跳到主要内容

50 篇博文 含有标签「编程」

查看所有标签

images

  • [参考]
  • 项目地址 gethomepage/homepage
  • 先拉个镜像
    • 镜像拉起后会有配置自动出现在 ./config 这个目录里
    • 然后可以通过 VSCode SFTP 插件同步到编辑器,编辑完后再上传到部署服务器上。
version: "3.3"
services:
homepage:
image: ghcr.io/gethomepage/homepage:latest
container_name: homepage
environment:
ports:
- 3000:3000
volumes:
- ./config:/app/config # Make sure your local config directory exists
- /var/run/docker.sock:/var/run/docker.sock:ro # optional, for docker integrations
restart: unless-stopped

快速给每个 收藏点加上 ping 的功能

  • vscode 中 ctrl+R 打开当前文件的内容替换

    • 查找:href: (.*)\n(?! ping)
    • 替换为:href: $1\n ping: $1\n
    • 点击 "替换所有"
  • 相关文章

    • [[使用 cloudflare-worker 获取 bing-wallpaper 的每日壁纸]]
编程阅读需 1 分钟

tt-rss

  • Tiny Tiny RSS(TT-RSS)是一款基于 PHP 的免费开源 RSS 聚合阅读器,需要自行托管和部署,为基于网页的 RSS 阅读器。 暂时没找到邮件推送的方法。
  • 目前有被墙的 feedly 做替代品,不知道好用不。
  • 订阅配置可以一键导出,切换用问题不大。

wget https://raw.githubusercontent.com/HenryQW/Awesome-TTRSS/master/docker-compose.yml
docker-compose down
docker-compose up -d

http://localhost:181/ 默认账户: admin 密码: password

设置代理

在 docker-compose.yml 中 environment 增加全局变量 HTTP_PROXYHTTPS_PROXY

  service.rss:
image: wangqiru/ttrss:latest
container_name: ttrss
ports:
- 181:80
environment:
- HTTP_PROXY=http://localhost:9999
- HTTPS_PROXY=http://localhost:9999

设置邮件

  • 参考 [[ttrss 邮件]]
  service.rss:
image: wangqiru/ttrss:latest
container_name: ttrss
ports:
- 181:80
environment:
- ENABLE_PLUGINS=auth_internal,mailer_smtp # plugin
- SMTP_FROM_NAME=Tiny Tiny RSS
- SMTP_FROM_ADDRESS=USERNAME@gmail.com
- SMTP_SERVER=smtp.gmail.com:465
- SMTP_LOGIN=USERNAME@gmail.com
- SMTP_PASSWORD=PASSWORD
- SMTP_SECURE=tls

浏览器插件

  • RSSHub Radar
    • RSSHub Radar 是 RSSHub 的衍生项目,是一个能帮助用户发现和订阅 RSS 源的浏览器扩展插件。
    • 强烈建议安装。
    • 可以发现如 知乎、b 站、github 等 不常用 非官方 的 RSS 订阅源。
      • github 有官方的 release 订阅源,RSSHub Radar 不会显示,在 rsshub 教程 查到的。
    • 需要 TTRSS 能翻墙访问 RSSHub
  • 默认订阅源

rsshub

  • RSSHub 是一个开源、简单易用、易于扩展的 RSS 生成器,可以给任何奇奇怪怪的内容生成 RSS 订阅源。它借助于开源社区的力量快速发展,目前已适配数百家网站的上千项内容。
  • RSSHub 和 TT-RSS 的主要区别在于,RSSHub 是一个 RSS 生成器,可以将非 RSS 格式的内容转换为 RSS 格式以便订阅;而 TT-RSS 是一个 RSS 阅读器,用于订阅和阅读 RSS 格式的内容。
  • 一般情况下不用部署
mkdir ~/server/rss -p
cd ~/server/rss
wget https://raw.githubusercontent.com/DIYgod/RSSHub/master/docker-compose.yml
docker volume create redis-data
docker-compose up -d

访问 localhost:1200

编程阅读需 2 分钟

参考

docker hub 运行

mkdir ~/docker-registry
cd ~/docker-registry
mkdir data
vim docker-compose.yml
version: '3.8'

