最近需要在 Debian 上临时启动虚拟机做些测试，直接用 QEMU 命令行启动参数略多，（让 AI）写了个脚本封装一下，目的就是用最少的依赖快速跑起一个 Ubuntu 虚拟机。不想使用 libvirt / virsh，轻量使用没必要搞得太复杂。

1 TL;DR

start_vm.sh

脚本使用 Ubuntu cloud image 作为基准镜像，在 cloud-init 中配置了一些常用设置。

使用前需要修改：

• QEMU_BIN / QEMU_IMG：QEMU 安装路径
• SSH_FWD_PORT：SSH 转发端口，即主机上用来连接虚拟机的端口，改成没被占用的端口
• VM_USER / VM_PASSWORD：默认创建 unbutu 用户，密码也是 ubuntu
• MEMORY_MB / VCPUS：内存大小和 CPU 数量
• cloud-init 里默认设置了代理环境变量：如不需要代理，把 write_files 里第一段配置删掉

镜像需要自己下载放到 baseimg/ 目录，脚本不会自动下载。

2 使用方法

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

# 下载基础镜像
mkdir -p baseimg
wget https://cloud-images.ubuntu.com/releases/noble/release/ubuntu-24.04-server-cloudimg-amd64.img 

# 创建虚拟机准备文件
./start_vm.sh create

# 启动，大部分发行版可能需要 root 权限才能使用 kvm
sudo ./start_vm.sh
# 或
sudo ./start_vm.sh start

# 其他命令
sudo ./start_vm.sh stop
sudo ./start_vm.sh status
sudo ./start_vm.sh restart

连接到虚拟机：

1
2
3
4
5
6
7
8
9

# SSH
ssh -p 60715 ubuntu@localhost

# 串口
nc -U console.sock

# QEMU Monitor
nc -U monitor.sock
echo 'info status' | nc -U monitor.sock

3 功能

脚本的工作流程分两步：先 create 初始化环境，然后可以 start/stop。

创建阶段主要是基于 cloud image 创建一个差分磁盘；生成 cloud-init 配置、打包 cloud-init 配置到 ISO，启动时 QEMU 会读取这个 ISO，完成用户创建、SSH 密钥注入等初始化工作。

3.1 Cloud-init 配置

主要做了这几件事：

• 创建用户并设置密码，配置 sudo 免密
• 自动检测 ~/.ssh/ 下的公钥并注入，支持 ed25519、rsa、ecdsa
• 配置代理环境变量
• 禁用 IPv6，我的测试环境不需要使用 IPv6
• 自定义 MOTD 并禁用系统默认的 MOTD，自定义内容为显示系统资源占用
• 最后 touch 一个 cloud-init.disabled 文件，下次启动时即便加载 ISO 文件也不会再重新运行 cloud-init 流程

3.2 QEMU 主要参数说明

启动命令里用到的几个主要参数：

-machine q35,accel=kvm 使用 Q35 芯片组配合 KVM 加速。如果不支持 KVM 会退化成纯 TCG 软件模拟，速度会很慢。

-netdev user 用户态网络，使用简单。虚拟机和主机可以互访，虚拟机也可以访问互联网。hostfwd 参数把宿主机端口转发到虚拟机的 22 端口。

-daemonize 让 QEMU 后台运行，与参数 --nographic 是互斥的。

3.3 生成文件说明

脚本运行后会生成这些文件：

• vm-disk.qcow2 - 差分虚拟磁盘
• .cloud-init.iso - cloud-init 配置打包成的 ISO
• .cloud-init/ - cloud-init 源文件，可以检查生成的配置是否正确
• .vm-mac - MAC 地址
• ubuntu-vm.pid - QEMU 进程 PID
• ubuntu-vm.monitor.sock / ubuntu-vm.console.sock - 两个 socket，用于控制和调试

其中 .cloud-init.iso 和 .cloud-init/ 只在 create 阶段生成，之后如果修改了 cloud-init 配置需要删掉重新 create。

1 系统环境

本文在 Debian 13 上构建 GCC 版本 15.2.0 的 RISC-V GNU 工具链，主机上的 GCC 版本为 apt 包管理器直接安装的 14.2.0 版。

1
2
3
4
5
6
7

➜  ~ uname -a
Linux minisforum 6.12.74+deb13+1-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.74-2 (2026-03-08) x86_64 GNU/Linux
➜  ~ gcc --version
gcc (Debian 14.2.0-19) 14.2.0
Copyright (C) 2024 Free Software Foundation, Inc.
This is free software; see the source for copying conditions.  There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

2 准备

2.1 获取工具链代码

注意这里不需要手动获取（--recursive）所有 submodules，在编译时会自动按需获取。

1

git clone https://github.com/riscv/riscv-gnu-toolchain

2.2 安装依赖

1
2
3
4
5

sudo apt update
sudo apt install autoconf automake autotools-dev curl python3 python3-pip \
python3-tomli libmpc-dev libmpfr-dev libgmp-dev gawk build-essential bison \
flex texinfo gperf libtool patchutils bc zlib1g-dev libexpat-dev ninja-build \
git cmake libglib2.0-dev libslirp-dev libncurses-dev

2.3 获取 GCC 代码

当前的 riscv-gnu-toolchain master 分支已经把 GCC 版本更新至 15.2.0，这里主要是展示指定的 GCC 版本构建的方法。手动下载 GCC 源码，不依赖 riscv-gnu-toolchain 自动获取。

下面步骤通过 GCC 的 git 仓库获取代码，直接在 GNU 网站上下载 tar 包后解压也是可以的。

1
2
3
4
5

# 在 riscv-gnu-toolchain 目录外
git clone https://github.com/gcc-mirror/gcc.git
cd gcc
git checkout -b branch-15.2.0
git reset --hard releases/gcc-15.2.0

此时的目录结构如下：

1
2
3
4
5
6

➜  ~ pwd
/home/ubuntu
➜  ~ ls -l
total 8
drwxrwxr-x 41 ubuntu ubuntu 4096 Apr 26 19:36 gcc
drwxrwxr-x 21 ubuntu ubuntu 4096 Apr 26 18:58 riscv-gnu-toolchain

3 编译安装

3.1 配置

1
2
3
4
5
6
7
8
9

cd riscv-gnu-toolchain
mkdir build && cd build

../configure \
--with-arch=rv64imafdcv_zicbom_zicboz_zicntr_zicond_zicsr_zifencei_zihintpause_zfh_zba_zbb_zbc_zbs_zkt \
--with-abi=lp64d \
--disable-multilib \
--with-gcc-src=$HOME/gcc \
--prefix=$HOME/.local/riscv-15.2.0

