囧rz 的小窝

nginx作为tcp7层代理的时候并不是直接转发流量而是建立一个新的连接，而某些软件对7层的协议支持并不完整比如proxy_protocol 协议，导致显示的IP来源都是127.0.0.1或者干脆不能正常工作。所以我们现在要支持tcp 4层转发，让数据包直接去到后端。

我们可以在百度里看到各种文章，里面大部分都是在

stream {
    server {
       proxy_protocol on;#在这里加上这个配置

但是这个配置我觉得不是特别友好，特别是对于不支持7层的后端来说，你的来源全部都是127.0.0.1，很多分析无法进行。所以我们要用下面这个配置（一般在/etc/nginx/nginx.conf）

user root;#原来这里是www-data或者nginx的
worker_processes auto;

这些配置一般会跟你的ssl preread配置在一起

stream {
    server {
        listen 443;
        listen [::]:443;
		proxy_bind $remote_addr transparent; #加上这条

现在我们要创建IP透明代理路由。并且代理和后端要跑在一同台服务器上。如果你能看到这篇文章的话估计你已经找了很多类似文章了。通常文档都是介绍代理和后端不是在同一台服务器上的。

系统一般不允许将具有非本地源的数据包发送到环回地址，除非启用了route_localnet，如果具有环回地址的伪造数据包可能到达公共接口，这会产生安全问题。

但是这个限制仅适用于127/8地址范围，我们可以为环回接口分配别的的地址。从而绕过这个限制

ip addr add 192.168.127.1/24 dev lo scope host

debian系也可以在/etc/network/interfaces里改成这样。RH系很久没操作了，就用上面这个凑活吧，你们自己找持久化方法。

 auto lo lo:10
  iface lo inet loopback

iface lo:10 inet static
        address 192.168.127.40
        netmask 255.255.255.0
		network 192.168.127.0

这样，我们给回环地址分配一个192.168.127.40的地址和一个192.168.127.0/24的可达网段。

为了匹配返回数据包，我们需要查看OUTPUT链而不是PREROUTING链。

在不是同一主机的方案里，我们会用PREROUTING去匹配。就像别的教程里

iptables -t mangle -N DIVERT
iptables -t mangle -A PREROUTING -p tcp -m socket -j DIVERT
iptables -t mangle -A DIVERT -j MARK --set-mark 1
iptables -t mangle -A DIVERT -j ACCEPT
ip rule add fwmark 1 lookup 100
ip route add local 0.0.0.0/0 dev lo table 100

但是，由于我们的流量来自本地主机，并且可以通过源地址轻松识别，因此我们可以放弃整个iptables匹配和基于标记的路由规则，将其替换为基于源的简单路由规则。

ip rule add from 192.168.127.0/24 lookup 100
ip route add local 0.0.0.0/0 dev lo table 100

debian系可以用以下持久化方法

iface lo:10 inet static
        address 192.168.127.40
        netmask 255.255.255.0
		network 192.168.127.0
	up ip rule add from 192.168.127.0/24 lookup 100 #新增这两条1
	up ip route add local 0.0.0.0/0 dev lo table 100 #新增这两条2

然后可以nginx/trojan服务器行以连接到在此新地址范围上侦听的本地服务。
必须注意将环回接口用于透明代理连接，否则数据包将无法传递。 这是通过使用新的本地地址做为监听地址而不是*或者0.0.0.0来完成的。

nginx配置---stream部分

stream {
    根据sni分流
    map $ssl_preread_server_name $backend_name {
		yourname.com  trojan;
		default      web;
    }

    # web
    upstream web {
        server 192.168.127.40:444;
    }
    
    # trojan
    upstream trojan {
        server 192.168.127.40:445;
    }
    

    server {
        listen 443;
        listen [::]:443;
        proxy_pass  $backend_name;
        proxy_bind $remote_addr transparent;#4层转发模式
        ssl_preread on;
    }
}

nginx-server虚拟服务器部分,也就是你正常网站的部分

server {
    listen 444 http2 ssl;
	listen 192.168.127.40:444 http2 ssl;
    listen [::]:444 http2 ssl;
    server_name balabalayourname.com;
}

