ssr's blog

在 Arch 上设置 UPS

Mon, 09 Sep 2024 20:33:00 +0800

因为数据丢失恐惧症的缘故，还是买了 UPS 放在 NAS 旁，以防 NAS 突然断电导致硬盘数据损坏。

设置 NAS

QNAP 的 UPS 协议符合 Network UPS Tools (nut) 规范，作为 Master 或者 Slave 都可以正常使用，如果作为 Master 使用，连接上 UPS 并且确认 UPS 工作正常以后填入从机的 IP 地址即可使用。

不过由于 NAS 有一点点耗电，所以我想直接在 Arch 上监视 UPS ，让 NAS 作为 nut 的从机。于是我们走一些弯路，设置 UPS 过程并没有那么顺利。

回溯查找协议的心路历程

一开始我安装了 APC UPS 包，安装之后才发现好像实现有些不对劲。首先访问的端口不是 APC NAS 的网络预设端口，重新抓了包之后发现其访问的是另一个端口。其次就算配置了正确访问的端口， NAS 那边还是获得不了数据，所以我决定重新查询 QNAP 的文档。

经过了多个论坛的搜索，最后发现 QNAP 是利用 NUT 协议来和其他的 UPS 进行通信的。¹

并且经过查询资料²³得知，它的访问条件比较严格，用户名和密码都是硬编码的。其 NUT 会访问 qnapnas ，然后用户名密码分别是 qnapnas 和 123456 。很奇怪，我似乎没有在官方文档中找到这部分内容的说明，其只是告知网页上应该如何操作修改 NAS 的设置。⁴

在 Arch 上设置 UPS

直接打开 Arch Wiki 关于此工具的页面按照步骤操作，安装包后执行扫描功能 nut-scanner 查看是否能识别到 NAS 。如果可以识别到 NAS 则将扫描结果直接写入配置文件中。

[nutdev-usb1]
        driver = "usbhid-ups"
        port = "auto"
        vendorid = "MASKED"
        productid = "MASKED"
        product = "MASKED"
        serial = "MASKED"
        vendor = "American Power Conversion"
        # bus = "001"
        # device = "002"
        # busport = "003"

搜寻结果如上所示，直接把这一部分内容贴到 nut 的配置文件中即可。不过需要把 NAS 名称修改为 qnapnas 否则 NAS 上无法正确读取。

然后，我们还需要给这个设备设置 nut 的用户组，否则 nut 可能无法正确读取(会不停报错)。

SUBSYSTEM=="usb", ATTR{idVendor}=="XXXX", ATTR{idProduct}=="YYYY", GROUP="nut"

将以上内容添加到 /etc/udev/rules.d/50-ups.rules 中，然后执行以下指令。⁵

# udevadm control --reload
# udevadm trigger

完成以上操作后，先执行 sudo upsdrvctl start 来创建 UPS 的配置文件，如果没有其它错误的话，可以执行 sudo systemctl enable nut-driver-enumerator.service 让其在之后可以自动配置 UPS 相关的服务。

设置所有权之后，我们需要将 NAS 上用来请求的用户添加到 nut 的用户列表里。同时在 /etc/nut/upsd.conf 文件中指定 upsd 需要监听的网络地址(预设是设置为只监听 localhost) ⁶

[qnapups]
    password = 123456
    upsmon secondary

将以上内容添加到 /etc/nut/upsd.users 中，远程用户就有访问权限了。添加用户之后，我们可以执行 sudo systemctl enable nut-server.service 来让 upsd 服务在 nut.target 时自动启动。接着 sudo systemctl enable nut.target 来让以上提到的服务自动开机启动。

在 NAS 的 UPS 设置中，记得选择 Network slave 选项，并将 IP 地址设置为配置好 nut 的机子 IP。

重新启动/手动启动 nut 相关服务之后，在 NAS 配置上应该可以看到 UPS 已经在线，并且正常工作了。

本地设置 ups monitor

[upsuser]
     password = password
     upsmon primary
     actions = SET
     instcmds = ALL

首先创建一个用户添加到文件 upsd.users 中，接着配置 upsmon.conf ，将新建的用户添加进文件中。

MONITOR qnapups@localhost 1 $upsuser $password primary

重启 nut-server 服务，使用 upsc qnapups 来查询当前系统的 UPS 状态。也可以启用 nut-monitor 服务，使其可以自动执行关机操作。

battery.charge: 100
battery.charge.low: 96
battery.mfr.date: 2001/01/01
battery.runtime: 3618
battery.runtime.low: 120
battery.type: PbAc
battery.voltage: 13.6
battery.voltage.nominal: 12.0
device.mfr: American Power Conversion
device.model: MASKED
device.serial: MASKED
device.type: ups
driver.debug: 0
driver.flag.allow_killpower: 0
driver.name: usbhid-ups
driver.parameter.pollfreq: 30
driver.parameter.pollinterval: 2
driver.parameter.port: auto
driver.parameter.product: MASKED
driver.parameter.serial: MASKED
driver.parameter.synchronous: auto
driver.parameter.vendor: American Power Conversion
driver.state: quiet
driver.version: 2.8.2
driver.version.data: APC HID 0.100
driver.version.internal: 0.53
driver.version.usb: libusb-1.0.27 (API: 0x100010a)
input.sensitivity: low
input.transfer.high: 278
input.transfer.low: 160
input.transfer.reason: input voltage out of range
input.voltage: 220.0
input.voltage.nominal: 220
ups.beeper.status: disabled
ups.delay.shutdown: 20
ups.load: 0
ups.mfr: American Power Conversion
ups.mfr.date: 2024/06/05
ups.model: MASKED
ups.productid: MASKED
ups.realpower.nominal: 390
ups.serial: MASKED
ups.status: OL
ups.test.result: Done and passed
ups.timer.reboot: 0
ups.timer.shutdown: -1
ups.vendorid: MASKED

MxRoute 概要

Wed, 12 Jun 2024 20:17:14 +0800

感觉在现在这个环境下 Yandex 已经式微了，主要可能还是广告挺多，以及不知道什么时候免费的邮箱会被强制升级为付费邮箱的政策，所以我早早就做好了抛弃 Yandex 的打算。

和其他几位朋友讨论了一段时间以后，决定使用 MxRoute 这家提供的服务。一方面它使用上确实还行，另一方面它网页宣传很有意思，全是 spammer 想说的话，所以我决定购买其 2023 年黑五提供的优惠活动试试水。

DNS 配置

下订单付费过程不表，重点它会往你注册的邮箱发送一封邮件，该邮件内有需要你在 DNS 服务器上设置的内容， MX 及 TXT 记录。依照邮件内容在对应的域名 DNS 上设置即可。 DKIM 相关的设置在邮件中发送的邮箱管理页面相对应域名下(如果没有请手动添加相对应的域名)的 DKIM keys 中，找到 x._domain 所对应条目，把值复制下来后设置到同名的 TXT 记录中。

WebMail

该邮箱系统有自带的 WebMail ，可以在账号管理中选择账号直接登录，也可从左边的 WebMail 界面选择需要的 WebMail 直接登陆即可。

记一次成功的 Btrfs RAID 1 掉盘救回

Thu, 04 Jan 2024 20:16:59 +0800

很不幸，我也不希望新年的时候在修自己的伺服器，但是它的 Btrfs 确实是坏了

发现故障

这台伺服器的一部分功能是用来做自己 pt 的种，有一天我想下一点种的时候发现怎么样都没法把种传上去， qb web 是正常的，但这是为什么呢？

上去看了一眼 journalctl 发现一堆红色的 btrfs 报错。

初步看了一下，大概是某个盘掉了。不过还好，我这个盘是 raid 1 由 btrfs 挂载，数据应该没有问题。

盘的话，因为是 Hetzner 的杜甫，所以请他们帮忙换个盘就行。

换盘

发工单请 Hetzner 那边帮忙换一个能用的磁盘即可。它有两个选项，一个是保证磁盘 < 1000h 的使用时间，不过要额外加钱，另一个是尽量新，不需要额外的钱。那这样我们选尽量新就行(虽然给了我们一个 10000+ h 的)。

接着它要我们填写受影响的磁盘序列号，我这里只有两块磁盘，盘都没有了怎么读序列号，于是我们就填写了没有受影响的磁盘序列号。它也可以选择时间进行替换，还有替换的方式。因为跑的是非关键服务，就让它 ASAP 吧，同时也可以关机替换，反正无所谓。

接着等 Hetzner 给我们发邮件就可以了。

修复 btrfs

大概过了一个小时， Hetzner 发送邮件给我大概说他们已经替换完成了，现在服务器已经帮我们重新打开应该可以正常使用了。在发工单之前，我已经通过控制台让服务器先进入救援模式，这样它就不会尝试启动系统，而进入到网络挂载的系统中。

引导救援系统成功之后，首先先检查一下目前磁盘的状态。 fdisk -l 可以看到两块磁盘都已经可以重新读出来了，一块是我们以前使用过的所以上面存在分区表。

首先先把新的磁盘分区一下，分成目前磁盘的分区格式，这里就不再概述了。

然后检查一下 btrfs 分区的状态

# btrfs fi show

Label: 'arch'  uuid: 00000000-0000-0000-0000-000000000000
        Total devices 2 FS bytes used 5.16TiB
        devid    1 size 0 used 0 path  MISSING
        devid    2 size 5.44TiB used 5.43TiB path /dev/sda2

可以看到它并不能读到另一个盘，这时候我们直接使用 replace 大法，从原有的 raid 1 数据盘中替换成另一个盘。

# btrfs replace start 1 /dev/sdb2 /mnt

这里要注意一个点，就是你替换的 device id 一定是你 MISSING 的，而不是现有的 device id ，不要问我为什么这样提醒。

然后经过漫长的等待之后， replace 操作就顺利完成了。

# btrfs fi show
Label: 'arch'  uuid: e753ab70-b8ad-4983-9a87-eb19c53cb93f
        Total devices 2 FS bytes used 5.16TiB
        devid    1 size 5.44TiB used 5.43TiB path /dev/sda2
        devid    2 size 5.44TiB used 5.44TiB path /dev/sdb2

