Linux on FelixHao's Blog

备份服务器数据到阿里云盘

Wed, 07 Jan 2026 17:13:05 +0800

背景

为了防止重要数据丢失，必须进行备份，备份最保险的措施就是异地备份。即使本地组成最安全的磁盘阵列，依然可能被一锅端。文章将介绍如何通过 OpenList + 阿里云盘异地备份重要数据。

环境

操作系统：debian12

安装 openlist

最简单最安全的方式是使用 docker 安装 openlist。docker-compose.yaml 文件内容如下：

services:
  openlist:
    image: 'openlistteam/openlist:latest'
    container_name: openlist
    user: '1001:1001' # Please replace `0:0` with the actual user ID and group ID you want to use to run OpenList.
    volumes:
      - './data:/opt/openlist/data'
    ports:
      - '5244:5244'
    environment:
      - UMASK=022
      - TZ=Asia/Shanghai
      - OPENLIST_ADMIN_PASSWORD=password
    restart: unless-stopped

执行如下命令启动 OpenList:

# 启动之前先修改 data 目录的权限
chown -R 1001:1001 ./data
docker compose up -d

在 OpenList 中挂载阿里云盘

根据官方文档进行操作即可。假设

设置 OpenList 的 WabDav 权限

根据官方文档操作即可。

上传文件到 OpenList

假设服务器的地址是： docker.local.com:5244，阿里云盘映射到 OpenList 的名称是：aliyun-drive。有两种方式上传文件：

curl
rclone

curl 上传文件

使用 curl 上传：

curl -T size_60MB.txt -u <username>:<password> http://docker.local.com:5244/dav/aliyun-drive/

使用 curl 命令测试的时候，URL 最后面的 / 不能够少，表示上传文件到 aliyun-drive 文件夹。如果不加最后的 / ，表示上传文件到 openlist 的根目录，并将 size_60MB.txt 重命名为 aliyun-drive。

rclone 上传文件

安装 rclone 命令：

apt install -y rclone

安装成功之后，可以通过 rclone config 交互式命令配置 rclone，也可以在 ~/.config/rclone/rclone.conf 文件中直接写入配置

# openlist 是名称，随意命名
[openlist]
type = webdav
url = http://docker.local.com:5244/dav
vendor = other
user = admin
pass = 2SkGONIcZ4HcPItSBDN8O26ThYY4AV_C

配置文件中的密码是加密后的密码，可以通过如下命令对密码进行加密：

rclone obscure 'mypassword'

将加密后的密码放入到 ~/.config/rclone/rclone.conf 文件的 pass 中

使用 rclone 上传文件：

rclone copy size_60MB.txt openlist:aliyun-drive --progress

对文件进行加密

加密方式有两种：对称加密和非对称加密。

对称加密速度快，适合加密大文件
非对称加密更安全，但是不适合加密大文件

备份文件的大小通常都比较大，应当使用对称加密。如果每次备份文件使用的对称加密的密钥都相同，某个文件被破解，其他使用相同密钥加密的文件也被破解了，因此每次加密文件使用的对称加密的密钥应当不同。

每次加密的密钥都不相同，如何管理这些密钥呢？答案是：使用非对称加密的公钥对对称加密的密钥进行加密，并将加密后的密钥与备份文件放在一个压缩包中，这就是对称加密和非对称加密的混合加密方式。

使用混和加密时，一定一定要保管好非对称加密的私钥，私钥丢了，那就一点办法都没有了，以目前计算机的算力是无法破解的。私钥可以保存到自己的计算机或者是 U 盘上。

混和加密的步骤如下：

1. 生成 RSA 密钥对

生成私钥

openssl genpkey -algorithm RSA -out private.pem -pkeyopt rsa_keygen_bits:2048

genpkey: 表示生成私钥
-algorithm RSA: 表示使用 RSA 非对称加密算法
-out private.pem: 输出的私钥保存到 private.pem 文件中
-pkeyopt rsa_keygen_bits:2048: 表示生成的 RSA 密钥的大小为 2048 位。密钥长度越长，安全性越高，但生成和加解密运算时消耗的资源也越多。2048 位是目前推荐的最低安全密钥长度。