其中关键的参数就是 --with-gcc-src，该参数指定了 GCC 代码目录，配置了该参数后编译时就会直接使用其中代码，而不会再自动获取。

• --with-arch 参数指定了一些架构特性，应当根据目标机器支持的特性来设置。删除高级特性可以保持较高的兼容性，可以直接使用 rv64imafdcv 或者 rv64i；
• --enable-multilib/--disable-multilib 参数同时编译会 32-bit 支持，一般不会用到，这里直接禁用；
• --prefix 参数指定工具链安装路径。

3.2 编译

正如前面提到，编译时 riscv-gnu-toolchain 会自动获取所需的软件包，此时需要良好的网络连接。

编译后可执行文件会自动安装至之前配置的安装目录中：

1
2
3
4

# 使用 newlib 作为 C 库编译
make -j$(nproc)
# 使用 glibc 作为 C 库编译
make linux -j$(nproc)

关于选择 newlib 还是 glibc 这里不做展开，简单来说就是 newlib 一般用来编译裸机程序、嵌入式程序（固件、bootloader等），其工具链的前缀是 riscv64-unknown-elf-；glibc 有完整 POSIX 支持，一般用来编译 Linux 用户空间程序和 Kernel（Kernel 虽然是“裸机程序”，但也包含一些共享库组件），工具链前缀为 riscv64-unknown-linux-gnu-。

编译中如果出现错误，可以删除 build 目录后重新配置、编译。

3.3 设置环境变量

把安装目录加入到 PATH 环境变量中，可以在任意目录中使用编译的工具链。

1

export PATH="$HOME/.local/riscv-15.2.0/bin:$PATH"

查看编译安装结果：

1
2
3
4
5
6
7
8
9
10
11

➜  ~ riscv64-unknown-elf-gcc --version
riscv64-unknown-elf-gcc (g5115c7e447f) 15.2.0
Copyright (C) 2025 Free Software Foundation, Inc.
This is free software; see the source for copying conditions.  There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

➜  ~ riscv64-unknown-linux-gnu-gcc --version
riscv64-unknown-linux-gnu-gcc (g5115c7e447f) 15.2.0
Copyright (C) 2025 Free Software Foundation, Inc.
This is free software; see the source for copying conditions.  There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

其实 SpacemiT K1 的开发板更具吸引力，但是价格小贵

板子的基本使用方法官方文档中写的比较详细，我这里主要记录一下使用 SDK 自行构建 SD 卡镜像遇到的一些问题；以及 Linux 启动后，如何扩展根分区和增加可用内存。

1 SDK（V2）编译

官方 SDK 基于 buildroot 构建，Dou S 推荐使用 V2 版本，链接。

整个 SDK 工程十分复杂，塞进了 OpenSBI，U-Boot，Linux kernel，Buildroot 以及一些定制化硬件的驱动模块。同时给这个复杂的工程设计了一套复杂的构建流程，由各种 shell 脚本、python 脚本完成最终镜像的构建。

启动流程看起来是典型 FW_DYNAMIC 流程，ROM 固件跳转 OpenSBI，OpenSBI 引导 U-Boot（进入 S-mode），U-Boot 引导 Linux kernel，Buildroot 作为根文件系统。代码中也用了一些 ARM ATF 的术语，还没有细看。

总之，初步感觉以这套 SDK 的复杂（混乱）程度，对希望搞定制化开发的朋友算不上友好，初看起来有些“牵一发而动全身”的样子。

以下记录构建 Milk-V Duo S 无 WiFi/BT 版 SD 卡镜像遇到的一些小问题和解决方法。

1.1 编译过程记录

1.1.1 SDK 版本信息

SDK链接: https://github.com/milkv-duo/duo-buildroot-sdk-v2

main 分支：

1
2
3
4
5
6

commit 6f8962c394dd0a05729abb089f0feb7d5cc4aa5e (HEAD -> main, origin/main, origin/HEAD)
Merge: 0545e9dc6 e7b0c7933
Author: carbon <carbon@milkv.io>
Date:   Tue Nov 4 13:38:24 2025 +0800

    Merge branch 'develop'

develop 分支：

1
2
3
4
5
6
7
8
9
10
11

commit ad920f839277e566d9068989ca8d737483a4677d (HEAD -> develop, origin/develop)
Author: carbon <carbon@milkv.io>
Date:   Tue Dec 30 17:35:00 2025 +0800

    cvi_mpi: support st7701sn 2 lane lcd

    test command:
    sample_panel --panel=ST7701SN
    devmem 0x0a088094 32 0x0701000a

    Signed-off-by: carbon <carbon@milkv.io>

develop 分支看起来更新一点，也测试了一下，以下编译问题同时存在于 main 和 develop 分支。

其他问题参考文档: https://milkv.io/zh/docs/duo/getting-started/buildroot-sdk

值得一提的是 Milk-V 开发板的文档比较详细，论坛社区讨论也比较活跃。能在里面找到不少有参考价值的讨论。

1.1.2 主机环境

我使用 Debian 13 作为 Host 编译：

1
2
3
4
5
6
7
8
9
10
11
12
13

ubuntu@debian ~ $ uname -a
Linux debian 6.12.57+deb13-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.57-1 (2025-11-05) x86_64 GNU/Linux
ubuntu@debian ~ $ cat /etc/os-release
PRETTY_NAME="Debian GNU/Linux 13 (trixie)"
NAME="Debian GNU/Linux"
VERSION_ID="13"
VERSION="13 (trixie)"
VERSION_CODENAME=trixie
DEBIAN_VERSION_FULL=13.2
ID=debian
HOME_URL="https://www.debian.org/"
SUPPORT_URL="https://www.debian.org/support"
BUG_REPORT_URL="https://bugs.debian.org/"

初次编译时，./build.sh 编译脚本会自动下载工具链和 Buildroot 软件包，网络要顺畅。

工具链：https://github.com/milkv-duo/host-tools.git

若工具链自动下载失败可以手动 git clone 至 SDK 根目录。Buildroot 软件包官方文档中也有离线下载方式可供参考。

官方文档中给出的安装命令：

1
2
3
4
5
6

sudo apt install -y pkg-config build-essential ninja-build automake autoconf libtool \
wget curl git gcc libssl-dev bc slib squashfs-tools android-sdk-libsparse-utils \
jq python3-distutils scons parallel tree python3-dev python3-pip device-tree-compiler \
ssh cpio fakeroot libncurses5 flex bison libncurses5-dev genext2fs rsync unzip \
dosfstools mtools tcl openssh-client cmake expect python-is-python3
sudo pip install jinja2

在我的环境上需要略作调整，删去 libncurses5 和 python3-distutils，jinja2 使用 apt 而不是 pip 安装，还需要额外安装工具 xxd。修改过后的安装命令为：

