刘杨造梦的博客

表达式：(cf.threat_score ge 5 and not cf.client.bot) or (not http.request.version in {"HTTP/2" "HTTP/3" "HTTP/1.1"}) or (not ip.geoip.country in {"AU" "CA" "FR" "DE" "HK" "IR" "JP" "KR" "MY" "SG" "TW" "GB" "US" "CN"})这些大写字母是国家或地区的简称，在其中的都是放行的国家。这一波设置基本就ok了。

天下苦宝塔面板强制手机号登录久矣，特别是给客户安装面板的时候，客户啥都不懂，还要给他注册宝塔账号，然后登录。虽然流程不复杂，也不花什么时间，但是客户可不是每个人都能配合你的，我之前就有一个客户，就注册这个账号，整整花了一周时间才不情不愿的配合完成，这就很烦人了，宝塔面板7开始就强制手机号登录了，那么现在我们应该如何实现免手机号登录呢？如果你用的并非Debian、ubuntu系统，那么就访问以下网站，使用对应系统的指令即可，更多特性网站均有介绍，自行探索。如果你应该安装了宝塔，就登录ssh使用以下命令。

端口敲门（Port Knocking）是一种安全措施，它通过在防火墙上动态打开端口来允许合法用户访问受保护的服务。具体来说，端口敲门技术要求用户在尝试连接到SSH服务之前，按照预定义的顺序访问一系列隐藏端口。这种技术通过在网络层添加额外的验证步骤，有效地隐藏了实际的服务端口，并减少了被暴力破解的风险。

有时候我们可能需要用到内网穿透技术，将本机的资源开放到网络上供人访问！但是有时候我们只需要将一个项目开放的时候，使用frp就有点不划算了，特别是近几年服务器的价格水涨船高，要知道使用frp需要一台服务器和一个域名才可以的，这不今天就告诉大家一个用cloudflare实现的免费内网穿透方案。

是一个包含操作系统标识数据的文件，它只能在运行 systemd 的最新 Debian 发行版上找到哦。方法3只显示当前 Linux 系统的大版本号，如果您想知道更具体的小版本号，可以查看。命令不仅用于配置或修改系统的主机名，还可以来获取 Debian 系统的版本。命令可以查看操作系统的具体版本，但是需要我们手动安装。方式四：查看/etc/debian_version。方式三：查看/etc/os-release。Debian有六种方式可以查看系统版本。方式二：查看/etc/issue。

如果是单纯的卸载宝塔，需要保留 LNMP 等运行环境，则选择1选项；如果是想卸载宝塔和运行环境，则选择2选项。、MySQL、PHP 等组件卸载掉，那么我们应该先在宝塔面板里面卸载掉以上软件后，再进行下面的步骤。除了使用卸载命令进行卸载外，我们也可以使用官方提供的卸载脚本进行卸载，同时这个卸载脚本会更暴力一些。的卸载命令，使用这个卸载命令，我们就能将宝塔面板卸载掉。这里有一点需要注意的，如果卸载宝塔面板的同时，也希望将。按照自己的需求，选择对应的选择，回车后即可卸载宝塔面板。使用脚本进行卸载宝塔面板。

因centos停止维护，不少同学故将系统更换为Debian，但是这样就出现了一个新问题，centos和Debian安装Elasticsearch是不一样的，很多同学不知如何安装，今天就让我们一起学习一下如何安装吧。访问Elasticsearch： 默认情况下，Elasticsearch的HTTP服务监听在9200端口。你可以在浏览器中访问。启动Elasticsearch： 运行以下命令来启动Elasticsearch服务。安装Elasticsearch： 运行以下命令来安装Elasticsearch。