某些不能完整支持7层协议的软件，也一定要指定监听192.168.127.40或者特定IP，你指定*或者0.0.0.0是不管用的。

END

nmcli connection modify Wired\ connection\ 1 ipv6.addr-gen-mode eui64

Wired\ connection\ 1 这个是网络连接的名称

由于intel的破烂CPU产生安全问题（也不知道是不是故意搞出bug拉大新U老U性能差距让我们去买新U）导致补丁之后性能严重下降。

如果你的服务器中虚拟机不对外提供的话，也自己了解到下面这些参数有什么影响的话可以全盘复制。

在 /etc/default/grub 下文件中这行改为

GRUB_CMDLINE_LINUX_DEFAULT="noibrs noibpb nopti nospectre_v2 nospectre_v1 l1tf=off nospec_store_bypass_disable no_stf_barrier mds=off mitigations=off quiet"

完毕之后执行update-grub

debian10测试有效

• noibrs - 禁用 间接分支限制推测（AMD YES）
• noibpb - 禁用 间接分支预测屏障 （AMD YES）
• nospectre_v1 and nospectre_v2: 无视Spectre漏洞
• l1tf=off - 不刷新L1缓存，因为超线程技术会共享L1缓存导致的漏洞。
• nospec_store_bypass_disable - Spectre 变种4
• no_stf_barrier - We don't need no barriers between software, they could be friends
• mds=off - Zombieload attacks are fine
• mitigations=off - Of course we don't want no mitigations

百度和谷歌上搜debian Oracle java有许多结果

方法就2种，一种是添加一个ppa.launchpad.net的源，一种是自行用alternative修改系统默认jrejdk。

其实debian已经给我们提供了非常好用的官方工具。https://wiki.debian.org/JavaPackage。

只用安装一个java-package这个包，可以将你从Oracle官网下载的tar.gz包打包成deb。

首先wget或者sftp传上去tar.gz包

然后执行

make-jpkg jdk-8u241-linux-x64.tar.gz（执行这条命令的时候需要切换到非root用户）

接着

dpkg -i oracle-java8-jdk_8u241_amd64.deb

有一天周四回到家，大概先是19点左右看了眼服务器是好的，大约10点的时候突然有群友提示说服务器上不去了。

登录idrac 重启服务器，直接重启不认启动设备，没有raid卡自检过程，启动项缺失。

于是走过去物理关机重开，发现冷启动RAID卡报错0xf0ff8302。

经过一系列判断和搜索，确定是卡背面的SLC NAND缓存坏了。

经过万能的淘宝买到了这个颗粒，这是一颗镁光的SLC NAND颗粒 编号 NQ308，容量4GB。

H730配的缓存是2GB。

完毕~~~~

搬瓦工 VPS 安装并开启 Google BBR 教程（KVM / OpenVZ）

为了方便大家复制，把一些命令贴在这儿。更多详情，请参考文章：

• 《搬瓦工 VPS 安装并开启 Google BBR 教程（KVM）》
• 《搬瓦工 VPS 安装并开启 Google BBR 教程（OpenVZ）》

KVM

安装：

 wget --no-check-certificate https://github.com/teddysun/across/raw/master/bbr.shchmod +x bbr.sh./bbr.sh

验证：

 uname -rsysctl net.ipv4.tcp_available_congestion_controlsysctl net.ipv4.tcp_congestion_controlsysctl net.core.default_qdisclsmod | grep bbr

OpenVZ

安装：

 wget https://raw.githubusercontent.com/kuoruan/shell-scripts/master/ovz-bbr/ovz-bbr-installer.sh chmod +x ovz-bbr-installer.sh ./ovz-bbr-installer.sh

firewalld：

 systemctl disable firewalld systemctl stop firewalld

卸载：

 ./ovz-bbr-installer.sh uninstall

多端口：

 vim /usr/local/haproxy-lkl/etc/port-rules

启动、停止、重启：

 systemctl {start|stop|restart} haproxy-lklservice haproxy-lkl {start|stop|restart}