导出公钥

openssl rsa -in private.pem -pubout -out public.pem

rsa: 执行 rsa 非对长加密算法的相关操作
-pubout: 执行输出公钥的操作
-out public.pem: 输出的公钥保存到 public.pem 文件中
-in private.pem: 从 private.pem 文件中提取公钥

2. 生成随机 AES 密钥

openssl rand -out aes.key 32

rand: 表示生成随机字节
-out aes.key: 表示将生成的随机字节写入到 aes.key 文件中
32 表示 32 个字节，即 256 位，$2^{256}$，这是 AES 加密支持的最大长度

3. 使用 AES 密钥加密文件

openssl enc -aes-256-cbc -pbkdf2 \
  -in plain.txt \
  -out data.enc \
  -pass file:./aes.key

enc: 表示执行加密操作
-aes-256-cbc: 指定加密算法：AES，使用 256 位密钥长度，工作模式为 CBC(Cipher Block Chaining，密码块链模式)
-pbkdf2: 指定使用 PBKDF2（Password-Based Key Derivation Function 2）作为密钥派生函数。这使得基于密码的加密更安全，增加了抗暴力破解能力。默认情况下，openssl enc 以前不使用 PBKDF2，而是用较弱的 EVP_BytesToKey，现代实践推荐加上此选项。
-out data.enc: 表示密文写入到 data.enc 文件中
-in plain.txt: 表示待加密的文件
-pass file:./aes.key: 表示从 aes.key 文件中读取密码。pass 选项有三种传递密码的方式：
- 直接传递密码：pass:<password>
- 文件读取密码：file:/path/to/file
- 读取环境变量：evn:<Variable>

4. 使用公钥加密 AES 密钥

openssl pkeyutl -encrypt -pubin -inkey public.pem -in aes.key -out aes.key.encrypted

pkeyutl: 表示执行非对称加解密相关操作
-encrypt：加密操作
-pubin：表示使用公钥加密
-inkey public.pem：公钥文件
-in aes.key：需要机密的数据。
-out aes.key.encrypted：将加密后的数据写入 aes.key.encrypted 文件中。

5.将加密后的文件和加密后的密钥一起打包

mkdir backup-2026-01-08
mv data.enc aes.key.encrypted backup-2026-01-08
tar -czvf backup-2026-01-08.tar.gz backup-2026-01-08

对文件进行解密

1. 解压文件

tar -xvf backup-2026-01-08.tar.gz

2. 使用私钥解密 AES 密钥

cd backup-2026-01-08
openssl pkeyutl -decrypt \
  -inkey private.pem \
  -in aes.key.encrypted \
  -out aes.key

pkeyutl: 非对称加解密相关工具
-decrypt: 执行解密操作
-inkey private.pem: 密钥文件路径
-in aes.key.encrypted: 加密文件路径
-out aes.key: 解密后的数据写入到 aes.key 文件中

3. 使用 AES 密钥解密文件

openssl enc -d -aes-256-cbc -pbkdf2 \
  -in data.enc \
  -out plain.txt \
  -pass file:./aes.key

enc -d: 执行解密操作
-aes-256-cbc: 指定加密算法：AES，使用 256 位密钥长度，工作模式为 CBC(Cipher Block Chaining，密码块链模式)
-pbkdf2: 指定使用 PBKDF2（Password-Based Key Derivation Function 2）作为密钥派生函数。这使得基于密码的加密更安全，增加了抗暴力破解能力。默认情况下，openssl enc 以前不使用 PBKDF2，而是用较弱的 EVP_BytesToKey，现代实践推荐加上此选项。
-in data.enc: 加密文件
-out plain.txt: 解密后的内容输出到 plain.txt 文件中
-pass file:./aes.key: 从 aes.key 文件中读取密钥。pass 选项有三种传递密码的方式：
- 直接传递密码：pass:<password>
- 文件读取密码：file:/path/to/file
- 读取环境变量：evn:<Variable>

4. 检查文件是否成功解密

cat plain.txt

备份文件

工具都准备好后，就可以备份重要文件了，备份步骤：

打包重要文件
对重要文件进行加密
上传加密后的文件到阿里云盘
删除阿里云盘中过期的备份文件

假设我需要备份服务器上的 ~/docker/minio 文件夹

# -C 参数表示先进入 ~/docker 文件夹，再进行打包
# 这样解压 minio.tar.gz 文件时，解药出来的就是 minio 而不是 docker/minio
tar -czvf minio.tar.gz -C ~/docker minio