然后就是比较推荐Debian11，10和12不推荐，10不推荐的原因是兼容性和Tencentos一致，那还不如用Tencentos，12不推荐的原因是兼容性不如10，11的话在宝塔最新的兼容文档是除了centos7.x兼容性最好的，和centos8兼容性一致，和centos7.x相比只是不支持alisql和mysql5.1，其他centos7.x支持的它都是可以的。网上有很多所谓的更换源的教程，但是很多都是好久前的教程被人抄来抄去，都已经过时了，直接用以下的源即可。

lsb_release 是查看系统版本信息的工具，在使用的时候突然出现报错lsb_release: command not found？解决方法：yum install redhat-lsb -y。

创建mysql表时报错> 1118 - Row size too large (> 8126). Changing some columns to TEXT or BLOB may help. In current row format, BLOB prefix of 0 bytes is stored inline.目录下的my.ini文件，宝塔面板则直接在配置文件菜单里修改配置。如果结果是OFF，那么就成功关闭了，然后再跑一下建表语句就可以了。在配置文件mysqld最下面加上一句。

在运行yum 相关命令的时候，不知道怎么回事无法进行下载安装，报出 Another app is currently holding the yum lock;waiting for it to exit... 的错误提示。Another app is currently holding the yum lock. 意思是另外一个应用正在锁住进程锁。使用kill -9 把提示进程杀掉，这样就可以了，可以执行。如果，上述操作还不能解决，可以使用下面的命令。那么就执行指令：kill -9 7341。

今天在使用mount和unmount的时候经常会出现not mount.mkfs.vfat /dev/vdb1 (fat32分区)mkfs.ext4 /dev/vdb1 (Linux分区)mkfs.ntfs /dev/vdb1 (NTFS分区)以下的命令：（根据自己设置的磁盘格式进行选择）然后格式化之后，在进行挂载与卸载就可以了。原因：这里是没有对新建的磁盘进行格式化。

我们在konwn_hosts文件中找到这个几个密文信息，将其删除，保存，重新链接即可。当然如果你觉得电脑就一个人用没必要加密，也可以将加密给关闭，使用vi/vim来编辑路径 /etc/ssh/ssh_config 中的字段：HashKnownHosts。当两个设备第一次进行链接时，会在~/.ssh/konwn_hosts 中将被连接设备的公钥信息进行保存，后续再次链接时。将该字段修改为 no,保存退出，删除公钥信息重新链接一次，你会发现新保存的公钥就是明文的信息。会核对公钥来进行一个简单的验证。

有时候我们需要将多个硬盘挂载同一目录，但是Linux系统常规操作是无法进行多个硬盘挂载同一个目录，接下来我们就看一下应该如何操作实现多个硬盘挂载同一个目录吧。5、创建逻辑卷：例如逻辑卷名为lgvolume。3、创建卷组：例如卷名为volume。fdisk -l 查看待挂载硬盘。查看卷组：sudo vgs。4、添加物理卷到卷组。

方法五：这就是我目前使用的方法，速度极快，上面四种方法最快的是方法一和方法四，但是方法四这个是要看环境的咱就不讨论了，就说方法一吧，这个方法是方法一的10倍，如果你的电脑啊网络啊更好可能会更快，我的服务器带宽只有10M，但是却是方法一的10倍，这个方法其实也很简单，还是用navicat。方法三：宝塔面板自带的迁移工具迁移，这个是最不推荐的方法，宝塔的迁移工具针对这些大数据简直就是束手无策了，不说TB级别的了，GB级别的都难以招架，虽然提示说是成功了，但是数据是没有迁移成功的！

首先，你要看你的数据表查询用的多还是增删改用的多。查询用的多就选myisam数据库引擎，查询性能据说是innoDB数据库引擎的6、7倍，我经过测试，300多万的单表数据查询，myisam花了大概0.00几秒，而innoDB则是花了1、2秒2、3秒的样子！这里有个地方，就是添加多个索引的时候会选择独立索引还是复合索引，我们选择独立索引，在单表数亿级的时候独立索引的是复合索引的数倍，我这里单表3亿，没有使用索引的时候大概查询需要好几个小时，使用复合索引需要半小时左右，使用独立索引则仅需0.0几秒！

