-
Nginx本身不支持Brotli,必须手动编译ngx_brotli模块并正确配置;仅克隆源码未重新编译安装、或宝塔未选“编译安装”均会导致brotli指令无效,需用nginx-V确认with-http_brotli_module输出且nginx-t无unknowndirective错误。
-
Rsync结合SSH可实现Linux间安全增量备份与传输,需依次确认服务状态、配置SSH免密登录、编写同步命令、设置定时任务及排除无关文件。
-
SELinux策略生效需上下文标签、布尔开关和日志反馈协同;单独改规则或布尔值常导致服务被拒,最直接证据是audit.log中avc:denied记录。
-
jq提取字段首选.key,但需用select(.!=null)或//处理null;数组遍历用.arr[];过滤用select()配合has()判存在;格式化用-r和@csv等避免手动字符串处理。
-
NetData无需配置即可运行,但官方一键脚本存在安全风险:绕过包管理器、不校验签名、无审计痕迹;生产环境部署禁止使用bash脚本。
-
mpstat可精确查看各CPU核心实时使用率:需先安装sysstat包,用mpstat-PALL1分核监控,mpstat-PALL0.510捕获峰值,配合sysstat服务实现历史数据归档分析。
-
首先确认本地已安装OpenSSH客户端,使用dpkg-sopenssh-client检查并用sudoapt命令安装;通过ssh用户名@IP进行基本登录,首次连接需确认服务器指纹;若SSH服务使用非标准端口,需添加-p端口参数;配置密钥认证时,先用ssh-keygen生成密钥对,再用ssh-copy-id上传公钥实现免密登录;最后可通过编辑~/.ssh/config文件设置别名简化连接命令。
-
dockersave/load用于镜像备份迁移,保留完整层结构和元数据,支持版本回滚;export/import针对容器快照,丢弃历史层与构建信息,仅保存当前文件系统状态。
-
debugfs用于ext2/ext3/ext4文件系统,需root权限且与内核debugfs无关;先用debugfs-R"stat/path"/dev/sdXN获取inode,再用debugfs-R"icheck<inode>"/dev/sdXN查逻辑块号,最后乘以块大小得字节偏移。
-
禁用密码登录前必须确保密钥登录已稳定生效,否则将导致锁死;需验证权限、配置、PAM设置及重启流程,并持续监控防退化。
-
可使用lsof工具精准查看进程打开的文件:一、lsof-pPID查指定进程所有文件;二、/proc/PID/fd手动验证;三、lsof-c进程名按名筛选;四、lsof+d/+D查目录及子目录;五、lsof-u用户名按用户过滤。
-
使用tcpdump可有效分析网络数据包以排查连接异常。首先通过sudoaptinstalltcpdump安装工具(Ubuntu/Debian系统),RedHat系列则用yum或dnf命令安装,并执行tcpdump--version验证版本。接着运行sudotcpdump-iany捕获所有接口流量,或指定如eth0等具体网卡进行监听,按Ctrl+C终止并查看统计结果。为减少冗余信息,可通过表达式过滤:如sudotcpdumphost192.168.1.100仅捕获特定IP通信;sudotcpdumpport
-
部署生产级Kubernetes集群需严格遵循七步流程:一、环境预检与加固;二、安装containerd运行时;三、统一版本部署kubeadm/kubelet/kubectl;四、通过kubeadm+externaletcd构建高可用控制平面;五、部署双栈Calico网络插件;六、定期证书续期与kubeconfig分发;七、可选集成KubeSphere增强平台。
-
TPROXY必须配合iptables的TPROXYtarget使用,因其仅为内核转发机制,不自动劫持流量;需通过mangle表PREROUTING链显式标记并重定向至本地透明代理端口,且代理须启用IP_TRANSPARENT选项。
-
inotifywait无反应常因inotify资源耗尽、未递归监听子目录或单次调用导致事件丢失;需检查并调大max_user_watches/max_user_instances,加-r启用递归,用-m持续监控。