恢复 btrfs 的 profile

替换完之后还有一些步骤，比如说修复引导，因为引导可能是之前已经损坏的盘上的，这部分就不细述了。

成功引导进系统之后，我发现有一个奇怪的事情，就是我目前的盘上有 raid 1 的配置，也有 single 的配置。

经过我多方搜索，发现只要对 data 部分进行 balance 就行

# btrfs balance start -dconvert=raid1,soft /

这里加 soft 可以直接跳过已经是正确 raid 的部分，从而加快转换的速度。

至此， btrfs 的文件系统就恢复完成了。

在 Arch 下利用 pg_upgrade 执行 PostgreSQL 版本升级

Thu, 26 May 2022 20:16:59 +0800

版本检查

首先确认你正在使用的 PostgreSQL 是上一个版本，检查资料库版本以便进行下一步操作。

一般情况下，可以使用下列命令检查

# cat /var/lib/postgres/data/PG_VERSION

而后，检查你所新安装的包的版本，确认其是否不一致且始终仅大于一个版本。

这个升级方法理应对所有的传统资料库有效。对于非传统的资料库，比如说通过流复制或日志传送，可能需要查看文档¹

准备工作

首先需要安装 postgresql-old-upgrade 这个包。

进行升级之前，您或许需要执行一次资料库备份。

开始升级

如果 postgresql 的实例仍然在运行，请收集 initdb 的参数。
停止 postgresql.service ，并检查其确实停止了。
可以在这个步骤操作升级，但是如果已经升级了，跳过这一步。
重命名旧实例的目录，然后创建新实例的目录和临时工作目录。

# mv /var/lib/postgres/data /var/lib/postgres/olddata
# mkdir /var/lib/postgres/data /var/lib/postgres/tmp
# chown postgres:postgres /var/lib/postgres/data /var/lib/postgres/tmp
[postgres]$ cd /var/lib/postgres/tmp

利用 initdb 初始化新实例的资料库(利用之前收集的 initdb 的参数)

[postgres]$ initdb -D /var/lib/postgres/data --locale=xy_XY.UTF-8 --encoding=UTF8 --data-checksums

利用 pg_upgrade 升级资料库，把 PG_VERSION 替换成之前的 PostgreSQL 版本 (例如 13)

[postgres]$ pg_upgrade -b /opt/pgsql-PG_VERSION/bin -B /usr/bin -d /var/lib/postgres/olddata -D /var/lib/postgres/data

如果需要的话，调整新资料库的配置文件 (例如: pg_hba.conf 和 postgresql.conf) 以便和旧资料库符合。

如果遇到 pg_upgrade 失败且信息为: The source cluster was not shut down cleanly. 请参阅这个链接

重新启动 postgresql.service
如果一切正常，可删除 /var/lib/postgres/olddata 和 /var/lib/postgres/tmp 目录

这里有指令被我忽略了，例如可以执行 /usr/bin/vacuumdb --all --analyze-in-stages --jobs=$(nproc) 来提升升级后的查询性能。

https://wiki.archlinux.org/title/PostgreSQL#Upgrading_PostgreSQL ↩︎

GPG 简单入门

Thu, 17 Mar 2022 21:37:17 +0800

本文操作环境为 Arch Linux, 在 Windows 下可以用 GUI 程序 Kleopatra 进行类似的操作。

首先我们来介绍一下 GPG ， gpg 是一个密钥对，分为公钥和私钥。公钥用来加密和验证签名，私钥用来签名和解密。

当然还有其他的操作可以使用，比如利用 GPG 密钥来登陆 ssh ，但是这里就不先表述了。

而关于公私钥的使用，可以参考如下的图。

如名字所述，公钥用来公开给其他人，然后私钥自己保留，绝对不要把私钥发送给别人。

生成

可参见这篇部落格

导出密钥

密钥文件很重要，如果你需要备份密钥文件，请使用 gpg -a --export-secret-keys <KEY_ID>

$ gpg -a --export-secret-keys 0000000000000000
-----BEGIN PGP PRIVATE KEY BLOCK-----
...
-----END PGP PRIVATE KEY BLOCK-----

-a 的参数，在下文加密中有叙述。

当然，你如果要把你的公钥给其他人，请使用 gpg -a --export <KEY_ID>

$ gpg -a --export 0000000000000000
-----BEGIN PGP PUBLIC KEY BLOCK-----
...
-----END PGP PUBLIC KEY BLOCK-----

把输出的一大串东西统统发给其他人就行了。

导入公钥

首先你需要取得对方的公钥文件，它一般情况下是这个格式。

-----BEGIN PGP PUBLIC KEY BLOCK-----
...
-----END PGP PUBLIC KEY BLOCK-----

加密

可以加密任何文件，或者文本。前置条件是你有你需要加密的人的公钥。

输入 gpg -ae 根据提示操作即可。

$ gpg -ae 
You did not specify a user ID. (you may use "-r")

Current recipients:

Enter the user ID.  End with an empty line: [email protected]

Current recipients:
cv25519/0000000000000000 1145-01-04 "Test <[email protected]>"

Enter the user ID.  End with an empty line: 
233
-----BEGIN PGP MESSAGE-----

hF4D/00000000000000000000000000000000000000000000000000000000RQw
uG00000000000000/00000000000000000000000000000000000000000000tGq
000000000000000000000000000000000000000000000000000000000000000q
a/000000000000000000008=
=0007
-----END PGP MESSAGE-----

-a 参数用来输出非二进制，在控制台使用的情况下，输出二进制可能不是用户所想要的功能。而使用这个方式加密完文本之后，会有相对比较清楚的显示所以可以直接复制。

而 -e 参数用来告诉 GPG 进入加密模式。

注意：如果你加密了信息，但是你没有把你自己的 id 放到 recipients 中的话，你自己是无法解密你加密的这条讯息的。

签名

$ gpg -sa
test
-----BEGIN PGP MESSAGE-----

00000000000000000000000000000000000000000000000000000000000000nq
/000000000000000000000000000000000000000000000000000/+000000000x
00000000000000000000000000000000000000000000000000000000000000==
=vd3U
-----END PGP MESSAGE-----

-s 参数告诉 GPG 进入签名模式。

当然如果你只是想签名，而想让其他人直接看到被签名的消息，可以使用 gpg --clear-sign 。

$ gpg --clear-sign
test
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

test
-----BEGIN PGP SIGNATURE-----

000000000000000000000000000000000000000000000000000000000+000000
000000000000000000000000000000+000000000000000000000000000000000
0000000000000000000000000000000=
=kaxV
-----END PGP SIGNATURE-----

这样你签名的文字就会直接显示在文字中。

当然，你如果需要在加密时附上你的签名，只要把 -s 附加到参数中就行。

解密/验证签名

这两个都可以使用 gpg -d 来完成。

输入后，粘贴上想要解密/验证的文本。 gpg 会自动帮你处理。

解密

$ gpg -d
-----BEGIN PGP MESSAGE-----

0000/00000000000000000000000000000000000000000000000000000/00000
0000000000000000000+000/00000000000/000000000000000000000000000/
0000000000000000000000000000000000000000000000000000000000000000
00000000000000000+00+00=
=25q7
-----END PGP MESSAGE-----
gpg: encrypted with 255-bit ECDH key, ID 0000000000000000, created 1145-01-04
      "Test <[email protected]>"
test

验证签名

$ gpg -d
-----BEGIN PGP MESSAGE-----

00000000000000000000000000000000000000000000000000000000000000nq
/000000000000000000000000000000000000000000000000000/+000000000x
00000000000000000000000000000000000000000000000000000000000000==
=vd3U
-----END PGP MESSAGE-----
test
gpg: Signature made Thu 04 Jan 1145 19:19:08 CST
gpg:                using EDDSA key 0000000000000000000000000000000000000000
gpg: Good signature from "Test <[email protected]>" [ultimate]
gpg:                 aka "Test <[email protected]>" [ultimate]

信任

GPG 容易受到中间人攻击，请利用其他的方式确保你获得的 key 是对方实际正在使用的 key 。

在 iPXE 上从网路安装 Debian

Thu, 11 Nov 2021 13:01:47 +0800

由于安装的时候没有什么截图，本篇文章就不怎么配图了。

准备工作

首先我们先重启系统，进入 iPXE 界面。

可能会走 netboot ，记得根据提示，按 C-b 来进入 Shell 。

如需手动设置 IP 的话，可以使用下列命令来设置 IP 和 DNS

set net0/ip 192.168.0.1
set net0/netmask 255.255.255.0
set net0/gateway 192.168.0.254
set dns 8.8.8.8

记得使用 ifstat net0 看看是不是 open ，如果不是的话，可以使用 ifopen net0 来使它连线上。¹

引导系统

这里我们拿的是 Debian Bullseye ，要记得，这里的地址只能使用 http 而非 https 哦。

手打 base-url 进去 shell ，如果不想打那么长的话可以自己搞一个 http server 存 linux 和 initrd.gz 两个文件，实测没有影响

set base-url http://deb.debian.org/debian/dists/bullseye/main/installer-amd64/current/images/netboot/debian-installer/amd64

然后告诉 iPXE 需要引导什么

kernel ${base-url}/linux console=ttyS1,115200n8 initrd=initrd.gz
initrd ${base-url}/initrd.gz

如果没有问题的话，应该会经过一段下载过程，然后显示 OK

这个时候输入 boot 回车后，如果马上出现 Probing EDD (edd=off to disable) ，则说明引导成功了。

如果像我昨天一开始引导 ubuntu 等很久的话，基本上就是引导失败了。

然后就会出现 Debian 的安装界面了，这时候按正常安装过程处理就好。

参考资料

https://gianarb.it/blog/first-journeys-with-netboot-ipxe https://github.com/AdrianKoshka/ipxe-scripts/blob/master/boot/linux/debian.ipxe https://wiki.debian.org/PXEBootInstall#Provide_the_boot_image

https://ipxe.org/cmd/ifstat ↩︎

利用 ssh config 来控制 gpg agent 使用的 key

Thu, 23 Sep 2021 19:55:01 +0800

在 ssh 密钥还是文件的时候，控制 ssh key 在哪个 host 使用不是一个特别困难的选项，但是当密钥文件换成了 key 呢？本文就来介绍一下这个情况下的控制密钥使用

本文适用在 ssh 其它 key 都可以被接受但是只有某个 key 能起作用的情况

原答案： StackExchange

使用方法

首先先把 pub key 导出来，保存成文件

$ gpg --export-ssh-key 123456789012345678901234567890 > ~/.ssh/1234.pub

之后打开 ~/.ssh/config 文件，添加上你需要利用这个 key 访问的域名，配置文件如下所示

host example.com
#   hostname example.com
    IdentityFile ~/.ssh/1234.pub
    IdentitiesOnly yes
    PasswordAuthentication no
    PubkeyAuthentication yes

如果有需要一个 host 多 key 用的话，可以 host 后面写别名，而后在下面写 hostname 来做不同 key 的使用区别。

使用 Yubikey 在 archlinux 下 login/sudo/ssh

Thu, 12 Aug 2021 14:57:47 +0800

处理登录事件

此处需要安装额外软体 yubico-pam

Yubikey 可用两种方式来进行登录的验证，一种是在线验证，另一种是Challenge-response认证¹。

这里考虑到网络的情况，即在登录前可能没有网络，那可能会陷入无限循环状态。所以我选择了后者进行认证，其实也只是配置参数的区别而已。

按照它的配置，我们需要在 Yubikey 的 OTP 选项中，选择一个栏位用于 Challenge-response 。

这里我选择了使用短暂触碰的栏位，这样的话可以降低误触的概率(比你想要过认证但是输出了一大串 OTP 的无用字符好)

配置完成后，我们按照官方的教程的操作步骤进行操作。

首先新建一个目录用来存放配置文件。再使用它的 ykpamcfg 来生成验证所需要的东西。

$ mkdir ~/.yubico
$ ykpamcfg -2 -v
...
Stored initial challenge and expected response in '/home/alice/.yubico/challenge-123456'.