1
2
3
4
5

sudo apt install -y pkg-config build-essential ninja-build automake autoconf libtool \
wget curl git gcc libssl-dev bc slib squashfs-tools android-sdk-libsparse-utils jq \
scons parallel tree python3-dev python3-pip device-tree-compiler ssh cpio fakeroot \
flex bison libncurses5-dev genext2fs rsync unzip dosfstools mtools tcl openssh-client \
cmake expect python-is-python3 xxd python3-jinja2

至此准备工作结束，可以在 SDK 目录下直接使用命令 ./build.sh milkv-duos-musl-riscv64-sd 构建 SD 卡镜像，也可以用命令 ./build lunch 交互式地选择要使用的工具链和目标开发板。一切顺利的话 SD 镜像将会生成在 out/ 目录中。

1.1.3 错误解决

目前大部分编译报错都可以在 SDK github issues 中找到线索。

实在无法解决就使用 Docker 方式编译。

本节最后附有解决所有问题的 patch。

问题 1

报错信息（linux/cvi_type.h: No such file or directory）：

1
2
3
4
5
6
7
8
9

ake[2]: Entering directory '/home/ronnie/code/duo-buildroot-sdk-v2/cvi_mpi/modules/sys'
ov_ov5647/ov5647_cmos.c:8:10: fatal error: linux/cvi_type.h: No such file or directory
    8 | #include <linux/cvi_type.h>
      |          ^~~~~~~~~~~~~~~~~~
compilation terminated.
gcore_gc2083/gc2083_cmos.c:7:10: fatal error: linux/cvi_type.h: No such file or directory
    7 | #include <linux/cvi_type.h>
      |          ^~~~~~~~~~~~~~~~~~
compilation terminated.

编译报错1

这个问题有些奇怪，原本想改为单线程编译看下到底哪里出了问题，结果单线程编译反而能正常生成镜像，猜测应该是脚本编排的流程存在一些问题，导致并行编译时某些依赖文件尚未就绪。后来发现 issues#20 中也有人提到了这个现象。具体的修改位置在 build/envsetup_milkv.sh 文件中的 make all -j$(nproc)，改为 make all -j1 即可。

问题 2

报错信息（undefined reference to `pcm_read’）：

1
2
3
4
5
6

 Run build_pqtool_server() function
[riscv64-unknown-linux-musl-g++] cvi_streamer.o
[riscv64-unknown-linux-musl-g++] main.o
[riscv64-unknown-linux-musl-gcc] stream_porting.o
/home/ronnie/code/duo-buildroot-sdk-v2/host-tools/gcc/riscv64-linux-musl-x86_64/bin/../lib/gcc/riscv64-unknown-linux-musl/10.2.0/../../../../riscv64-unknown-linux-musl/bin/ld: /home/ronnie/code/duo-buildroot-sdk-v2/cvi_mpi/lib/libcvi_audio.so: undefined reference to `pcm_read'
/home/ronnie/code/duo-buildroot-sdk-v2/host-tools/gcc/riscv64-linux-musl-x86_64/bin/../lib/gcc/riscv64-unknown-linux-musl/10.2.0/../../../../riscv64-unknown-linux-musl/bin/ld: /home/ronnie/code/duo-buildroot-sdk-v2/cvi_mpi/lib/libcvi_audio.so: undefined reference to `pcm_open'

编译报错2

参考 issues#36，添加一个库解决。或者，参考 issues#6，直接在 build/envsetup_milkv.sh 中注释这个部分的编译，即注释这一行 build_pqtool_server || return $?

两种方法均测试可用，目前使用添加库的方法解决。

1.1.4 关闭 WiFi/BT 驱动加载

我买的是不带 WiFi 功能的板子，WiFi 芯片焊盘是空焊的。SDK 中的启动脚本默认会加载驱动，内核日志中会有一条找不到设备的报错，此处修改启动脚本直接不加载驱动。

修改 device/generic/rootfs_overlay/duos/mnt/system/duo-init.sh 文件，注释掉文件末尾处的加载aic8800_*.ko模块的命令。

其实也尝试过修改内核 defconfig 不编译对应的驱动，没有生效，原因待查。

1.1.5 小结

以上修改总结

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48

diff --git a/build/envsetup_milkv.sh b/build/envsetup_milkv.sh
index d9a2e104f..b774c2f88 100644
--- a/build/envsetup_milkv.sh
+++ b/build/envsetup_milkv.sh
@@ -239,7 +239,7 @@ function build_middleware()
   make "$ROOTFS_DIR" || return "$?"

   pushd "$MW_PATH"
-  make all -j$(nproc)
+  make all -j1
   test $? -ne 0 && print_notice "build middleware failed !!" && popd && return 1
   make install DESTDIR="$SYSTEM_OUT_DIR" || return "$?"
   popd
diff --git a/cvi_mpi/modules/isp/cv181x/isp-tool-daemon/isp_daemon_tool/Makefile b/cvi_mpi/modules/isp/cv181x/isp-tool-daemon/isp_daemon_tool/Makefile
index 62e95b178..528d9414a 100644
--- a/cvi_mpi/modules/isp/cv181x/isp-tool-daemon/isp_daemon_tool/Makefile
+++ b/cvi_mpi/modules/isp/cv181x/isp-tool-daemon/isp_daemon_tool/Makefile
@@ -64,6 +64,7 @@ LIBS += -lcvi_ispd2
 LIBS += -lraw_dump
 LIBS += -lcvi_dnvqe -lcvi_ssp2 -lteaisp
 LIBS += -lcviruntime -lcvikernel
+LIBS += -ltinyalsa

 LOCAL_CFLAGS = $(DEFS) $(INCS)
 LOCAL_CPPFLAGS = -fno-use-cxa-atexit
diff --git a/device/generic/rootfs_overlay/duos/mnt/system/duo-init.sh b/device/generic/rootfs_overlay/duos/mnt/system/duo-init.sh
index e155c6e37..e19465950 100755
--- a/device/generic/rootfs_overlay/duos/mnt/system/duo-init.sh
+++ b/device/generic/rootfs_overlay/duos/mnt/system/duo-init.sh
@@ -22,14 +22,13 @@ gpio_b17=465
 set_gpio ${gpio_b17} 0

 # Host Wake BT
-host_wake_bt=362
-set_gpio ${host_wake_bt} 1
+# host_wake_bt=362
+# set_gpio ${host_wake_bt} 1

 # WIFI/BT Module
-insmod /mnt/system/ko/aic8800_bsp.ko
-sleep 0.5
-insmod /mnt/system/ko/aic8800_fdrv.ko
+# insmod /mnt/system/ko/aic8800_bsp.ko
+# sleep 0.5
+# insmod /mnt/system/ko/aic8800_fdrv.ko

