xpt's questions

在添加ssl_certificate之前，我的nginx.conf非常简单：

server {
    listen 80 default_server;

    index index.php index.html index.htm;

    location ~ [^/]\.php(/|$) {
        fastcgi_split_path_info  ^(.+\.php)(/.+)$;
        fastcgi_index            index.php;
        fastcgi_pass             php:9000;
        include                  fastcgi_params;
        fastcgi_read_timeout     1200s;
        fastcgi_param   PATH_INFO       $fastcgi_path_info;
        fastcgi_param   SCRIPT_FILENAME $document_root$fastcgi_script_name;
    }
}

然后我按照这里使用 Nginx 设置 letsencrypt（[domain-name]从头到尾进行替换），现在我的nginx.conf样子：

server {
    listen 80 default_server;

    server_name [domain-name] www.[domain-name];
    server_tokens off;

    location /.well-known/acme-challenge/ {
        root /var/www/certbot;
    }

    location / {
        return 301 https://[domain-name]$request_uri;
    }
}

server {
    listen 443 default_server ssl http2;
    listen [::]:443 ssl http2;

    server_name [domain-name];

    ssl_certificate /etc/nginx/ssl/live/[domain-name]/fullchain.pem;
    ssl_certificate_key /etc/nginx/ssl/live/[domain-name]/privkey.pem;
    
    location / {
        proxy_pass http://[domain-name];
    }

    index index.php index.html index.htm;

    location ~ [^/]\.php(/|$) {
        fastcgi_split_path_info  ^(.+\.php)(/.+)$;
        fastcgi_index            index.php;
        fastcgi_pass             php:9000;
        include                  fastcgi_params;
        fastcgi_read_timeout     1200s;
        fastcgi_param   PATH_INFO       $fastcgi_path_info;
        fastcgi_param   SCRIPT_FILENAME $document_root$fastcgi_script_name;
    }
}

请参阅此处的更改 - https://www.diffchecker.com/bAfVjewE/，

我认为这非常简单、直接且合理。

但是，我的 php 网站完全崩溃了——我的 chrome 浏览器说它进入了无限重定向（“重定向次数过多”），请参阅注释 2。

可能的原因是什么？如何解决？

笔记，

1. 添加 ssl_certificate 很好，但是即使我在空站点上进行测试，也会出现无限重定向。
2. 当发生无限重定向时，nginx 日志只会打印...[08/Aug/2024:15:xx:yy +0000] "GET / HTTP/1.1" 301 162 "-" "Mozilla/5.0 (X11; Linux x86_64)...，即使我已经看到浏览器上的协议已从 更改http为https。

如果我使用 访问它curl，我会得到：

$ curl -i https://my.site.name:443/
HTTP/1.1 301 Moved Permanently
Server: nginx
Date: Thu, 08 Aug 2024 15:42:45 GMT
Content-Type: text/html
Content-Length: 162
Connection: keep-alive
Location: https://my.site.name/

<html>
<head><title>301 Moved Permanently</title></head>
<body>
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx</center>
</body>
</html>

服务器日志为：

[08/Aug/2024:15:42:45 +0000] "GET / HTTP/1.1" 301 162 "-" "curl/8.5.0" "my.ip"
[08/Aug/2024:15:42:45 +0000] "GET / HTTP/1.1" 301 162 "-" "curl/8.5.0" "-"

错误日志为空，因为这是我的 ngix 日志配置方式：

cd /var/log/nginx/

root@5b6a9033cb31:/var/log/nginx# ls -l
total 0
lrwxrwxrwx 1 root root 11 Jul 23 07:14 access.log -> /dev/stdout
lrwxrwxrwx 1 root root 11 Jul 23 07:14 error.log -> /dev/stderr

这是我第一次使用 Let's Encrypt ，这个101 个问题很可能已经在某个地方得到解答了，但无论如何，来自https://eff-certbot.readthedocs.io/en/latest/using.html#setting-up-automated-renewal

