<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>Debian on Colinx Blog</title>
    
    
    
    <link>/tags/debian/</link>
    <description>Recent content in Debian on Colinx Blog</description>
    <generator>Hugo -- gohugo.io</generator>
    <language>en-us</language>
    <lastBuildDate>Tue, 14 Mar 2023 00:00:00 +0000</lastBuildDate>
    
	<atom:link href="/tags/debian/index.xml" rel="self" type="application/rss+xml" />
    
    
    <item>
      <title>个人向 Linux 新服务器初始化清单</title>
      <link>/posts/%E4%B8%AA%E4%BA%BA%E5%90%91linux%E6%96%B0%E6%9C%8D%E5%8A%A1%E5%99%A8%E5%88%9D%E5%A7%8B%E5%8C%96%E6%B8%85%E5%8D%95/</link>
      <pubDate>Tue, 14 Mar 2023 00:00:00 +0000</pubDate>
      
      <guid>/posts/%E4%B8%AA%E4%BA%BA%E5%90%91linux%E6%96%B0%E6%9C%8D%E5%8A%A1%E5%99%A8%E5%88%9D%E5%A7%8B%E5%8C%96%E6%B8%85%E5%8D%95/</guid>
      <description>
        
          
          
          
        
        
        

&lt;p&gt;一份 Linux 初始化清单，避免每次拿到新的服务器都要一个个去各种地方搜集指令，以做备忘 &amp;amp; 供有需要的朋友参考。&lt;/p&gt;

&lt;p&gt;服务器发行版我个人推荐 Debian 系列，CentOS 系现在已经开始分裂而且说实话对新手其实并不友好。Debian 是在兼容性，易用性和稳定性之间都取得不错平衡的发行版。新手推荐 Ubuntu, 不过最近商业化有点过度，夹带了越来越多的私活，我个人所有新安装的 Linux 已经全线转向 Debian. 下文以目前最新的 Debian 11 Bullseye 为例。Debian 12 bookworm 也测试通过。&lt;/p&gt;

&lt;blockquote&gt;
&lt;p&gt;azure 干净的 debian 11 镜像，资源使用情况供参考：&lt;/p&gt;

&lt;p&gt;~1G Disk, ~100M RAM, ~300 packages&lt;/p&gt;
&lt;/blockquote&gt;

&lt;p&gt;本文仅列举主要事项和操作，新手可先行阅读这篇文章熟悉概念。&lt;a href=&#34;https://blog.colinx.one/posts/%E4%BA%91%E6%9C%8D%E5%8A%A1%E5%99%A8%E5%85%A5%E9%97%A8%E6%8C%87%E5%8D%97/&#34;&gt;云服务器入门指南&lt;/a&gt;&lt;/p&gt;

&lt;p&gt;正文开始&lt;/p&gt;

&lt;h2 id=&#34;1-基础环境搭建&#34;&gt;1 - 基础环境搭建&lt;/h2&gt;

&lt;h3 id=&#34;1-1-防火墙&#34;&gt;1.1 防火墙&lt;/h3&gt;

&lt;p&gt;检查服务商防火墙和系统自带防火墙 (debian 系一般为 &lt;code&gt;ufw&lt;/code&gt;, cent os 系一般为 &lt;code&gt;firewall-cmd&lt;/code&gt;).放行 SSH(22), 新的 SSH(自定义), HTTP, HTTPS, 以及其他常用开发端口&lt;/p&gt;

&lt;h3 id=&#34;1-2-新建用户与检查-sudoer&#34;&gt;1.2 新建用户与检查 sudoer&lt;/h3&gt;

&lt;p&gt;登录到 root 用户，创建个人账户并设定密码&lt;/p&gt;

&lt;pre&gt;&lt;code class=&#34;language-shell&#34;&gt;// -m 创建对应home文件夹
// 添加到 sudo 用户组自动获得sudo权限, 部分发行版为wheel组

useradd -m --groups sudo colin

// 设定密码
passwd colin
&lt;/code&gt;&lt;/pre&gt;

&lt;p&gt;也可直接编辑&lt;code&gt;/etc/sudoers&lt;/code&gt; 文件为新用户添加 sudo 权限，使用 &lt;code&gt;visudo&lt;/code&gt; 指令可以自动帮你校验，避免配置写错把系统搞崩&lt;/p&gt;