 # Insmod PWM Module
 insmod /mnt/system/ko/cv181x_pwm.ko

2 根分区扩容

Duo S 镜像文件写入到 SD 卡后，根分区 / 只使用了 768M 空间，这与 SD 卡的容量大小无关，是 SDK 中生成镜像文件时设置的（device/milkv-duos-musl-riscv64-sd/genimage.cfg）。将根分区扩容至占满 SD 卡容量后，板上系统能使用更大的容量，SD 卡的空间也不至于白白浪费。

以下方法选择其一即可。

2.1 使用 parted 命令扩容

官方 SDK （duo-buildroot-sdk-v2）中默认编译了 parted 工具，扩容操作方便得多，按以下命令操作：

1
2
3
4
5
6
7
8
9

# 查看磁盘信息
lsblk
df -hT
# 对指定分区扩容
parted /dev/mmcblk0 resizepart 3 100%
# 扩展文件系统
resize2fs /dev/mmcblk0p3
# 查看扩展结果
df -hT

设置过程图示：

用parted扩容根分区

2.2 使用 fdisk 命令扩容

如果 parted 工具不可用，还可选择 fdisk 工具“古法”扩容。扩容的原理是删除根分区，在原位置上新建一个占满 SD 卡容量的新分区。操作的关键在于一定要原地新建，删除的分区和新建的分区的起始扇区号必须一致。这样只修改了分区的信息，磁盘上的内容并没有改动。按以下命令操作：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

# 查看磁盘信息
lsblk
df -hT
# 对指定分区扩容
fdisk /dev/mmcblk0

### 以下命令在 fdisk 交互界面中输入
p              # 打印分区表，确认根分区的 Start 值
d              # 删除分区
3              # 选择删除第 3 个分区 (根分区)

n              # 新建分区
p              # 主分区 (primary)
3              # 分区号 3
266241         # 起始扇区：必须与原来一致
<回车>         # 结束扇区：直接回车使用默认最大值（占用所有剩余空间）

n              # 保持分区类型
<回车>         # 默认 ext4

w              # 写入分区表并退出
### fdisk 交互界面退出，回到 shell

# 扩展文件系统
resize2fs /dev/mmcblk0p3
# 查看扩展结果
df -hT

设置过程图示：

用fdisk扩容根分区

注意图中只展示了扩容分区的步骤，后续仍需要使用 resize2fs 命令扩展文件系统。

3 释放 ION 内存

Duo S 开发板上 Linux 成功启动后，发现内存只有 316M 可用（板载内存 512M），搜索了一下发现 SDK 中预留了一部分内存（170M）用作 ION 内存，用于 Multimedia buffer，应该是给 SoC 内部的多媒体处理模块用的。我对这部分功能不感兴趣，尝试修改配置将这部分内存释放出来。

在 SDK 中搜索到 build/boards/cv181x/sg2000_milkv_duos_musl_riscv64_sd/memmap.py 文件中定义了各部分内存的分配，直接将 ION 部分设置为 0，修改如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

diff --git a/build/boards/cv181x/sg2000_milkv_duos_musl_riscv64_sd/memmap.py b/build/boards/cv181x/sg2000_milkv_duos_musl_riscv64_sd/memmap.py
index d18d314ca..10c1b4cfc 100644
--- a/build/boards/cv181x/sg2000_milkv_duos_musl_riscv64_sd/memmap.py
+++ b/build/boards/cv181x/sg2000_milkv_duos_musl_riscv64_sd/memmap.py
@@ -40,10 +40,10 @@ class MemoryMap:
     # =================
     # Multimedia buffer. Used by u-boot/kernel/FreeRTOS
     # =================
-    ION_SIZE = 170 * SIZE_1M
-    H26X_BITSTREAM_SIZE = 2 * SIZE_1M
+    ION_SIZE = 0 * SIZE_1M
+    H26X_BITSTREAM_SIZE = 0 * SIZE_1M
     H26X_ENC_BUFF_SIZE = 0
-    ISP_MEM_BASE_SIZE = 20 * SIZE_1M
+    ISP_MEM_BASE_SIZE = 0 * SIZE_1M
     FREERTOS_RESERVED_ION_SIZE = H26X_BITSTREAM_SIZE + H26X_ENC_BUFF_SIZE + ISP_MEM_BASE_SIZE