# docker-compose -f /root/vutlr_docker_compose_file.yml up -d
services:
registry:
container_name: registry
image: registry
restart: always
ports:
- "5000:5000"
environment:
REGISTRY_AUTH: htpasswd # For auth add
REGISTRY_AUTH_HTPASSWD_REALM: Registry # For auth add
REGISTRY_AUTH_HTPASSWD_PATH: /auth/registry.password # For auth add
REGISTRY_STORAGE_FILESYSTEM_ROOTDIRECTORY: /data
volumes:
- /data/docker/data:/data
- /data/docker/auth:/auth

registry-frontend:
image: konradkleine/docker-registry-frontend:v2
ports:
- 8080:80
volumes:
- ./certs/frontend.crt:/etc/apache2/server.crt:ro
- ./certs/frontend.key:/etc/apache2/server.key:ro
environment:
- ENV_DOCKER_REGISTRY_HOST=192.168.31.2
- ENV_DOCKER_REGISTRY_PORT=5000

鉴权

sudo apt install apache2-utils -y
mkdir /data/docker/auth
cd /data/docker/auth
htpasswd -Bc registry.password username

如果不加鉴权 把 For auth add 的三行注释掉

启动服务 docker-compose up

上传

# 无鉴权可以不登录
docker login localhost:5000/

docker tag xxx/test-image localhost:5000/test-image
docker push localhost:5000/test-image

docker login https://your_domain
docker push your_domain/test-image

下载

# 无鉴权可以不登录
docker login localhost:5000/

docker pull localhost:5000/test-image

docker login https://your_domain
docker pull your_domain/test-image

前端可视化

  • docker-compose.yml 已经包含
  • 访问 http://ip:8080 打开页面
  • 使用之前 docker-hub 的账号密码进行登录

报错

解决没有足够权限访问 Docker 守护进程的问题

permission denied while trying to connect to the Docker daemon socket at unix

解决:chmod 666 /var/run/docker.sock

编程阅读需 1 分钟

装一个 trash-cli 工具

  • 创建 dockerfile
FROM filebrowser/filebrowser:latest
RUN apk add trash-cli
# vi docker-compose.yml
version: '3'
services:
filebrowser:
# image: filebrowser/filebrowser:latest
container_name: filebrowser
restart: always
build:
context: .
ports:
- "8089:80/tcp"
networks:
- net
volumes:
- ./filebrowser.db:/database.db
- ./.filebrowser.json:/.filebrowser.json
- /etc/localtime:/etc/localtime:ro
# data
- ./srv:/srv
- /mnt/data:/srv/data

networks:
net:
driver: bridge

  • 设置 - 全局设置 - 修改 Before Delete 删除命令
trash-put $FILE
  • 查找删除的文件在哪里
    • trash-list --trash-dirs

用 sh 脚本

修改

  • 并在 /srv/Trash/delete.log 中 增加删除记录
/bin/sh -c 'if [[ "$FILE" != "/srv/Trash/"* ]]; then mv $FILE /srv/Trash; fi'
/bin/sh -c 'if [[ "$FILE" != "/srv/Trash/"* ]]; then mv $FILE /srv/Trash/ && echo "[$USERNAME] Deleted: $FILE" >> /srv/Trash/delete.log; fi'
/bin/sh -c 'if [[ "$FILE" != "/srv/Trash/"* ]]; then mv $FILE /srv/Trash/ && echo "[$USERNAME $(date +"%Y-%m-%d_%H-%M-%S")] Deleted: $FILE" >> /srv/Trash/delete.log; fi'
  • 如果 /srv/Trash 有同名的 $FILE 文件 ,则拒绝移动并报错。
/bin/sh -c 'if [[ "$FILE" != "/srv/Trash/"* ]]; then mv $FILE /srv/Trash/ --suffix $(date +/"%Y-%m-%d_%H-%M-%S/") && echo "[$USERNAME $(date +/"%Y-%m-%d_%H-%M-%S/")] Deleted: $FILE" >> /srv/Trash/delete.log; fi'

报错

filebrowser  | 2024/03/13 11:20:56 [INFO] Blocking Command: "/bin/sh /root/before_delete.sh"
filebrowser | sh: /srv/Trash/delete.log: unknown operand
  • 改为 sh 脚本后 一行一行注释去找哪一行报错
  • "$FILE" != "/srv/Trash/"* 这一句有问题 会导致 /srv/Trash/delete.log: unknown operand
  • 改成字符串比较

