Linux

在 Linux 中授予提升的权限意味着赋予用户账户执行需要超级用户级别访问权限的命令的能力——可以通过将其添加到特权组（如 `sudo` 或 `wheel`）来实现，也可以通过在 `/etc/sudoers` 文件中明确配置条目来实现。最安全且最易于审计的方法始终是基于 `sudo` 的委派，而非直接加入 `root` 组。 本指南涵盖了所有实用路径：将用户添加到 `sudo` 或 `wheel` 组、使用 `visudo` 编辑 `sudoers` 文件、将权限限定于特定命令、干净地撤销访问权限，以及深入理解为什么在生产环境中直接加入 `root` 组会带来安全隐患。 理解 Linux 权限模型 Linux 在特权与非特权执行上下文之间强制执行严格的分离。每个进程都在 UID（用户 ID）下运行，而 UID 0——即 `root` 用户——几乎可以绕过内核强制执行的所有权限检查。这不仅仅是一种约定，而是在系统调用级别强制执行的。 您需要了解的关键权限机制： Root 用户（UID 0）：对所有文件、设备、内核参数和系统调用拥有不受限制的访问权限。以 root 身份运行的单个配置错误的命令可能会对正在运行的系统造成不可逆的损害。 sudo：一个 setuid 二进制文件，允许经授权的用户以另一个用户（通常是 root）的身份执行命令，受 `/etc/sudoers` 中定义的策略约束。每次调用都会记录到 syslog 或 journald。 `sudo` 组（Debian/Ubuntu）：该组的成员通过 `/etc/sudoers` 中的默认规则被授予完整的 sudo 访问权限。 […]

NVM (Node Version Manager) 是一个符合 POSIX 标准的 shell 脚本，可在单台机器上安装和管理多个独立的 Node.js 运行环境，无需 root 权限或修改系统级路径。每个 Node.js 版本都存放在 `~/.nvm/versions/node/` 下的独立目录中，为各项目提供完全无冲突的隔离环境。 本指南介绍如何在 Ubuntu（20.04、22.04 和 24.04）上进行生产级 NVM 安装，不仅涵盖基本命令，还包括 shell 配置文件的边缘情况、`.nvmrc` 工作流自动化、全局包迁移以及大多数教程所忽略的服务器特定问题。 为何选择 NVM 而非系统包管理器 通过 `apt` 安装 Node.js 会在 `/usr/bin/node` 放置一个系统级的单一二进制文件。升级它会同时影响主机上的每个应用程序。在共享开发机器或运行多个 Node.js 项目的 VPS 上，这会造成脆弱且难以复现的环境。 NVM 通过将每个 Node.js 版本安装到用户空间目录并在 shell 级别操控 `PATH` 来解决这一问题。其结果是实现按用户、按项目的版本控制，对操作系统的包状态零影响。 NVM 与其他 Node.js 版本管理器的对比 功能 NVM fnm […]

VMware 共享文件夹是通过 HGFS（主机-客户机文件系统）协议将主机端目录暴露给客户虚拟机的功能，该协议通过 VMware Tools 内核模块实现。它作为一种伪文件系统挂载运行，完全绕过虚拟磁盘，无需网络配置、FTP 或 SCP 传输，即可实现主机操作系统与客户操作系统之间的直接文件交换。 本指南涵盖 VMware Workstation、VMware Player 和 VMware Fusion 的完整设置流程——包括 VMware Tools 安装、共享文件夹配置、Windows 和 Linux 客户端访问、通过 `/etc/fstab` 实现持久 HGFS 挂载，以及解决文档通常省略的最常见故障模式。 前提条件与架构概述 在调整任何设置之前，请确认以下条件已满足： 主机上已安装 VMware Workstation Pro/Player（v16+）、VMware Fusion（macOS 主机）或 VMware Workstation Pro 17。 已存在可正常启动的虚拟机。 客户操作系统内已安装 VMware Tools——这是不可或缺的。共享文件夹功能完全依赖于 VMware Tools 安装的 `vmhgfs` 内核模块（Linux）或 VMCI/HGFS 驱动程序（Windows）。 您打算共享的主机文件夹已存在，且运行 VMware 进程的用户账户具有适当的文件系统权限。 HGFS 的重要性：与网络共享（SMB/NFS）不同，HGFS […]