更新 glibc：

 wget http://ftp.redsleeve.org/pub/steam/glibc-2.15-60.el6.x86_64.rpm \http://ftp.redsleeve.org/pub/steam/glibc-common-2.15-60.el6.x86_64.rpm \http://ftp.redsleeve.org/pub/steam/glibc-devel-2.15-60.el6.x86_64.rpm \http://ftp.redsleeve.org/pub/steam/glibc-headers-2.15-60.el6.x86_64.rpm \http://ftp.redsleeve.org/pub/steam/nscd-2.15-60.el6.x86_64.rpm​rpm -Uvh glibc-2.15-60.el6.x86_64.rpm \glibc-common-2.15-60.el6.x86_64.rpm \glibc-devel-2.15-60.el6.x86_64.rpm \glibc-headers-2.15-60.el6.x86_64.rpm \nscd-2.15-60.el6.x86_64.rpm

手动编译：

 wget http://ftp.gnu.org/gnu/glibc/glibc-2.15.tar.gzwget http://ftp.gnu.org/gnu/glibc/glibc-ports-2.15.tar.gztar -zxf glibc-2.15.tar.gztar -zxf glibc-ports-2.15.tar.gzmv glibc-ports-2.15 glibc-2.15/portsmkdir glibc-build-2.15cd glibc-build-2.15../glibc-2.15/configure --prefix=/usr --disable-profile --enable-add-ons --with-headers=/usr/include --with-binutils=/usr/binmake all && make install

检查 glibc：

 ldd --version

shadowsocks-rm manyuser是一个小清新管理前端shadowsocks-panel的对接ss服务端。但是！由于作者好像是因为某些原因弃坑了。rc4-md5 aes127cfb等加密方式已经会背GFW流量识别。

所以么。。。咱只能自己更新一下了。

我一顿merge。把这个更新了下。现在应该是可以支持各种aead和chacha20-ietf-poly1305 aes-256-gcm 等等新式加密方式了。

同性交友地址https://github.com/cybmp3/shadowsocks-rm

别吐槽密码，给你也没用啊。3306用IPTABLES做了白名单滴

原版固件，yundoo y8，feaktab固件，cloudnetgo固件这几个都不是很喜欢，k830键盘的控制也有点不舒服。

找了半天，看到一个firefly旗下的station固件，死马活马刷上去试试。

诶感觉还不错，跟索尼电视很协调，同一种上下移动的ui，不是那种左右移动的。

蓝牙和有线网已经移植了。

集成了酷安，别的都没集成。需要的自己从酷安装就行。

已知bug

1.无线弄不来。

2.开机报错，您的设备内部出现了问题。

链接: https://pan.baidu.com/s/1oAsVFiM 密码: xy8a

什么是repo文件？
repo文件是Fedora中yum源（软件仓库）的配置文件，通常一个repo文件定义了一个或者多个软件仓库的细节内容，例如我们将从哪里下载需要安装或者升级的软件包，repo文件中的设置内容将被yum读取和应用！
YUM的工作原理并不复杂，每一个 RPM软件的头（header）里面都会纪录该软件的依赖关系，那么如果可以将该头的内容纪录下来并且进行分析，可以知道每个软件在安装之前需要额外安装哪些基础软件。也就是说，在服务器上面先以分析工具将所有的RPM档案进行分析，然后将该分析纪录下来，只要在进行安装或升级时先查询该纪录的文件，就可以知道所有相关联的软件。所以YUM的基本工作流程如下：
服务器端：在服务器上面存放了所有的RPM软件包，然后以相关的功能去分析每个RPM文件的依赖性关系，将这些数据记录成文件存放在服务器的某特定目录内。
客户端：如果需要安装某个软件时，先下载服务器上面记录的依赖性关系文件(可通过WWW或FTP方式)，通过对服务器端下载的纪录数据进行分析，然后取得所有相关的软件，一次全部下载下来进行安装。