大多数 Certbot 安装都预配置了自动更新。这是通过certbot renew定期运行的计划任务完成的。

因此，为了简化操作，我使用 Certbot docker 容器来获取证书，并且该容器没有预先配置自动更新功能，因此我需要自己启用该功能。

计划的 cron 任务非常简单：

0 0,12 * * * root sleep $SLEEPTIME && certbot renew -q

我的问题是，Let's Encrypt 证书有效期为三个月，但 Certbot 文档中的官方建议说我们需要每 12 小时尝试更新一次。

我觉得这太过分了。有人知道我们多久可以续订吗？（从命令行更新“让我们加密”证书我知道没有--force-renewal选项）

我的意思是，如果更新可以提前 10 天进行，那么我的 cron 作业可以每 5 天设置一次，如果提前 6 天，我将使用 3。

另外，有人知道certbot renew在更新确实发生后，是否可以使用的返回代码来通知我的脚本以触发我的 nginx 配置重新加载？

谢谢

我注意到，对于 SSH_AUTH_SOCK 值，其他任何人都无法访问其文件夹，但任何人都可以读取实际文件本身。这样的设计背后的原因是什么？

如果我放置一个世界可读的符号链接/tmp指向我的私有 SSH_AUTH_SOCK 文件，它会带来什么样的安全风险？

跟进使用 while 循环 ssh 到多个服务器，即 for

while IFS= read -r -u9 HOST ; do ssh "$HOST" "uname -a" ; done 9< servers.txt

它从不同的文件描述符 ( 9) 读取，

如何让它从不同文件描述符的管道中读取？

如果我的管道命令是，写入第 9 个文件描述符grep的最简单方法是什么？通过管道传输第 9 个文件描述符的语法是什么？grep

鉴于，

touch /tmp/abc
ln -vs abc /tmp/def

$ ls -l /tmp/???
-rw-rw-r-- 1 ubuntu ubuntu 0 Apr 10 22:10 /tmp/abc
lrwxrwxrwx 1 ubuntu ubuntu 3 Apr 10 22:10 /tmp/def -> abc

为什么我得到：

$ sudo chown syslog: /tmp/def
chown: cannot dereference '/tmp/def': Permission denied

$ sudo chown --dereference syslog: /tmp/def
chown: cannot dereference '/tmp/def': Permission denied

参考：
chown(1)：

--dereference

影响每个符号链接的引用（这是默认值），而不是符号链接本身

$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 20.04.6 LTS
Release:        20.04
Codename:       focal

如何在 Debian 下从 ssh 禁用ChaCha20-Poly1305加密？

我尝试过（作为root）：

echo 'Ciphers [email protected]' > /etc/ssh/sshd_config.d/anti-terrapin-attack
echo 'Ciphers [email protected]' > /etc/ssh/ssh_config.d/anti-terrapin-attack

systemctl restart sshd

但我的ssh -Q cipher仍然显示[email protected]。

更新：

由于完全解决我的问题的答案分布在不同的答案中，让我将它们总结在一处。

• 为什么？有什么大惊小怪的？-- 查看针对 SSH 发现的攻击，Debian 的openssh稳定版本比官方修复落后几代。因此我现在需要自己修复它。

• 为什么 OP 不起作用？——两点：

  • ssh -Qcipher 始终显示编译到二进制文件中的所有密码
  • “ ”目录下的所有配置文件/etc/ssh/sshd_config.d都应以“ ”结尾.conf。

• 如何禁用攻击？-- 请参阅 Floresta 的实用解决方案https://unix.stackexchange.com/a/767135/374303

• 如何验证攻击是否已被禁用？-- 基于gogoud的实际解决方案：

nmap --script ssh2-enum-algos -sV -p 22 localhost | grep chacha20 | wc
      0       0       0

最好在应用 Floresta 修复之前和之后运行它。

我是 Linux 用户已有 20 多年，但最近我需要在 Mac 上工作的次数远远多于 Linux。我越不需要在 Linux 上工作，我就越希望我的 Linux 桌面像 Mac 一样工作。

我做了一些研究，

• 这里有一个最新的“5 个受 macOS 外观和感觉启发的 Linux 发行版” 和一个“使 Linux 看起来像 macOS 的 7 个步骤” ，但所描述的所有发行版都有点基于 GNOME，我不这么认为就像（甚至认为我已经成为 GNOME 用户十多年了）。
• 这里还有一个“将你的 KDE Plasma 看起来像 macOS” ，但它几乎完全涵盖了外观部分、外观、图标、字体/光标等。

然而，这是我最不关心的部分。我最关心的是行为部分

• 关闭/最小化/最大化图标位于窗口的 UL 角，而不是 UR。
• MacOS 中的四指/三指左右滑动、上下桌面手势等。

到处都有一些文章，但没有一篇集中讨论我所关心的部分，也没有一处描述所有内容，而且它们也可能已经过时了。因此就有了这个问题。

跟进如何在没有 docker 桌面的 macOS 中安装 docker-engine？，其中提到了podman machine init

默认设置一台装有 Fedora CoreOS 的机器。

但我想准备一台 Debian 机器，当我尝试时：

$ podman machine init debian
Extracting compressed file: debian_fedora-coreos-39.20231204.2.1-qemu.aarch64.q…
Image resized.
Machine init complete
To start your machine run:

    podman machine start debian

输出看起来不太正确。

准备的VM是Debian还是Fedora CoreOS？

请问如何准备 Debian VM（debian:stable-backport按照docker）podman？

dte 编辑器是一个小型且易于使用的控制台文本编辑器。

在自述文件或其在线文档中，都说：

• 正则表达式搜索和替换

（是关键特征）。但是，我还没有找到如何replace在任何地方进行操作。

Evenman dte没有提及任何有关replace操作的内容，或者如何进入命令模式来使用它。

我遇到了一个很好的使用 tosed做替换，并使用它的成功状态作为打印行的条件：

$ seq 3 | sed -n 's/2/B/ p'
B

我想知道是否可以扩展这种简短形式以执行更多操作。喜欢，

• 仅当替换成功时才打印该行，但是
• 在打印出来之前，我需要做更多的更换

那可能吗？我尝试了以下但失败了：

$ seq 3 | sed -n 's/2/B/ {p}'
sed: -e expression #1, char 8: unknown option to `s'

如何排除除特定文件以外的所有文件rsync？

我试图只备份特定文件rsync，以排除所有文件，除了一些特定文件，即.md所有这些页面的文件和解决方案对我不起作用：

• https://velenux.wordpress.com/2017/01/09/how-to-exclude-everything-except-a-specific-pattern-with-rsync/
• https://superuser.com/questions/1637543/how-to-specify-no-files-except-these-extensions-in-rsync
• https://serverfault.com/questions/1063730/rsync-exclude-all-files-in-dir-except-specific-files

$ rsync -vua --exclude="*" --include="*.md" ../log ./
sending incremental file list

sent 19 bytes  received 12 bytes  62.00 bytes/sec
total size is 0  speedup is 0.00

$ rsync -vua --include="*.md" --exclude="*" ../log ./
sending incremental file list

sent 19 bytes  received 12 bytes  62.00 bytes/sec
total size is 0  speedup is 0.00

$ du -sh ../log
1016M   ../log

$ apt-cache policy rsync
rsync:
  Installed: 3.2.7-0ubuntu0.22.04.2
  Candidate: 3.2.7-0ubuntu0.22.04.2
  Version table:
 *** 3.2.7-0ubuntu0.22.04.2 500
        500 http://ca-toronto-1-ad-1.clouds.archive.ubuntu.com/ubuntu jammy-updates/main amd64 Packages
        500 http://security.ubuntu.com/ubuntu jammy-security/main amd64 Packages
        100 /var/lib/dpkg/status
     3.2.3-8ubuntu3 500
        500 http://ca-toronto-1-ad-1.clouds.archive.ubuntu.com/ubuntu jammy/main amd64 Packages

我想要一个脚本使 awk 成为一个交互式数学计算器，以评估每一行中给出的数学表达式。

即，不是构造 awk 命令来计算如下表达式：

$ awk 'BEGIN{print 180/1149}'
0.156658

$ awk 'BEGIN{print (150+141)/1149}'
0.253264

我希望我的脚本将我的数学表达式作为输入并以交互方式进行计算。所以会话看起来像（输入和输出的替代）：

180/1149
0.156658
(150+141)/1149
0.253264
1 + 2
3
2 * 3 - 5
1

但是我自己无法做到这一点：

$ awk '{print}'
180/1149
180/1149
^C

$ awk '{print $0}'
180/1149
180/1149
1 + 2
1 + 2
^C

如果 awk 没有简单的解决方案，还有什么，比如 perl？

• 就像使用 grep 在行尾检测模式一样，但对于 CRLF 行终止符的 DOS 文件。
• 就像在https://unix.stackexchange.com/a/462633/374303中一样，一种方法是使用dos2unix，但我的远程服务器中没有它。

即，\r不适用于grep扩展正则表达式模式？：

$ printf 'abcd\r\n' | grep -Ec 'd\r$'
0

$ printf 'abcd\r\n' | grep -c 'd.$'
1

$ printf 'abcd\r\n' | grep -Pc 'd\r$'
1

我认为\r是扩展正则表达式的一部分，就像在 https://valelab4.ucsf.edu/svn/3rdpartypublic/boost/libs/regex/doc/html/boost_regex/syntax/basic_extended.html中一样。不？
或者它确实是一个限制grep？

非常简单的假设问题，

我已经达到限制sed并且需要将我的sed脚本更改为perl. 所以对于sed有条件的替换

sed '/condition/ s/xx/yy/'