.tar.gz 文件是通过两种不同操作组合创建的压缩归档文件：tar（磁带归档）将多个文件和目录打包成单个归档文件，gzip 则对该归档文件进行压缩以减小其大小。其结果是一种便携、节省空间的包格式，是在几乎所有 Linux 和类 Unix 环境中分发软件、配置包和系统备份的事实标准。 提取 .tar.gz 归档文件的标准命令是 `tar -xzvf archive-name.tar.gz`。了解每个标志的作用——以及何时偏离此默认设置——是区分称职系统管理员与盲目从网上复制粘贴命令者的关键所在。 了解 .tar.gz 格式 在运行任何命令之前，了解您实际处理的内容很有帮助。`.tar.gz` 格式（也写作 `.tgz`）是一个两阶段过程： `tar` 将文件收集起来，并将目录结构、权限、所有权和符号链接保存到单个平面文件中。 `gzip` 使用 DEFLATE 算法压缩该平面文件，对文本密集型内容通常可实现 60–70% 的大小缩减。 这种两阶段架构就是为什么 `-z`（gzip）和 `-x`（提取）标志都是必需的。单独使用任何一个工具都无法完成全部工作。在现代 Linux 系统上，`tar` 足够智能，可以通过 `–auto-compress` 或直接读取文件的魔术字节来自动检测压缩类型，但在脚本和自动化管道中明确使用标志始终是更安全的做法。 核心语法和标志参考 “`bash tar -xzvf archive-name.tar.gz “` 标志 完整形式 功能 —— ———– ———- `-x` `–extract` 从归档文件中提取文件 `-z` `–gzip` 通过 gzip 解压缩过滤归档文件 […]

GNU Screen 是一款终端复用器，让您可以在单个终端窗口中创建、管理和持久化多个 shell 会话。当您从 Screen 会话中分离时，其中运行的每个进程都会继续执行——在 SSH 断开连接、网络中断和终端关闭后依然存活——并在您重新连接时完全可访问。 对于任何通过 SSH 管理远程服务器的人来说，这一单一功能消除了整类操作风险：连接中断不再会终止正在运行的数据库迁移、数小时的编译任务或实时日志监控进程。 GNU Screen 在现代 Linux 管理中为何依然重要 tmux 等工具已日益流行，但 Screen 作为默认或近默认软件包，几乎预装在每个企业级 Linux 发行版和最小化服务器镜像中。当您 SSH 登录到裸机或新配置的 VPS 托管实例时，Screen 几乎总是无需额外安装即可使用。其低内存占用和 POSIX 合规性使其成为受限或锁定环境中的务实之选。 核心功能一览： 会话持久化：进程在终端断开连接、SSH 超时和客户端崩溃后依然存活 窗口复用：单个会话内包含多个独立的 shell 窗口 会话共享：两个用户可同时连接到同一会话，用于协作调试 串行控制台访问：Screen 可直接连接到 `/dev/ttyS*` 设备，用于带外服务器管理 可脚本化启动：`.screenrc` 配置文件支持在启动时全自动创建多窗口环境 GNU Screen 与 tmux：选择合适的复用器 两款工具解决的是同一核心问题，但设计理念不同。下表涵盖了在生产环境中重要的区别。 功能 GNU Screen tmux — — — […]