&lt;h3 id=&#34;1-3-镜像源与基础软件&#34;&gt;1.3 镜像源与基础软件&lt;/h3&gt;

&lt;p&gt;如为境内服务器需要更换镜像源&lt;/p&gt;

&lt;h4 id=&#34;更换国内镜像源&#34;&gt;更换国内镜像源&lt;/h4&gt;

&lt;p&gt;一般情况下，将  &lt;code&gt;/etc/apt/sources.list&lt;/code&gt;  文件中 Debian 默认的源地址  &lt;code&gt;http://deb.debian.org/&lt;/code&gt;  替换为  &lt;code&gt;http://mirrors.ustc.edu.cn&lt;/code&gt;  即可。&lt;/p&gt;

&lt;pre&gt;&lt;code class=&#34;language-shell&#34;&gt;//for debian
sudo sed -i &#39;s/deb.debian.org/mirrors.ustc.edu.cn/g&#39; /etc/apt/sources.list

//for ubuntu
sudo sed -i &#39;s@//.*archive.ubuntu.com@//mirrors.ustc.edu.cn@g&#39; /etc/apt/sources.list
&lt;/code&gt;&lt;/pre&gt;

&lt;p&gt;CentOS 系建议启用 EPEL, PowerTools 等 repo 以更方便地安装常用软件和工具。此处不再赘述&lt;/p&gt;

&lt;p&gt;推荐的几个国内镜像站：&lt;a href=&#34;https://mirrors.tuna.tsinghua.edu.cn/&#34;&gt;清华大学 TUNA 镜像站&lt;/a&gt;, &lt;a href=&#34;https://mirrors.ustc.edu.cn/&#34;&gt;中科大 USTC LUG 镜像站&lt;/a&gt;, &lt;a href=&#34;https://mirrors.cloud.tencent.com/&#34;&gt;腾讯镜像站&lt;/a&gt;&lt;/p&gt;

&lt;h4 id=&#34;基础软件&#34;&gt;基础软件&lt;/h4&gt;

&lt;pre&gt;&lt;code class=&#34;language-shell&#34;&gt;sudo apt update
sudo apt install wget curl git nano
sudo apt install zsh tmux htop duf htop tldr screenfetch tree
&lt;/code&gt;&lt;/pre&gt;

&lt;h3 id=&#34;1-4-ssh-安全&#34;&gt;1.4 SSH 安全&lt;/h3&gt;

&lt;p&gt;修改端口，配置文件&lt;code&gt;/etc/ssh/sshd_config&lt;/code&gt;. 重启机器或 sshd 服务后生效。
此外最好将&lt;code&gt;PermitRootLogin&lt;/code&gt;修改为&lt;code&gt;no&lt;/code&gt;, 可以禁用 root 登录。&lt;/p&gt;

&lt;p&gt;在本机检查&lt;code&gt;~/.ssh/&lt;/code&gt;有无 id_rsa 等已生成的 key. 如没有再使用 &lt;code&gt;ssh-keygen&lt;/code&gt; 生成私钥
将本机的公钥上传到远端，再写入远端的 &lt;code&gt;authorized_keys&lt;/code&gt; 中&lt;/p&gt;

&lt;p&gt;&lt;code&gt;cat ~/id_rsa.pub &amp;gt;&amp;gt; ~/.ssh/authorized_keys&lt;/code&gt;&lt;/p&gt;

&lt;p&gt;注意修改权限，&lt;code&gt;~/.ssh/authorized_keys&lt;/code&gt; 权限为 600. &lt;code&gt;~/.ssh/&lt;/code&gt;为 700&lt;/p&gt;

&lt;p&gt;可以参考以下设置
&amp;gt; .ssh/    0700/rwx&amp;mdash;&amp;mdash;&lt;br /&gt;
&amp;gt; .ssh/&lt;em&gt;.pub   644/rw-r&amp;ndash;r&amp;ndash;&lt;br /&gt;
&amp;gt; .ssh/&lt;/em&gt;   0600/rw&amp;mdash;&amp;mdash;-&lt;/p&gt;

&lt;p&gt;如失败可参考这篇文章 debug. &lt;a href=&#34;https://superuser.com/questions/1137438/ssh-key-authentication-fails&#34;&gt;https://superuser.com/questions/1137438/ssh-key-authentication-fails&lt;/a&gt;&lt;/p&gt;

