ss 命令是一个查看 Linux 系统 socket 统计信息的工具，类似于 netstat，但是能显示更多的 TCP 和状态信息。

常用选项 ，可查看 man ss

环境信息

• Ubuntu 24.04.1 LTS (Noble Numbat)
• nftables v1.0.9 (Old Doc Yak #3)

配置错误

Statement after terminal statement has no effect

有以下配置：

ip daddr 127.0.0.11 jump DOCKER_OUTPUT counter;

meta l4proto tcp ip daddr 127.0.0.11 tcp dport 53 dnat to 127.0.0.11:45143 counter;

加载配置时报错： Error: Statement after terminal statement has no effect

错误原因 ： nftables 规则中在 终止语句（terminal statement）（如 jump 或 dnat）后添加的语句（如 counter）没有作用，因为 jump 或 dnat 语句已经处理了数据包，不会再执行后续的语句。

在 nftables 中，终止语句（terminal statement） 是那些一旦执行后就结束了该数据包的处理，例如 jump、accept、drop、dnat、snat 等。因为这些语句会决定数据包的最终去向，所以在这些语句后面再添加如 counter 这样的语句是无效的。

解决方法 : 要正确配置计数器，你需要 将 counter 放在终止语句 之前，这样在执行 jump 或 dnat 之前，数据包会先经过计数器。

ip daddr 127.0.0.11 counter jump DOCKER_OUTPUT;

meta l4proto tcp ip daddr 127.0.0.11 tcp dport 53 counter dnat to 127.0.0.11:45143;

syntax error

一次性配置多个端口

假如要在一个规则中同时放通 HTTP 和 HTTPS （80 和 443 端口），以下是错误语句

# nft insert inet filter input handle 11 tcp dport 80,443 counter accept comment \"for nginx\"
Error: syntax error, unexpected inet, expecting rule
insert inet filter input handle 11 tcp dport 80,443 counter accept comment for nginx
       ^^^^

在 nftables 中，多个端口 在指定时不能直接用逗号分隔。对于多个端口，应该使用集合（{}）的语法来指定。以下为正确语法

# nft insert rule inet filter input handle 11 tcp dport { 80,443 } counter accept comment \"for nginx\"

注意： 使用 集合 （{}）语法时要注意其中的空格，{ 80,443 } 是正确格式，如果写成 {80,443} 则是错误格式

cmd 中添加注释报错

使用以下语句添加规则报错：

# nft insert rule inet filter input handle 11 tcp dport { 80,443 } counter accept comment "for nginx" 
Error: syntax error, unexpected string, expecting end of file or newline or semicolon
insert rule inet filter input handle 11 tcp dport { 80,443 } counter accept comment for nginx
                                                                                        ^^^^^

正确格式如下：

# nft insert rule inet filter input handle 11 tcp dport { 80,443 } counter accept comment \"for nginx\"

注意： 在 cmd 中交互式操作时，注释中使用的 双引号（""） 要使用 转义（\）

环境信息

• Centos 7.9.2009
• docker-ce-19.03.15

Docker 网络模式

Bridge 模式

bridge 模式是 docker 的默认网络模式，不使用 --network 参数，就是 bridge 模式。

当 Docker 进程启动时，会在主机上创建一个名为 docker0 的虚拟网桥，默认主机上启动的 Docker 容器会连接到这个虚拟网桥上。

容器启动时，docker 会从 docker0 网桥的子网中分配一个 IP 地址给容器中的网卡。大体流程为在主机上创建一个 `veth pair`，Docker 将 veth pair 的一端放在容器中，命名为 eth0 并配置 IP，网关，路由等信息，将 veth pair 的另一端加入 docker0 网桥。

通过这种方式，主机可以跟容器通信，容器之间也可以相互通信。

Host 模式

如果启动容器的时候使用 host 模式，那么这个容器将不会获得一个独立的 Network Namespace，而是和宿主机一样在 Root Network Namespace，容器中看到的网络方面的信息和宿主机一样，容器使用的网络资源在整个 Root Network Namespace 不能出现冲突。容器将不会虚拟出自己的网卡，配置自己的 IP 等，而是使用宿主机的 IP 和端口，主机名也是使用宿主机的。但是，容器的其他方面，如文件系统、进程列表等还是和宿主机隔离的。

host 模式下的容器可以看到宿主机上的所有网卡信息，可以直接使用宿主机 IP 或主机名与外界通信，无需额外的 NAT，也无需通过 Linux bridge 进行转发或者数据包的封装，可以访问主机上的其他任一容器。

使用如下命令参数启动 host 网络模式的容器

docker run --network host --name test1 -p 80:80 -d -it centos:centos7.9.2009

host 模式的容器，没有自己的 network namespace，在 root network namespace 中。进入测试容器 test1，查看网卡、 IP 信息及端口、主机名信息，会看到和宿主机一样的信息。

$ ip link
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
    link/ether 00:0c:29:e7:c0:27 brd ff:ff:ff:ff:ff:ff
3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN mode DEFAULT group default 
    link/ether 02:42:f2:1b:dc:ea brd ff:ff:ff:ff:ff:ff
    