LILO（Linux Loader）是适用于Linux和类Unix操作系统的传统引导加载程序，它直接从安装时存储的磁盘地址加载内核，无需在引导序列期间提供文件系统驱动程序支持。它在操作系统前阶段运行——从主引导记录（MBR）或分区引导扇区——并在将Linux内核加载到内存后将CPU控制权移交给它。 对于当今大多数生产系统，LILO已被GRUB2取代。然而，了解其内部机制对于维护遗留基础设施、嵌入式系统或隔离服务器的工程师来说仍然至关重要，在这些环境中，最小化、确定性的引导加载程序是一种经过深思熟虑的架构选择。 LILO引导过程的底层工作原理 当机器开机时，BIOS执行POST（开机自检），然后读取可引导磁盘的前512字节——即MBR。如果LILO安装在那里，这512字节包含LILO的第一阶段加载程序。序列展开如下： 第一阶段（MBR代码）：BIOS将MBR中的512字节加载到地址`0x7C00`处的内存中，并将执行权转移给它。这个微小的存根只知道一项工作：定位并加载第二阶段。 第二阶段（映射文件）：LILO读取其映射文件（`/boot/map`），该文件在安装时由`lilo`命令写入。此映射包含每个内核镜像和链式加载程序条目的绝对磁盘块地址。此处不进行文件系统解析——LILO使用原始LBA/CHS扇区地址。 引导菜单显示：如果在`lilo.conf`中设置了`prompt`，LILO将显示文本菜单。`timeout`指令控制在默认启动前等待的时间。 内核加载：LILO从预先计算的磁盘地址将内核镜像读取到低内存中，然后解压缩并重新定位它。 控制权移交：LILO将内核命令行参数和初始RAM磁盘（`initrd`）位置传递给内核，内核接管硬件初始化。 关键架构含义：由于LILO在安装时对绝对磁盘块地址进行编码，对内核文件、分区布局或`lilo.conf`的任何更改都需要重新运行`/sbin/lilo`以重新生成映射。在内核更新后忘记此步骤是LILO引导失败最常见的单一原因。 LILO配置：深入了解`/etc/lilo.conf` LILO完全通过`/etc/lilo.conf`进行配置。以下是一个具有代表性的生产示例，附有注释，涵盖原始文档经常遗漏的选项： “`ini Global section boot=/dev/sda # Install LILO to the MBR of /dev/sda map=/boot/map # Path to the map file (must be on a non-LVM, non-RAID partition) install=/boot/boot.b # Second-stage boot loader binary prompt # Always show the boot menu timeout=100 # Wait […]

当系统中缺少 iputils-ping 软件包时，Ubuntu 会出现 `ping: command not found` 错误。这在最小化安装、云 VPS 镜像和 Docker 容器中很常见，因为这些环境会删除非必要的工具以减小镜像体积。修复方法只需一条 `apt` 命令：`sudo apt install iputils-ping`。本文将解释软件包缺失的原因、如何在不同 Ubuntu 环境中正确安装它，以及如何有效使用 `ping` 进行实际网络诊断。 Ping 命令的实际作用 `ping` 是一个网络诊断工具，它向目标主机发送 ICMP Echo Request 数据包，并监听 ICMP Echo Reply 响应。每个数据包的往返时间（RTT）以毫秒为单位进行测量，为您提供有关网络延迟、可达性和稳定性的精确信号。 在底层，`ping` 依赖于 RFC 792 中定义的互联网控制消息协议（ICMP）。它在网络层（OSI 模型的第 3 层）运行，这意味着它完全绕过了 TCP 和 UDP。这使其在隔离连接问题是发生在 IP 路由层还是应用层或传输层时非常有用。 核心使用场景 可达性测试 — 确认远程主机是否存活并响应。 延迟测量 — 以毫秒为单位报告 RTT；RTT […]

Samba 是 SMB/CIFS（服务器消息块/通用互联网文件系统）协议的开源实现，使基于 Linux 和 Unix 的服务器能够与 Windows 客户端以及其他 Linux 机器共享文件、打印机和其他资源。它充当跨操作系统的桥梁，成为混合环境中跨平台网络文件共享的事实标准。 对于核心问题的简洁回答：在 Linux 上安装 Samba 需要通过发行版的包管理器安装 `samba` 软件包，在 `/etc/samba/smb.conf` 中定义共享块，使用 `smbpasswd` 创建 Samba 专用用户凭据，并在防火墙中开放 137–139 和 445 端口。以下各节将以精确的技术细节涵盖此过程的每个层面。 Samba 底层实际工作原理 Samba 以一组守护进程的形式运行。了解每个守护进程的功能可以避免大量配置错误： `smbd` — 通过 TCP 端口 445 和 139 处理文件和打印共享、身份验证及资源锁定。 `nmbd` — 通过 UDP 端口 137 和 138 管理 NetBIOS 名称解析。Windows 网络浏览（文件资源管理器中的”网络邻居”/”网络”）需要此功能。 `winbindd` — […]

