "其他：$ID $VERSION_ID" ;;
esac

二、查公网 IP：HTTPS 是默认

2014 时代还能用的明文 HTTP 服务（http://cip.cc）在 2024 年很多被劫持或下线，统一改用 HTTPS。

推荐使用支持 HTTPS 的查询：

1
2
3


curl -s https://api.ipify.org && echo
curl -s https://ifconfig.me
curl -s https://ipinfo.io/json | jq -r '.ip'

国产替代：curl https://myip.ipip.net（ipip.net 提供的中文输出）。
企业批量场景：建议自己起一个内部 IP 查询服务（curl -s http://10.0.0.1:8080/myip），避免依赖第三方。

三、查 CPU 信息：`lscpu` 是首选

/proc/cpuinfo 仍是最权威的来源，但读起来费劲。2024 主流是 lscpu（util-linux 包）：

1
2
3
4
5
6
7
8
9


lscpu
# Architecture: x86_64
# CPU(s): 128
# Model name: Intel(R) Xeon(R) Platinum 8338C CPU @ 2.60GHz
# CPU MHz: 2600.000
# L1d cache: 32K
# L1i cache: 32K
# L2 cache: 4096K
# L3 cache: 36608K

新硬件信息（dmidecode 仍然需要 root）：
1

sudo dmidecode -t processor | head -30
NUMA 拓扑（多 socket 机器 2024 已是标配）：
1 2

lscpu | grep -i numa numactl --hardware

四、SSH 登录：OpenSSH 9.x 的关键变化

OpenSSH 8.3+（2020）默认禁用 SHA1 的 RSA 签名（ssh-rsa），改用 rsa-sha2-256/512。
OpenSSH 9.0+（2022）默认禁用 ssh-dss (DSA)，所有 DSA 密钥都连不上。
OpenSSH 9.6+（2024-03）开始对默认配置加固：例如 PubkeyAcceptedAlgorithms 默认禁用 SHA1 主机密钥。
2024 推荐生成 ed25519 密钥（比 RSA 短、比 ECDSA 抗量子侧信道）：
1

ssh-keygen -t ed25519 -C "lwd@<your-host>"
老 RSA 密钥 2024 仍能用，但服务端 sshd 7.4+ 默认就接受 rsa-sha2-256/512 了，不用特殊配置。

Linux 工作站基础配置：swap、字体、输入法与 SSH

Wed, 15 Jan 2014 00:00:00 +0800

为什么需要这套配置

把 Linux 当作日常桌面工作站使用，2014 年开始已经可行：GNOME 3.10、KDE 4.11、XFCE 4.10 都已稳定，VMware / VirtualBox 跑 Windows XP/7 兼容良好。但"桌面工作站"和"服务器"最大的区别在于"长时间挂起 + 内存抖动 + 多桌面 + 代理客户端"这四件事。

本文把"日常开机就能用"的 Linux 工作站环境拆成 4 块：内存保护（swap + earlyoom）、字体、输入法、SSH 服务、代理客户端。

前置知识

已有 Kali / Debian / Ubuntu 12.04+ 的 root 账号
知道 apt update && apt install -y pkg 的基本语法
有 sudo 权限

一、Swap + earlyoom：内存保命的最后一道防线

桌面环境最常见的死机原因是 OOM（Out Of Memory）。早期 Linux 内核会在 OOM 时随机杀进程（OOM Killer），但 Xorg 桌面被杀掉就会黑屏。earlyoom 是一个"提前 OOM killer"——当可用内存低于阈值时主动同步杀最大占用进程，桌面不会黑屏。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


# 1. 彻底关闭可能残留的异常 swap 状态
sudo swapoff -a

# 2. 在根目录下分配 8G swap（按物理内存 50% 估算）
sudo fallocate -l 8G /swapfile

# 3. 必须锁死权限，只允许系统 root 读写（安全合规要求）
sudo chmod 600 /swapfile

# 4. 把这个文件格式化为 Linux Swap 交换文件
sudo mkswap /swapfile

# 5. 立刻启用它
sudo swapon /swapfile
sudo sed -i '/\/swapfile/d' /etc/fstab
echo "/swapfile none swap sw 0 0" | sudo tee -a /etc/fstab
sudo swapon -a
swapon --show