$ ip add
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:e7:c0:27 brd ff:ff:ff:ff:ff:ff
    inet 192.168.142.10/24 brd 192.168.142.255 scope global noprefixroute ens33
       valid_lft forever preferred_lft forever
    inet6 fe80::20c:29ff:fee7:c027/64 scope link 
       valid_lft forever preferred_lft forever
3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:f2:1b:dc:ea brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever    

$ [root@test1 /]# netstat -anutp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      -                   
tcp        0      0 0.0.0.0:81              0.0.0.0:*               LISTEN      124/nginx: master p 
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      -                   
tcp        0     36 192.168.142.10:22       192.168.142.1:61396     ESTABLISHED -                   
tcp6       0      0 :::80                   :::*                    LISTEN      -                   
tcp6       0      0 :::81                   :::*                    LISTEN      124/nginx: master p 
tcp6       0      0 :::22                   :::*                    LISTEN      -          

host 模式的缺点

• 容器没有自己的 network namespace ，网络和宿主机或其他使用 host 模式的容器未隔离，容易出现资源冲突，比如同一个宿主机上，使用 host 模式的容器中启动的端口不能相同。

None 模式

使用 none 模式，Docker 容器拥有自己的 Network Namespace，但是，系统并不为 Docker 容器进行任何网络配置。也就是说，这个 Docker 容器没有网卡（lo 回环网卡除外）、IP、路由等信息。需要我们自己为 Docker 容器添加网卡、配置 IP 等。

参考以下命令创建 none 模式的容器

docker run --network none --name test-none -p 82:80 -d -it centos7:my

容器创建后，进入容器中，查看网卡和 IP 等信息，容器中默认只存在 lo 网卡，不存在其他网卡

$ ip add
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
       
$ ip link
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00       

以下操作演示手动为容器配置网络

1. 创建 veth pair

   ip link add veth0 type veth peer name veth0_p

2. 将 veth pair 的一端 veth0 放入 docker 默认的网桥 docker0，另一端 veth0_p 放入容器中

   首先使用命令 docker inspect test-none | grep "Pid" 找到容器对应的 PID，此处为 84040，根据此 PID 将 veth 的一端放入容器的 network namespace 中

   ip link set dev veth0 master docker0 ip link set dev veth0 up ip link set veth0_p netns 84040

   在宿主机上面检查 veth0，确定其已经加入网桥 docker0，并且 veth0_p 已不在 root network namespace 中

   $ ip link 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000 link/ether 00:0c:29:e7:c0:27 brd ff:ff:ff:ff:ff:ff 3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN mode DEFAULT group default link/ether 02:42:f2:1b:dc:ea brd ff:ff:ff:ff:ff:ff 12: veth0@if11: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue master docker0 state LOWERLAYERDOWN mode DEFAULT group default qlen 1000 link/ether 16:7f:98:d8:9d:dc brd ff:ff:ff:ff:ff:ff link-netnsid 0

   重新进入容器，检查网卡信息，可以看到容器中已经有了网卡 veth0_p，状态为 DOWN

   $ ip -d link 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 promiscuity 0 addrgenmode eui64 numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535 11: veth0_p@if12: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000 link/ether be:f1:94:9f:b8:c9 brd ff:ff:ff:ff:ff:ff link-netnsid 0 promiscuity 0 veth addrgenmode eui64 numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535

3. 为容器中的网卡配置 IP 及网关等信息

   为了能在宿主机对容器的 network namespace 进行操作，首先需要将容器的 network namespace 暴露出来，之后可以在宿主机通过 network namespace 名称(此处为 84040，可以自定义)操作 network namespace 。Linux network namespace 参考

   $ ln -s /proc/84040/ns/net /var/run/netns/84040 $ ip netns ls 84040 (id: 0)

   通过 network namespace 名称(此处为 84040)配置容器中网卡的 IP 地址信息

   ip netns exec 84040 ip link set dev veth0_p name eth0 ip netns exec 84040 ip link set dev eth0 up ip netns exec 84040 ip add add 172.17.0.10/16 dev eth0 ip netns exec 84040 ip route add default via 172.17.0.1

   进入容器检查网络信息

   $ ip add 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever 15: eth0@if16: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000 link/ether 7e:36:b3:20:a1:8c brd ff:ff:ff:ff:ff:ff link-netnsid 0 inet 172.17.0.10/16 scope global eth0 valid_lft forever preferred_lft forever $ ip route show default via 172.17.0.1 dev eth0 172.17.0.0/16 dev eth0 proto kernel scope link src 172.17.0.10

   进入容器测试网络连接

   $ ping 8.8.8.8 PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data. 64 bytes from 8.8.8.8: icmp_seq=1 ttl=127 time=37.4 ms 64 bytes from 8.8.8.8: icmp_seq=2 ttl=127 time=37.0 ms ^C --- 8.8.8.8 ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 1000ms rtt min/avg/max/mdev = 37.047/37.234/37.422/0.269 ms