Ubuntu的APT包管理系统是Linux生态系统中最可靠的之一，但并非无懈可击。当`apt-get upgrade`、`apt-get dist-upgrade`或`do-release-upgrade`抛出错误时，根本原因几乎总是属于以下五类之一：过期或损坏的软件包索引、未解决的依赖链、崩溃进程遗留的过期锁文件、根分区磁盘空间不足，或由于之前的中断事务导致软件包处于部分配置状态。 本指南提供了一套系统化的工程级诊断工作流程，用于识别并永久解决Ubuntu更新和升级错误的每一种主要类型——包括通用教程通常会遗漏的边缘情况。 了解Ubuntu升级过程中真正出错的原因 在盲目运行命令之前，有必要了解内部机制。当您调用`sudo apt-get upgrade`时，APT会针对`/var/lib/apt/lists/`处的本地软件包缓存执行依赖关系解析。如果该缓存已过期、格式错误，或与`/etc/apt/sources.list`和`/etc/apt/sources.list.d/`中配置的软件源不同步，解析器要么直接失败，要么提出不一致的软件包集。 APT底层的dpkg层在`/var/lib/dpkg/`维护自己的状态数据库。如果之前的安装或升级被中断——由于断电、SSH会话断开或手动执行`Ctrl+C`——dpkg可能会将一个或多个软件包遗留在`half-installed`或`triggers-awaiting`状态。APT在dpkg状态清理完毕之前无法继续。 五大根本原因一览 根本原因 症状 主要修复方法 — — — 过期的软件包索引 软件包URL出现”404 Not Found” `apt-get update` 损坏/未满足的依赖关系 “Unmet dependencies”或”held broken packages” `apt-get install -f` 过期的锁文件 “Could not get lock /var/lib/dpkg/lock” 手动删除锁文件 磁盘空间不足 “No space left on device” 释放`/`分区空间 软件包部分配置 “dpkg was interrupted” `dpkg –configure -a` 解决方案1：刷新软件包索引并执行完整升级 这是每个诊断工作流程中正确的第一步。始终在`upgrade`之前运行`update`——它们不可互换。 “`bash sudo […]

smartctl 是 smartmontools 软件包的主要命令行界面，专为查询、测试和解析嵌入在 HDD、SSD 和 NVMe 驱动器固件中的 S.M.A.R.T.（自我监测、分析和报告技术）数据而设计。它通过 ATA、SCSI 或 NVMe 接口直接与驱动器固件通信，以获取操作系统本身无法通过标准 I/O 路径暴露的原始诊断遥测数据。 对于任何管理物理或虚拟存储的 Linux 管理员——无论是在裸金属服务器、独立服务器还是本地连接的磁盘阵列上——smartctl 是在不可恢复的数据丢失发生之前检测即将发生的驱动器故障的最可靠工具。 什么是 S.M.A.R.T. 以及为何重要 S.M.A.R.T. 是一种内置于 1996 年后生产的几乎所有消费级和企业级存储设备中的监控系统。它在固件层面运行，持续跟踪数十个内部参数：读/写错误率、机械应力指标、NAND 磨损程度、重新分配扇区计数以及温度读数。 大多数指南忽略的关键区别：S.M.A.R.T. 数据是预测性的，而非被动响应的。一个驱动器可以通过文件系统检查并正常提供 I/O 服务，同时以统计上预测在数周内发生故障的速率积累重新分配的扇区。smartctl 可以揭示这种隐藏的退化状态。 S.M.A.R.T. 在三个存储接口系列中运行： ATA/SATA — 原始 S.M.A.R.T. 规范，属性最为丰富 SCSI/SAS — 使用不同的属性模型（信息异常日志页） NVMe — 通过 NVMe 健康信息日志（日志页 0x02）暴露健康数据，包含可用备用容量、使用百分比和不安全关机等指标 在 Linux 上安装 smartmontools smartmontools 软件包在每个主要 Linux […]