此处的 -2 选项是选择哪个槽位来进行 Challenge-response ，如果配置的是短触的栏位，则使用 -1 (或者干脆直接删掉这个参数) 。

官方教程中有可选的增强安全性的选项，这里也把相应的步骤写一下

$ sudo mkdir /var/yubico
$ sudo chown root.root /var/yubico
$ sudo chmod 700 /var/yubico
$ ykpamcfg -2 -v
...
Stored initial challenge and expected response in '$HOME/.yubico/challenge-123456'.
$ sudo mv ~/.yubico/challenge-123456 /var/yubico/alice-123456
$ sudo chown root.root /var/yubico/alice-123456
$ sudo chmod 600 /var/yubico/alice-123456

请在更改 pam 文件前，仔细斟酌能否回滚文件更改，以防出现无法登录的情况

之后，在 pam 配置 /etc/pam.d/systemd-login 中添加一行

auth       sufficient   pam_yubico.so       mode=challenge-response chalresp_path=/var/yubico

或者把 sufficient 改为 required 如果强制需要 yubikey 进行登录的话。

重启系统后就可以体验到新的配置了，如果有需要按 yubikey 上的按钮的话别忘记按。

处理 sudo 事件

sudo 的话这里需要用到它的 u2f ，这里同样也许要安装额外软体 pam-u2f。

首先生成 pam 的配置

pamu2fcfg -o pam://[YOUR HOSTNAME] -i pam://[YOUR HOSTNAME] > ~/.config/Yubico/u2f_keys

请在更改 pam 文件前，额外另开另一个 root shell 以防出现修改失败无法回滚的情况

而后在 /etc/pam.d/sudo 的第一行之前，添加这一行，并确认 [YOUR HOSTNAME] 已经替换成了您机器的 hostname

auth            sufficient      pam_u2f.so origin=pam://[YOUR HOSTNAME] appid=pam://[YOUR HOSTNAME]

保存后，执行 sudo ls ，你的 yubikey 应该会闪烁，触摸它一下即应该成功执行这个指令。

配置 ssh 远程登录

这里需要用到 GPG 的配置，具体就参考之前的部落格吧，因为使用的是 GPG 的 ssh key 来进行认证。

这里假设已经配置好了，我们首先拿一下它的公钥。

使用 gpg --export-ssh-key <YOUR KEY ID> 应该能输出如下栏位，把公钥先添加到你想要链接的伺服器上。

$ gpg --export-ssh-key [MASKED]
ssh-ed25519 [MASKED] openpgp:[MASKED]

这时的下一步，就是让 gpg-agent 接管 ssh-agent 来进行认证。

$ export SSH_AUTH_SOCK=$(gpgconf --list-dirs agent-ssh-socket)

当然还要配置一下 gpg-agent 的配置文件: ~/.gnupg/gpg-agent.conf 加上一行

enable-ssh-support

然后把自己的 key id 添加到 ~/.gnupg/sshcontrol ， key id 可以用 gpg -K --with-keygrip 找到。

再启动 gpg-agent

$ gpgconf --launch gpg-agent

如果 gpg-agent 已经启动了，那我们需要 reload 一下 agent ，使用下列命令来 reload

$ gpg-connect-agent reloadagent /bye

此时使用 ssh 的话，应该就是使用你的 yubikey 上的 GPG key 进行认证的了。

https://developers.yubico.com/yubico-pam/Authentication_Using_Challenge-Response.html ↩︎

不怎么精简地添加 GPG key 到 Yubikey 教程

Wed, 04 Aug 2021 22:21:59 +0800

年初的时候买了个 Yubikey 但是它一直在抽屉里面吃灰，也没好好用过几次，所以这次打算趁有空的时候，折腾一下这个东西。

太长不看的话，请直接往下拉到有关添加的章节。

准备工作

首先我们要确定你的机子可以读出你插入的 Yubikey ，如果读不出来的话，可以参考一下官方的疑难解答。

我们需要初始化一下 Yubikey ，设置它的密码和管理员密码。

使用 gpg --edit-card 指令来进行一个智能卡的编辑。

$ gpg --edit-card 

Reader ...........: Yubico YubiKey OTP FIDO CCID 00 00
Application ID ...: [MASKED]
Application type .: OpenPGP
Version ..........: 3.4
Manufacturer .....: Yubico
Serial number ....: [MASKED]
Name of cardholder: [not set]
Language prefs ...: [not set]
Salutation .......: 
URL of public key : [not set]
Login data .......: user
Signature PIN ....: not forced
Key attributes ...: ed25519 cv25519 ed25519
Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
KDF setting ......: off

一般显示大概会如上所示，这时候我们需要进行一个密码重设的操作(如果重设过密码，请跳过这步)

预设的密码是 123456 ，预设的管理密码是 12345678 。

首先我先输入 admin 允许管理员选项，之后输入 passwd 按照操作进行重设。

gpg/card> admin
Admin commands are allowed

gpg/card> passwd
gpg: OpenPGP card no. [MASKED] detected

1 - change PIN
2 - unblock PIN
3 - change Admin PIN
4 - set the Reset Code
Q - quit

Your selection?

输入 1 来更改预设密码，输入 3 来更改管理员密码。 2 的选项是你在忘记第一个密码的时候给你解锁用的，所以务必记得管理员密码。 4 的话可以做一个恢复代码的设置，也是用来重设的。

设置好密码后，就可以开始进行下一步了。

生成 gpg key

这里只讲解 ed25519 的生成， RSA 的方式应该差不多。如果已经有 key 则可以考虑跳过这一步。

首先我们执行 gpg --expert --full-generate-key

$ gpg --expert --full-generate-key
gpg (GnuPG) 2.2.29; Copyright (C) 2021 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Please select what kind of key you want:
   (1) RSA and RSA (default)
   (2) DSA and Elgamal
   (3) DSA (sign only)
   (4) RSA (sign only)
   (7) DSA (set your own capabilities)
   (8) RSA (set your own capabilities)
   (9) ECC and ECC
  (10) ECC (sign only)
  (11) ECC (set your own capabilities)
  (13) Existing key
  (14) Existing key from card
Your selection?

这里选择 9

Please select which elliptic curve you want:
   (1) Curve 25519
   (3) NIST P-256
   (4) NIST P-384
   (5) NIST P-521
   (6) Brainpool P-256
   (7) Brainpool P-384
   (8) Brainpool P-512
   (9) secp256k1
Your selection? 1

这里选择 1 使用 Cv25519 做加密工作。因为 Ed25519 没办法执行加密操作，只能靠 Cv25519 代劳。

Please specify how long the key should be valid.
         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years
Key is valid for? (0) 
Key does not expire at all
Is this correct? (y/N) y

GnuPG needs to construct a user ID to identify your key.

Real name: user
Email address: [email protected]
Comment: 
You selected this USER-ID:
    "user <[email protected]>"

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
gpg: key D2F475D29D00AB02 marked as ultimately trusted
gpg: revocation certificate stored as '479F2CF8B814423F45A58B05D2F475D29D00AB02.rev'
public and secret key created and signed.

pub   ed25519 2021-08-04 [SC]
      479F2CF8B814423F45A58B05D2F475D29D00AB02
uid                      user <[email protected]>
sub   cv25519 2021-08-04 [E]

然后预设的话会生成一个 primary key 和一个 sub key 。我们还需要一个 key 来进行一个 ssh 的认证，所以这里在再添加一个 sub key (或者更改 primary key 来支援认证也可以)

添加 sub key

使用 gpg --expert --edit-key <YOUR KEY ID> 来进行一个key的编辑。

$ gpg --expert --edit-key 479F2CF8B814423F45A58B05D2F475D29D00AB02
gpg (GnuPG) 2.2.29; Copyright (C) 2021 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

sec  ed25519/D2F475D29D00AB02
     created: 2021-08-04  expires: never       usage: SC  
     trust: ultimate      validity: ultimate
ssb  cv25519/CE765FB433B0B0DB
     created: 2021-08-04  expires: never       usage: E   
[ultimate] (1). user <[email protected]>

gpg>

这时候输入 addkey

gpg>addkey
Please select what kind of key you want:
   (3) DSA (sign only)
   (4) RSA (sign only)
   (5) Elgamal (encrypt only)
   (6) RSA (encrypt only)
   (7) DSA (set your own capabilities)
   (8) RSA (set your own capabilities)
  (10) ECC (sign only)
  (11) ECC (set your own capabilities)
  (12) ECC (encrypt only)
  (13) Existing key
  (14) Existing key from card
Your selection?

选择 11

Your selection? 11

Possible actions for a ECDSA/EdDSA key: Sign Authenticate 
Current allowed actions: Sign 

   (S) Toggle the sign capability
   (A) Toggle the authenticate capability
   (Q) Finished

Your selection?

然后输入一个 A 来允许使用 key 进行认证。

Your selection? A

Possible actions for a ECDSA/EdDSA key: Sign Authenticate 
Current allowed actions: Sign Authenticate 

   (S) Toggle the sign capability
   (A) Toggle the authenticate capability
   (Q) Finished

Your selection?