&lt;h3 id=&#34;1-5-设置-hostname&#34;&gt;1.5 设置 hostname&lt;/h3&gt;

&lt;p&gt;可选，为了便于识别和后续配置 oh-my-zsh 更美观。这里修改完后还需要更新 hosts 设置，把刚才设置的新的主机名指向 localhost&lt;/p&gt;

&lt;pre&gt;&lt;code class=&#34;language-shell&#34;&gt;sudo hostnamectl set-hostname my-new-server
sudo hostnamectl status
&lt;/code&gt;&lt;/pre&gt;

&lt;p&gt;此外&lt;code&gt;/etc/hosts&lt;/code&gt; 中默认会有个本机 hostname 映射到&lt;code&gt;127.0.0.1&lt;/code&gt; 的配置，修改 host 之后这里别名的映射也要修改下，不然终端执行命令会一直弹 &lt;code&gt;sudo: unable to resolve host xxx: Name or service not known&lt;/code&gt;&lt;/p&gt;

&lt;p&gt;修改后需重启&lt;/p&gt;

&lt;hr /&gt;

&lt;h3 id=&#34;1-6-swap&#34;&gt;1.6 SWAP&lt;/h3&gt;

&lt;p&gt;可选，建议内存&amp;lt;2G 配置 swap, 大小至少为 2 倍物理内存，可以有效避免意外爆内存的情况。仅推荐 SSD 盘的服务器开启。&lt;/p&gt;

&lt;p&gt;推荐用 &lt;code&gt;fallocate&lt;/code&gt; , 因为这个是最简单、最快速的创建交换空间的方法。 &lt;code&gt;fallocate&lt;/code&gt;  命令用于为文件预分配块 / 大小。&lt;/p&gt;

&lt;p&gt;使用  &lt;code&gt;fallocate&lt;/code&gt;  创建交换空间，首先在  &lt;code&gt;/&lt;/code&gt;  目录下创建一个名为  &lt;code&gt;swap_space&lt;/code&gt;  的文件。然后分配 2GB 到  &lt;code&gt;swap_space&lt;/code&gt;  文件：&lt;/p&gt;

&lt;pre&gt;&lt;code class=&#34;language-shell&#34;&gt;sudo fallocate -l 2G /swap_space
ls -lh /swap_space

// 然后更改文件权限，让 `/swap_space` 更安全：
sudo chmod 600 /swap_space

// 创建交换空间
sudo mkswap /swap_space

// 启用
sudo swapon /swap_space

// 使用 s 参数查看列表
sudo swapon -s

&lt;/code&gt;&lt;/pre&gt;

&lt;p&gt;每次重启后都要重新挂载磁盘分区。因此为了使之持久化，就像上面一样，我们编辑  &lt;code&gt;/etc/fstab&lt;/code&gt;  并输入下面行：&lt;/p&gt;

&lt;pre&gt;&lt;code&gt;/swap_space swap  swap  sw  0  0
&lt;/code&gt;&lt;/pre&gt;

&lt;p&gt;保存并退出文件。现在我们的交换分区会一直被挂载了。我们重启后可以在终端运行  &lt;code&gt;free -m&lt;/code&gt;  来检查交换分区是否生效。&lt;/p&gt;

&lt;p&gt;还可以按需选择使用 zram，提升内存可用量，不过会略微增加 cpu 使用和内存延时。可以搜索 zramctl, zramswap 等关键字&lt;/p&gt;

&lt;hr /&gt;

&lt;h3 id=&#34;1-7-绑定域名&#34;&gt;1.7 绑定域名  &lt;/h3&gt;

&lt;p&gt;可选，绑定一个域名或者改下本地 host 便于后续访问&lt;/p&gt;

&lt;h3 id=&#34;1-8-添加本地-ssh-别名&#34;&gt;1.8 添加本地 SSH 别名&lt;/h3&gt;

&lt;p&gt;配置文件为本机的 &lt;code&gt;~/.ssh/config&lt;/code&gt;
格式如下&lt;/p&gt;

&lt;pre&gt;&lt;code class=&#34;language-config&#34;&gt;Host serverA
	HostName myserver.domain.xyz
	User colinx
	Port 2333
&lt;/code&gt;&lt;/pre&gt;