     # ION after FreeRTOS

但是这样修改会导致启动时出现 OOPS：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76

[    3.438039] cv181x-cooling cv181x_cooling: Cooling device registered: cv181x_cooling
[    3.468018] [INFO] Register SBM IRQ ###################################
[    3.468045] [INFO] pvctx->s_sbm_irq = 37
[    3.483018] jpu ctrl reg pa = 0xb030000, va = (____ptrval____), size = 256
[    3.494692] end jpu_init result = 0x0
[    3.616765] cvi_vc_drv_init result = 0x0
[    3.651499] Summary:
[    3.653825] [0] carveout heap size:0 bytes, used:0 bytes
[    3.659700] usage rate:-1%, memory usage peak 0 bytes
[    3.665266]
[    3.665266] Details:
[    3.665266]          heap_id   alloc_buf_size         phy_addr         kmap_cnt      buffer name
[    3.678606]
[    3.680166] ion allocated len=0x1000 failed
[    3.684911] Summary:
[    3.687184] [0] carveout heap size:0 bytes, used:0 bytes
[    3.693033] usage rate:-1%, memory usage peak 0 bytes
[    3.698511]
[    3.698511] Details:
[    3.698511]          heap_id   alloc_buf_size         phy_addr         kmap_cnt      buffer name
[    3.711787]
[    3.713588] ion allocated len=0x1000 failed
[    3.718357] Summary:
[    3.720906] [0] carveout heap size:0 bytes, used:0 bytes
[    3.726650] usage rate:-1%, memory usage peak 0 bytes
[    3.732127]
[    3.732127] Details:
[    3.732127]          heap_id   alloc_buf_size         phy_addr         kmap_cnt      buffer name
[    3.745401]
[    3.746960] ion allocated len=0x4010 failed
[    3.751691] pstStCandiCornerCtrl->stMem.u64PhyAddr can't be 0!
[    3.757986] sys_ctx_mem_get() can't find it
[    3.762567] dmabuf_fd get failed, addr:0x14
[    3.767141] sys_ctx_mem_get() can't find it
[    3.771719] dmabuf_fd get failed, addr:0xffffffe002a28294
[    3.777584] Unable to handle kernel NULL pointer dereference at virtual address 0000000000000078
[    3.786925] Oops [#1]
[    3.789281] Modules linked in: cv181x_ive(FO+) cvi_vc_driver(FO) cv181x_jpeg(FO) cv181x_vcodec(FO) cv181x_tpu(FO) cv181x_clock_cooling(FO) cv181x_rgn(FO) cv181x_mipi_tx(FO) cv181x_vo(FO) cv181x_dwa(FO) cv181x_vpss(FO) cv181x_vi(FO) snsr_i2c(FO) cvi_mipi_rx(FO) cv181x_fast_image(FO) cv181x_rtos_cmdqu(FO) cv181x_base(FO) cv181x_sys(FO)
[    3.819888] CPU: 0 PID: 219 Comm: insmod Tainted: GF          O      5.10.4-tag- #1
[    3.827798] epc: ffffffdf809c909a ra : ffffffdf809c9066 sp : ffffffe0027e3a80
[    3.835167]  gp : ffffffe00098f2d8 tp : ffffffe0015bdc40 t0 : 0000000000000000
[    3.842625]  t1 : ffffffdf809d4600 t2 : 0000000000000000 s0 : 0000000000000000
[    3.850085]  s1 : 0000000000000000 a0 : 0000000000000000 a1 : 0000000000000000
[    3.857543]  a2 : ffffffdf809d4608 a3 : 0000000000000000 a4 : ffffffffffffffd0
[    3.865003]  a5 : 0000000000000000 a6 : 0000000000000007 a7 : ffffffdf809d4608
[    3.872462]  s2 : ffffffe000b68400 s3 : ffffffe000990088 s4 : ffffffdf809cc800
[    3.879921]  s5 : 0000000000000015 s6 : ffffffe000991068 s7 : ffffffe00096fe08
[    3.887381]  s8 : 0000003fe43439e0 s9 : 0000003fffa38da0 s10: 0000000000000014
[    3.894839]  s11: 0000000000000001 t3 : 0000000000000000 t4 : 0000000038000000
[    3.902297]  t5 : 0000000030000000 t6 : 0000000066000000
[    3.907785] status: 0000000200000120 badaddr: 0000000000000078 cause: 000000000000000d
[    3.915959] Call Trace:
[    3.918519] [<ffffffdf809c909a>] _sys_ion_free+0x68/0x196 [cv181x_sys]
[    3.925398] [<ffffffdf80d89b16>] stcandicorner_workaround+0xb0/0xce [cv181x_ive]
[    3.933060] [<ffffffe0002f5752>] proc_alloc_inum+0x1e/0x38
[    3.938732] [<ffffffe0002f5854>] proc_register+0x14/0xe0
[    3.944347] [<ffffffdf80d7b6de>] cvi_ive_probe+0x1e4/0x1ea [cv181x_ive]
[    3.951195] [<ffffffe000408dee>] platform_drv_probe+0x24/0x54
[    3.957143] [<ffffffe000407a44>] really_probe+0x210/0x33e
[    3.962728] [<ffffffe000407f22>] device_driver_attach+0x2c/0x48
[    3.968848] [<ffffffe000408036>] __driver_attach+0xf8/0xfe
[    3.974519] [<ffffffe000407f3a>] device_driver_attach+0x44/0x48
[    3.980639] [<ffffffe00040603a>] bus_for_each_dev+0x46/0x76
[    3.986402] [<ffffffe000406e70>] bus_add_driver+0x15a/0x186
[    3.992170] [<ffffffe000408494>] driver_register+0x7c/0xa2
[    3.997852] [<ffffffe000227104>] do_one_initcall+0x58/0xf2
[    4.003525] [<ffffffe000269734>] do_init_module+0x3e/0x174
[    4.009195] [<ffffffe00026b1da>] __do_sys_finit_module+0x92/0xb6
[    4.015407] [<ffffffe00026b1fc>] __do_sys_finit_module+0xb4/0xb6
[    4.021613] [<ffffffe00022805e>] check_syscall_nr+0x1e/0x22
[    4.031228] ---[ end trace b61bbf8cb217d7b4 ]---
Segmentation fault
[    4.049898] sh (194): drop_caches: 3
Starting app...

[root@milkv-duo]~# 

看起来应该是在初始化这些 SoC 内部模块时要分配 ION 内存，但已经没有 ION 内存可用，分配失败导致的错误。

按道理应当把这些模块的初始化代码删除或禁用，不过我暂时不清楚这些模块具体是做什么用的，甚至不知道名字，暂时还是保留一部分 ION 内存作为 workaround 消除这个错误吧。

从错误日志中可以看到，类似 ion allocated len=0x1000 failed 的日志打印了三次，猜测共做了三次分配，总计需要内存约 24K（0x1000 + 0x1000 + 0x4010 = 0x6010 = 24592B），预留 32K 内存给 ION，应当可以满足初始化时的分配。

做如下修改：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

diff --git a/build/boards/cv181x/sg2000_milkv_duos_musl_riscv64_sd/memmap.py b/build/boards/cv181x/sg2000_milkv_duos_musl_riscv64_sd/memmap.py
index d18d314ca..19fb26370 100644
--- a/build/boards/cv181x/sg2000_milkv_duos_musl_riscv64_sd/memmap.py
+++ b/build/boards/cv181x/sg2000_milkv_duos_musl_riscv64_sd/memmap.py
@@ -40,10 +40,10 @@ class MemoryMap:
     # =================
     # Multimedia buffer. Used by u-boot/kernel/FreeRTOS
     # =================
-    ION_SIZE = 170 * SIZE_1M
-    H26X_BITSTREAM_SIZE = 2 * SIZE_1M
+    ION_SIZE = 32 * SIZE_1K
+    H26X_BITSTREAM_SIZE = 0 * SIZE_1M
     H26X_ENC_BUFF_SIZE = 0
-    ISP_MEM_BASE_SIZE = 20 * SIZE_1M
+    ISP_MEM_BASE_SIZE = 0 * SIZE_1M
     FREERTOS_RESERVED_ION_SIZE = H26X_BITSTREAM_SIZE + H26X_ENC_BUFF_SIZE + ISP_MEM_BASE_SIZE

     # ION after FreeRTOS

修改后，启动时不再有 OOPS 错误日志。

编译镜像过程中会生成各阶段内存分配表：build/output/sg2000_milkv_duos_musl_riscv64_sd/cvi_board_memmap.txt，查看该表可以看到各部分内存分配起始地址、结束地址以及大小等明细。

1
2
3
4
5
6
7

kernel stage:
| Name          | KERNEL_MEMORY | MONITOR    | OPENSBI_FDT | FRAMEBUFFER | H26X_BITSTREAM | H26X_ENC_BUFF | ION        | ISP_MEM_BASE | FREERTOS   |
| Start Address | 0x80000000    | 0x80000000 | 0x80080000  | 0x9f628000  | 0x9fdf8000     | 0x9fdf8000    | 0x9fdf8000 | 0x9fdf8000   | 0x9fe00000 |
| End Address   | 0x9fe00000    | 0x80000000 | 0x80080000  | 0x9fdf8000  | 0x9fdf8000     | 0x9fdf8000    | 0x9fe00000 | 0x9fdf8000   | 0xa0000000 |
| Size          | 0x1fe00000    | 0x0        | 0x0         | 0x7d0000    | 0x0            | 0x0           | 0x8000     | 0x0          | 0x200000   |
| Size(M/K/B)   | 510M          | 0M         | 0M          | 8000K       | 0M             | 0M            | 32K        | 0M           | 2M         |
----------------------------------------------------------------------------------------------------------------------------------------------------