# 生成 AES 密钥
openssl rand -out aes.key 32

# 使用 AES 密钥对 minio.tar.gz 文件加密
openssl enc -aes-256-cbc -pbkdf2 \
  -in minio.tar.gz \
  -out minio.tar.gz.enc \
  -pass file:./aes.key
 
# 从私钥中导出公钥
openssl rsa -in private.pem -pubout -out public.pem

# 使用公钥对 AES 密钥加密
openssl pkeyutl -encrypt -pubin -inkey public.pem -in aes.key -out aes.key.enc

# 将备份文件以及密钥放入到一个压缩包中
mkdir backup-2026-01-08
mv minio.tar.gz.enc aes.key.enc backup-2026-01-08
tar -czvf backup-2026-01-08.tar.gz backup-2026-01-08

# 将备份文件通过 openlist 上传到阿里云盘
rclone copy backup-2026-01-08.tar.gz openlist:aliyun-drive --progress

# 删除阿里云盘中七天以前的备份
rclone delete "openlist:aliyun-drive/" --min-age 7d --include "backup-*.tar.gz" -v

# 清理本地不必要的文件
rm -rf aes.key backup-2026-01-08 backup-2026-01-08.tar.gz minio.tar.gz public.pem

恢复备份文件

# 解压备份文件
tar -xvf backup-2026-01-08.tar.gz

# 使用私钥解密加密的 AES 密钥
openssl pkeyutl -decrypt \
  -inkey private.pem \
  -in backup-2026-01-08/aes.key.enc \
  -out aes.key

# 使用 AES 密钥解密备份文件
openssl enc -d -aes-256-cbc -pbkdf2 \
  -in backup-2026-01-08/minio.tar.gz.enc \
  -out minio.tar.gz \
  -pass file:./aes.key

# 解压备份文件
tar -xvf minio.tar.gz

使用 fail2ban 防止 ssh 暴力破解

Sun, 04 Jan 2026 10:56:42 +0800

背景

当服务器暴露在公网环境时，22 端口又处于开放状态，会有大量的机器扫描服务器的 22 端口，试图使用密码登录服务器，获取服务器的使用权。如果 SSH 配置不当，不采取封禁措施，服务器很容易被暴力破解。接下来我将介绍如何合理配置 SSH 以及 fail2ban 工具，防止 ssh 被暴力破解。

环境

操作系统： debian12

配置 SSH

为了防止黑客使用密码暴力破解 SSH，我们需要进行如下的配置：

PasswordAuthentication no # 禁止使用密码登录
PermitRootLogin prohibit-password # 允许 root 用户登录，但是禁止使用密码登录 root 用户
PubkeyAuthentication yes # 允许使用公钥进行登录
UsePAM no # 禁止 SSH 登录流程进入 Linux 的“统一认证/会话管理体系”，如果要允许密码登录，则需要设置成 yes
AllowUsers root # 只允许 root 用户登录，其他用户不允许登录，多个用户之间使用空格隔开。还可以配置只允许指定 IP/网段的某个用户登录

配置公钥

将允许连接服务器的客户端的公钥放到服务器的 ~/.ssh/authorized_keys 文件中。有两种操作方式：

手动复制
自动复制

如果公钥不存在，可以使用如下命令先生成公钥

ssh-keygen -t ed25519 -C "your_email@example.com"

手动复制

输出客户端公钥

cat ~/.ssh/id_ed25519.pub

将公钥内容放到服务器的 ``~/.ssh/authorized_keys` 文件中

自动复制

执行如下的命令自动复制公钥

ssh-copy-id username@remote_host

username 替换为远程服务器用户名
remote_host 替换为服务器 IP 地址或者域名

重启 SSH

systemctl restart sshd

重启成功后，一定要另开一个终端，看下配置是否生效。如果配置不当，导致无法登录，原先成功建立的 SSH 连接还可以兜底。

配置 fail2ban

安装

使用如下命令安装 fail2ban

apt install -y fail2ban

配置

[DEFAULT]
bantime  = 1d # 封禁时间 1 天
findtime = 10m # 查找范围 10 分钟内
maxretry = 3 # 最大尝试次数，配合 findtime 参数使用，表示：10 分钟内失败 3 次，封禁 1 天
backend  = systemd # backend 参数决定 fail2ban 从哪里读取日志。如果 ssh 是由 systemd 管理的，直接写 systemd 即可