&lt;h2 id=&#34;2-常用工具与配置&#34;&gt;2 - 常用工具与配置&lt;/h2&gt;

&lt;h3 id=&#34;2-1-docker-环境&#34;&gt;2.1 Docker 环境&lt;/h3&gt;

&lt;h4 id=&#34;docker-安装&#34;&gt;Docker 安装&lt;/h4&gt;

&lt;p&gt;可参考官网文档，注意是 docker engine 的安装。&lt;a href=&#34;https://docs.docker.com/engine/install/debian/&#34;&gt;Docker 官方安装文档&lt;/a&gt;&lt;/p&gt;

&lt;p&gt;或者我之前写的 RSS MAN 部署文档中 docker 安装的部分
&lt;a href=&#34;https://blog.colinx.one/posts/rssmanx%E5%AE%89%E8%A3%85%E9%83%A8%E7%BD%B2%E6%8C%87%E5%8D%97/#1-docker%E7%8E%AF%E5%A2%83%E5%87%86%E5%A4%87&#34;&gt;RSS MAN X 安装部署指南/#1-docker 环境准备&lt;/a&gt;&lt;/p&gt;

&lt;h4 id=&#34;docker-镜像源配置及日志配置&#34;&gt;Docker 镜像源配置及日志配置&lt;/h4&gt;

&lt;p&gt;docker mirror 配置可以加速 image pull, 国内公开可用的加速站点可以参考这里 &lt;a href=&#34;https://gist.github.com/y0ngb1n/7e8f16af3242c7815e7ca2f0833d3ea6&#34;&gt;docker 加速站点&lt;/a&gt;&lt;/p&gt;

&lt;p&gt;此外服务器上的 docker 都是长时间持续运行的，不少容器日志打的很随意，log 文件容易占据过多空间，也最好限制一下。&lt;/p&gt;

&lt;p&gt;文件位置&lt;code&gt;/etc/docker/daemon.json&lt;/code&gt;, 下面的配置供参考&lt;/p&gt;

&lt;pre&gt;&lt;code class=&#34;language-json&#34;&gt;{
    &amp;quot;registry-mirrors&amp;quot;: [
        &amp;quot;https://docker.nastool.de&amp;quot;,
        &amp;quot;https://docker.actima.top&amp;quot;,
        &amp;quot;https://docker.unsee.tech&amp;quot;,
        &amp;quot;https://docker.gh-proxy.com&amp;quot;,
        &amp;quot;https://docker.zhai.cm&amp;quot;,
        &amp;quot;https://docker.1panel.live&amp;quot;,
        &amp;quot;https://docker.1ms.run&amp;quot;,
        &amp;quot;https://docker.imgdb.de&amp;quot;,
        &amp;quot;https://dockerproxy.net&amp;quot;
    ],
    &amp;quot;log-opts&amp;quot;: {
        &amp;quot;max-file&amp;quot;: &amp;quot;5&amp;quot;,
        &amp;quot;max-size&amp;quot;: &amp;quot;1m&amp;quot;
    }
}
&lt;/code&gt;&lt;/pre&gt;

&lt;p&gt;修改完保存重启 docker 服务即可生效。可使用 &lt;code&gt;docker info&lt;/code&gt; 命令检查是否生效&lt;/p&gt;

&lt;h3 id=&#34;2-2-oh-my-zsh&#34;&gt;2.2 OH-MY-ZSH&lt;/h3&gt;

&lt;p&gt;安装 OH-MY-ZSH, 在此之前确保已安装 &lt;code&gt;git&lt;/code&gt; 和 &lt;code&gt;zsh&lt;/code&gt;&lt;/p&gt;

&lt;pre&gt;&lt;code class=&#34;language-shell&#34;&gt;sh -c &amp;quot;$(curl -fsSL https://raw.githubusercontent.com/ohmyzsh/ohmyzsh/master/tools/install.sh)&amp;quot;
# 如果在墙内 github 速度不加可以考虑使用清华的镜像
# https://mirrors.tuna.tsinghua.edu.cn/help/ohmyzsh.git/
# 先下载到任意位置，然后指定REMOTE 参数执行安装程序
git clone https://mirrors.tuna.tsinghua.edu.cn/git/ohmyzsh.git --depth=1
cd ohmyzsh/tools
REMOTE=https://mirrors.tuna.tsinghua.edu.cn/git/ohmyzsh.git sh install.sh
&lt;/code&gt;&lt;/pre&gt;