环境信息

• Centos 7.9.2009
• docker-ce-19.03.15
• docker-20.10.9

Docker 安装

yum 安装 docker

安装 yum 源，docker官方 centos 安装文档

yum install -y yum-utils
yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo

安装 docker

yum install docker-ce docker-ce-cli containerd.io docker-compose-plugin

yum 离线安装 docker

参考链接下载rpm安装包

wget https://download.docker.com/linux/centos/7/x86_64/stable/Packages/docker-ce-19.03.15-3.el7.x86_64.rpm
wget https://download.docker.com/linux/centos/7/x86_64/stable/Packages/docker-ce-cli-19.03.15-3.el7.x86_64.rpm
wget https://download.docker.com/linux/centos/7/x86_64/stable/Packages/containerd.io-1.4.13-3.1.el7.x86_64.rpm
wget https://download.docker.com/linux/centos/7/x86_64/stable/Packages/docker-compose-plugin-2.3.3-3.el7.x86_64.rpm

安装 docker

yum localinstall -y containerd.io-1.4.13-3.1.el7.x86_64.rpm \
                    docker-ce-cli-19.03.15-3.el7.x86_64.rpm \
                    docker-ce-19.03.15-3.el7.x86_64.rpm \
                    docker-compose-plugin-2.3.3-3.el7.x86_64.rpm

以上 2 条命令可以使用以下 1 条命令完成

yum localinstall -y https://download.docker.com/linux/centos/7/x86_64/stable/Packages/docker-ce-19.03.15-3.el7.x86_64.rpm \
                    https://download.docker.com/linux/centos/7/x86_64/stable/Packages/docker-ce-cli-19.03.15-3.el7.x86_64.rpm \
                    https://download.docker.com/linux/centos/7/x86_64/stable/Packages/containerd.io-1.4.13-3.1.el7.x86_64.rpm \
                    https://download.docker.com/linux/centos/7/x86_64/stable/Packages/docker-compose-plugin-2.3.3-3.el7.x86_64.rpm

启动docker

systemctl enable docker --now

iptables 的底层实现是 netfilter，netfilter 的架构是在整个网络流程(TCP/IP 协议栈)的若干位置放置一些钩子，并在每个钩子上挂载一些处理函数进行处理。

IP 层的 5 个钩子点的位置，对应就是 iptables 的 5 条内置链，分别是

• PREROUTING
• FORWARD
• INPUT
• OUTPUT
• POSTROUTING

当网卡收到一个网络报文送达协议栈时，最先经过的 netfilter 钩子是 PREROUTING，此处常见的钩子函数是 目的地址转换 (DNAT)。无论 PREROUTING 是否存在钩子处理网络数据包，下一步内核都会通过 查询本地路由表 决定这个数据包的流向

• 如果是发送给本地进程，则进入 INPUT 链传给本地进程
• 如果是发送给其他机器（或者其他 network namespace），则经过 netfilter 的 FORWARD 钩子传送出去，相当于将本地机器当作路由器

所有马上要发送到网络协议栈之外的数据包，都会经过 POSTROUTING 钩子，这里常见的处理函数是 源地址转换(SNAT) 或者 源地址伪装(Masquerade, 简称 Masq)

除了 5 条内置的链，iptables 还有 5 张表，这 5 张表主要是用来给 iptables 中的规则（rule）分类，系统中所有的 iptables 规则都被划分到不同的表集合中。5 张表分别为

• raw - iptables 是有状态的，即 iptables 对数据包有连接追踪 (connection trackong) 机制，而 raw 可以用来去除这种追踪机制
• mangle - 用于修改数据包的 IP 头信息
• nat - 用于修改数据包的源或者目的地址
• filter - 用于控制到达某条链上面的数据包是继续放行、直接丢弃(drop)、或拒绝(reject)
• security - 用于在数据包上面应用 SELinux

表是有优先级的，5 张表的优先级从高到低是: raw、mangle、nat、filter、security，iptables 不支持自定义表。不是每个链上都能挂表，iptables 表与链的对应关系如下图

iptables 表和链的工作流程图如下

iptables 命令

常用选项说明

环境信息

• Centos 7

logrotate 程序是一个日志文件管理工具。用于分割日志文件，压缩转存、删除旧的日志文件，并创建新的日志文件

logrotate 是基于 crond 来运行的，其脚本是 /etc/cron.daily/logrotate，日志轮转是系统自动完成的。
实际运行时，logrotate 会调用配置文件 /etc/logrotate.conf。
/etc/cron.daily/logrotate 文件内容如下：

#!/bin/sh

/usr/sbin/logrotate -s /var/lib/logrotate/logrotate.status /etc/logrotate.conf
EXITVALUE=$?
if [ $EXITVALUE != 0 ]; then
    /usr/bin/logger -t logrotate "ALERT exited abnormally with [$EXITVALUE]"
fi
exit 0

可以执行以下命令手动执行日志切割：

logrotate -f /etc/logrotate.conf

以下命令可以检测配置文件是否正确：

logrotate -d /etc/logrotate.conf

环境信息

• Python 3.10.12

certificate verify failed: unable to get local issuer certificate

报错信息如下：

ssl.SSLCertVerificationError: [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1007)
...
urllib.error.URLError: <urlopen error [SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: unable to get local issuer certificate (_ssl.c:1007)>

问题原因 ： 本地 CA 证书不存在

解决方法

1. 查看默认证书位置

   >>> import ssl >>> print(ssl.get_default_verify_paths()) DefaultVerifyPaths(cafile=None, capath='/usr/local/openssl/ssl/certs', openssl_cafile_env='SSL_CERT_FILE', openssl_cafile='/usr/local/openssl/ssl/cert.pem', openssl_capath_env='SSL_CERT_DIR', openssl_capath='/usr/local/openssl/ssl/certs')