1. vi /etc/yum.conf
2. [main]
3. cachedir=/var/cache/yum
4. #cachedir：yum缓存的目录，yum在此存储下载的rpm包和数据库，一般是/var/cache/yum。
5. debuglevel=2
6. #debuglevel：除错级别，0──10,默认是2 貌似只记录安装和删除记录
7. logfile=/var/log/yum.log
8. pkgpolicy=newest
9. #pkgpolicy： 包的策略。一共有两个选项，newest和last，这个作用是如果你设置了多个repository，而同一软件在不同的repository中同时存 在，yum应该安装哪一个，如果是newest，则yum会安装最新的那个版本。如果是last，则yum会将服务器id以字母表排序，并选择最后的那个 服务器上的软件安装。一般都是选newest。
10. distroverpkg=centos-release
11. #指定一个软件包，yum会根据这个包判断你的发行版本，默认是redhat-release，也可以是安装的任何针对自己发行版的rpm包。
12. tolerant=1
13. #tolerent，也有1和0两个选项，表示yum是否容忍命令行发生与软件包有关的错误，比如你要安装1,2,3三个包，而其中3此前已经安装了，如果你设为1,则yum不会出现错误信息。默认是0。
14. exactarch=1
15. #exactarch，有两个选项1和0,代表是否只升级和你安装软件包cpu体系一致的包，如果设为1，则如你安装了一个i386的rpm，则yum不会用1686的包来升级。
16. retries=20
17. #retries，网络连接发生错误后的重试次数，如果设为0，则会无限重试。
18. obsoletes=1
19. gpgcheck=1
20. #gpgchkeck= 有1和0两个选择，分别代表是否是否进行gpg校验，如果没有这一项，默认是检查的。
21. reposdir=/etc/yy.rm #默认是 /etc/yum.repos.d/ 低下的 xx.repo后缀文件
22. #默认都会被include 进来 也就是说 /etc/yum.repos.d/xx.repo 无论配置文件有多少个 每个里面有多少个[name] 最后其实都被整合到 一个里面看就是了 重复的[name]后面的覆盖前面的
23. exclude=xxx
24. #exclude 排除某些软件在升级名单之外，可以用通配符，列表中各个项目要用空格隔开，这个对于安装了诸如美化包，中文补丁的朋友特别有用。
25. keepcache=[1 or 0]
26. #　　设置 keepcache=1，yum 在成功安装软件包之后保留缓存的头文件 (headers) 和软件包。默认值为 keepcache=0 不保存
28. reposdir=[包含 .repo 文件的目录的绝对路径]
29. #　　该选项用户指定 .repo 文件的绝对路径。.repo 文件包含软件仓库的信息 (作用与 /etc/yum.conf 文件中的 [repository] 片段相同)。

第二部分：
vi /etc/yum.repo.d/xx.repo
这个字段其实也可以在yum.conf里面直接配置

1. [serverid]
2. #其中serverid是用于区别各个不同的repository，必须有一个独一无二的名称。 重复了 前面覆盖后面--还是反过来呢？？？用enabled 测试是后面覆盖前面
3. name=Some name for this server
4. #name，是对repository的描述，支持像$releasever $basearch这样的变量; name=Fedora Core $releasever - $basearch - Released Updates
5. baseurl=url://path/to/repository/
6. #baseurl是服务器设置中最重要的部分，只有设置正确，才能从上面获取软件。它的格式是：
7. baseurl=url://server1/path/to/repository/
8. url://server2/path/to/repository/
9. url://server3/path/to/repository/
10. #其中url支持的协议有 http:// ftp:// file://三种。baseurl后可以跟多个url，你可以自己改为速度比较快的镜像站，但baseurl只能有一个，也就是说不能像如下格式：
11. baseurl=url://server1/path/to/repository/
12. baseurl=url://server2/path/to/repository/
13. baseurl=url://server3/path/to/repository/
14. 其中url指向的目录必须是这个repository header目录的上一级，它也支持$releasever $basearch这样的变量。
16. #mirrorlist=http://mirrors.fedoraproject.org/mirrorlist?repo=fedora-$releasever&arch=$basearch
17. #上面的这一行是指定一个镜像服务器的地址列表，通常是开启的，本例中加了注释符号禁用了，我们可以试试，将$releasever和$basearch替换成自己对应的版本和架构，例如10和i386，在浏览器中打开，我们就能看到一长串镜可用的镜像服务器地址列表。
19. url之后可以加上多个选项，如gpgcheck、exclude、failovermethod等，比如：
21. gpgcheck=1
22. exclude=gaim
23. #其中gpgcheck，exclude的含义和[main]部分相同，但只对此服务器起作用，
24. failovermethod=priority
25. #failovermethode 有两个选项roundrobin和priority，意思分别是有多个url可供选择时，yum选择的次序，roundrobin是随机选择，如果连接失 败则使用下一个，依次循环，priority则根据url的次序从第一个开始。如果不指明，默认是roundrobin。
27. enabled=[1 or 0]
28. #当某个软件仓库被配置成 enabled=0 时，yum 在安装或升级软件包时不会将该仓库做为软件包提供源。使用这个选项，可以启用或禁用软件仓库。
29. #通过 yum 的 --enablerepo=[repo_name] 和 --disablerepo=[repo_name] 选项，或者通过 PackageKit 的"添加/删除软件"工具，也能够方便地启用和禁用指定的软件仓库