&lt;p&gt;安装插件&lt;/p&gt;

&lt;pre&gt;&lt;code class=&#34;language-shell&#34;&gt;git clone https://github.com/zsh-users/zsh-autosuggestions $ZSH_CUSTOM/plugins/zsh-autosuggestions --depth=1 

git clone https://github.com/zsh-users/zsh-syntax-highlighting.git ${ZSH_CUSTOM:-~/.oh-my-zsh/custom}/plugins/zsh-syntax-highlighting --depth=1 
&lt;/code&gt;&lt;/pre&gt;

&lt;p&gt;git clone 速度不佳可以考虑一些开放的加速服务，比如：
- &lt;a href=&#34;https://ghproxy.org/&#34;&gt;https://ghproxy.org/&lt;/a&gt;
- &lt;a href=&#34;https://mirror.ghproxy.com/&#34;&gt;https://mirror.ghproxy.com/&lt;/a&gt;&lt;/p&gt;

&lt;p&gt;按需修改配置。文件位置&lt;code&gt;~/.zshrc&lt;/code&gt;, 下面为个人常用配置供参考。注意去源文件修改对应项，没有再到末尾加&lt;/p&gt;

&lt;pre&gt;&lt;code class=&#34;language-shell&#34;&gt;# custom conf override
ZSH_THEME=&amp;quot;af-magic&amp;quot;
CASE_SENSITIVE=&amp;quot;false&amp;quot;
HYPHEN_INSENSITIVE=&amp;quot;false&amp;quot;
plugins=(git z zsh-autosuggestions zsh-syntax-highlighting sudo)

&lt;/code&gt;&lt;/pre&gt;

&lt;p&gt;自定义配置，添加到末尾&lt;/p&gt;

&lt;pre&gt;&lt;code class=&#34;language-shell&#34;&gt;export ZSH_AUTOSUGGEST_BUFFER_MAX_SIZE=20
&lt;/code&gt;&lt;/pre&gt;

&lt;p&gt;保存并应用&lt;/p&gt;

&lt;pre&gt;&lt;code class=&#34;language-shell&#34;&gt;source ~/.zshrc
&lt;/code&gt;&lt;/pre&gt;

&lt;h3 id=&#34;2-3-nano-代码文件规则&#34;&gt;2.3 nano 代码文件规则&lt;/h3&gt;

&lt;p&gt;日常常用文本编辑器为 nano, 轻量级编辑需求完全满足。&lt;/p&gt;

&lt;pre&gt;&lt;code class=&#34;language-shell&#34;&gt;curl https://cdn.jsdelivr.net/gh/scopatz/nanorc/install.sh | sh 
&lt;/code&gt;&lt;/pre&gt;

&lt;h3 id=&#34;2-4-时区调整&#34;&gt;2.4 时区调整&lt;/h3&gt;

&lt;p&gt;一般安装完都是 UTC+0, 看日志什么的不方便。服务器初始化的时候配置好后面可以免去很多麻烦&lt;/p&gt;

&lt;p&gt;debian 系可用过 &lt;code&gt;timedatectl&lt;/code&gt; 命令调整时区。东八区可以用这个命令&lt;/p&gt;

&lt;pre&gt;&lt;code class=&#34;language-shell&#34;&gt;sudo timedatectl set-timezone Asia/Shanghai
&lt;/code&gt;&lt;/pre&gt;

&lt;h3 id=&#34;2-5-厂商监控-sdk-卸载&#34;&gt;2.5 厂商监控/SDK 卸载&lt;/h3&gt;

&lt;p&gt;懂得都懂，自己搜&lt;/p&gt;

&lt;h3 id=&#34;2-6-fail2ban-配置&#34;&gt;2.6 fail2ban 配置&lt;/h3&gt;

&lt;p&gt;使用 fail2ban 可以很好地保护你的服务器，避免被人恶意爆破 SSH 等服务。&lt;/p&gt;

&lt;pre&gt;&lt;code class=&#34;language-bash&#34;&gt;// 安装 fail2ban
sudo apt update &amp;amp;&amp;amp; sudo apt install fail2ban
sudo systemctl enable fail2ban
&lt;/code&gt;&lt;/pre&gt;