   根据输出内容，可以看到 Python 使用的 openssl 位于 /usr/local/openssl/，CA 证书路径为 /usr/local/openssl/ssl/cert.pem，检查 CA 证书路径，发现 CA 证书不存在

   $ cd /usr/local/openssl/ssl/ $ ls certs ct_log_list.cnf ct_log_list.cnf.dist misc openssl.cnf openssl.cnf.dist private

2. 下载 CA 证书文件

   wget http://curl.haxx.se/ca/cacert.pem --no-check-certificate mv cacert.pem cert.pem

   下载 CA 证书文件后，重新尝试，SSl 连接正常。

can’t start new thread

环境信息

• Docker 1.13
• Python3.9

在 Docker 中运行 python 后，使用 pip 报错 RuntimeError: can't start new thread

# pip install --upgrade pip
Requirement already satisfied: pip in /usr/local/lib/python3.9/site-packages (23.0.1)
Collecting pip
  Downloading pip-23.2.1-py3-none-any.whl (2.1 MB)
     ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 0.0/2.1 MB ? eta -:--:--ERROR: Exception:
Traceback (most recent call last):
  File "/usr/local/lib/python3.9/site-packages/pip/_internal/cli/base_command.py", line 160, in exc_logging_wrapper
    status = run_func(*args)
  File "/usr/local/lib/python3.9/site-packages/pip/_internal/cli/req_command.py", line 247, in wrapper
    return func(self, options, args)
  
  ...
  File "/usr/local/lib/python3.9/site-packages/pip/_internal/operations/prepare.py", line 107, in get_http_url
    from_path, content_type = download(link, temp_dir.path)
  File "/usr/local/lib/python3.9/site-packages/pip/_internal/network/download.py", line 147, in __call__
    for chunk in chunks:
  File "/usr/local/lib/python3.9/site-packages/pip/_internal/cli/progress_bars.py", line 52, in _rich_progress_bar
    with progress:
  File "/usr/local/lib/python3.9/site-packages/pip/_vendor/rich/progress.py", line 1169, in __enter__
    self.start()
  File "/usr/local/lib/python3.9/site-packages/pip/_vendor/rich/progress.py", line 1160, in start
    self.live.start(refresh=True)
  File "/usr/local/lib/python3.9/site-packages/pip/_vendor/rich/live.py", line 132, in start
    self._refresh_thread.start()
  File "/usr/local/lib/python3.9/threading.py", line 899, in start
    _start_new_thread(self._bootstrap, ())
RuntimeError: can't start new thread

[notice] A new release of pip is available: 23.0.1 -> 23.2.1
[notice] To update, run: pip install --upgrade pip

问题原因 Docker 版本太低，升级版本到 18.06 以上。参考说明

在 Ubuntu 上安装软件包主要通过使用 apt 命令来完成。apt 是高级包装工具（Advanced Package Tool）的缩写，提供了一个易用的命令行界面，用于处理软件包的安装、更新和删除等操作。

环境信息

• Ubuntu 22

apt

查看软件包信息

• 查看系统已安装的软件包

  apt list --installed

  apt list 列出系统上所有可用的软件包，包括已安装的软件包和可供安装的软件包

• 列出特定的软件包

  apt list <package-name>

• 搜索特定软件包是否已安装

  apt list --installed <package-name>

• 查看软件包的依赖关系

  apt depends <package_name>

下载软件包

• 下载软件包但不安装

  apt download <package_name>

安装软件包

• 更新软件包列表。在安装新软件包之前，最好先更新本地软件包列表，以确保你安装的是最新版本的软件包。

  sudo apt update

  此命令会从配置的源中检索新的软件包列表。

• 安装软件包。安装软件包的基本命令格式为：

  sudo apt install <package_name>

• 安装特定版本的软件包

  如果你需要安装软件包的特定版本，可以通过指定版本号来完成安装。首先，使用 apt policy 命令查找可用版本

  apt policy <package_name>

  然后，安装特定版本的软件包

  sudo apt install <package_name>=<version> sudo apt install nginx=1.18.0-0ubuntu1

• 安装推荐的软件包。

  当安装某些软件包时，APT 可能会建议安装一些推荐的软件包以增强功能。默认情况下，apt install 命令会安装推荐的软件包。 如果你不想安装推荐的软件包，可以使用 --no-install-recommends 选项

  sudo apt install --no-install-recommends <package_name>

卸载软件包

• 卸载软件包但保留配置文件

  sudo apt remove <package_name>

• 卸载软件包并删除配置文件。如果相关目录不为空，将不会删除，会输出提示

  sudo apt purge <package_name>

  或者

  sudo apt remove --purge <package_name>

• 清理未使用的依赖包

  当你卸载一个软件包时，它可能会留下一些不再需要的依赖软件包。为了清理这些不再使用的依赖，可以执行：

  sudo apt autoremove

  这个命令会检查并自动删除那些被安装为其他软件包依赖但现在不再被任何已安装软件包需要的软件包。

dpkg

列出系统上已安装的软件包

dpkg -l

查找文件所属的软件包

dpkg -S /path/to/file

APT 仓库管理

APT 通过读取配置文件（主要是 /etc/apt/sources.list 和 /etc/apt/sources.list.d/*.list）来获取软件包仓库（repository）的信息。