如何在 perl 中做到这一点？

例如，如何在 perl 中执行以下操作？

seq 6 > /tmp/tf

$ paste -d '' /tmp/tf /tmp/tf | sed -E '/[135]/s/^(.)(.)$/\1.\2-/'
1.1-
22
3.3-
44
5.5-
66

$ paste -d '' /tmp/tf /tmp/tf | perl -pe 's/$&/$1.$2-/ if /^([135])(.)$/'
.-
22
.-
44
.-
66

这可能已经回答了，但很难搜索——基本上，

当patch发现一个block/hunk 无法申请时，它会将更改的hunk 拒绝到reject 文件中。

如何不将冲突放入拒绝文件但包含在最终输出中，就像找到git冲突并将两个版本都包含在最终输出中一样：

$ cat merge.txt
<<<<<<< HEAD
this is some content to mess with
content to append
=======
totally different content to merge later
>>>>>>> new_branch_to_merge_later

我正在跟进

加快播放速度
https://trac.ffmpeg.org/wiki/How%20to%20speed%20up%20/%20slow%20down%20a%20video

但是，当我将播放速度提高 1.5 倍时，我预计视频的大小会减少到与/大约相同的水平，然而，这就是我得到的：

-rwxrwxr-x 1 me me 10000000 2021-10-10 16:56 original_video.mp4*
-rwxrwxr-x 1 me me 10060896 2022-01-02 16:27 speed_up_output.mkv*

即，文件大小更大。

是否可以加快播放速度并将视频大小减小到相同程度？

我试图将Fiddler.CER证书转换为.CRT格式：

$ openssl x509 -in FiddlerRoot.cer -out FiddlerRoot.crt
unable to load certificate
139962232211264:error:0909006C:PEM routines:get_name:no start line:../crypto/pem/pem_lib.c:745:Expecting: TRUSTED CERTIFICATE

$ strings FiddlerRoot.cer
0g1+0)
"Created by http://www.fiddler2.com1
DO_NOT_TRUST1!0
DO_NOT_TRUST_FiddlerRoot0
201116174559Z
240215174559Z0g1+0)
"Created by http://www.fiddler2.com1
DO_NOT_TRUST1!0
DO_NOT_TRUST_FiddlerRoot0
Z0X0
hG1)0v1
]0qf
_H.^K
r?XxY

也许这是一个专门针对的问题，但这是奇怪的部分，从这里FiddlerRoot.cer引用：

我注意到我试图添加到系统的 FiddlerRoot 证书看起来不像我导入到 Firefox 中的证书（Firefox 包含密钥信息）。我导出了我在 FireFox 中的证书并使用该文件更新了系统证书

我发现这对我来说也是如此。这就是为什么它很奇怪。

• 该FiddlerRoot.cer文件是从http://ipv4.fiddler:8888/FiddlerRoot.cer 下载的
• 尝试使用openssl上述方法进行转换失败。
• 但是，如果我将文件导入Firefox，然后.crt手动导出，我的 Unbuntu 系统将识别该.crt文件（但不是该.cer文件）

所以FiddlerRoot.cer很好，只是我还没有找到将其转换为.crt使用命令的好方法。

将系统的默认声音输出静音/取消静音的通用方法是什么？

$ amixer set Master mute
amixer: Unable to find simple control 'Master',0

$ amixer scontrols
Simple mixer control 'IEC958',0
Simple mixer control 'IEC958',1
Simple mixer control 'IEC958',2
Simple mixer control 'IEC958',3
Simple mixer control 'IEC958',4
Simple mixer control 'IEC958',5

我知道声音控制已经从 amixer 转移到 Pulseaudio，但是，我仍然可以在我的 Debian 10 中使用 ALSA“主”控制，但不能在我的 Ubuntu 21.10 中使用，见上文。

来自https://superuser.com/questions/805525/pactl set-sink-mute 0 1 ，但我试过了，但这不适用于我上面的 Ubuntu 21.10。

总而言之，我只需要一种通用的方法来静音/取消静音我的系统的默认声音输出，这在我所有的机器和我的所有 Linux 上都很好，就像 ALSA“主”控件一样。

与 redhat bugzilla 中发布的相同 - kcompcd0 using 100% cpu已关闭INSUFFICIENT_DATA。

也一样

• Linux 主机上的 VMware 导致定期冻结
• Arch Linux 从 khugepaged 变得无响应

重新打开，因为那里的解决方案对我不起作用。

这是我的情况：

• Ubuntu 21.10主机和 Windows 10 Enterprise 客户端，带有 VMware Workstation 16 v 16.2.0 build-18760230
• 我没有做任何花哨或重负载的事情，就在正常使用 Windows 10 一天（轻负载）之后，事情开始变得疯狂。
• 该过程kcompactd0不断在一个内核上vmware-vmx使用 100% cpu，在八个内核上使用 100% cpu。
• 当它发生时，它通常会持续几分钟。然后在一两分钟后再次启动。
• “kcompactd0 仅与 drop_caches 一起消失。当它达到 100% 时，vmware 虚拟机来宾完全没有响应（windows 10 ltsc vm）”所以我只尝试了 drop_caches 一次，并确认了该行为。