&lt;p&gt;之后需要按照实际情况修改一下配置文件。这里记录一下最小配置。注意默认的配置 &lt;code&gt;/etc/fail2ban/jail.conf&lt;/code&gt;不要改，不然每次软件更新会被覆盖。在 jaid.d 这个目录下面新建一个文件&lt;code&gt;/etc/fail2ban/jail.d/local.conf&lt;/code&gt;&lt;/p&gt;

&lt;pre&gt;&lt;code class=&#34;language-conf&#34;&gt;[sshd]
enabled = true
# 这里修改为实际的 sshd 端口
port = 20000
filter = sshd
banaction = iptables-allports

[DEFAULT]
# 1h 时间窗口
findtime = 3600
maxretry = 3
bantime = 6h
&lt;/code&gt;&lt;/pre&gt;

&lt;p&gt;之后重启&lt;code&gt;sudo systemctl restart fail2ban&lt;/code&gt;，然后可以看下服务状态是否正常 &lt;code&gt;sudo systemctl status fail2ban&lt;/code&gt;，如果配置文件有问题会报错。如果是显示&lt;code&gt;active (running)&lt;/code&gt; 就说明没有问题了。&lt;/p&gt;

&lt;p&gt;fail2ban 的测试及关闭服务方法：&lt;/p&gt;

&lt;p&gt;查看当前封禁 IP：&lt;code&gt;sudo fail2ban-client status sshd&lt;/code&gt;&lt;br /&gt;
解禁某一 IP: &lt;code&gt;sudo fail2ban-client set sshd unbanip IP_ADDRESS&lt;/code&gt;&lt;br /&gt;
停止 fail2ban 服务：&lt;code&gt;sudo systemctl stop fail2ban&lt;/code&gt;&lt;br /&gt;
关闭 fail2ban 服务：&lt;code&gt;sudo systemctl disable fail2ban&lt;/code&gt;&lt;/p&gt;

&lt;p&gt;刚配置没一会就有 IP 被封禁了，可以看到效果还是很给力，也安心了不少&lt;/p&gt;

&lt;pre&gt;&lt;code&gt;➜ sudo fail2ban-client status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed: 1
|  |- Total failed:     6
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 1
   |- Total banned:     1
   `- Banned IP list:   154.216.19.42
&lt;/code&gt;&lt;/pre&gt;

&lt;h3 id=&#34;2-7-git-代理&#34;&gt;2.7 Git 代理&lt;/h3&gt;

&lt;p&gt;一般在 &lt;code&gt;.bashrc&lt;/code&gt;/&lt;code&gt;.zshrc&lt;/code&gt; 中定义 &lt;code&gt;HTTP_PROXY&lt;/code&gt; / &lt;code&gt;HTTPS_PROXY&lt;/code&gt; 可以应对大部分场景。但是对于使用 ssh 协议的 git 仓库 (通过 ssh 方式，相较于 https 的不用每次输用户名和密码。一般对只有克隆公共仓库的时候才会用 https, 其他时候对于自己的仓库我都是用 ssh), 并不会走 http 代理。&lt;/p&gt;

&lt;p&gt;这里需要在 ssh config 中配置转发走代理才行。使用&lt;code&gt;nc&lt;/code&gt;(macOS 等默认会预装) 搭配 socks 代理最方便&lt;/p&gt;

&lt;pre&gt;&lt;code class=&#34;language-ini&#34;&gt;Host github.com
    HostName github.com
    User git
    Port 22
    ProxyCommand nc -x 192.168.100.222:8085 %h %p
&lt;/code&gt;&lt;/pre&gt;

&lt;h2 id=&#34;3-进阶内容&#34;&gt;3 - 进阶内容&lt;/h2&gt;

&lt;h3 id=&#34;3-1-内核参数调优&#34;&gt;3.1 内核参数调优&lt;/h3&gt;

&lt;p&gt;一些内核参数调整，交换内存阈值和 bbr, tcp fast open 等，按需启用。启用前务必确认自己了解对应字段的含义，否则不如保留系统初始值。&lt;/p&gt;

&lt;p&gt;配置文件位置 &lt;code&gt;/etc/sysctl.conf&lt;/code&gt;&lt;/p&gt;