APT 的软件源配置文件是 /etc/apt/sources.list ，此外还可以包含 /etc/apt/sources.list.d/ 目录下的 .list 文件。这些文件定义了 APT 从哪里下载软件包和更新信息。

一个典型的 sources.list 条目格式如下：

deb [options] url distribution component1 component2 component3

• deb：表示这是一个二进制软件包的仓库，对应的 deb-src 表示源代码仓库。
• options：可选项，例如可以指定架构。
• url：仓库的 URL。
• distribution：发行版的代号，如 focal、buster 等。
• component ：仓库中的组成部分，如 main、restricted 等。

Repository 的类型

在 APT 的上下文中，软件包仓库是网络或本地的存储位置，它们存储了软件包及其元数据。主要有以下几种类型的仓库：

• Main：官方支持的免费软件。
• Universe：社区维护的免费软件。
• Restricted：官方支持的非自由软件。
• Multiverse：非自由软件，不包括官方支持。

添加新的软件源

要添加新的软件源，你可以直接编辑 sources.list 文件或在 sources.list.d/ 目录下创建一个新的 .list 文件。例如，添加一个新的 PPA（Personal Package Archive）：

sudo add-apt-repository ppa:<repository_name>

这个命令不仅会添加软件源，还会自动导入仓库的公钥，确保软件包的安全性。

删除软件源

要删除软件源，可以直接编辑 sources.list 文件或删除 sources.list.d/ 目录下相应的 .list 文件。之后，运行 sudo apt update 来更新软件包列表。

Linux X Window System

早期的 Linux 桌面都是基于来自 X.Org Foundation(http://www.x.org) 的 X Window System 的接口。一个 X.Org 的替代者是 Wayland (http://wayland.freedesktop.org)。

X Window System（简称 X）在 Linux 之前就存在，甚至早于 Microsoft Windows,它是一个轻量的、基于网络的桌面框架。

X Window System 是一种 Client/Server 模型。X Server 运行于本地操作系统中，为屏幕（Screen）、鼠标（Mouse）、键盘（Keyboard）提供对外的接口，X Client 可以在本地或者任何基于网络的远端系统上面运行。

X Server 本身只提供了一个简单的灰色背景和一个 X 型鼠标光标，没有菜单、面板、图标等，如果只是单纯的启动 X Client 展示 X Server 的内容，它展示的内容中不会包含 可以移动的边框、最大化、最小化按钮以及关闭窗口的按钮等 ，这些特性是由 Window Manager 提供的。

Window Manager 添加了可以操作程序的很多特性，如菜单、边框、常用按钮等。

Linux 中常见的桌面环境包括：

• GNOME ： 最初是为了模仿 MacOS 桌面
  • Gnome 2
  • Gnome 3 ： 完全和 Gnome 2 的设计思路和理念不同，是一个全新的版本
• K Desktop Environment （KDE） ： 模拟了 Microsoft Windows 桌面
• Xfce ： 第一个轻量版的桌面环境，可以在系统资源（CPU,Mem）较少的环境中运行
• LXDE ： The Lightweight X11 Desktop Environment. 是一个高性能、节能的桌面环境。

Gnome3 相关常用操作

Gnome 3 提供了很多可用的插件来满足不同的需求，并提供了工具 Gnome Tweaks 用于调整 Gnome 的配置

Gnome Shell Extensions 可以控制 Gnome 桌面的外形和行为方式。GNOME Shell Extensions site (http://extensions.gnome.org)

查看 Gnome 版本

方法 1：通过设置查看

1. 打开 “设置”：

   点击屏幕左下角的 “显示应用程序” 按钮（或按 Super 键，也就是通常的 Windows 键）。
   输入 Settings 或 设置，然后点击出现的应用图标。
   查看 “关于” 信息：

2. 在左侧面板中，向下滚动并选择 “关于”（About）。
   在“关于”页面中，你会看到 GNOME 版本信息以及其他系统详细信息。

方法 2：通过终端查看

你也可以通过终端命令查看 GNOME 版本：

1. 打开终端：

   按 Ctrl + Alt + T 打开终端。

2. 使用以下命令

   $ gnome-shell --version GNOME Shell 42.9

隐藏 Gnome 桌面顶部的工具栏

版本信息：

• Ubuntu 22.04.4 LTS (Jammy Jellyfish)
• Gnome Shell 42.9

参考以下步骤：

1. 安装 gnome-shell-extension-manager

   sudo apt-get install gnome-shell-extension-manager

2. 打开 Extension-Manager
   
3. 点击 Browse，搜索 hidetopbar 这个插件并安装（注意选择 Downloads!!，要不然搜不到插件）
   

安装好了 hidetopbar 这个插件之后，上方的任务栏/状态栏 在窗口全屏时就会自动隐藏。按 Super 键或者窗口非全屏时会重新显示

环境信息

• Python 3.11.2

安装

pip install requests

常见用法

get 请求

get 请求及响应中常用的属性

>>> r = requests.get('https://csms.tech')
>>> dir(r)
[..., 'content', 'cookies', 'elapsed', 'encoding', 'headers', 'history', 
'is_permanent_redirect', 'is_redirect', 'iter_content', 'iter_lines', 
'json', 'links', 'next', 'ok', 'raise_for_status', 'raw', 'reason', 
'request', 'status_code', 'text', 'url']

带参数的 get 请求

要在 get 请求中携带请求参数，可以使用以下方法

>>> help(requests.get)
get(url, params=None, **kwargs)
    Sends a GET request.
    