根据上游的要求，这里有更多信息：

$ lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 21.10
Release:        21.10
Codename:       impish


$ grep -r . /sys/kernel/mm/transparent_hugepage/*
/sys/kernel/mm/transparent_hugepage/defrag:always defer defer+madvise [madvise] never
/sys/kernel/mm/transparent_hugepage/enabled:always [madvise] never
/sys/kernel/mm/transparent_hugepage/hpage_pmd_size:2097152
/sys/kernel/mm/transparent_hugepage/khugepaged/defrag:1
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_shared:256
/sys/kernel/mm/transparent_hugepage/khugepaged/scan_sleep_millisecs:10000
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_none:511
/sys/kernel/mm/transparent_hugepage/khugepaged/pages_to_scan:4096
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_swap:64
/sys/kernel/mm/transparent_hugepage/khugepaged/alloc_sleep_millisecs:60000
/sys/kernel/mm/transparent_hugepage/khugepaged/pages_collapsed:0
/sys/kernel/mm/transparent_hugepage/khugepaged/full_scans:19
/sys/kernel/mm/transparent_hugepage/shmem_enabled:always within_size advise [never] deny force
/sys/kernel/mm/transparent_hugepage/use_zero_page:1

$ cat /proc/90/stack | wc
      0       0       0

echo never > /sys/kernel/mm/transparent_hugepage/defrag
echo 0 > /sys/kernel/mm/transparent_hugepage/khugepaged/defrag
echo never > /sys/kernel/mm/transparent_hugepage/enabled

$ grep -r . /sys/kernel/mm/transparent_hugepage/*
/sys/kernel/mm/transparent_hugepage/defrag:always defer defer+madvise madvise [never]
/sys/kernel/mm/transparent_hugepage/enabled:always madvise [never]
/sys/kernel/mm/transparent_hugepage/hpage_pmd_size:2097152
/sys/kernel/mm/transparent_hugepage/khugepaged/defrag:0
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_shared:256
/sys/kernel/mm/transparent_hugepage/khugepaged/scan_sleep_millisecs:10000
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_none:511
/sys/kernel/mm/transparent_hugepage/khugepaged/pages_to_scan:4096
/sys/kernel/mm/transparent_hugepage/khugepaged/max_ptes_swap:64
/sys/kernel/mm/transparent_hugepage/khugepaged/alloc_sleep_millisecs:60000
/sys/kernel/mm/transparent_hugepage/khugepaged/pages_collapsed:0
/sys/kernel/mm/transparent_hugepage/khugepaged/full_scans:19
/sys/kernel/mm/transparent_hugepage/shmem_enabled:always within_size advise [never] deny force
/sys/kernel/mm/transparent_hugepage/use_zero_page:1

基本上，解决方法的来源是Fedora 错误报告“khugepaged eating 100%CPU”。该错误从未被修复，“解决方案”是针对 2013 年的 Fedora 17 的，并且

对于最后 3 个，也许是 4-5 个 Fedora 内核版本，我再也没有遇到过这个问题。

但现在又发生了。

我正在重新发布这个带有两个不同端口的 Ask Ubuntu question SCP的稍微编辑的版本，因为那里的答案仅适用于命令行选项（无需修改ssh_config）不再适用于我。

如何使用scp命令在使用本地 PC 不同端口的两个远程服务器之间复制文件？

设置

• 远程服务器 1：IP=67.12.21.133 &端口=6774
• 远程服务器 2：IP=67.129.242.40 &端口=6775

问题

• 如果我使用

  scp -rp -P 6774 [email protected]:/home/denny/testapp1.txt  [email protected]:
  

  它给出了一个错误：

  ssh: connect to host 67.12.21.133 port 22: Connection refused
  

• 如果我使用

  scp -rp -P 6774 [email protected]:/home/denny/testapp1.txt -P 6775 [email protected]:
  

  它给了我这个错误：

  ssh: connect to host 67.129.242.133 port 6775: Connection refused  
  ssh: connect to host 67.129.242.40 port 6774: Connection refused  
  lost connection