在第3步中，我们可以通过SELECT语句选择需要导出的表格和字段，然后使用INTO OUTFILE语句将数据导出到CSV文件中。在这个命令中，我们需要指定CSV文件的路径、字段的分隔符和行的结束符。在这个例子中，我们将字段分隔符设置为逗号，选项OPTIONALLY ENCLOSED BY意味着我们将使用双引号作为边框。行结束符被设置为新行符。需要注意的是，MySQL命令行必须具有写入CSV文件所在目录的权限。其中-u后面的root是用户名，-p后面的123456是密码 ，替换成自己的账户和密码即可。

frp在做网站转发的时候，其默认的404页面上的文字带有frp的链接，间接得暴漏服务器使用frp，可能会导致其他端口被扫描爆破。这样麻烦能避免最好。我们可以下载源码，自行修改404页面之后重新编译frp。

报错go.mod file not found in current directory or any parent directory？然后保存，执行source ~/.bash_profile。

接着转到 “操作” 页，点击新建，选择 “启动程序” 在程序或脚本一栏选择第一步创建的 start.bat，下面的 “起始于” 填写 start.bat 的路径(不要包含 start.bat)先在你的 Frp 同目录下新建一个文本，并改名为 start.bat，如果你的文件名是 “新建文本文档” 而不是 “新建文本文档.txt” 的话，请自行百度 “显示文件扩展名”点击右侧的 “创建任务”，名称随意填写，安全选项选择 “不管用户是否登录都要运行”，当然你也可以选择 “只在用户登录时运行”。

我们在安装完Windows server 2012后，激活系统使用发现Windows server 2012 响应速度缓慢，非常影响体验，这个时候我们可以按照以下方法来解决。输入命令：netsh int tcp set global ecn=disable，关闭ECN功能。继续输入命令：netsh int tcp show global，查看ecn功能是否关闭。输入命令：netsh int tcp show global，查看ECN功能开启状态。如果ECN后面显示的是Enabled，就表示是打开的。

所谓内网穿透，也就是局域网能够直接通过公网的ip去访问，极大的方便用户的日常远程的一些操作的使用。比如nas的远程访问,个人博客的搭建等等。然而，从公网中访问自己的私有设备向来是一件难事儿。比如自己的主力台式机、NAS等等设备，它们可能处于路由器后，或者运营商因为IP地址短缺不给你分配公网IP地址。如果我们想直接访问到这些设备（远程桌面，远程文件，SSH等等），一般来说需要通过一些转发或者P2P组网软件的帮助。

所有目前唯一的办法就是安装宝塔国际版，宝塔国际版无需绑定账号，当然建议只安装在境外服务器上，当然目前百度上安装宝塔国际版的方法也已经失效了，可以使用以下方法安装，亲测有效。主要是因为宝塔面板从7.4.5版本开始，就开始强制绑定宝塔账号了，对于国外的用户来说，注册宝塔账号就必须要提供中国大陆的手机号才可以，这显然是不现实的。还有另外一点，强制绑定账号后体验确实不是很好，不绑定账号 什么操作都做不了 ，有些客户不愿配合操作就会一直卡在这里 导致后面的工作无法进行。很遗憾，亲测现在均不可使用了。

如果将其留空，您将只能使用 SSH 密钥文件访问它。但是，如果您设置了密码，则可以防止拥有密钥文件的攻击者访问它。另外，您可以通过更改sshd_config文件中与密码相关的参数来完全关闭对服务器的密码访问。通过对该文件进行的添加，您可以限制 SSH 权限，允许特定 IP 块，或输入单个 IP 并使用拒绝命令阻止所有剩余的 IP 地址。公钥将上传到您要连接的服务器，而私钥则存储在您将用来建立连接的计算机上。但是，这并不总是足够的，您需要增加这种安全潜力。这样，您未来的所有连接都将使用第二个版本的 SSH。