&lt;pre&gt;&lt;code class=&#34;language-conf&#34;&gt;# mem
vm.swappiness = 10

# bbr and network tune 
net.core.default_qdisc=fq
net.ipv4.tcp_congestion_control=bbr
net.ipv4.tcp_fastopen=3
net.ipv4.tcp_slow_start_after_idle=0

# zram 相关配置，配合下文 zram 使用
vm.watermark_boost_factor = 0
vm.watermark_scale_factor = 125
vm.page-cluster = 0
&lt;/code&gt;&lt;/pre&gt;

&lt;p&gt;配置完之后保存并应用&lt;/p&gt;

&lt;pre&gt;&lt;code class=&#34;language-shell&#34;&gt;sudo sysctl -p
&lt;/code&gt;&lt;/pre&gt;

&lt;h3 id=&#34;3-2-更多内存空间-zram&#34;&gt;3.2 更多内存空间 - ZRAM&lt;/h3&gt;

&lt;p&gt;ZRAM 内存压缩，对于个人服务器来说，始终活跃的程序占用的内存只有比较小一部分，启用 zram 可以将这部分内存压缩，从而可以部署更多的服务。&lt;/p&gt;

&lt;p&gt;建议使用&lt;code&gt;zramtool&lt;/code&gt;, 简单方便&lt;/p&gt;

&lt;pre&gt;&lt;code class=&#34;language-shell&#34;&gt;sudo apt install zram-tools
&lt;/code&gt;&lt;/pre&gt;

&lt;p&gt;修改&lt;code&gt;/etc/default/zramswap&lt;/code&gt;, 末尾添加&lt;/p&gt;

&lt;pre&gt;&lt;code class=&#34;language-ini&#34;&gt;ALGO=zstd
PERCENT=60
&lt;/code&gt;&lt;/pre&gt;

&lt;p&gt;之后执行&lt;code&gt;sudo service zramswap reload&lt;/code&gt;重载生效。
可以使用 swapon 命令查看生效情况&lt;/p&gt;

&lt;pre&gt;&lt;code&gt;~ » sudo swapon -show 
NAME        TYPE        SIZE  USED PRIO
/swap_space file          2G 32.1M   -2
/dev/zram0  partition 489.9M    0B  100
&lt;/code&gt;&lt;/pre&gt;

&lt;p&gt;这样一来，会将机器物理内存的 50% 配置 zram, 使用 zstd 压缩算法，一般压缩比能达到 3:1, 也就是说，1G 的机器，可以相当于有&lt;code&gt;0.5G+3*0.5G=2G&lt;/code&gt;的内存。&lt;/p&gt;

&lt;p&gt;注意 Debian 新版本 swapon 等工具所在的目录 /usr/sbin 不在普通用户的 PATH 中，可能需要手动执行前缀使用。如 /usr/sbin/swapon&lt;/p&gt;

&lt;h3 id=&#34;3-3-更多内存空间-关闭-kdump-释放预留的内存空间&#34;&gt;3.3 更多内存空间 - 关闭 kdump，释放预留的内存空间&lt;/h3&gt;

&lt;p&gt;新服务器开起来之后，你会发现无论是 htop 还是 free 等命令，看到的总内存就是比你买服务器时页面上写的要小。比如我开的两核 1G 的机器，实际机器上看到的总内存只有 816M. 这是因为 linux 系统会默认开启 kdump，预留了一部分内存不让我们使用。&lt;/p&gt;

&lt;p&gt;Kdump 是 Linux 系统的一种内核崩溃转储机制，它允许在系统发生内核崩溃（例如内核 panic）时，捕获内存的转储信息，从而帮助事后分析故障原因。默认的配置&lt;code&gt;2G-8G:256M,8G-16G:512M,16G-:768M&lt;/code&gt;, 如果你买的是 2G 的机器，上来就有 &lt;sup&gt;1&lt;/sup&gt;&amp;frasl;&lt;sub&gt;8&lt;/sub&gt; 的空间用不了。&lt;/p&gt;

&lt;p&gt;但是我们个人日常使用的 linux 机器基本用不到这个功能，不用预留这部分空间。&lt;/p&gt;

&lt;p&gt;操作方法有两种：将预留内存改为 0 or 直接关闭 kdump 服务。对于个人玩家小内存机器我建议直接关闭。操作如下：&lt;/p&gt;