    :param url: URL for the new :class:`Request` object.
    :param params: (optional) Dictionary, list of tuples or bytes to send
        in the query string for the :class:`Request`.
    :param \*\*kwargs: Optional arguments that ``request`` takes.
    :return: :class:`Response <Response>` object
    :rtype: requests.Response

>>> params = {'k1': 'v1', 'k2': 'v2'}
>>> r = requests.get('https://csms.tech', params=params)

# 设置请求头
>>> headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.99 Safari/537.36"}
>>> response = requests.get("https://csms.tech", params = params, headers = headers)

get 方法本质上是通过创建了一个 requests.Request 对象，因此 **kwargs 可用的值可以通过查看 requests.Request 的帮助信息。

>>> help(requests.Request)

环境信息

• Selenium > 4.0

Selenium 是一个用于自动化 Web 浏览器操作的工具，可以用于模拟用户与网站的交互。

使用 pip 安装 Selenium 库

pip install selenium

Selenium 需要一个 WebDriver 来控制不同的浏览器。可以根据要使用的浏览器下载相应的 WebDriver。以下是一些常见的浏览器和对应的WebDriver下载链接：

• Chrome : ChromeDriver 下载
• Firefox: GeckoDriver 下载
• Edge: EdgeDriver 下载

下载 WebDriver 并确保它在系统路径中可用。WebDriver 和浏览器具有版本对应关系，要确保版本匹配

selenium 常见用法总结

本示例中以 Chrome 浏览器为例。

• 创建一个浏览器实例，并请求指定的页面

  from selenium import webdriver from selenium.webdriver.common.by import By driver = webdriver.Chrome() driver.get("https://www.example.com")

• 关闭当前浏览器窗口

  driver.close()

• 最大化浏览器窗口

  driver.maximize_window()

• 后退

  driver.back()

• 前进

  driver.forward()

• 刷新页面

  driver.refresh()

• 关闭浏览器

  driver.quit()

  阅读全文 »

2Captcha 是一个验证码自动识别服务商。

验证码可以是含有必填扭曲文字的图片，也可以由不同图片组成，用户需从中选出符合特定条件的图片。这些操作是为了证明用户不是机器人。

环境信息

• Python 3
• 2captcha-python v1.2.8 ^[1]

2captcha 安装配置

2captcha 安装

参考官网安装文档 安装 Python3 模块

pip3 install 2captcha-python

使用简介

调用 2captcha 需要注册并使用 2captcha 提供的 API 密钥。

以下代码示例返回滑块类型的验证结果：

from twocaptcha import TwoCaptcha

# Initialize 2Captcha solver
config = {
    'server': '2captcha.com',
    'apiKey': 'ef5beb9c280ce7452183',
    'defaultTimeout': 120,
    'recaptchaTimeout': 600,
    'pollingInterval': 10,
}

solver = TwoCaptcha(**config)

result = solver.coordinates(
        'background_img.png',
        hintImg='slider_img.png',
        hintText="向右滑动填充拼图",
    )
print(f'Captcha solved: {result}')

存在的问题

按照以上代码示例，针对相同的图片，每次请求返回的结果都不一样。2Captcha 针对滑块验证成功率太低，基本不可用。

Captcha solved: {'captchaId': '77043576230', 'code': 'coordinates:x=286,y=41'}

Captcha solved: {'captchaId': '77043579057', 'code': 'coordinates:x=276,y=45'}

Captcha solved: {'captchaId': '77043582438', 'code': 'coordinates:x=281,y=55'}

要缓解此问题，可以使用 2Captcha 提供的 100% 识别服务，原理是通过将验证码发送给多个员工进行匹配，满足配置的条件才返回结果（根据官方回复，100% 识别服务只能针对 normal captchas 完全生效，对滑块类型的验证基本不可能得到相同的结果，相关链接）

参考链接|Bibliography

2Captcha 在线破解验证码

脚注

Memory

内存管理相关的系统关键进程

环境信息

• Centos 7

查看内核已加载的模块

使用 lsmod 命令列出所有已加载的内核模块，输出中包含： 模块名称(Name)、大小(Size) 和 何处被使用(Used by)

# lsmod 
Module                  Size  Used by
softdog                12288  0 
xt_MASQUERADE          16384  2 
nf_conntrack_netlink    53248  0 
nfnetlink              20480  2 nf_conntrack_netlink
iptable_nat            12288  1 
nf_nat                 57344  2 iptable_nat,xt_MASQUERADE
xt_addrtype            12288  2 
br_netfilter           32768  0 
overlay               180224  0 
ipt_REJECT             12288  2 
nf_reject_ipv4         16384  1 ipt_REJECT
xt_comment             12288  7 
xt_multiport           16384  2 
xt_conntrack           12288  10 
nf_conntrack          188416  4 xt_conntrack,nf_nat,nf_conntrack_netlink,xt_MASQUERADE
nf_defrag_ipv6         24576  1 nf_conntrack
nf_defrag_ipv4         12288  1 nf_conntrack