3. 以上step为秒数，上面为1秒，可以随便设置，在for里面是你要执行的任务，我这里是每隔一秒访问一次URL，所以里面就是执行访问URL的任务代码，根据自己需求进行修改，添加后点击“执行“。宝塔的计划任务的执行周期最低为每分钟，分钟的值不支持小数点，但是有时需要秒数的定时执行。比如每隔1秒就要访问一次指定URL。1. 添加计划任务，任务类型选择"Shell脚本"，执行周期选择N分钟，分钟值可以填写1分钟。最后，查看执行日志，可以看到1秒执行的结果反馈。

为了保证网站环境的正常 通常我们需要对PHP mysql nginx进行监控 一旦监控到环境停止运行就自动重启 PHP方面有相关插件 可以保证PHP避免出现异常 但是mysql和nginx却没有相关插件 虽然说这两出现异常的概率很低 但是我们也不能不去做一些措施 一旦出现等到发现的时候 可能已经造成客户流失了 为了避免出现还是要监控的 为此我们可以利用宝塔的计划任务来实现这一目的。PHP：(根据安装PHP版本号做更改，例如：/etc/init.d/php-fpm-54 restart ）

linux上每输入一条命令（如 ls）时，都出现如下提示：You have mail in /var/spool/mail/root一般这种情况mail的内容就只是一些正常的系统信息或者是比较重要的错误报告（收件箱位置：/var/mail/），比如里面的脚本命令执行错误了（sh文件名 python命令没有使用全路径 没有使用后台运行nohup命令等问题导致无法正常执行的报错）

继续为这个新站域名申请和部署SSL证书，可以申请免费证书的最简单方式有3种：宝塔测试SSL申请、Let's Encrypt申请和在购买域名的运营商处申请，测试证书1年期限不支持续签，第2种可以申请到3个月期限，第3种也可以申请1年期限，除了第一种其他两种到期都可以继续申请续签。其实非常简单就是再新建一个站点，站点目录选主站点的，将两个站点共用同一个根目录，新站点的配置和主站点一致（例如根目录、PHP版本等相同），不需要再创建数据库。以此类推，有多个域名的可以继续新增站点配置部署。

进入菜单我们来安装内核对应加速模块，如果我们需要更换为其他版本bbr一定要先卸载已经安装的版本，另外安装的内核一定要和加速模块相对应，因为我们上一步安装的是魔改版，这里加速模块也要安装魔改版。下面是一个五合一的TCP网络加速脚本，其包括了 BBR 原版、BBR 魔改版、暴力 BBR 魔改版、BBR plus、Lotsever（锐速）安装脚本。以安装 BBR 魔改版 为例，直接输入菜单前的数字来安装，需要注意的是它分内核和加速模块，我们一定要先安装内核，安装完成会提示要进入重启，我们输入Y指令确认重启。

c++ 14:完全支持，从GCC 6.1版本开始完全支持，是GCC 6.1到GCC 10 (包括) 的默认模式。c++ 17:完全支持，从GCC 5版本开始，到GCC 7版本，已基本完全支持。c++ 23:未完全支持（标准还在发展中），从GCC 11版本开始支持C++23特性。SCL仅支持安装devtoolset-4（gcc 5.2）（不含）之后的gcc版本。使用以下命令安装gcc，其中的10表示大版本号，默认安装大版本下的最新稳定版本。c++ 98:完全支持，GCC 6.1之前版本的默认模式。

至此，cmake版本已成功升级为3，如果还是2那么请仔细看文章一定是哪里错漏了，重新走一遍吧，因为真的太简单了还是操作失败就真的只能让别人来帮忙搞了。因为我使用的是centos7.9 所以教程以centos系统为准，如果你是ubuntu Debian等非centos系统请自行对照指令进行改动。更新cmake前需要卸载cmake然后进行源码安装，不进行yum安装是因为yum最新版本是2.x只能通过源码安装才能安装3.x版本。好，现在按esc键，输入:wq保存修改。最后我们来验证一下版本是否已经更新。