然后 Q 即可，接着按提示操作。

sec  ed25519/D2F475D29D00AB02
     created: 2021-08-04  expires: never       usage: SC  
     trust: ultimate      validity: ultimate
ssb  cv25519/CE765FB433B0B0DB
     created: 2021-08-04  expires: never       usage: E   
ssb  ed25519/927366AF0BD16702
     created: 2021-08-04  expires: never       usage: A  
[ultimate] (1). user <[email protected]>

最后应该会如上显示，接着我们就需要把这个 GPG key 转移到 Yubikey 里面。

添加 GPG key 到 Yubikey

请注意，这个指令会导致你的 secret key 永久地移动到 Yubikey 中，请事先做好备份

如果您没有在 GnuPG edit key 界面，请打开它。使用 gpg --edit-key <YOUR KEY ID> 来打开界面。

$ gpg --expert --edit-key 479F2CF8B814423F45A58B05D2F475D29D00AB02
gpg (GnuPG) 2.2.29; Copyright (C) 2021 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

sec  ed25519/D2F475D29D00AB02
     created: 2021-08-04  expires: never       usage: SC  
     trust: ultimate      validity: ultimate
ssb  cv25519/CE765FB433B0B0DB
     created: 2021-08-04  expires: never       usage: E   
ssb  ed25519/927366AF0BD16702
     created: 2021-08-04  expires: never       usage: A  
[ultimate] (1). user <[email protected]>

稍加讲解一下 usage 代表的意思， S 代表 sign ， E 代表 encrypt ， A 代表 authenticate 。

然后我们把 key 复制进卡里，首先选择你需要的 key ，使用 key <id> id 为上面显示的 key 的顺序。

gpg> key 1

sec  ed25519/D2F475D29D00AB02
     created: 2021-08-04  expires: never       usage: SC  
     trust: ultimate      validity: ultimate
ssb  cv25519/CE765FB433B0B0DB
     created: 2021-08-04  expires: never       usage: E   
ssb* ed25519/927366AF0BD16702
     created: 2021-08-04  expires: never       usage: A  
[ultimate] (1). user <[email protected]>

选择成功后，会在上面显示一个星号。

再提醒一次，这个指令会导致你的 secret key 永久地移动到 Yubikey 中，请事先做好备份

然后输入 keytocard 后，根据提示操作。

gpg> keytocard
Please select where to store the key:
   (1) Signature key
   (3) Authentication key
Your selection?

如此反复之后，应该就可以从 gpg --edit-card 中看到 Yubikey 中的 key 的情况。

导出 GPG ssh key

使用 gpg --export-ssh-key <YOUR KEY ID> 即可

可选的安全选项¹

建议开启的选项(可自定义)，需要 Yubikey Manager CLI

ykman openpgp keys set-touch aut off
ykman openpgp keys set-touch sig on
ykman openpgp keys set-touch enc on

这几个选项要求 Yubikey 在使用 gpg 时，是否需要进行物理的触碰。按需开启。

https://zach.codes/ultimate-yubikey-setup-guide/ ↩︎

Systemd 在系统启动后立即执行用户态下的服务

Wed, 28 Jul 2021 15:26:18 +0800

以前都比较愚蠢，一直以为只有系统服务才可以做到开机后运行，不然就只有用户登录后才可以运行。一直到最近迁移服务器了才开始重新研究这一部分的内容。

先把命令拿出来，只要这一行指令，系统引导后就会自动帮你执行你需要开机执行的程序

sudo loginctl enable-linger $(whoami)

当然也可以不写那个 $(whoami) 或者手动改成你需要的用户名。

服务配置

对于系统服务，用户态服务的配置稍有不同，所以大部分提供给系统服务的服务文件是不能直接使用的。

首先便是 Install 这一块，系统服务一般写的是 multi-user.target

[Install]
WantedBy=multi-user.target

而用户服务，则需要改写成 default.target

[Install]
WantedBy=default.target

另，用户的服务也不能依赖系统的服务。因为用户服务的 systemd 主进程和系统服务的 systemd 主进程是相互独立的，所以没办法用显式依赖的方式来只依赖声明。但是依赖 target 还是可以的。

配置服务自动启动

只需要使用下列命令就行，记得用户态的服务务必加上 --user

systemctl --user enable <your service>.service

致谢

特别感谢 Billchen 为我提供了自动启动的思路

一个不完整的 VPS 安装 Archlinux 教程

Sat, 24 Jul 2021 22:06:48 +0800

Arch linux 似乎需要 700MiB+ 的记忆体空间才能成功引导 Arch linux iso ，如果不满足这个需求的话，请使用 vps2arch (当然这个版本是我自己修改过的，可以用原来的版本)。

如果 VNC 不方便使用，比如不方便粘贴之类的，可以用 ssh 来链接(请记得设置密码)。

我们引导上之后，先确认一下网络有连接上，可以用 ping 指令来测试。一般情况下，通过 DHCP 获得 ip 地址的机器都可以正常工作。

而后第一件事就是磁盘分区，因为我用 fdisk 所以我这边就不过多叙述了，这个可以有很多的方法去处理分区。

一般情况下，我们应该设置至少一个分区为 EFI system ，这样才可以正确通过 UEFI 来进行引导。

分区完成后，应该进行格式化。

分区处理好以后，我们需要先对其进行挂载。

mount /dev/sda2 /mnt
mkdir /mnt/boot
mount /dev/sda1 /mnt/boot

安装系统

pacstrap /mnt linux linux-firmware base base-devel vim

base-devel 和 vim 都是可选安装的。

过一会儿应该就跑完了，这时候我们把 fstab 文件更新一下

genfstab -U /mnt >> /mnt/etc/fstab

系统调整

我们先 chroot 进去系统

arch-chroot /mnt

先设置一下时区

ln -sf /usr/share/zoneinfo/Asia/Taipei /etc/localtime

配置一下本地化

sed -i 's|#en_GB.UTF-8|en_GB.UTF-8|g' /etc/locale.gen
locale-gen

然后在 /etc/locale.conf 中写上 LANG=en_GB.UTF-8

安装引导

这里只写 UEFI 下的引导安装，为了验证是 UEFI 环境，请确认 /sys/firmware/efi/efivars/ 资料夹是否存在。

这里使用 systemd-boot 来进行引导。

首先我们先使用安装引导程序命令

bootctl install

如果前面的分区类型没有问题，那这里应该不会有任何报错。如有报错，请确保分区类型和挂载位置是否正确。

接着我们就可以编辑引导文件了，在 chroot 环境中，引导文件应在 /efi/loader 此处的 /efi 按照上文配置应为 /boot。

编辑引导菜单文件 /boot/loader/loader.conf ，设定预设选项为 arch.conf

default arch
timeout 3

新建引导选项 /boot/loader/entries/arch.conf

title Arch Linux
linux /vmlinuz-linux
initrd /intel-ucode.img
initrd /initramfs-linux.img
options root="UUID=xxx-xxx-xxx" rw

ucode 可以按照需求安装， AMD 系统请安装 amd-ucode 。 UUID 可以通过命令 blkid 获得，请使用 UUID 而非 PARTUUID 。

可选添加菜单 fallback.conf ，这里就不叙述了。

用 Ctrl + D 来退出 chroot 环境，输入 reboot 即可重启系统。

如果安装顺利的话，应该会自动引导到 Arch linux 了。

本文如有未尽事宜，会通过水其他部落格篇目的形式来进行补充。

我的 VS Code 为什么不能下载扩展软件

Thu, 22 Jul 2021 19:52:45 +0800

好久没水部落格了，那我今天就来水一篇部落格吧。

大概是我新装了 Arch linux 在笔记本上后，今天打算用 VS Code 写部落格，然后想看一下扩展应用里面有什么好玩的东西来的，然后就发现我无论如何都没办法刷新出市场。

那怎么办呢，挂了代理也不行，那大概就不是我的问题了。

于是去 GitHub 上面找了一下有没有人跟我有同样情况的，首先找到了#81115。

这条没有什么用，但是里面说了一句，可以从 Developer tools (F1 -> Search Developer tools 或 Ctrl + Shift + I) 里面来看网络请求。

然后我就发现这东西不对劲，怎么是 CORS 的问题

那这个简单了，直接拿 CORS 去 GitHub 查即可，于是找到了这个 #128583

然后顺藤摸瓜找到了这个解决方案

应用解决方案后，重启 VS Code 即可正常工作。

搭建 Git 伺服器并利用 cgit 作为前端

Sun, 02 May 2021 14:22:48 +0800

本文预设环境为: Arch linux x86_64 with Nginx

搭建 Git 伺服器

首先我们需要安装 git 包

本文这里只阐述利用 ssh 连线的 git 伺服器

由于系统预设已经添加了 git 用户，这里我们只需要做两个小修改即可

新建一个目录 /srv/git 并且记得把所有者设置为 git

$ sudo mkdir /srv/git
$ sudo chown git:git /srv/git

然后修改 /etc/passwd 将其 home 目录从 / 设置成 /srv/git

接着编辑 /usr/lib/systemd/system/[email protected]

在 ExecStart 栏位把 --base-path 的参数修改为 /srv/git

全部修改完以后，我们就可以测试一下

首先切换到目录 /srv/git 中(如果没有权限的话，可以尝试用 root 用户操作(sudo -i))

使用下列命令新建一个 repo

# mkdir test.git
# cd test.git
# git init --bare
# cd ..
# chown -R git:git test.git

而后本地如果要 clone 的话，首先将自己的 ssh key 添加到 /srv/git/.ssh/authorized_keys 中

使用 git clone git@<your host name>:test.git 来 clone

$ git clone git@githost:test.git
Cloning into 'test'...
warning: You appear to have cloned an empty repository.

一般可以 clone 的话，其他的操作也不会有什么问题

配置 cgit

首先安装 cgit

它有几个可选的依赖，可以自行选择是否需要安装

Optional dependencies for cgit
    groff: about page using man page syntax
    python-pygments: syntax highlighting support
    python-docutils: about page formatted with reStructuredText
    python-markdown: about page formatted with markdown
    gzip: gzip compressed snapshots
    bzip2: bzip2 compressed snapshots
    lzip: lzip compressed snapshots
    xz: xz compressed snapshots
    zstd: zstd compressed snapshots
    mime-types: serve file with correct content-type header

配置 Nginx

安装 fcgiwrap

然后启用 fcgiwrap.socket

$ sudo systemctl enable --now fcgiwrap.socket

以下是参考的 nginx server 配置文件

如需启用 ssl 可以参考往期的文章

server {
    listen                80;
    server_name           git.example.com;
    root                  /usr/share/webapps/cgit;
    try_files             $uri @cgit;

    location @cgit {
      include             fastcgi_params;
      fastcgi_param       SCRIPT_FILENAME $document_root/cgit.cgi;
      fastcgi_param       PATH_INFO       $uri;
      fastcgi_param       QUERY_STRING    $args;
      fastcgi_param       HTTP_HOST       $server_name;
      fastcgi_pass        unix:/run/fcgiwrap.sock;
    }
  }