改用 sh 脚本

#!/bin/sh

if [[ "${1:0:11}" != "/srv/Trash/" ]]; then
NOW=$(date +"%Y-%m-%d_%H-%M-%S")
T_FILE=$1
if [ -e "/srv/Trash/$(basename "$1")" ]; then
mv "$1" "${1}_${NOW}"
T_FILE="${1}_${NOW}"
fi

mv "${T_FILE}" /srv/Trash/
echo "$2 ${NOW} Deleted: $1 - /srv/Trash/$(basename ${T_FILE})"
echo "$2 ${NOW} Deleted: $1 -> /srv/Trash/$(basename ${T_FILE})" >> /srv/Trash/DELETE.log;
fi
  • 配置处改为 /bin/sh /root/before_delete.sh $FILE $USERNAME
编程阅读需 2 分钟

启动管理页面

  • vim ./portainer/docker-compose.yml
version: "3"

services:
portainerce:
image: portainer/portainer-ce:latest
container_name: portainerce
restart: unless-stopped
security_opt:
- no-new-privileges:true
volumes:
- /etc/localtime:/etc/localtime:ro
- /var/run/docker.sock:/var/run/docker.sock:ro
- ./portainer-data:/data
ports:
- 9000:9000
  • docker compose up -d 启动
  • 访问 127.0.0.1:9000 注册账号密码 应该会自动挂载当前环境的 docker 实例等。

Portainer tls 远程连接 服务器 docker

生成证书

  • sudo mkdir -p /srv/certs.d/
  • sudo cd /srv/certs.d
  • sudo vim /srv/certs.d/auto-tls-certs.sh
  • sudo bash /srv/certs.d/auto-tls-certs.sh
  • 记得修改上面的配置信息
#!/bin/bash
#
# -------------------------------------------------------------
# 自动创建 Docker TLS 证书
# -------------------------------------------------------------

# 以下是配置信息
# --[BEGIN]------------------------------

PASSWORD="your code"
COUNTRY="CN"
STATE="your state"
CITY="your city"
ORGANIZATION="your org"
ORGANIZATIONAL_UNIT="your org unit"
EMAIL="your email"

# --[END]--

CODE="docker_api"
IP=`curl ip.sb -4`
COMMON_NAME="$IP"

# Generate CA key
openssl genrsa -aes256 -passout "pass:$PASSWORD" -out "ca-key-$CODE.pem" 4096
# Generate CA
openssl req -new -x509 -days 365 -key "ca-key-$CODE.pem" -sha256 -out "ca-$CODE.pem" -passin "pass:$PASSWORD" -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$COMMON_NAME/emailAddress=$EMAIL"
# Generate Server key
openssl genrsa -out "server-key-$CODE.pem" 4096

# Generate Server Certs.
openssl req -subj "/CN=$COMMON_NAME" -sha256 -new -key "server-key-$CODE.pem" -out server.csr

echo "subjectAltName = IP:$IP,IP:127.0.0.1" >> extfile.cnf
echo "extendedKeyUsage = serverAuth" >> extfile.cnf

openssl x509 -req -days 365 -sha256 -in server.csr -passin "pass:$PASSWORD" -CA "ca-$CODE.pem" -CAkey "ca-key-$CODE.pem" -CAcreateserial -out "server-cert-$CODE.pem" -extfile extfile.cnf

# Generate Client Certs.
rm -f extfile.cnf

openssl genrsa -out "key-$CODE.pem" 4096
openssl req -subj '/CN=client' -new -key "key-$CODE.pem" -out client.csr
echo extendedKeyUsage = clientAuth >> extfile.cnf
openssl x509 -req -days 365 -sha256 -in client.csr -passin "pass:$PASSWORD" -CA "ca-$CODE.pem" -CAkey "ca-key-$CODE.pem" -CAcreateserial -out "cert-$CODE.pem" -extfile extfile.cnf

rm -vf client.csr server.csr

chmod -v 0400 "ca-key-$CODE.pem" "key-$CODE.pem" "server-key-$CODE.pem"
chmod -v 0444 "ca-$CODE.pem" "server-cert-$CODE.pem" "cert-$CODE.pem"