OV SSL，又叫组织验证型证书，该证书除了验证域名所有权外，还需要验证网站所有单位的真实身份，审核相对DV证书来说更严格一些。除了企业或者个人数据保护意识的提升，各大浏览器厂商也是当仁不让，不遗余力的开始大力推行https协议，对于还在使用http协议的网站弹出警示性的风险警告，网站的信誉度大大降低，由此一来，选择SSL加密已经成为各个网站的必须。如果您不清楚自己的行业该如何申请证书，也可以拿同行业的企业证书申请类型进行参考。目前市场的SSL证书常用的主要有三种，分别是DV证书，OV证书，EV证书。

最后，一定要记住不管是nginx MariaDB 还是PHP这些 只要有编译安装一定要点编译安装不管你有没有需要编译的模块都要编译安装，因为编译安装的稳定性不是极速安装可以比拟的，编译安装和你ssh安装这些环境的效果是一摸一样的，安装完直接关闭宝塔图形面板和ssh编译安装的环境是一样的性能和稳定性的，但是极速安装就不行了。建议选择Linux的，我推荐centos7.9，因为这是使用比较广泛的，当然也可以选择redhat系的，另外如果担心centos几年后停止维护，可以参考我另外一篇文章。

然后就把正常的登录接口复制到其他的方法下居然也不行？所以能有机会给客户装Linux就装Linux吧，还有一点能用腾讯云就用腾讯云，我这客户用的阿里云装的Linux宝塔面板，之前也有几个阿里云Linux宝塔面板的客户也遇到过灵异事件，之前没在意，现在想想也是被入侵了，看样子网上说的阿里云防御没腾讯云好是真的，用阿里云的要更加注重安全问题。今天遇到一个灵异事件，本来系统昨天调试了很多次接口是正常的，今天物联网厂家技术联系我们客户说我们的接口全部挂掉了只有一个登录接口正常，查了一上午代码没发现问题。

wq。

CentOS官方计划停止维护CentOSLinux项目，并于2022年01月01日停止对CentOS8的维护支持，CentOS7于2024年06月30日也将停止维护。针对以上情况，目前最佳替代方案可能就是使用TencentOSServer。

最后加上跳过验证证书的参数“–no-check-certificate”解决方法关掉防火墙并开机不自启。出现原因可能是防火墙导致。

出现此报错一般就是文件系统的问题 创建一下文件系统即可mkf.ext4 /dev/vdb然后重新挂载mount /dev/vdb /www检查是否成功df -h出现挂载点/www即为成功

漏洞描述在 polkit 的 pkexec 程序中发现了一个本地权限提升漏洞。pkexec 应用程序是一个 setuid 工具，旨在允许非特权用户根据预定义的策略以特权用户身份运行命令。由于当前版本的 pkexec 无法正确处理调用参数计数，并最终会尝试将环境变量作为命令执行。攻击者可以通过控制环境变量，从而诱导 pkexec 执行任意代码。利用成功后，可导致非特权用户获得管理员权限。CVE-2021-4034polkit 的 pkexec 存在本地权限提升漏洞，已获得普通权限的攻击者可通过此漏洞获

OpenSSL 拒绝服务漏洞编号为 CVE-2020-1971 ，漏洞等级： 高危 ，漏洞评分： 7.5 ，当两个GENERAL_NAME都包含同一个EDIPARTYNAME时，由于GENERAL_NAME_cmp函数未能正确处理，从而导致空指针引用，并可能导致拒绝服务。OpenSSL 是一个开放源代码的软件库包，应用程序可以使用这个包来进行安全通信，避免窃听，同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。温馨提示：升级OpenSSL前务必先做好快照备份，以免操作失误导致系统崩