配置完成后应使用 nginx -t 测试配置文件的有效性。

配置 cgitrc

我这里直接使用预设配置

配置文件: /etc/cgitrc ，由于这个文件是写死的，出费用环境变数改，或者重新编译 cgit ，所以我就使用预设的路径了。

#
# cgit config
#

css=/cgit.css
logo=/cgit.png

# Following lines work with the above Apache config
#css=/cgit-css/cgit.css
#logo=/cgit-css/cgit.png

# Following lines work with the above Lighttpd config
#css=/cgit/cgit.css
#logo=/cgit/cgit.png

# Allow http transport git clone
#enable-http-clone=0


# if you do not want that webcrawler (like google) index your site
robots=noindex, nofollow

# if cgit messes up links, use a virtual-root. For example, cgit.example.org/ has this value:
virtual-root=/

我们为了简洁名了，把仓库的设置独立出来，放在其他的文件。只需要再上面的配置文件中添加一行 include=/path/to/repos 即可

#
# List of repositories.
# This list could be kept in a different file (e.g. '/etc/cgitrepos')
# and included like this:
#   include=/etc/cgitrepos
#

repo.url=test
repo.path=/srv/git/test.git
repo.desc=This is my git repository

填写这个配置后访问配置的域名，应该就可以看到已经将仓库内容 show 出来了。

鉴权

当然，我们配置的这个是任何人都可以访问的。之所以这篇文章鸽了这么久，因为我在写鉴权的程式。

如需简单的鉴权，可以参考这个项目 cgit-simple-authentication ，这个项目提供了简单的对仓库的分权限控制。

利用 dd + ssh 备份分区到其他电脑

Mon, 26 Apr 2021 23:04:34 +0800

本文所用到的软体，在 Arch Linux ISO 中均预设包含，无需另行安装

启用 sshd

由于 sshd 在 iso 上也是预装的，所以只需要一行启动指令即可

# systemd start sshd

记得修改一下 root 用户的密码，不然是连不上的

传输文件到本地

这里假设需要备份目标伺服器的 /dev/sda ，这里使用 zstd 进行传输前压缩¹

$ ssh <user name>@<host> "dd bs=1M iflag=fullblock if=/dev/sda status=progress | zstd -16" > sda.zst.img

传输文件回伺服器

这里按照之前的假设原样回档

$ ssh <user name>@<host>  "zstdcat -- | dd bs=1M iflag=fullblock of=/dev/sda status=progress " < sda.zst.img

https://unix.stackexchange.com/a/492779 ↩︎

进入 Rescue mode 重置 root 用户密码

Thu, 22 Apr 2021 00:53:25 +0800

由于我 VPS 网络配置的问题，从快照中恢复我的主机并不能主动连上网，但是当我满怀期望地打算连上 VNC 大干一番后，发现我居然没有设置 root 的密码

反正我试了一下密码进不去，就大概猜到我用了脚本之后可能把密码重设成什么东西的 hash 了但是我忘记是什么的hash了，总之，我现在要来重设我的密码就是了

由于有 VNC 可用，所以我直接想到用 Rescue mode (Single User Mode)

这里只讲 GRUB 引导的环境，因为我暂时不知道 systemd-boot 引导的环境怎么配置 Rescue mode

修改 GRUB 启动项

首先我们在 GRUB 选择系统页面中断它的引导，按下 e 来编辑它

此处应有图片

而后我们只要在主引导项的 linux 参数后面加一行 init=/bin/bash 即可

C-x 或者 F10 来保存，切记不要直接 Esc

而后直接选择刚刚修改过的启动就可以了。

此处应有图片

排除问题

由于教程¹写说我们需要先挂载 / 成 rw 才可以写入，但是我实际操作的时候并没有遇到

但，这里还是先挂载

# mount -n -o remount,rw /

而后呢，我们需要更改密码，那使用 passwd 指令修改就可以了

修改好以后，不需要重启系统，直接输入 exec /sbin/init 就可以按照正常的步骤进入系统

https://www.linuxtechi.com/boot-arch-linux-single-user-mode-rescue-mode/ ↩︎

使用 systemd-timer 代替 crontab 执行定时任务

Wed, 21 Apr 2021 23:57:49 +0800

Arch 上已经不预装 crontab 了，但是有全套(?)的 systemd 套件，所以可以用 systemd-timer 来代替定时任务的执行。

这里就讲一下定时(固定时间执行)任务好了，我觉得它的缺点(?)是需要一个 .service 和它相匹配，所以就是有一个 timer 跟着一个 service ，才能把定时任务组合起来。

Service 配置

这里假设我需要执行一个 Python 所写的程序，并且将这个服务命名为 python-timer.service

之后把下列的文件添加进 /etc/systemd/system/ 中

[Unit]
Description=Python timer test
Wants=python-timer.timer

[Service]
Type=oneshot
ExecStart=/usr/bin/python -c "import time; print(time.time())"

[Install]
WantedBy=multi-user.target

这个服务会在指定的时候输出当前时间

Timer 配置

那我们也同时需要一个 timer 文件，放在 /etc/systemd/system/ 中。这个 timer 文件命名为 python-timer.timer 好了

这里的例子是让其每天的三点钟运行

[Unit]
Description=Python timer test timer
Wants=python-timer.service

[Timer]
Unit=python-timer.service
OnCalendar=*-*-* 4:30:00

[Install]
WantedBy=timers.target

把这两个配置文件写好以后，就执行重载指令

$ sudo systemctl daemon-reload

然后把 timer 启用

$ sudo systemctl enable python-timer.timer

之后我们使用下列指令就能看到 timer 情况了

$ sudo systemctl status python-timer.timer
● python-timer.timer - Python timer test timer
     Loaded: loaded (/etc/systemd/system/python-timer.timer; enabled; vendor preset: disabled)
     Active: active (waiting) since Thu 2021-04-22 01:12:58 CST; 7s ago
    Trigger: Thu 2021-04-22 04:30:00 CST; 3h 16min left
   Triggers: ● python-timer.service

Apr 22 01:12:58 systemd[1]: Started Python timer test timer.

在VPS上安装 openSUSE TW

Sat, 17 Apr 2021 22:28:25 +0800

因为我前面的步骤完全失败了，所以当我前面在放屁就好了

第一次尝试 NET iso

先挂载到ISO上

这里需要手动设置 IP，先选择 Back

然后选择语言和键盘后到这个菜单。

选择 Settings ，选择到 Network Setup 选项，手动设置网络

选择手动设置IP，因为DHCP会失败

然后手动输入 Vultr 提供的 IP 和网关，以及 DNS 。 DNS 可以自定义

设置好后回到主菜单，选择开始安装。

因为找不到远端的仓库，我选择直接从DVD安装好了，就不网络安装了。

第二次尝试 Offline ISO

检查过 md5 ，也自我检查过 iso ，放弃

第三次尝试 Remote Install

本来打算用远端安装的方法，但是最后也是失败了。

下载 initrd 引导安装程序

cd /boot
curl -o vmlinuz.install http://mirror.siena.edu/opensuse/tumbleweed/repo/oss/boot/x86_64/loader/linux
curl -o initrd.install http://mirror.siena.edu/opensuse/tumbleweed/repo/oss/boot/x86_64/loader/initrd

grub.cfg 配置

	menuentry 'openSUSE install' {
   		insmod gzio
		set root='hd0,gpt1'
		linux /boot/vmlinuz.install noapic usessh=1 sshpassword="12345678" install=http://mirror.siena.edu/opensuse/tumbleweed/repo/oss hostip=192.168.1.50 netmask=255.255.255.0 gateway=192.168.1.1 nameserver=8.8.8.8
		initrd /boot/initrd.install
	}

第四次尝试升级配置后安装

最终，我决定曲线救国一下。利用 Block storage ，将作业系统安装到 Block storage 中，然后转移到原计划安装的机器，使用 dd 安装。

很成功，已经可以看到载入图形的界面了，要知道，我之前是连这个都打不开的

询问是否要开启线上的仓库，这里我选择的不要

选择作业系统的 Role ，这里选择 Server

之后依照自己的配置配置就行(因为我发现我完全忘记截图了顾着点下一步)

dd 的过程我就不详细叙述了，因为好像也不是主题的一部分，它做功了，总之。

acme.sh + CloudFlare + Nginx

Sat, 17 Apr 2021 13:23:43 +0800

准备工作

你首先需要一个 CloudFlare 的账号，由于申请证书的缘故，你还需要一个域名。

接着你需要将域名的 NameServer 设置成 CloudFlare 提供的 NS ，这样才能透过 CloudFlare 管理您域名的 DNS 记录。

安装 Nginx 这里就不再赘述，对于安装 acme.sh ， Arch linux 用户可以直接使用 pacman 安装¹:

$ sudo pacman -S acme.sh

也可以参考其他的安装方法来安装

申请证书²

注意: 连通性较差地区的用户建议使用代理

准备工作

以下两种方法使用其中一种即可

使用 Global Key

Global Key 可以在这个页面看到，将这个 Key 导入到环境变数中

export CF_Key="example_key"
export CF_Email="[email protected]"

使用 API Token

API Token 同样也可以在这个页面看到，你需要新建一个 API Token，这个 Token 需要 Zone.Zone 的 Read 权限，和对于各个你需要的 Zone 的 Zone.DNS 的 Write 权限。

Accound ID 在 Dashboard 重定向的网址中可以看到，如: https://dash.cloudflare.com/faaaaaaaaaaaaaaaaaaaaaaaaaaaaaa3 中的 faaaaaaaaaaaaaaaaaaaaaaaaaaaaaa3

或者点选你的域名(Zone)，在右下角可以看到

export CF_Token="example_token"
export CF_Account_ID="account_id"

当然，你可能也只需要改一个 Zone 的 DNS 即可，这时候可以再指定上 Zone 的 ID

Zone 的 ID 在 Zone 页面的右下角(和Account ID位置相同)

export CF_Zone_ID="xxxxxxxxxxxxx"

目前 acme.sh 官方尚不支援多 Zone 不同 Token

开始申请

配置完环境变数后，就可以开始申请证书了。

acme.sh --issue --dns dns_cf -d example.com -d www.example.com

Sample output:

$ acme.sh --issue --dns dns_cf -d example.com
[Sat 17 Apr 13:51:58 CST 2021] Using CA: https://acme-v02.api.letsencrypt.org/directory
[Sat 17 Apr 13:51:58 CST 2021] Creating domain key
[Sat 17 Apr 13:51:58 CST 2021] The domain key is here: /home/user/.acme.sh/example.com/example.com.key
[Sat 17 Apr 13:51:58 CST 2021] Single domain='example.com'
[Sat 17 Apr 13:51:58 CST 2021] Getting domain auth token for each domain
[Sat 17 Apr 13:51:59 CST 2021] Getting webroot for domain='example.com'
[Sat 17 Apr 13:51:59 CST 2021] Adding txt value: **MASKED** for domain:  _acme-challenge.example.com
[Sat 17 Apr 13:51:59 CST 2021] Adding record
[Sat 17 Apr 13:52:00 CST 2021] Added, OK
[Sat 17 Apr 13:52:00 CST 2021] The txt record is added: Success.
[Sat 17 Apr 13:52:00 CST 2021] Let's check each DNS record now. Sleep 20 seconds first.
[Sat 17 Apr 13:52:21 CST 2021] Checking example.com for _acme-challenge.example.com
[Sat 17 Apr 13:52:21 CST 2021] Domain example.com '_acme-challenge.example.com' success.
[Sat 17 Apr 13:52:21 CST 2021] All success, let's return
[Sat 17 Apr 13:52:21 CST 2021] Verifying: example.com
[Sat 17 Apr 13:52:23 CST 2021] Success
[Sat 17 Apr 13:52:23 CST 2021] Removing DNS records.
[Sat 17 Apr 13:52:23 CST 2021] Removing txt: **MASKED** for domain: _acme-challenge.example.com
[Sat 17 Apr 13:52:24 CST 2021] Removed: Success
[Sat 17 Apr 13:52:24 CST 2021] Verify finished, start to sign.
[Sat 17 Apr 13:52:24 CST 2021] Lets finalize the order.
[Sat 17 Apr 13:52:24 CST 2021] Le_OrderFinalize='https://acme-v02.api.letsencrypt.org/acme/finalize/**MASKED**/**MASKED**'
[Sat 17 Apr 13:52:25 CST 2021] Downloading cert.
[Sat 17 Apr 13:52:25 CST 2021] Le_LinkCert='https://acme-v02.api.letsencrypt.org/acme/cert/**MASKED**'
[Sat 17 Apr 13:52:25 CST 2021] Cert success.
-----BEGIN CERTIFICATE-----
**MASKED**
-----END CERTIFICATE-----
[Sat 17 Apr 13:52:25 CST 2021] Your cert is in  /home/user/.acme.sh/example.com/example.com.cer
[Sat 17 Apr 13:52:25 CST 2021] Your cert key is in  /home/user/.acme.sh/example.com/example.com.key
[Sat 17 Apr 13:52:25 CST 2021] The intermediate CA cert is in  /home/user/.acme.sh/example.com/ca.cer
[Sat 17 Apr 13:52:25 CST 2021] And the full chain certs is there:  /home/user/.acme.sh/example.com/fullchain.cer

配置 Nginx

Nginx 只需要两个文件 cert key 和 full chain certs 也就是 example.com.key 和 fullchain.cer。

我们先把这两个文件扔到 Nginx 的目录下，方便它可以读到这两个文件

# 假设 nginx 的配置文件在该目录下
cd /etc/nginx
# 建立一个专门用来存放证书的目录
sudo mkdir certs
cd certs
# 建一个域名专用的目录
mkdir example.com
# 用 acme.sh 脚本将文件 cp 到这两个目录中
acme.sh --install-cert -d example.com --key-file example.com/example.com.key --fullchain-file example.com/fullchain.cer

打开需要配置的服务端部分，添加以下行³

    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name leanhe.dev;

    ssl_certificate /etc/nginx/certs/example.com/fullchain.cer;
    ssl_certificate_key /etc/nginx/certs/example.com/example.com.key;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;

如需 HSTS ，可以再添加以下行

    add_header Strict-Transport-Security "max-age=63072000" always;

最后测试一下 Nginx

$ sudo nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

这样就可以放心的重载 Nginx 了

$ sudo systemctl reload nginx

PostgreSQL 热备配置

Fri, 16 Apr 2021 22:51:45 +0800

这里只配置了热备，没有配置归档处理，可能会导致伺服器关键数据无法回滚¹，或许下个文章会写一下(

认证配置²

首先我们需要创建一个可用于热备的账户，建议使用一个专用的账户用来做这个事情。

这个账户需要有 REPLICATION 和 LOGIN 的权限。虽然 REPLICATION 的权限很大，但是它并不能修改主伺服器的数据。

如果这个账户 foo 且账户是来自 192.168.1.100 则可以把以下配置放到主机的 pg_hba.conf 中。

# Allow the user "foo" from host 192.168.1.100 to connect to the primary
# as a replication standby if the user's password is correctly supplied.
#
# TYPE  DATABASE        USER            ADDRESS                 METHOD
host    replication     foo             192.168.1.100/32        md5

同时，把以下的连接讯息放在备用伺服器的 primary_conninfo 中

这里假设主伺服器的 ip 位址是 192.168.1.50

# The standby connects to the primary that is running on host 192.168.1.50
# and port 5432 as the user "foo" whose password is "foopass".
primary_conninfo = 'host=192.168.1.50 port=5432 user=foo password=foopass'

配置伺服器

主伺服器

首先我们需要配置主伺服器，修改部分 postgresql.conf 文件内容

wal_level = replica
full_page_writes = on
wal_log_hints = on

配置好后，这里我们需要重启一下伺服器

root@:~ $ systemctl restart posgresql.service

(然后我在这边折腾了一个多小时，原因是配置文件全部改到旧的文件上去了，我说怎么老是用不了)

从伺服器

首先确保从伺服器 postgresql.service 没有在运行，而后确认从伺服器没有重要资料后，将从伺服器的数据直接删除(当然，你想备份把它移走也是可以的)

postgres@:~ $ rm -rf ~/data/

使用 pg_basebackup 指令，从远端拷贝一份数据到本地

此处加上 --write-recovery-conf 指令，这样可以直接将 primary_conninfo 写入到配置文件中。

此处也可以加上 --wal-method=stream 避免复制时间太久导致最后一步失败³

postgres@:~ $ pg_basebackup --write-recovery-conf -h 192.168.1.50 -U foo -D data -P
Password:
713513/713513 kB (100%), 1/1 tablespace

复制完成后，可以检查 data/postgres.conf 文件，可以看到 primary_conninfo 已经帮我们写上了

primary_conninfo = 'user=foo password=foopass host=192.168.1.50 port=5432' # connection string to sending server

但是还没完，我们还要进一步修改内容

hot_standby = on

上面跟主伺服器重复的选项我这里把它注释掉了，好像没有什么影响。

修改完后保存，并且创建一个 standby.signal 文件

postgres@:~ $ touch data/standby.signal

这样就可以启动伺服器了。

检查状态⁴

主伺服器

postgres@:~ $ psql
psql (13.2)
Type "help" for help.

postgres=# \x
Expanded display is on.
postgres=# select * from pg_stat_replication;
-[ RECORD 1 ]----+------------------------------
pid              | 12911
usesysid         | 16570
usename          | rundll32
application_name | walreceiver
client_addr      | 10.1.96.3
client_hostname  |
client_port      | 57676
backend_start    | 2021-04-17 01:21:38.533617+08
backend_xmin     |
state            | streaming
sent_lsn         | 1/1D114338
write_lsn        | 1/1D114338
flush_lsn        | 1/1D114338
replay_lsn       | 1/1D114338
write_lag        |
flush_lag        |
replay_lag       |
sync_priority    | 0
sync_state       | async
reply_time       | 2021-04-17 02:20:34.118557+08

postgres=#

从伺服器

postgres@:~ $ psql
psql (13.2)
Type "help" for help.

postgres=# \x
Expanded display is on.
postgres=# select * from pg_stat_wal_receiver;
-[ RECORD 1 ]---------+---------------------------------------------
pid                   | 871359
status                | streaming
receive_start_lsn     | 1/1D000000
receive_start_tli     | 1
written_lsn           | 1/1D117658
flushed_lsn           | 1/1D117658
received_tli          | 1
last_msg_send_time    | 2021-04-17 02:20:50.522413+08
last_msg_receipt_time | 2021-04-17 02:20:50.520713+08
latest_end_lsn        | 1/1D117658
latest_end_time       | 2021-04-17 02:20:50.522413+08
slot_name             |
sender_host           | 192.168.1.50
sender_port           | 5432
conninfo              | user=foo password=******** host=192.168.1.50

postgres=#

参考资料

https://www.postgresql.org/docs/current/hot-standby.html https://www.postgresql.org/docs/current/runtime-config-replication.html https://www.postgresql.org/docs/current/app-pgbasebackup.html https://linux.onlinedoc.tw/2016/05/centos7rhel7-postgresql-replication.html https://www.postgresql.org/docs/current/transaction-iso.html

动态设定执行在 systemd 中 service 的环境变数

Tue, 13 Apr 2021 22:35:45 +0800

以本部落格主题的新功能为例，新功能需要传一个名为 BLOG_VERSION 的环境变数，这样会把附加的信息写在页脚，可以直接验证是从那个 commit 生成的 (是的我下午被 CloudFlare 的缓存坑了)

比方说我使用 git 的 short hash 和 commit date ，就可以按如下所写

$ bash -c 'export BLOG_VERSION="$(git rev-parse --short HEAD) $(git --no-pager log -1 --format="%ai")"; echo $BLOG_VERSION'

Bash option -c ¹:

       -c     If the -c option is present, then commands are read from
              the first non-option argument command_string.  If there
              are arguments after the command_string, the first argument
              is assigned to $0 and any remaining arguments are assigned
              to the positional parameters.  The assignment to $0 sets
              the name of the shell, which is used in warning and error
              messages.