释放 ION 内存后，Linux 下使用 free -mh 命令查看可用内存达到 485M，根据分配表内核拥有的内存应该是 510M，有 2M 内存划给了 FreeRTOS。这中间约 25M 的差值应该都是由内核使用，这篇帖子里有一些讨论可供参考。

后续或许可以精细的分析一下，内核到底把内存用在哪里了。 TODO

QEMU 编译安装非常简单，也有较为详细的官方文档（QEMU Building Guide）可供参考，本文仅作为备忘供我需要时直接复制命令。

1 编译前准备

参考：

• docs/devel/build-system.txt
• QEMU Building Guide

1
2
3
4
5
6
7
8
9
10
11

sudo apt update

# 必须软件包
sudo apt install git libglib2.0-dev libfdt-dev libpixman-1-dev zlib1g-dev ninja-build

# 推荐软件包
sudo apt install -y libaio-dev libbluetooth-dev libcapstone-dev libbrlapi-dev libbz2-dev \
libcap-ng-dev libcurl4-gnutls-dev libgtk-3-dev libxen-dev liblzo2-dev libssh-dev librbd-dev \
libibverbs-dev libjpeg8-dev libncurses5-dev libnuma-dev libvdeplug-dev libvte-2.91-dev \
librdmacm-dev valgrind xfslibs-dev git-email libsasl2-dev libsdl2-dev libseccomp-dev \
libvde-dev libsnappy-dev libnfs-dev libiscsi-dev

2 编译安装命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

# 下载解压源码包
wget https://download.qemu.org/qemu-10.1.1.tar.xz
tar xf qemu-10.1.1.tar.xz
cd qemu-10.1.1

# 创建存放编译临时文件的目录
mkdir build && cd build

# 设置编译选项
../configure --target-list=riscv64-softmmu,riscv64-linux-user,riscv32-softmmu,riscv32-linux-user --prefix=/home/ubuntu/.local/qemu-10.1.1 --enable-slirp

# 编译
make -j$(nproc)

# 将可执行文件安装到 --prefix 指定的路径
make install

安装后可以设置用户环境变量便于使用，在 ~/.bashrc 活 ~/.zshrc 文件中添加：

1
2
3

export PATH="$HOME/.local/qemu-10.1.1/bin:$PATH"
# check
which qemu-system-riscv64

编译后可以删除 build 目录，如不需要再次编译，可以直接删除整个源代码目录

1

rm -rf qemu-10.1.1

3 参数简要说明

• --target-list：指定要编译的 QEMU 架构和模式，只编译需要的目标平台可以减少编译时间。
  • riscv64-softmmu：指定编译支持 RISC-V 64 位架构的系统级仿真（softmmu，模拟整个硬件和操作系统）。
  • riscv64-linux-user：指定编译支持 RISC-V 64 位架构的 Linux 用户态仿真（linux-user，只模拟用户态程序）。
  • riscv32-*：（可选）一些开源内容使用 RISC-V 32 位架构以简化代码，如果想不做修改就运行这些项目需要使用支持 32 位架构的 QEMU。
• --prefix：设定安装的目标路径。编译安装（make install）后，所有的二进制、库文件、配置文件都会安装到这个目录下，便于多版本管理。
• --enable-slirp：启用 slirp 用户态网络后端。slirp 是 QEMU 用于仿真网络的一种方法，允许虚拟机通过宿主机访问外部网络，以后如果需要在 QEMU 中运行 openEuler 这种大型 Linux 系统，可能会用到。

slirp 暂时未用到，相关内容在需要时补充，参考：QEMU Doc Networking

“跳过身份验证功能”指的是这两个选项：

两个跳过身份验证选项

• 勾选 对本地主机上的客户端跳过身份验证 选项，允许本机（localhost/127.0.0.1）访问 WebUI 时，跳过用户名和密码验证；
• 勾选 对 IP 子网白名单中的客户端跳过身份验证 选项，允许白名单列表中的 IP 或 IP 段设备访问 WebUI 时不进行用户名和密码验证，一般可能会填写一些局域网 IP。

看似是两个方便的功能，但是两个功能可能会让你的 qBittorrent WebUI 在互联网上裸奔。任何人都可以“畅通无阻”地访问你的 WebUI，无需用户名和密码认证。任何人都能添加、删除、修改你的种子，而且能直接看到你的私有 tracker 和 passkey。

而且开启公网访问的 WebUI 页面可能会被搜索引擎收录，如果你还有其他内网服务使用了形同虚设的弱密码，或者根本没有登录认证。那这些服务无一例外的在“裸奔”。

问题原因

如果开启了 WebUI 的跳过身份验证功能，并且使用了这些方法做“内网穿透”：

• 公网 IPv4/单播 IPv6 + 端口转发（端口映射）；
• DDNS（公网 IPv4/单播 IPv6） + 端口转发，和直接用 IP 区别不大；
• DDNS + 反向代理，通常会用于同二级域名访问不同的局域网服务；
• Cloudflare Tunnel，相当于 Cloudflare 提供了用于转发的公网服务器；
• FRP/NPS 等反向代理工具，内网的客户端与外网的服务端建立一个持久的连接（隧道）实现内网穿透；
• 其他工作过程类似反向代理的内网穿透方法。

这些方法用到的工具，几乎都是扮演了反向代理服务器的角色，将互联网客户端的请求转发到提供服务的局域网服务端。这个转发过程很有可能会导致请求的源 IP 地址变成来自本地（localhost/127.0.0.1）、来自 docker 的默认网桥 docker0、或者来自于属于白名单的某个局域网 IP。

从局域网服务（qBittorrent WebUI）的角度来看，经过反向代理服务器的请求通常是来自于这些应当跳过验证的 IP。

应对方法

最直接解决这个问题的办法，关闭 WebUI 中这两个跳过身份认证的选项，WebUI 认证使用复杂的用户名和强密码。使用 WireGuard 这类虚拟专用网络隧道（Virtual Private Network）工具做异地（外网）访问。

更进一步，不要将任何局域网内的个人服务映射到互联网上。FRP、NPS 和 Cloudflare Tunnel 这类内网穿透工具，原本的目的是将处于 NAT 后（如家庭网络）的内网服务映射到互联网上，供任何人访问。