[sshd]
enabled = true

启动并验证

systemctl enable --now fail2ban
fail2ban-client status sshd # 查看哪些 ip 被封禁

笔记本变成低功耗 Linux 服务器

Sun, 06 Jul 2025 17:01:09 +0800

背景

日常开发 Java 的过程中，需要连接 Mysql, Redis, Nacos, Sentinel 等组件，并且我经常需要在 Linux，Windows 和 Macos 之间进行切换，切换之后环境里面的数据又不一致，导致切换之后总是需要进行数据迁移，因此想搞一个 24 小时开机的 Linux 服务器。

刚好手上有一台大学时期的笔记本，工作之后就一直在角落里面吃灰，拿来当 24 小时开机的低功耗 Linux 服务器刚刚好。操作系统选择的是 Debian 12.8。

温馨提示：文章不介绍怎么装操作系统，只介绍装机之后，遇到的一些问题，以及如何解决这些问题。

笔记本合上之后自动挂起

成功安装完操作系统后，发现只要把笔记本合上，电脑就自动挂起了，导致 SSH 连接不上，不想电脑自动挂起需要执行如下的操作。

修改 /etc/systemd/logind.conf 配置文件

HandleLidSwitch=ignore
HandleLidSwitchExternalPower=ignore
HandleLidSwitchDocked=ignore

重启 systemctl-logind 服务

systemctl restart systemd-logind.service

自动亮屏和熄屏

系统如果正常运行，不挂起，笔记本的屏幕会一直亮着，对于 24 小时的服务器，能省点电费就省点吧。实现原理：通过 acpid 监听合盖和开盖的事件，然后自动执行熄屏和亮屏的命令。

安装 acpid

apt install acpid

开机自启动 acpid

systemctl enable acpid.service

查看合盖和开盖事件名称

在终端中运行 acpi_listen 命令，然后手动的合盖和开盖，查看终端中输出的事件名称，下面是我笔记本上输出的事件名称

button/lid LID close
button/lid LID open

创建 apci 事件配置文件

在 /etc/acpi/events/ 文件夹中新增一个文件用来监听合盖和开盖的事件，例如：创建一个名为 lid-switch 的文件：

vim /etc/acpi/events/lid-switch

在文件中添加如下的内容：

event=button/lid.*
action=https://www.autmaple.com/etc/acpi/lid-switch.sh %e

event 参数表示监听所有以 button/lid 开头的事件
action 参数表示系统触发监听事件后，执行 /etc/acpi/lid-switch.sh 脚本，并将完整的事件信息 (%e) 作为参数传递给脚本

创建 lid-switch.sh 脚本

创建 /etc/acpi/lid-switch.sh 脚本：

vim /etc/acpi/lid-switch.sh

脚本内容如下：

#!/bin/bash

logger "ACPI lid event triggered: $@"


# `/sys/class/backlight/` 目录在 Linux 系统中用于管理和控制显示器的背光亮度
# 该目录包含了系统中可用的背光设备的信息和接口，通常用于调整屏幕亮度

# 找到笔记本中控制背光的设备
BACKLIGHT_DIR=$(find /sys/class/backlight/ -maxdepth 1 -type l | head -n 1)

if [ -z "$BACKLIGHT_DIR" ]; then
    logger "Error: device not found initially."
else
    logger "Found backlight device: $BACKLIGHT_DIR"
fi

# 找出存储笔记本开盖合盖状态的文件
LID_STATE_FILE=$(find /proc/acpi/button/lid/ -name state | head -n 1)

# CURRENT_STATE=$(cat /proc/acpi/button/lid/LID0/state | awk '{print $2}')

# 查看笔记本当前的状态
CURRENT_STATE=$(cat $LID_STATE_FILE | awk '{print $2}')
logger "CURRENT_STATE: $CURRENT_STATE"

if grep -q "closed" <<< "$CURRENT_STATE"; then
    logger "Lid closed. Attempting to turn off screen."