&lt;pre&gt;&lt;code class=&#34;language-bash&#34;&gt;# 备份grub配置文件
sudo cp /etc/default/grub /etc/default/grub.bak

# 编辑grub配置,删除 crashkernel=0M-2G:0M,2G-8G:192M 这样的部分 
sudo nano /etc/default/grub

# 部分发行版镜像可能还有单独的kdump配置文件,直接删除
sudo rm /etc/default/grub.d/kdump-tools.cfg

# 更新grub配置
sudo update-grub

# 关闭并禁用Kdump服务
sudo systemctl disable kdump-tools
sudo systemctl stop kdump-tools

# 重启系统
sudo reboot

# 检查是否生效, 状态为 inactive(dead)，即 kdump 服务已停止运行
sudo systemctl status kdump

# 检查 crash size 是否为0
cat /sys/kernel/kexec_crash_size
&lt;/code&gt;&lt;/pre&gt;

&lt;p&gt;更多内容可以参见这篇文档：&lt;a href=&#34;https://help.aliyun.com/zh/ecs/use-cases/view-and-change-the-size-of-reserved-memory-on-a-linux-instance#7d5ae6803amdp&#34;&gt;预留内存相关文档 - 阿里云&lt;/a&gt; 或者 &lt;a href=&#34;https://cloud.tencent.com/document/product/213/115734&#34;&gt;预留内存相关文档 - 腾讯云&lt;/a&gt;&lt;/p&gt;

&lt;h3 id=&#34;3-3-其他进阶配置&#34;&gt;3.3 其他进阶配置&lt;/h3&gt;

&lt;p&gt;一些其他的系统维护技巧与策略，如&lt;/p&gt;

&lt;p&gt;&lt;strong&gt;配置文件管理&lt;/strong&gt;
所有应用 docker 化，通过 &lt;code&gt;docker compose&lt;/code&gt; 文件管理
配置共享存储，&lt;code&gt;rclone&lt;/code&gt; 挂载 webdav, 同步 docker compose 等配置文件;
traefik 网关作为统一出口，负责服务发现和自动维护 HTTPS 证书，自定义配置通过 headless CMS 如 directus 管理，traefik 设定为通过 http 方式获取远端配置即可。&lt;/p&gt;

&lt;p&gt;&lt;strong&gt;数据库备份&lt;/strong&gt;
所有数据相关的统一挂载到&lt;code&gt;/data/database/xxx&lt;/code&gt;, 配置定时任务进行备份
以及配置 s3 等，上传到其他存储介质和其他地域。&lt;/p&gt;

&lt;p&gt;这些内容此处不再赘述，有机会再单独写篇文章分享吧&lt;/p&gt;

&lt;p&gt;END&lt;/p&gt;

&lt;hr /&gt;

&lt;h2 id=&#34;附录&#34;&gt;附录&lt;/h2&gt;

&lt;ul&gt;
&lt;li&gt;Install Docker Engine &lt;a href=&#34;https://docs.docker.com/engine/install/&#34;&gt;https://docs.docker.com/engine/install/&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;RSSManX 安装部署指南 &lt;a href=&#34;https://blog.colinx.one/posts/rssmanx%E5%AE%89%E8%A3%85%E9%83%A8%E7%BD%B2%E6%8C%87%E5%8D%97/&#34;&gt;https://blog.colinx.one/posts/rssmanx%E5%AE%89%E8%A3%85%E9%83%A8%E7%BD%B2%E6%8C%87%E5%8D%97/&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;云服务器入门指南 &lt;a href=&#34;https://blog.colinx.one/posts/%E4%BA%91%E6%9C%8D%E5%8A%A1%E5%99%A8%E5%85%A5%E9%97%A8%E6%8C%87%E5%8D%97/&#34;&gt;https://blog.colinx.one/posts/%E4%BA%91%E6%9C%8D%E5%8A%A1%E5%99%A8%E5%85%A5%E9%97%A8%E6%8C%87%E5%8D%97/&lt;/a&gt;&lt;/li&gt;
&lt;li&gt;Portainer Install Doc &lt;a href=&#34;https://docs.portainer.io/start/install-ce/server/docker/linux&#34;&gt;https://docs.portainer.io/start/install-ce/server/docker/linux&lt;/a&gt;&lt;/li&gt;
&lt;/ul&gt;

        
        </description>
    </item>
    
  </channel>
</rss>