但是，个人的服务本就不应该被任何人访问。即便可能还有一层服务自身提供的登录认证，也不应当暴露在互联网中，这些服务可能因更新不及时存在已知漏洞或者存在 0day 漏洞被攻击者利用。

使用强密码会好些吗？会，但仍然不推荐，借用 B 站 up @AlphaArea_的话：

即便设置了强密码，也不能把带锁的卫生间门当防盗门用。

此外，将家庭宽带中的内网服务映射至互联网提供 Web 服务，可能会有法律风险（引自阿里云文档）：

根据《互联网信息服务管理办法》以及《非经营性互联网信息服务备案管理办法》，国家对非经营性互联网信息服务实行备案制度，对经营性互联网信息服务实行许可制度。未取得许可或者未履行互联网内容提供商 ICP（Internet Content Provider）备案手续的，不得从事互联网信息服务。

解析至中国内地服务器的网站、App 等服务，必须完成 ICP 备案才可对外提供服务。

参考

• Cloudflare Tunnel
• Cloudflare Tunnel - Origin configuration
• Does Cloudflare Tunnel send visitor IPs to my origin?
• nps 文档
• frp 内网穿透原理及配置记录
• 新版 frp 进行内网穿透/反向代理及原理解析
• 阿里云 - 什么是 ICP 备案

PT 下载机今天重启之后突然连不上 SSH 了，我以为是之前的防火墙或者 Fail2Ban 设置有问题把我自己拦住了。

更换 IP 后还是连不上，不得不连上显示器键盘鼠标查看问题。

发现是 SSH 服务没有启动，错误信息：

1
2

error: Bind to port 53156 on 192.168.50.219 faild: Cannot assign requested address.
error: Bind to port 53156 on 192.168.70.219 faild: Cannot assign requested address.

SSH 启动失败

不过开机之后手动启动 SSH 是没有任何报错的：

手动启动 SSH 正常

经过排查启动失败的原因应该是 sshd 服务启动时间在 wg0 接口（WireGuard）启动之前，而我之前修改了 sshd 设置，从默认绑定的任意 IP（0.0.0.0）到具体的 IP（192.168.50.219，192.168.70.219），而此时还没有192.168.70.219这个 IP，导致了 sshd 启动失败。并且这种情况 sshd 退出的状态码是255，而sshd.service中使用参数RestartPreventExitStatus=255禁止在遇到这种状态码时自动重启。最终就导致了 sshd 绑定 IP 时遇到了未知的 IP 而异常退出，并且不再尝试重启。

解决方法 1

第一个方法就是修改sshd.service，移除参数RestartPreventExitStatus=255，让 sshd 不论什么原因启动失败后都尝试重启；并且增加参数RestartSec=10s推迟 sshd 重启时间，即第一次失败 10 秒后再启动，这期间 wg0 接口已经启动完成。10s 的时间是一个估计值，可以加长确保 wg0 接口启动完成，但不建议设置更短。

不要直接编辑/lib/systemd/system/ssh.service或者/etc/systemd/system/ssh.service，systemctrl提供了edit方式覆盖已有的设置。使用命令sudo systemctl edit sshd，编辑需要覆盖sshd.service中的设置。

在两条注释中添加要覆盖的配置项，RestartPreventExitStatus=表示将该参数清空：

1
2
3

[Service]
RestartSec=10s
RestartPreventExitStatus=

解决方法 1-10 秒后重启

设置后重启系统查看日志，结果符合预期，第一次启动失败 10 秒之后重启正常：

10 秒后重启正常

参考

解决方法 2

另一个方法也需要修改sshd.service，使用参数Requires和After指定 sshd 服务依赖 wg0，并且让 sshd 在 wg0 启动之后再启动，修改的内容为：

1
2
3

[Unit]
After=network.target auditd.service wg-quick@wg0.service
Requires=sys-devices-virtual-net-wg0.device

图中红框是新增的设置，After=network.target auditd.service这部分是原配置文件存在的：

解决方法 2-设置依赖

重启后检查日志，符合预期，直接启动成功，没有重启：

设置依赖后启动正常

参考

解决方法 3

还找到了这样一种方法，修改内核参数net.ipv4.ip_nonlocal_bind=1，允许绑定非本地 IP 地址，这样可以在网卡 IP 还没有确定的时候让 sshd 能够绑定配置文件中预设的 IP。原理上可行，但我没有验证，这里仅作记录。

参考

参考

• manpages-systemctl.1
• manpages-systemd.service.5
• systemd-NetworkTarget
• Network Configuration Synchronization Points
• sshd service fails to start
• SSH fails to start when ListenAddress is set to Wireguard VPN IP
• A note about dealing with OpenVPN or Wireguard VPN binding on Linux

• 2024-11-28：初始版本
• 2024-11-30：修复因绑定 WireGuard 接口 IP 在系统重启时 SSH 启动失败的问题 3.2.1 修改监听地址和端口
• 2025-05-09：修复 cups 服务和 avahi 服务设置 disable 后仍然能够自动重启的问题 4 只开启必要的服务

上篇文章搭建一台 PT 下载主机的最后提到计划写一些提高安全性的内容，原本是打算鸽一阵的。毕竟这台机器位于校园网内，本身没有公网 IPv4 地址，校园网的 IPv6 也是关闭入站连接的，我一度认为还是比较安全的。

然而，今天偶然看了一下登录失败日志，发现居然有内网设备在暴力破解 SSH。

登录失败日志

看来校园网内也并不十分安全，还是需要做一些必要的措施增加一些防护能力。

实际上关于 Linux 主机安全性方面有一些非常全面的文章，这些文章从各种角度介绍了如何加强 Linux 系统安全性。如 ArchLinux-Security 和 Securing Debian Manual 等。其中 ArchLinux-Security 建议完全读一遍，篇幅不长，语言也可以切换到中文。而 Securing Debian Manual 则更为详细，但是篇幅较长，适合对具体章节针对性的深入阅读。

实际选择的安全策略总是安全与便利的平衡，本文主要从实际操作的角度来记录我对这台 PT 下载机的配置。

1 概述

计划从我现在能想到的如下几个方面来提高下载机的安全性，当前主要是防御来自于网络的攻击，不涉及数据安全、备份、系统及软件更新已经硬件层面的安全防护（例如硬盘被偷）等方面的内容。

• 保护密码
• 保护 SSH
• 只开启必要的服务
• 设置防火墙
• 封禁可疑 IP

2 保护密码

2.1 使用强密码

下载机这一使用场景中，涉及到的密码主要有：

• Ubuntu root 用户密码；
• Ubuntu ubuntu 普通用户密码；
• Ubuntu 系统用户密码；
• qBittorrent WebUI 用户密码；
• Samba 用户密码。

root 用户的密码在安装系统后设定，建议使用密码生成工具生成随机密码，尽可能同时包含大小写字母、数字和符号以提升密码强度。root 密码设置好后很少使用，妥善保存即可，并不需要考虑是不是容易用大脑记住。