查看内核模块的详细信息

要查看已加载的内核模块的详细信息，可以使用 modinfo 命令，不是所有的模块都有详细的描述信息，如果没有，则无任何返回

# modinfo -d ena
Elastic Network Adapter (ENA)

# modinfo -d lp

# modinfo -n ena
/lib/modules/6.8.0-1015-aws/kernel/drivers/net/ethernet/amazon/ena/ena.ko

modinfo 命令常用选项：

加载内核模块

insmod

使用 insmod 命令加载内核模块. 模块需要完整后缀（如果有）

insmod simple.ko

modprobe

使用 modprobe 命令加载内核模块. 模块不需要完整后缀（如果有） 。临时加载，重启后会消失。

# modprobe parport

卸载内核模块

使用 rmmod 命令卸载内核模块。无需后缀，只需要给定模块名

rmmod simple

也可以使用命令 modprobe -r 移除模块，它不仅会移除指定的模块，还会移除未被继续使用的依赖的模块

环境信息

• Centos 7

常用目录和文件说明

etc 目录常用文件说明

在 Python 中，set 是一种无序的、可变的集合数据类型，用于存储唯一的元素。它主要用于快速去重和集合运算（如交集、并集、差集等）。

环境信息

• Python 3

set 基本操作

创建集合

可以使用花括号 {} 或 set() 函数来创建集合。

• 使用花括号创建集合

  # 创建一个包含一些元素的集合 my_set = {1, 2, 3, 4, 5} print(my_set) # 输出: {1, 2, 3, 4, 5}

• 使用 set() 函数创建集合

  # 使用 set() 函数从一个可迭代对象创建集合 my_set = set([1, 2, 3, 4, 5]) print(my_set) # 输出: {1, 2, 3, 4, 5} # 创建一个空集合 empty_set = set() print(empty_set) # 输出: set()

集合的基本操作

添加元素

使用 add() 方法向集合添加单个元素。

my_set = {1, 2, 3}
my_set.add(4)
print(my_set)  # 输出: {1, 2, 3, 4}

移除元素

使用 remove() 方法移除集合中的指定元素，如果元素不存在会引发 KeyError。使用 discard() 方法移除元素，如果元素不存在不会引发异常。

my_set = {1, 2, 3}
my_set.remove(2)
print(my_set)  # 输出: {1, 3}

my_set.discard(3)
print(my_set)  # 输出: {1}

# remove 不存在的元素会引发 KeyError
# my_set.remove(4)  # KeyError: 4

# discard 不存在的元素不会引发异常
my_set.discard(4)
print(my_set)  # 输出: {1}

清空集合

使用 clear() 方法清空集合中的所有元素。

my_set = {1, 2, 3}
my_set.clear()
print(my_set)  # 输出: set()

集合的长度

使用 len() 函数获取集合中元素的个数。

my_set = {1, 2, 3}
print(len(my_set))  # 输出: 3

集合运算

并集

使用 | 运算符或 union() 方法。

set1 = {1, 2, 3}
set2 = {3, 4, 5}

# 使用 | 运算符
print(set1 | set2)  # 输出: {1, 2, 3, 4, 5}

# 使用 union() 方法
print(set1.union(set2))  # 输出: {1, 2, 3, 4, 5}

环境信息

• Python3

字符串转换为变量名

locals() 方法

>>> str1 = 666
>>> a = 'str1'
>>> 
>>> 
>>> locals()[a]
666

vars() 方法

>>> 
>>> str1 = 666
>>> a = 'str1'
>>> 
>>> 
>>> 
>>> vars()[a]
666
>>> 

eval() 方法

>>> str1 = 666
>>> a = 'str1'
>>> 
>>> 
>>> eval(a)
666

yield

yield 指令和 return 相似，都是用来在函数中返回。使用 yield 关键字创建生成器函数时，生成器函数并不会在传统意义上 返回。相反，生成器函数在遇到 yield 语句时会暂停其执行，并返回一个值给调用者。生成器函数的状态会被保存，因此在下一次调用时，它可以从暂停的地方继续执行。

yield 指令 将函数转换成生成器（Generator），它在函数中产生一个值，然后暂停函数并保存其状态（下一次调用函数会从此状态恢复执行），再次恢复执行时再生成（返回）yield 的值。

每次调用生成器函数时，并不会立即执行，会创建一个新的生成器对象。

第一次使用 next() 或在 for 循环中开始迭代生成器时，生成器函数开始执行，直到遇到第一个 yield 语句。yield 会暂停生成器函数的执行，并将一个值返回给调用者。再次调用 next() 或继续迭代(for)时，生成器函数从上次暂停的 yield 处继续执行，直到遇到下一个 yield 语句或执行结束。

生成器函数在没有 yield 语句时结束执行，相当于隐式地在最后一个 yield 语句之后遇到 return。

当生成器函数结束时，进一步调用 next() 会引发 StopIteration 异常，表示生成器中的值已被全部生成。

yield 有以下优点：

• 能够以更高效的方式处理大量数据，因为它不需要一次性将所有数据存储在内存中。通过减少内存消耗，提高程序性能。
• 它提供了一种新的方法来控制函数的执行流程，使得函数可以在任意点暂停和恢复。生成器函数在被暂停后(遇到 yield)不会继续执行，直到再次调用 next() 或通过迭代器进行迭代(for)。

yield 读取大文本数据

在处理大文本数据（如超过 10G）时，如果一次性读取所有文本内容，在可用内存较小的情况下可能出现内存不足导致程序执行失败。这时候可以考虑使用 yield 来批量加载数据。