# 6. 安装 EarlyOOM 并设置开机自启
sudo apt update && sudo apt install -y earlyoom
sudo systemctl enable --now earlyoom

fallocate 是 2014 年起标准工具，比 dd 快几十倍（秒级 vs 分钟级）。

二、内核调度：把 CPU 优先权让给图形服务

桌面卡顿的元凶之一是"图形进程优先级被系统调度压到 -5 以下"。Xfce / GNOME / KDE 都需要把 Xorg、wayland、合成器、窗口管理器的 nice 值提到 -15。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


# 1. 正式写入留出 10% CPU 硬件带宽的配置（900000 微秒）
echo "kernel.sched_rt_runtime_us = 900000" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
sysctl kernel.sched_rt_runtime_us

# 2. 查 Xfce 桌面进程 PID（Kali 默认）
pgrep -x xfwm4

# 查 GNOME 桌面进程 PID
pgrep -x gnome-shell

# 查 KDE 桌面进程 PID
pgrep -x kwin_x11 || pgrep -x kwin_wayland

# 3. 通用命令：把底层图形服务提到最高优先级 (-15)
sudo renice -n -15 -p $(pgrep -x Xorg || pgrep -x wayland)

Xfce 永久生效

Xfce 是 Kali Linux 的默认桌面，重启后需要重新提权。用 @reboot 配合 sleep 10（等系统启动完）解决：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 1. 提升底层图形服务器优先级 (-15)
sudo renice -n -15 -p $(pgrep -x Xorg || pgrep -x wayland)
# 2. 针对 Xfce 桌面组件，精准全员提权 (-15)
sudo renice -n -15 -p $(pgrep -x xfwm4) $(pgrep -x xfce4-panel) $(pgrep -x xfdesktop)

# 3. 写入 crontab，重启后自动执行
(sudo crontab -l 2>/dev/null; echo "@reboot sleep 10 && renice -n -15 -p \$(pgrep -x Xorg || pgrep -x wayland) \$(pgrep -x xfwm4) \$(pgrep -x xfce4-panel) \$(pgrep -x xfdesktop) >/dev/null 2>&1") | sudo crontab -

# 4. 验证
sudo crontab -l
ps -p 2329 -o pid,ni,comm

GNOME / KDE 单行命令

GNOME 和 KDE 只有 1 个主进程需要提权：

1
2
3
4
5


# GNOME 桌面
sudo renice -n -15 -p $(pgrep -x gnome-shell)

# KDE 桌面
sudo renice -n -15 -p $(pgrep -x kwin_x11 || pgrep -x kwin_wayland || pgrep -x plasmashell)

三、字体：Cantarell + Fira Code Medium

Kali / Debian 桌面默认字体的几个坑：

Cantarell Regular 11（GNOME 默认）：界面阅读舒服，但等宽字符宽度不一致，vim / 终端会错位
Fira Code Medium 10（等宽字体）：连字（ligature）支持好，=> != >= 会自动连写

解决：终端强制用 Fira Code Medium，界面保留 Cantarell。

四、五笔输入法（fcitx5）

Debian 12+ / Kali 切换到 fcitx5 框架，比 fcitx4 性能好、内存少。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


sudo apt-get install fcitx5 fcitx5-chinese-addons \
 fcitx5-frontend-gtk2 fcitx5-frontend-gtk3 fcitx5-frontend-qt5 \
 kde-config-fcitx5

# 写入 ~/.zshrc
cat << 'EOF' >> ~/.zshrc
export GTK_IM_MODULE=fcitx
export QT_IM_MODULE=fcitx
export XMODIFIERS="@im=fcitx"
EOF

# 启动
fcitx5 -d

# 打开配置（添加五笔 / 拼音）
fcitx5-config-qt

五、SSH 服务：桌面机的远程救生圈

桌面 Linux 装上 SSH 服务后，崩溃时可以从另一台机器 SSH 进去 kill 进程、重启服务——比物理重启快 10 倍。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


# 1. 安装并启用
sudo apt update && sudo apt install -y openssh-server
sudo systemctl start ssh
sudo systemctl enable ssh
sudo systemctl status ssh