# 打包客户端证书
mkdir -p "tls-client-certs-$CODE"
cp -f "ca-$CODE.pem" "cert-$CODE.pem" "key-$CODE.pem" "tls-client-certs-$CODE/"
cd "tls-client-certs-$CODE"
tar zcf "tls-client-certs-$CODE.tar.gz" *
mv "tls-client-certs-$CODE.tar.gz" ../
cd ..
rm -rf "tls-client-certs-$CODE"

# 拷贝服务端证书
mkdir -p /srv/certs.d
cp "ca-$CODE.pem" "server-cert-$CODE.pem" "server-key-$CODE.pem" "tls-client-certs-$CODE.tar.gz" /srv/certs.d/

开启 Docker API

  • sudo vim /lib/systemd/system/docker.service

alt text

  • 在 ExecStart 行的后面添加以下选项:
-H=tcp://0.0.0.0:2376 --tlsverify --tlscacert=/srv/certs.d/ca-docker_api.pem --tlscert=/srv/certs.d/server-cert-docker_api.pem --tlskey=/srv/certs.d/server-key-docker_api.pem
  • 最后,执行以下命令重新加载服务并重启 Docker:
sudo systemctl daemon-reload && sudo service docker restart

验证

此时,我们需要验证 Docker API 是否能够访问,且是否只能通过加密访问。

首先执行 docker -H=127.0.0.1:2376 info,一般来说会返回:

Client: Context:    default Debug Mode: false Plugins: app: Docker App (Docker Inc., v0.9.1-beta3) buildx: Docker Buildx (Docker Inc., v0.9.1-docker) Server: ERROR: Error response from daemon: Client sent an HTTP request to an HTTPS server. errors pretty printing info

这是因为没有通过 tls 去访问,此时改用 docker -H=127.0.0.1:2376 --tlsverify info,会出现下面的错误:

unable to resolve docker endpoint: open /root/.docker/ca.pem: no such file or directory

这是由于目前没有在对应的用户文件夹下配置证书,我们可以执行以下命令:

mkdir ~/.docker && \
tar -zxvf /srv/certs.d/tls-client-certs-docker_api.tar.gz -C ~/.docker && \
mv ~/.docker/ca-docker_api.pem ~/.docker/ca.pem && \
mv ~/.docker/cert-docker_api.pem ~/.docker/cert.pem && \
mv ~/.docker/key-docker_api.pem ~/.docker/key.pem

完成后再执行一遍 docker -H=127.0.0.1:2376 --tlsverify info 即可获取信息了,至此验证完成。

配置 Portainer

  • 获取tls要用的文件
    • sz /srv/certs.d/tls-client-certs-docker_api.tar.gz

Environment - Add environment - docker standalone - API - TLS 打开

编程阅读需 3 分钟

查看登录失败次数

# 查看登录失败 (尝试攻击的情况)
sudo grep 'Failed password' /var/log/auth.log | awk '{print $1,$2}' | uniq -c
# 查看登录成功的情况
sudo grep 'session opened for user' /var/log/auth.log | awk '{print $1,$2}' | uniq -c

实况

基本上时时刻刻有人在尝试登陆,前天 8k 多次失败访问。

可怕的来了,登陆成功的情况也很多。

尝试解决

  • 开 file2ban 应该问题不大
    • sudo apt update && sudo apt install fail2ban && systemctl status fail2ban.service
    • head -20 /etc/fail2ban/jail.conf
    • fail2ban-client --help
  • 开的机器用户名默认不是 root,登录也只能通过 ssh key

想法

  • 做个脚本跑个定时任务,当 尝试次数过多 或者 登录次数过多 的时候就发个邮件过来提醒。

增加 google 验证

编程阅读需 1 分钟

trash-cli

安装

  • 安装 sudo apt install trash-cli

使用

  • trash-put: 把文件或目录移动到回收站
  • trash-empty: 清空回收站
  • trash-list: 列出回收站文件
  • trash-restore: 恢复回收站文件
  • trash-rm: 删除回收站文件

配置

  • 七天删除 (crontab -l ; echo "@daily $(which trash-empty) 7") | crontab -

    • 查看 cat /var/spool/cron/crontabs/root
  • 设置别名 alias rm='trash' (官方不推荐)