    if [ -d "$BACKLIGHT_DIR" ]; then
        # --- Turn off backlight ---
        logger "Attempting command: echo 0 | tee $BACKLIGHT_DIR/brightness"

        # 关闭屏幕
        echo 0 | tee "$BACKLIGHT_DIR/brightness"
        EXIT_STATUS=$?
        logger "tee command finished. Exit status: $EXIT_STATUS"

        if [ $EXIT_STATUS -ne 0 ]; then
            logger "ERROR: Failed to write 0 to brightness file!"
        else
            # Optional: Read back value to confirm
            CURRENT_BRIGHTNESS=$(cat "$BACKLIGHT_DIR/brightness")
            logger "Brightness value after write: $CURRENT_BRIGHTNESS"
        fi
    else
        logger "Error: Backlight device was not found when trying to turn off."
    fi

elif grep -q "open" <<< "$CURRENT_STATE"; then
    logger "Lid opened. Attempting to turn on screen."

    if [ -d "$BACKLIGHT_DIR" ]; then
         # --- Restore brightness ---
         MAX_BRIGHTNESS=$(cat "$BACKLIGHT_DIR/max_brightness")
         logger "Attempting command: echo $MAX_BRIGHTNESS | tee $BACKLIGHT_DIR/brightness"

         # 打开屏幕
         echo "$MAX_BRIGHTNESS" | tee "$BACKLIGHT_DIR/brightness"
         EXIT_STATUS=$?
         logger "tee command finished. Exit status: $EXIT_STATUS"

         if [ $EXIT_STATUS -ne 0 ]; then
              logger "ERROR: Failed to write $MAX_BRIGHTNESS to brightness file!"
         else
             # Optional: Read back value to confirm
             CURRENT_BRIGHTNESS=$(cat "$BACKLIGHT_DIR/brightness")
             logger "Brightness value after restore: $CURRENT_BRIGHTNESS"
         fi
    else
         logger "Error: Backlight device was not found when trying to turn on."
    fi
else
    logger "Unknown lid state: $CURRENT_STATE"
fi

exit 0

问题排查

可以通过下面的指令排查各个阶段的问题

# 1. 查看合盖和开盖的事件
acpi_listen

# 2. 查看 acpid 的日志
journalctl -u acpid.service -f

# 3. 查看 `/etc/acpi/lid-switch.sh` 脚本中 `logger` 命令产生的日志
journalctl -f

# 4. 查看最大亮度
cat /sys/class/backlight/intel_backlight/max_brightness

# 5. 关闭屏幕
echo 0 | sudo tee /sys/class/backlight/intel_backlight/brightness

# 6. 打开屏幕
echo $(cat /sys/class/backlight/intel_backlight/max_brightness) | sudo tee /sys/class/backlight/intel_backlight/brightness

SSH客户端在一段时间之后卡死

Thu, 26 Jun 2025 12:46:39 +0800

问题描述

使用 SSH 连接远程服务器，长时间没有输入任何命令后，客户端输入命令经常出现无响应、假死的现象。

原因分析

连接链路上的网络设备为了节省网络资源，主动断开了 TCP 连接。具体来说，网络设备维护了一张 连接状态表, 为了避免 连接状态表 存放大量无效的连接，设置了超时机制。如果在规定时间内连接没有传输任何数据包，就认为该连接无效，从而断开对应的连接。
客户端不知道连接已经断开，继续保持 连接中 的状态

解决方案

有两种解决方案：

修改客户端的 SSH 配置(推荐)
修改服务端的 SSH 配置(需要服务器权限)

修改客户端的 SSH 配置

修改客户端的 SSH 配置无需服务器权限，操作简单，修改完后立即生效，推荐使用。操作如下：

在 ~/.ssh/config 文件中新增如下的内容:

Host * # `*` 表示对所有的服务器使用下方的配置
	ServerAliveInterval 60 # 每隔 60s 向服务器发送一次心跳包
	ServerAliveCountMax 3 # 服务器连续 3 次未响应心跳包则主动断开连接

修改服务器的 SSH 配置

编辑 /etc/ssh/sshd_config 文件，在文件中新增如下的内容：

ClientAliveInterval 60     # 每 60 秒向客户端发送一次心跳包
ClientAliveCountMax 3      # 客户端连续 3 次未响应心跳包则主动断开连接