# 2. 编辑配置（启用公私钥登录）
sudo nvim /etc/ssh/sshd_config
# 找到下面这行，确保 yes
PubkeyAuthentication yes
sudo systemctl restart ssh

# 3. 把其他机器的公钥追加到本机
cat doc/path/to/id_rsa.pub >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
chmod 700 ~/.ssh

六、Clash Verge：TUN 模式 + 软件渲染兜底

Linux 桌面装代理客户端的最大坑是 WebKit2GTK 在 VMware 软显卡上崩溃。Clash Verge Rev 是 2023 年后社区维护的版本，2.5.0 系列（2024+）加入了 WebKit 软渲染选项。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


# 1. 安装（以 .deb 为例）
sudo dpkg -i Clash.Verge_2.5.0-rc_amd64.deb
which clash-verge
/usr/bin/clash-verge

# 2. TUN 模式：自动代理，省去系统代理环境变量配置
# 在 Verge 设置里开启 TUN 模式

# 3. 软渲染兜底（VMware SVGA II 显卡崩溃场景）
# NO_AT_BRIDGE=1 禁用 ATK bridge，绕过崩溃
# LIBGL_ALWAYS_SOFTWARE=1 强制 Mesa 用 CPU 软渲染（llvmpipe）替代 GPU 硬加速
LIBGL_ALWAYS_SOFTWARE=1 NO_AT_BRIDGE=1 clash-verge

# 4. 启动器参数（图形界面双击）
env LIBGL_ALWAYS_SOFTWARE=1 NO_AT_BRIDGE=1 clash-verge %u

# 5. 卸载
dpkg -l | grep clash
sudo dpkg -r clash-verge # 普通卸载
sudo dpkg -P clash-verge # 彻底卸载
sudo apt autoremove
rm -rf ~/.config/clash-verge/ # 清理配置

Why 软渲染：Clash Verge 用 WebKit2GTK 渲染界面，需要 OpenGL 做合成。VMware 显卡是 VMware SVGA II，内核驱动 vmwgfx 虽然能提供 3D 加速，但 WebKit2GTK 的 GPU 合成路径在 vmwgfx 上有问题，渲染出来是黑的。软渲染用 CPU 替代 GPU，速度慢 5 倍但稳定。

七、字体与终端协同

桌面	终端	界面
Xfce	Fira Code Medium 10	Cantarell Regular 11
GNOME	Fira Code Medium 10	Cantarell Regular 11
KDE	Fira Code Medium 10	Noto Sans CJK 11

KDE 桌面默认字体对中文渲染好（Noto Sans CJK 11），但等宽字符需要手动指定 Fira Code Medium。

下一步

想了解更多 Linux 开发工具链（sdkman / Go / Rust / Docker），看 2016-07-15《Linux 办公与开发工具链》
想把 WSL2 用成日常开发主力，看 2017-01-15《WSL2 完整使用手册》
想在 Windows 端实现类似体验，看 2017-04-15《Windows 包管理器三件套》

参考资料

早期 Linux 桌面工作站的稳定性方案
fcitx5 项目：https://github.com/fcitx/fcitx5
Clash Verge Rev：https://github.com/clash-verge-rev/clash-verge-rev

2024+ 视角：Wayland 主导 + Systemd-resolved + 现代 Linux 桌面

2024+ Linux 桌面的关键变化

维度	2014	2024+
显示协议	X11	Wayland（GNOME 46+ / KDE 6 默认）
桌面	GNOME 3.10 / KDE 4.11	GNOME 46 / KDE 6
字体渲染	freetype + cairo	freetype 2.13 + harfbuzz 8
输入法	fcitx4	fcitx5 5.1+
代理	各种 GUI	Clash Meta（Mihomo）
窗口合成	Xorg 手动	Wayland 协议

Wayland 是 2024+ 的"正确选择"

GNOME 46+（2024-03）默认 Wayland，X11 仅兼容模式
KDE Plasma 6（2024-02）默认 Wayland
Sway / Hyprland 等 tiling WM 体验更丝滑

Wayland 优势：

撕裂 / 延迟远低于 X11
HiDPI 缩放原生支持
安全模型更严（窗口间不互通）
与 GPU 合成深度集成

Wayland 坑：

NVIDIA 闭源驱动支持差（开源驱动 nouveau OK）
截屏 / 录屏工具要适配
远程桌面（VNC / RDP）需要 waypipe

`earlyoom` 已被 `systemd-oomd` 取代

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 1. 禁用 earlyoom
sudo systemctl disable --now earlyoom