定义如下函数读取文件内容：

def read_large_file(file_path):
    """
    Generator function to read a large file line by line.
    """
    with open(file_path, 'r') as file:
        for line in file:
            yield line

使用以下方法使用大文本中的数据

1. next 方法。调用生成器函数(read_large_file)，会返回一个 Generator 对象，通过 next() 方法会迭代调用生成器的下一个值（yield 表达式的值）

   file_path = 'large_file.txt' # next 方法： 首先 line = read_large_file(file_path) next(line) # 返回第一行 next(line) # 返回第二行，以此类推可以读取所有行

2. for 循环。调用生成器函数返回一个生成器对象，这个对象实现了迭代器协议。

   def read_large_file(file_path): """ Generator function to read a large file line by line. """ with open(file_path, 'r') as file: for line in file: yield line # Usage example file_path = 'large_file.txt' for line in read_large_file(file_path): print(line.strip())

分批读取大文件中的数据

在处理大文件的过程中，如果需要批量多行读取文件内容，参考以下代码

def read_file_in_chunks(file_path, chunk_size=1024):
    """
    Generator function to read a file in chunks.
    """
    with open(file_path, 'r') as file:
        while True:
            chunk = file.readlines(chunk_size)
            if not chunk:
                break
            for line in chunk:
                yield line

# Usage example
file_path = 'large_file.txt'
for line in read_file_in_chunks(file_path):
    print(line.strip())

enumerate

enumerate 是 Python 内置函数之一，用于遍历可迭代对象（如列表、元组或字符串）时获取元素和对应的索引。

语法:

enumerate(iterable, start=0)

• iterable : 任何可迭代对象（如列表、字符串、元组、文件对象等）。
• start : 索引的起始值，默认为 0。如果要让索引号从 1 开始，配置 start=1

# 示例列表
>>> fruits = ['apple', 'banana', 'cherry']

# 使用 enumerate 获取元素及其索引
>>> for index, fruit in enumerate(fruits):
...     print(index, fruit)
... 
0 apple
1 banana
2 cherry
>>>


# 使用 enumerate 获取元素及其索引，并将起始索引改为 1
>>> for index, fruit in enumerate(fruits, start=1):
...     print(index, fruit)
... 
1 apple
2 banana
3 cherry

# 使用 enumerate 获取文件中的行号及其内容
>>> f = open('temp_file')
>>> for line_number, line in enumerate(f):
...     print(line_number, line)
... 
0 85d37fac5cc284914b5d6f79982942b8/Y1iY3k1U.ts

1 85d37fac5cc284914b5d6f79982942b8/Y1x0V8Rc.ts

2 85d37fac5cc284914b5d6f79982942b8/Y22fhGiC.ts

3 85d37fac5cc284914b5d6f79982942b8/Y3p95oau.ts

常见错误

NameError: name ‘null‘ is not defined

使用 eval 将 string 转化成 dict 时出错，经过排查，发现 string 数据中包含 null,在转换时就会报错: NameError: name ‘null‘ is not defined

解决方法

使用 json 进行转换

try:
    response_dict = eval(response)
except NameError:
    response_dict = json.loads(str(response.decode()))

安装

安装步骤

安装完成之后使用 gitlab-ctl reconfigure 启动服务
访问页面，默认使用 root 登录
每次重新更改配置，都需要使用 reconfigure 重新启动

• 蛙化及蛇化

• 蛙化現象 是日本 2023 年上半年的 Z 世代（出生介於1995年～2010年）流行用語第一名。這個詞源自格林童話《青蛙王子》，描述對另一半突然感到生理或心理上厭惡。

  日本大學教授藤澤伸介在2004年的研究指出，「蛙化現象」是一種普遍狀態，尤其容易發生在情竇初開的青少年身上，因為戀愛經驗少，對感情對象抱持完美的想像。

與蛙化現象相對，近期有對情侶在TikTok發明「蛇化現象」，描述無論另一半做了什麼尷尬行為，都感到好可愛。這種現象迅速散播，成為日本Z世代流行用語。

• 于高山之巅，方见大河奔涌；于群峰之上，更觉长风浩荡

• 你永远不可能真正去了解一个人，除非你穿过她的鞋子去走她走过的路，站在她的角度思考问题，可当你走过她走的路时，你连路过都觉得难过。

• 当一个人因为和你无关的事情而生气并向你抱怨和展示自己的生气和愤怒时，你最好不要对涉及到的人或事发表任何意见，千万不要对涉及到的人或事发表任何意见，千万不要对涉及到的人或事发表任何意见，你最好 当个听客，闭紧嘴巴，不然很可能引火烧身。

• 当你只能孤注一掷的时候，你只能孤注一掷。如果你犹豫不决，说明你其实还有办法，只是不愿意使用。

• 对一个人好是一件太过笼统的说法，没法测量，如需测量，可以将这个说法进行分解，比如分解为：
  对一个人好 = 能为他着想 + 站在他的角度考虑