来源:

https://www.man7.org/linux/man-pages/man1/bash.1.html ↩︎

使用 ngx http realip module 模块重写透过 CloudFlare CDN 连接到伺服器的真实IP

Sat, 10 Apr 2021 15:16:36 +0800

首先检查 Nginx 编译时有没有附带 ngx_http_realip_module 模块，可以通过 nginx -V 检查

$ nginx -V
nginx version: nginx/1.18.0
built with OpenSSL 1.1.1g  21 Apr 2020 (running with OpenSSL 1.1.1k  25 Mar 2021)
TLS SNI support enabled
configure arguments: --prefix=/etc/nginx --conf-path=/etc/nginx/nginx.conf --sbin-path=/usr/bin/nginx --pid-path=/run/nginx.pid --lock-path=/run/lock/nginx.lock --user=http --group=http --http-log-path=/var/log/nginx/access.log --error-log-path=stderr --http-client-body-temp-path=/var/lib/nginx/client-body --http-proxy-temp-path=/var/lib/nginx/proxy --http-fastcgi-temp-path=/var/lib/nginx/fastcgi --http-scgi-temp-path=/var/lib/nginx/scgi --http-uwsgi-temp-path=/var/lib/nginx/uwsgi --with-cc-opt='-march=x86-64 -mtune=generic -O2 -pipe -fno-plt -D_FORTIFY_SOURCE=2' --with-ld-opt=-Wl,-O1,--sort-common,--as-needed,-z,relro,-z,now --with-compat --with-debug --with-file-aio --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_degradation_module --with-http_flv_module --with-http_geoip_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-pcre-jit --with-stream --with-stream_geoip_module --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-threads

如果有的话，将以下的代码添加到 server 配置的栏位，重载 Nginx 即可

set_real_ip_from 173.245.48.0/20;
set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 141.101.64.0/18;
set_real_ip_from 108.162.192.0/18;
set_real_ip_from 190.93.240.0/20;
set_real_ip_from 188.114.96.0/20;
set_real_ip_from 197.234.240.0/22;
set_real_ip_from 198.41.128.0/17;
set_real_ip_from 162.158.0.0/15;
set_real_ip_from 104.16.0.0/13;
set_real_ip_from 104.24.0.0/14;
set_real_ip_from 172.64.0.0/13;
set_real_ip_from 131.0.72.0/22;
set_real_ip_from 2400:cb00::/32;
set_real_ip_from 2606:4700::/32;
set_real_ip_from 2803:f800::/32;
set_real_ip_from 2405:b500::/32;
set_real_ip_from 2405:8100::/32;
set_real_ip_from 2a06:98c0::/29;
set_real_ip_from 2c0f:f248::/32;

real_ip_header CF-Connecting-IP;

也可以写入到文件中，然后通过在 server 配置的栏位，使用 include 语句导入。

参考资料:

Nginx 阻止某些应用内置浏览器访问

Thu, 08 Apr 2021 11:18:59 +0800

首先我们需要定义阻止哪些应用，比如本站预设阻止 QQ 系浏览器访问

    if ($http_user_agent ~* (MQQBrowser|QQ|TIM) ) {
            return 403;
    }

但是这样子设置太不友好了，有可能会被认为是 Nginx 不会配

那我们就简单美化一下网站

我们用一个自定义的页面好了，稍微把 Nginx 的页面修改一下

<html>
<head><title>Built-in browser Forbidden</title></head>
<body>
<center><h1>Visit from some app built-in browser is Forbidden</h1></center>
<hr><center>nginx</center>
</body>
</html>

这样写可能太过精简了，大概还是需要在后面加上几行

<!-- a padding to disable MSIE and Chrome friendly error page -->

接着我们再把 Nginx 的配置调整一下

    location /ban-builtin {
            root $WEBROOT;
            rewrite ^ /403-ban-built-in.html break;
    }

    if ($http_user_agent ~* (MQQBrowser|QQ|TIM) ) {
            set $shouldban "1";
    }

    if ($request_uri != /ban-builtin) {
            set $shouldban "${shouldban}0";
    }

    if ($shouldban = "10") {
            return 307 $scheme://$host/ban-builtin;
    }

如果不加上第三个语句判别的话，会导致无限重定向。

~~那现在我们也可以主动访问一下来试试~~

有朋友说这样对使用浏览器访问太不友好了，要想个办法用更好的方式来做

那还能怎么办， Nginx 肯定是做不到了，大概还是需要一个 php 页面

<?php
    $UA = $_SERVER['HTTP_USER_AGENT'];
    //if (str_contains($UA, "QQ") || str_contains($UA, "MQQBrowser") || str_contains($UA, "TIM")) { // PHP8
    if (strpos($UA, "QQ") || strpos($UA, "MQQBrowser") || strpos($UA, "TIM")) {
        http_response_code(403);
        echo <<<EOT
<html>
<head><title>Built-in browser Forbidden</title></head>
<body>
<center><h1>Visit from some app built-in browser is Forbidden</h1>请点击右上角使用外部浏览器打开<br>
<hr><center>nginx</center>
</body>
</html>
EOT;
        die();
    }
    $redirect_location = '/';
    if (isset($_GET["to"])) {
        $redirect_location = $_GET["to"];
    }
    header("HTTP/1.1 307 Temporary Redirect");
    header("Location: //".$_SERVER['HTTP_HOST'].$redirect_location);
    die();
?>

(PHP7 还没有 str_contains 函数，坑了我一把)

然后稍微的把 Nginx 配置调整一下

    if ($shouldban = "10") {
            return 307 $scheme://$host/redirect.php?to=$request_uri;
    }

现在就是访问新的页面了

安装 Chevereto 并将图床挂载到 OneDrive 上

Wed, 07 Apr 2021 22:54:29 +0800

安装 Chevereto 就不赘述了，建议使用手动安装方式，因为官方的安装方法出现问题是不会给你说问题出在哪里的，我用了手动安装才发现原来是少了 GD Library

对于 Arch 用户，由于 php8 不支援 chevereto (反正我是拿到了一个什么莫名其妙的错误)，所以安装 php-fpm7

同样还需要安装 MariaDB 和一个 Http Server

我没有试过用 Caddy 能不能跑，但是理论上都差不多吧大概(本人用的是 Nginx)

挂载 OneDrive 使用的是 rclone 同时还需要安装 fuse2

链接 OneDrive 的话也不赘述了，照着官网的教程来就好了。

安装好 Chevereto 并且可以访问后，会发现其图片文件是放在 $WEBROOT/images 下，所以只要对这个目录操作就可以

本人是写了一个 rclone-mount-images.service 文件来执行挂载

[Unit]
Description=rclone mount Service
After=network.target

[Service]
Type=simple
Restart=on-failure
RestartSec=1m
ExecStart=/usr/bin/rclone mount onedrive:chevereto $WEBROOT/chevereto/images --vfs-cache-mode writes --allow-other --no-modtime --vfs-cache-max-size 20G
#ExecStop=/usr/bin/fusermount -u $WEBROOT/chevereto/images
TimeoutStopSec=10m
WorkingDirectory=$WEBROOT/chevereto
User=user
KillSignal=SIGINT

这里把 ExecStop 注释掉是因为，直接让它在前台工作就好了大概，这里需要注意的事情是，除非用 php-fpm 的用户来挂载，不然怎么样挂载点都是写不进去的，需要使用 --allow-other 选项来允许其他用户写入

而 fuse2 要求你主动将其配置文件中的 user_allow_other 注释掉，这样才可以挂载成功

使用 GitHub Webhook 执行自动化 Hugo 部署

Wed, 07 Apr 2021 15:25:41 +0800

众所周知，我搭了个静态部落格，那每次我都要手动生成网站也太麻烦了，于是我就想方设法搞自动部署出来。

首先写一个 PHP 页面，用来接收 WebHook 。为什么要用 PHP 呢，用别的不行吗？当然可以，只是我因为跑了 Chevereto 本身就要跑一个 php-fpm 所以我不如干脆也用 PHP 来写接收好了。

<?php
    if (isset($_GET) && isset($_GET["token"]) && $_GET["token"] === "e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855") {
        if (isset($_SERVER["X-GitHub-Event"]) && $_SERVER["X-GitHub-Event"] === "push") {
            echo "{\"status\": 200, \"result\": ".json_encode(shell_exec("export XDG_RUNTIME_DIR=/run/user/$(id -u user) && sudo -u user /usr/bin/systemctl --user start pull-blog.service && sudo -u user /usr/bin/journalctl --user -u pull-blog.service -n 20 --no-pager"))."}";

        } else {
                echo "{\"status\": 200}";
        }
    } else {
        http_response_code(403);
    }
?>

那我们怎么把部落格的内容重新拉下来呢？很简单，用一个 service 到时候去用 systemctl 呼叫就行了。

首先创建一个 pull-blog.service 文件在 ~/.config/systemd/user 中 (本例中个人用户名为 user)

[Unit]
Description=Blog Deploy Service

[Service]
Type=oneshot
ExecStart=/usr/bin/git pull
ExecStart=/usr/bin/git submodule update --init
ExecStart=/usr/bin/rm -rf $WEBROOT/public
ExecStart=/opt/hugo/hugo -d $WEBROOT/public
WorkingDirectory=/home/user/blog

接着使用 systemctl --user daemon-reload 重新载入用户自定义的服务

然后找到 php-fpm 所使用的用户，本例为 http

使用 sudo visudo 将以下几行添加到 sudoers 文件中 man

Defaults:http env_keep=XDG_RUNTIME_DIR
http ALL= (user) NOPASSWD: /usr/bin/systemctl --user start pull-blog.service, \
    /usr/bin/journalctl --user -u pull-blog.service -n 20 --no-pager

这样 php-fpm 就有权限使用如上的命令了，同时也会回报命令的执行情况给 WebHook 。

Tips

使用如下命令可以绕过 /usr/sbin/nologin ¹

su -s /bin/bash -c '/path/to/your/script' testuser

https://serverfault.com/a/351048 ↩︎

Google Photos 迁移

Tue, 06 Apr 2021 23:36:27 +0800

起因

因应 Google 教育版更改政策，教育版不再享有每个账户无限容量，而是改为每个学校共享 100TB 的云端硬碟空间

而我一直以来都依赖 Google 相册，于是就有了将教育版内的内容迁移到个人账户的计划

但是 Google 不支援直接迁移，而是需要我们从 Google Takeout 下载数据，再重新上传数据到云端，以此完成迁移

准备文件

好吧，也就150G的东西，大不了我手动就是了。

说干就干，于是我从 3.3 就发起了 Takeout 的请求再到 3.5 的时候所有的数据都准备好了

下载下来之后解压发现，里面是相片+json的组合压缩包

json档案中存放的是一些文件元数据

{
  "title": "1.jpg",
  "description": "",
  "imageViews": "0",
  "creationTime": {
    "timestamp": "1557265777",
    "formatted": "7 May 2019, 21:49:37 UTC"
  },
  "photoTakenTime": {
    "timestamp": "1552457709",
    "formatted": "13 Mar 2019, 06:15:09 UTC"
  },
  "geoData": {
    "latitude": 0.0,
    "longitude": 0.0,
    "altitude": 0.0,
    "latitudeSpan": 0.0,
    "longitudeSpan": 0.0
  },
  "geoDataExif": {
    "latitude": 0.0,
    "longitude": 0.0,
    "altitude": 0.0,
    "latitudeSpan": 0.0,
    "longitudeSpan": 0.0
  },
  "googlePhotosOrigin": {
    "mobileUpload": {
      "deviceFolder": {
        "localFolderName": "Telegram"
      },
      "deviceType": "ANDROID_PHONE"
    }
  }
}

我一开始还在想这些东西给我们有什么用，但是一会儿就知道了。

上传文件

由于拖延症的缘故，我直到 4.4 才把所有的相册整理完毕，晚上我把文件分成两个部分直接上传

但是传完之后上去浏览发现情况有点不对劲，我 3.5 的照片有大概 5k 张，我肯定不可能有那么多照片，所以肯定是文件的时间丢失，导致时间都集合在这个时间点，正好是我解压的时间点