编程阅读需 1 分钟

sudo apt install rdfind
rdfind -deleteduplicates true /media/faonecze/资料存档/

windows 用 DoubleKiller.exe 还挺方便的

编程阅读需 1 分钟

windows 进程 监控

  • windows wmi-exporter 进程监控
    • 对应的看板 dashboard Id 10467
    • 没有进程数据
      • 服务器管理器找到 WMI exporter
        • 添加参数 --collectors.enabled "[defaults],process,container"
Grafana Status Map Panel not working, shows "Panel plugin not found: flant-statusmap-panel" #197
  • 解决方法
    • Open your Grafana instance and go to the Plugins section in the left-hand -nu.
    • Search for "statusmap" in the search bar.
    • Click on the "Install" button for the "statusmap" plugin.
    • Wait for the installation to complete.\

Grafana + prometheus + node-exporter docker-compose.yml

vim prometheus/docker-compose.yml

version: "3.7"
services:
node_exporter:
image: quay.io/prometheus/node-exporter:latest
container_name: node_exporter
command:
- '--path.rootfs=/host'
user: "1000"
network_mode: host
# pid: host
restart: unless-stopped
volumes:
- '/:/host:ro,rslave'
prometheus:
image: prom/prometheus:latest
container_name: "prometheus"
restart: always
ports:
- "9111:9090"
volumes:
- "./prometheus.yml:/etc/prometheus/prometheus.yml"
- "./prometheus_data:/prometheus"
grafana:
image: grafana/grafana
container_name: "grafana"
ports:
- "3000:3000"
restart: always
volumes:
- "./grafana_data:/var/lib/grafana"
process-exporter:
image: ncabatoff/process-exporter
command: --procfs /host/proc -config.path /config/process-exporter-config.yml
privileged: true
volumes:
- /proc:/host/proc
- ./process-exporter-config.yml:/config/process-exporter-config.yml
ports:
- "9256:9256"
restart: always

vim prometheus/prometheus.yml - 需要根据自己的 ip 进行修改器

global:
scrape_interval: 15s # 默认抓取周期
external_labels:
monitor: "codelab-monitor"
scrape_configs:
- job_name: "node-exporter" #服务的名称
scrape_interval: 5s
metrics_path: /metrics #获取指标的 url
static_configs:
- targets: ["192.168.31.2:9100"] # 这个为监听指定服务服务的 ip 和 port,需要修改为自己的 ip,貌似云服务必须用公网 ip
- job_name: "process-exporter"
scrape_interval: 5s
metrics_path: /metrics
static_configs:
- targets: ["192.168.31.2:9256"]
- job_name: "windows-laptop"
scrape_interval: 5s
metrics_path: /metrics
static_configs:
- targets: ["192.168.31.3:9182"]
- job_name: "other-node-192.168.31.5-node-exporter"
scrape_interval: 5s
metrics_path: /metrics
static_configs:
- targets: ["192.168.31.5"]

node-exporter linux 服务器状态监控

prometheus 相关

看板 Grafana

  • http://ip:9111/3000

  • 配合 node - 的 Dashborad 编号是 9276

    • Grafana 直接搜索 id 就能找到别人分享的看板。
    • 需要单独配置下 网络 io 图表。
    • 都是可视化的 先再 node-exporter 里找到相关指标,然后可视化点点点就能出现数据。
编程阅读需 2 分钟

配置完后,感觉 gitalk 的 clientID 和 clientSecret 不能直接放项目中,毕竟是开源的。

参考 action 的配置,在项目设置中找到 secert 配置,增加两个环境变量。

.github\workflows\ci.yml下面的 action 配置,增加如下配置:

GITALK_CLIENTID: ${{ secrets.GITALK_CLIENTID }}
GITALK_CLIENTSECRET: ${{ secrets.GITALK_CLIENTSECRET }}

config.js 中使用配置的环境变量名称就好了。

clientID: process.env.GITALK_CLIENTID,
clientSecret: process.env.GITALK_CLIENTSECRET,

本地测试因为填写了 feedback 为博客地址,会导致登陆后默认指向线上博客地址,所以本地测试没有成功。

好了博客评论系统开启了,其实相关评论都到 issus 里去了,还有点不习惯。

具体配置有啥不懂的,可以看看本项目的源码。

编程阅读需 1 分钟