# 2. 启用 systemd-oomd
sudo systemctl enable --now systemd-oomd

# 3. 配置 /etc/systemd/oomd.conf
[OOM]
SwapUsedLimit=90%
DefaultMemoryPressureLimit=60%
ManagedOOMSwap=kill
ManagedOOMMemoryPressure=kill

优势：

内核 PSI（Pressure Stall Information）数据，比 earlyoom 更精准
systemd 原生集成，无需独立守护进程
cgroup 级别 OOM 控制（容器友好）

字体 2024+ 演进

Cantarell 仍是 GNOME 默认
Inter 2024+ 跨桌面最流行（Noto Sans CJK 11 仍是 KDE CJK 首选）
JetBrainsMono Nerd Font 替代 Fira Code（连字 + 图标覆盖更全）
CJK 字体：思源黑体（Noto Sans CJK）仍是开源首选

1
2
3
4
5
6
7


# 装全套 Nerd Font（2024+ 推荐）
sudo apt install fonts-jetbrains-mono
# 或下载
wget https://github.com/ryanoasis/nerd-fonts/releases/latest/download/JetBrainsMono.zip
mkdir -p ~/.local/share/fonts/JetBrainsMono
unzip JetBrainsMono.zip -d ~/.local/share/fonts/JetBrainsMono/
fc-cache -fv

输入法 2024+ 现状

fcitx5 5.1+（2024）：RIME 内核升级，五笔 / 拼音 / 粤语 / 沪语支持完整
ibus 1.5+（Wayland 友好）
Wayland 兼容性：fcitx5 5.1+ 完全兼容 Wayland

1
2
3
4


# fcitx5 2024+ 配置
fcitx5-config-qt # 图形化配置
# ~/.config/fcitx5/conf/rime.conf
# 切换 rime 输入法部署目录

SSH 2024+ 安全基线

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# /etc/ssh/sshd_config（2024+ 推荐）
Port 2222 # 改默认端口
PermitRootLogin no
PasswordAuthentication no # 禁用密码
PubkeyAuthentication yes
KbdInteractiveAuthentication no
MaxAuthTries 3
ClientAliveInterval 300
ClientAliveCountMax 2

# 只允许特定用户
AllowGroups ssh-users

# 强制现代算法
KexAlgorithms curve25519-sha256@libssh.org
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com
MACs hmac-sha2-512-etm@openssh.com

Clash Verge Rev 2024+ 现状

Clash Meta（Mihomo） 成为协议支持最广的代理内核
Clash Verge Rev 2.x（2024）：基于 Tauri 2.0，内存占用从 200MB 降到 50MB
mihomo party 2024+：Linux 上 GUI 体验最好
sing-box 1.9+：Clash Verge 之外的另一个选择，原生支持 Reality / Hysteria2

1
2


# 2024+ 启动参数
LIBGL_ALWAYS_SOFTWARE=1 WEBKIT_DISABLE_DMABUF_RENDERER=1 clash-verge-rev

2024+ 推荐的 Linux 桌面配置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


现代 Linux 桌面工作站（2024+）
├── 发行版：Ubuntu 24.04 LTS / Fedora 40 / Arch
├── 桌面：GNOME 46 / KDE Plasma 6 / Hyprland
├── 显示协议：Wayland（默认）
├── 字体：JetBrainsMono Nerd Font + Noto Sans CJK
├── 输入法：fcitx5 5.1+（RIME / 五笔）
├── OOM：systemd-oomd（替代 earlyoom）
├── 代理：Clash Verge Rev 2.x / Mihomo
├── SSH：OpenSSH 9.x（强制密钥 + 改端口）
├── 文件：ZFS / Btrfs 快照 + 自动备份
├── 安全：UFW + Fail2ban
├── 监控：GNOME Extensions / Conky
└── 终端：Ghostty / Kitty / Foot（Wayland 原生）