我很生气，去质问 Google One 客服能不能有点作用让我批量修改，但是她说不行，我只能一张一张

5k 张照片，我改到明年都不一定改的完

于是我就想了一个办法，我把文件的创建时间和修改时间从本地改了，再传上去，理论上不就是时间对的了？

于是我糊了一个脚本，可以从它提供的 json 中获得时间，然后再应用在文件上。

不过具体有没有用，得等上传完才知道了。

Update: 它做功了。

image test

Mon, 05 Apr 2021 01:37:01 +0800

在 Arch Linux Arm 上使用 systemd-networkd 配置树莓派无线网路

Sat, 03 Apr 2021 00:35:06 +0800

近期有使用树莓派无线网路的需要，但是之前操作树莓派的无线网路基本上都是在 raspbian 上操作的，以前没有在 Arch 上操作过（或者说都是在台式上面操作的，因为**小螃蟹）

Arch linux arm 是默认安装的，我好像没有安装什么附加的套件

先在 Arch linux wiki 上找到一篇文章，但是它没有讲说怎么管理WPA的网络

首先在网路上找到一篇文章

大意是首先将网络的名称和密码放到文件中

# wpa_passphrase MyNetwork SuperSecretPassphrase > /etc/wpa_supplicant/wpa_supplicant-wlan0.conf

这里 MyNetwork 是网络名称，而 SuperSecretPassphrase 是网络的密码

然后让这个profile启用

# systemctl enable [email protected]

接着把网络的配置塞到 /etc/systemd/network 下面

比方说就叫它 00-wireless-dhcp.network 好了 (实际上你想叫它什么都可以)

[Match]
Name=wlan0

[Network]
DHCP=yes

后面还有一些步骤是开 systemd-networkd 之类的，但是我本身已经用这玩意管理网络了，就没有继续参考了

侦错

重启之后当然是发现没有连上

ip a 输出如下

# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether *MASKED* brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.1/24 brd 192.168.0.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 *MASKED* scope global dynamic noprefixroute
       valid_lft 6990sec preferred_lft 6990sec
    inet6 *MASKED* scope global dynamic noprefixroute
       valid_lft 6990sec preferred_lft 6990sec
    inet6 *MASKED* scope global mngtmpaddr noprefixroute
       valid_lft forever preferred_lft forever
    inet6 *MASKED* scope global dynamic mngtmpaddr noprefixroute
       valid_lft 185858sec preferred_lft 99458sec
    inet6 fe80::dea6:32ff:fe0f:c62c/64 scope link
       valid_lft forever preferred_lft forever
3: wlan0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
    link/ether *MASKED* brd ff:ff:ff:ff:ff:ff

嗯，这当然是没有连上啦

错误讯息显示如下

# journalctl -u [email protected]
-- Journal begins at Thu 2021-02-04 06:22:10 CST, ends at Sat 2021-03-27 00:53:55 CST. --
Mar 27 00:51:46 raspi4b systemd[1]: Dependency failed for WPA supplicant daemon (interface-specific version).
Mar 27 00:51:46 raspi4b systemd[1]: [email protected]: Job [email protected]/start failed with result 'dependency'

Mar 27 00:51:46 raspi4b systemd[1]: sys-subsystem-net-devices-wlan0.conf.device: Job sys-subsystem-net-devices-wlan0.conf.device/start timed out.
Mar 27 00:51:46 raspi4b systemd[1]: Timed out waiting for device /sys/subsystem/net/devices/wlan0.conf.
Mar 27 00:51:46 raspi4b systemd[1]: Dependency failed for WPA supplicant daemon (interface-specific version).
Mar 27 00:51:46 raspi4b systemd[1]: [email protected]: Job [email protected]/start failed with result 'dependency'.
Mar 27 00:51:46 raspi4b systemd[1]: sys-subsystem-net-devices-wlan0.conf.device: Job sys-subsystem-net-devices-wlan0.conf.device/start failed with result 'timeout'.

我找了半天，都没有发现有什么相关的报错，但是在我的不懈努力下，找到了这篇文章

虽然这也不是什么解决的方法，但是我从中得到了启发，于是我

# rm /etc/systemd/system/multi-user.target.wants/[email protected]

接着重新建立启用就行

#systemctl enable wpa_supplicant@wlan0

重启系统后，就会发现已经连上无线网路了

# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether *MASKED* brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.1/24 brd 192.168.0.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 *MASKED* scope global dynamic noprefixroute
       valid_lft 6866sec preferred_lft 6866sec
    inet6 *MASKED* scope global dynamic noprefixroute
       valid_lft 6866sec preferred_lft 6866sec
    inet6 *MASKED* scope global mngtmpaddr noprefixroute
       valid_lft forever preferred_lft forever
    inet6 *MASKED* scope global dynamic mngtmpaddr noprefixroute
       valid_lft 184874sec preferred_lft 98474sec
    inet6 fe80::dea6:32ff:fe0f:c62c/64 scope link
       valid_lft forever preferred_lft forever
3: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether *MASKED* brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.2/24 brd 192.168.0.255 scope global dynamic wlan0
       valid_lft 7200sec preferred_lft 7200sec
    inet6 *MASKED* scope global dynamic noprefixroute
       valid_lft 7197sec preferred_lft 7197sec
    inet6 *MASKED* scope global dynamic noprefixroute
       valid_lft 7197sec preferred_lft 7197sec
    inet6 *MASKED* scope global mngtmpaddr noprefixroute
       valid_lft forever preferred_lft forever
    inet6 *MASKED* scope global dynamic mngtmpaddr noprefixroute
       valid_lft 184874sec preferred_lft 98474sec
    inet6 fe80::dea6:32ff:fe0f:c62d/64 scope link
       valid_lft forever preferred_lft forever

离线模式配置网络

今天遇到一个情况，我本地没有有线网，但是无线网可用，那我肯定是需要配置这个无线网让它能连上

那照葫芦画瓢，我们把 wlan 的配置文件扔上去，配置一下服务就好了

首先 fdisk -l 确定一下树莓派是哪个分区

# fdisk -l
Disk /dev/sdb: 29.72 GiB, 31914983424 bytes, 62333952 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0xfcb88066

Device         Boot   Start      End  Sectors  Size Id Type
/dev/sdb1         2048  1050623  1048576  512M  c W95 FAT32 (LBA)
/dev/sdb2      1050624 62333951 61283328 29.2G 83 Linux

然后把树莓派的根目录挂载上来，这里是 /dev/sdb2

# mount /dev/sdb2 /mnt

然后我们把 wlan 配置写到 /mnt/etc/wpa_supplicant/wpa_supplicant-wlan0.conf 里面去，这里还是用之前的那个例子

network={
        ssid="MyNetwork"
        #psk="SuperSecretPassphrase"
        psk=c370fef3b644bcf284350cdd6b74fae476847621731b64dd6829f4a54f33bd15
}

而后照葫芦画瓢，搞一个 service 出来

# /mnt/etc/systemd/system/[email protected]
[Unit]
Description=WPA supplicant daemon (interface-specific version)
Requires=sys-subsystem-net-devices-%i.device
After=sys-subsystem-net-devices-%i.device
Before=network.target
Wants=network.target

# NetworkManager users will probably want the dbus version instead.

[Service]
Type=simple
ExecStart=/usr/bin/wpa_supplicant -c/etc/wpa_supplicant/wpa_supplicant-%I.conf -i%I

[Install]
Alias=multi-user.target.wants/wpa_supplicant@%i.service

然后把这个 service 扔到开机启动项里面

# ln -s /mnt/etc/systemd/system/[email protected] /mnt/etc/systemd/system/multi-user.target.wants/

记得把 wlan0 的配置文件放到 /mnt/etc/systemd/network 中，具体可以参见上面的那节

这样就基本完成了，插上卡通电开机~~默念 Arch linux 大法好~~，就会看到它连上 wlan 了。

A+B Problem

Thu, 01 Apr 2021 10:16:54 +0800

print(sum(map(int, input().split())))

use std::io::{stdin, BufRead};

fn main() {
    println!("{}", stdin().lock().lines().next().unwrap().map(|x| x.trim_end().to_owned()).unwrap()
        .split_whitespace().into_iter().map(|x| x.parse::<i32>().unwrap()).sum::<i32>());
}

import java.io.*;
import java.util.*;

public class Main {
    public static void main(String[] args) {
        Scanner scanner = new Scanner(System.in);
        int a = scanner.nextInt();
        int b = scanner.nextInt();

        System.out.println(a + b);
        scanner.close();
    }
}

ssr's blog

在 Arch 上设置 UPS

设置 NAS

回溯查找协议的心路历程

在 Arch 上设置 UPS

本地设置 ups monitor

MxRoute 概要

DNS 配置

WebMail

记一次成功的 Btrfs RAID 1 掉盘救回

发现故障

换盘

修复 btrfs

恢复 btrfs 的 profile

在 Arch 下利用 pg_upgrade 执行 PostgreSQL 版本升级

版本检查

准备工作

开始升级

GPG 简单入门

生成

导出密钥

导入公钥

加密

签名

解密/验证签名

解密

验证签名

信任

在 iPXE 上从网路安装 Debian

准备工作

引导系统

参考资料

利用 ssh config 来控制 gpg agent 使用的 key

使用方法

使用 Yubikey 在 archlinux 下 login/sudo/ssh

处理登录事件

处理 sudo 事件

配置 ssh 远程登录

不怎么精简地添加 GPG key 到 Yubikey 教程

准备工作

生成 gpg key

添加 sub key

添加 GPG key 到 Yubikey

导出 GPG ssh key

可选的安全选项1

Systemd 在系统启动后立即执行用户态下的服务

服务配置

配置服务自动启动

致谢

一个不完整的 VPS 安装 Archlinux 教程

安装系统

系统调整

安装引导

我的 VS Code 为什么不能下载扩展软件

搭建 Git 伺服器并利用 cgit 作为前端

搭建 Git 伺服器

配置 cgit

配置 Nginx

配置 cgitrc

鉴权

利用 dd + ssh 备份分区到其他电脑

启用 sshd

传输文件到本地

传输文件回伺服器

进入 Rescue mode 重置 root 用户密码

修改 GRUB 启动项

排除问题

使用 systemd-timer 代替 crontab 执行定时任务

Service 配置

Timer 配置

在VPS上安装 openSUSE TW

第一次尝试 NET iso

第二次尝试 Offline ISO

第三次尝试 Remote Install

第四次尝试 升级配置后安装

acme.sh + CloudFlare + Nginx

准备工作

申请证书2

准备工作

使用 Global Key

可选的安全选项¹

第四次尝试升级配置后安装

申请证书²

认证配置²

检查状态⁴