几个变量
$releasever，发行版的版本，从[main]部分的distroverpkg获取，如果没有，则根据redhat-release包进行判断。
$arch，cpu体系，如i686,athlon等
$basearch，cpu的基本体系组，如i686和athlon同属i386，alpha和alphaev6同属alpha。
对yum.conf设定完成，我们就可以好好体验yum带来的方便了。

还有一件事没有做。那就是导入每个reposity的GPG key，前面说过，yum可以使用gpg对包进行校验，确保下载包的完整性，所以我们先要到各个repository站点找到gpg key，一般都会放在首页的醒目位置，一些名字诸如 RPM-GPG-KEY.txt之类的纯文本文件，把它们下载，然后用rpm --import xxx.txt命令将它们导入，最好把发行版自带GPG-KEY也导入，rpm --import /usr/share/doc/redhat-release-*/RPM-GPG-KEY 官方软件升级用的上。

参考：http://hi.baidu.com/iris_chow/blog/item/0b414613de76b1c2c3fd788d.html
http://kpjack.blog.51cto.com/627289/128325

1、cat 显示文件连接文件内容的工具；

cat 是一个文本文件查看和连接工具。查看一个文件的内容，用cat比较简单，就是cat 后面直接接文件名。

比如：

为了便于新手弟兄灵活掌握这个工具，我们多说一点常用的参数；

1.0 cat 语法结构；

选项
-A, --show-all 等价于 -vET
-b, --number-nonblank 对非空输出行编号
-e 等价于 -vE
-E, --show-ends 在每行结束处显示 $
-n, --number 对输出的所有行编号
-s, --squeeze-blank 不输出多行空行
-t 与 -vT 等价
-T, --show-tabs 将跳 字符显示为 ^I
-u (被忽略)
-v, --show-nonprinting 使用 ^ 和 M- 引用，除了 LFD 和 TAB 之外
--help 显示此帮助信息并离开

1.1 cat 查看文件内容实例；

cat 加参数-n 和nl工具差不多，文件内容输出的同时，都会在每行前面加上行号；

cat 可以同时显示多个文件的内容，比如我们可以在一个cat命令上同时显示两个文件的内容；

cat 对于内容极大的文件来说，可以通过管道|传送到more 工具，然后一页一页的查看；

1.2 cat 的创建、连接文件功能实例；

cat 有创建文件的功能，创建文件后，要以EOF或STOP结束；

cat 还有向已存在的文件追加内容的功能；

cat 连接多个文件的内容并且输出到一个新文件中；

假设我们有sir01.txt、sir02.tx和sir03.txt ，并且内容如下；

我想通过cat 把sir01.txt、sir02.txt及sir03.txt 三个文件连接在一起（也就是说把这三个文件的内容都接在一起）并输出到一个新的文件sir04.txt 中。

注意：其原理是把三个文件的内容连接起来，然后创建sir04.txt文件，并且把几个文件的内容同时写入sir04.txt中。特别值得一提的是，如果您输入到一个已经存在的sir04.txt 文件，会把sir04.txt内容清空。

cat 把一个或多个已存在的文件内容，追加到一个已存在的文件中

警告：我们要知道>意思是创建，>>是追加。千万不要弄混了。造成失误可不是闹着玩的；