2024+ 实用工具

工具	用途
Ghostty	Wayland 原生终端，启动 < 10ms
Kitty	GPU 加速终端
Neovim 0.10+	现代化 vim（Lua 配置）
Helix	Rust 写的现代化编辑器
Zed	2024 新编辑器，AI 友好
Waybar	Wayland 状态栏（Hyprland 配套）
rofi-wayland	应用启动器
sway / Hyprland	Tiling WM
wl-clipboard	Wayland 剪贴板
grim + slurp	Wayland 截屏

实战坑（2024+）

NVIDIA + Wayland：必须用 NVIDIA 555+ 驱动 + nvidia-drm.modeset=1 内核参数
fcitx5 + Wayland：必须用 fcitx5 5.1+ 版本，否则无法在 Wayland 下激活
systemd-oomd 配置：阈值设太低会杀正常进程，太高会触发内核 OOM Killer
Clash Verge 2.x 启动慢：Tauri 2.0 冷启动约 2s，可配 --no-sandbox 加快

SSH on Liangweidong's blog

Linux 远程登录与安全实践：SSH 公私钥、scp 免密、Wake-on-LAN 远程开机与网络配置

一、为什么是 2017 年这一份

二、SSH 远程登录

2.1 sshpass：脚本里的免密登录

2.2 优化：去掉"是否连接"的提示

三、SSH 公私钥登录：生产环境标配

3.1 生成密钥对

3.2 上传公钥到服务器

3.3 服务端配置

3.4 多个公钥

四、scp 远程拷贝

4.1 本地 → 远程

4.2 远程 → 本地

4.3 常用选项

五、Wake-on-LAN 远程开机

5.1 检查网卡是否支持 WoL

5.2 启用 WoL

5.3 查网卡物理地址（MAC）

5.4 安装并发送魔术包

5.5 BIOS 也要打开 WoL

5.6 远程关机

六、Debian / Ubuntu 网络配置

6.1 Debian 9/10：/etc/network/interfaces

6.2 查看 DNS

6.3 Ubuntu 18.04+：netplan

6.4 DNS：systemd-resolved

七、Debian 静态 IP 实际案例

八、前置知识 / 下一步

九、参考资源

2024 视角：7 年后远程管理的"新王"和"新坑"

一、ed25519 全面替代 RSA 2048

二、SSH 配置的"现代化"补充

三、scp 全面弃用，改用 sftp / rsync

四、Wake-on-LAN 在云时代的"替代方案"

五、WireGuard 替代 SSH 隧道 + frp

六、网络配置：NetworkManager 已成"事实上默认"

七、Tailscale / ZeroTier 终结"内网穿透"

Win11 OpenSSH 服务端实战：安装、连接、卸载与防火墙

一、为什么要在 Windows 上装 OpenSSH

二、查 OpenSSH 是否已装

三、在线安装

四、离线安装

4.1 下载离线包

4.2 安装

五、启动服务

5.1 启动 sshd

5.2 验证防火墙规则

5.3 手动添加防火墙规则（如果没有）

六、连接测试

6.1 从 Linux / macOS 连接

6.2 第一次连接的 fingerprint 确认

6.3 PowerShell 验证 OpenSSH 版本

七、SSH 密钥认证

7.1 在客户端生成密钥对

7.2 把公钥传到 Windows

7.3 关闭密码认证（可选）

八、PowerShell Remoting over SSH

8.1 服务端准备

8.2 客户端连接

8.3 脚本化调用

九、常见问题排查

9.1 sshd 启动失败：sshd: no hostkeys available

9.2 客户端报 “Permission denied (publickey)”

9.3 连接慢 / 卡顿

十、彻底卸载

十一、SSH 客户端常用命令（Win11 自带）

11.1 VS Code Remote - SSH

11.2 scp 跨机传文件

十二、Win10 / Win11 自带 OpenSSH 局限性

十三、常见 5 个坑

十四、总结

参考资料

fail2ban 防 SSH/FRP/Nginx 爆破实战：日志正则匹配 + iptables 拉黑

背景

一、fail2ban 工作原理

二、安装

2.1 CentOS

2.2 Ubuntu / Debian

2.3 启动 + 开机自启

6.1 Debian 9/10：`/etc/network/interfaces`

6.3 Ubuntu 18.04+：`netplan`

6.4 DNS：`systemd-resolved`

9.1 sshd 启动失败：`sshd: no hostkeys available`

二、`recidive` 监狱——“二次封禁"防反复

四、`.gitignore` 模板