普通用户 ubuntu 的密码在登录 SSH、使用 sudo 运行命令等场景会频繁用到，建议在能记住的情况下尽量提高复杂性，即尽可能同时包含大小写字母、数字和符号，并且足够长（>=16 位）。

Ubuntu 的系统用户在搭建一台 PT 下载主机 - 使用独立的用户运行部分简单介绍过，在新建系统用户（或者低权限的普通用户）时，要确保这个用户不能通过 Shell 和 SSH 登录。

qBittorrent WebUI 和 Samba 的用户密码与 Ubuntu 普通用户的规则相同，用户名不容易被猜到，密码复杂。

2.2 妥善保管密码

密码应当被妥善保管，既要确保不会被别人获取，也要保证不会丢失。有时候不丢失密码可能会更重要，否则复杂的密码最终只能挡住你自己……

另外密码不要用明文写在命令中，有选择的情况下，可以将密码保存在文件中，并妥善设置权限。如搭建一台 PT 下载主机 - 挂载其他主机的 SMB 共享中对登录远程 NAS 的 Samba 用户名和密码的使用。

3 保护 SSH

下载机 SSH 版本：OpenSSH_8.9p1 Ubuntu-3ubuntu0.10, OpenSSL 3.0.2 15 Mar 2022

3.1 使用密钥连接 SSH

SSH 是连接下载机的主要方式，首先需要设置使用密钥连接 SSH，不再使用密码。在本机（不是下载机）操作：

3.1.1 生成密钥（可选）

这是一个可选的步骤，如果本地之前生成过 SSH 密钥，并且想使用原来的密钥，可以跳过这个步骤。

生成新的密钥：ssh-keygen -t ed25519 -C "your@email.com"，按提示生成即可。生成的默认路径 ~/.ssh，公钥的默认文件名为 id_ed25519.pub，私钥的默认文件名为 id_ed25519。

3.1.2 上传公钥

注意上传的是公钥 id_ed25519.pub，一般以 pub 为拓展名，别把私钥传上去了。两种方法任选：

• 使用命令上传：

1

ssh-copy-id -i ~/.ssh/id_ed25519.pub ubuntu@192.168.50.219`

验证用户 ubuntu 的密码后即可上传成功。

• 手动上传

首先打开公钥文件 id_ed25519.pub，复制其内容。

然后在Ubuntu 下载机操作（使用 SSH 密码连接，方便复制粘贴）：

将公钥内容粘贴到 authorized_keys 文件中，authorized_keys 文件开始时是不存在的，需要自己创建：vim /home/ubuntu/.ssh/authorized_keys。

保存后修改 authorized_keys 文件的权限为 600，只允许用户 ubuntu 对该文件读写：sudo chmod 600 authorized_keys。

3.1.3 重启 sshd 服务

公钥上传完成后，重启 SSH 服务：sudo systemctl restart sshd，在本机退出 SSH 后重新登录，无需输入密码。

3.2 修改 sshd 配置文件

配置文件位于 /etc/ssh/sshd_config，sshd 表示 SSH Server 的设置，而 ssh_config 是 SSH Client 的设置。修改的内容有些设置项存在于配置文件中，但是没有使用（被注释），需要取消注释并将值设置为以下推荐的内容：

打开配置文件：

1

sudo vim /etc/ssh/sshd_config

3.2.1 修改监听地址和端口

SSH 默认监听任意 IPv4/IPv6 地址的 22 端口，使用命令 sudo ss -tnlp | grep sshd或sudo netstat -ntlp | grep sshd 查看：

SSH 默认监听的地址和端口

这里修改为只监听 IPv4 地址；只允许来自于局域网（192.168.50.0/24）和 WireGuard 局域网（192.168.70.0/24）的设备连接，修改监听地址为下载机自身在有线网卡和 WireGuard 接口 wg0 上的 IP；使用一个不常用的端口降低被扫描到的可能。

这里有必要再放一下下载机所处的网络结构图：

网络整体结构

修改配置文件 /etc/ssh/sshd_config：

1
2
3
4
5
6
7

# 修改端口
Port 53156
# 只监听IPv4
AddressFamily inet
# 修改监听地址
ListenAddress 192.168.50.219
ListenAddress 192.168.70.219

修改保存后重启 SSH 服务 sudo systemctl restart sshd，再次查看监听情况 sudo ss -tnlp | grep sshd：

SSH 修改后的监听地址和端口

1

ssh -p 53156 ubuntu@192.168.50.219

3.2.2 登录设置

不允许 root 用户通过 SSH 登录：

1

PermitRootLogin no

不允许使用密码登录，不允许空密码：

1
2

PasswordAuthentication no
PermitEmptyPasswords no

设置超时自动断开连接：

1
2

ClientAliveInterval 300
ClientAliveCountMax 0

设置用户白名单：

1

AllowUsers ubuntu

4 只开启必要的服务

1
2
3

sudo systemctl --reverse list-dependencies avahi-daemon.service
# avahi-daemon.service
# ● └─cups-browsed.service

1
2
3
4
5
6
7
8
9
10
11
12

cat  /lib/systemd/system/cups-browsed.service
# [Unit]
# Description=Make remote CUPS printers available locally
# Requires=cups.service
# After=cups.service avahi-daemon.service network-online.target
# Wants=avahi-daemon.service network-online.target

# [Service]
# ExecStart=/usr/sbin/cups-browsed

# [Install]
# WantedBy=multi-user.target

1

sudo systemctl disable cups-browsed

这里按需关闭，下载机只用于下载，可以关闭其他不相关的服务。使用命令 sudo netstat -ntulp 查看使用的端口和占用端口的进程（想看到进程名需要使用sudo）。

4.1 关闭 cups

Ubuntu Desktop 默认有打印机共享服务 cups，关闭这个服务并禁止自动启动：

1
2

sudo systemctl stop cups
sudo systemctl disable cups

4.2 关闭 avahi

avahi-daemon 提供基于 mDNS(Multicast DNS) 和 DNS-SD(DNS Service Discovery) 的零配置网络服务。这个服务使设备能在本地网络中自动发现其他设备和它们提供的服务。不需要自动服务发现可以关闭：

1
2

sudo systemctl stop avahi-daemon
sudo systemctl disable avahi-daemon

4.3 关闭 nmbd

nmbd 是 Samba 套件中的一个守护进程，主要用于提供基于 NetBIOS 名称服务的网络功能。在 Windows 中，NetBIOS 名称服务允许主机通过网络名称（如计算机名，代替了 IP）相互通信。我一直都是使用 IP 访问 SMB，不需要主机名，关闭 nmbd 服务：

1
2

sudo systemctl stop nmbd
sudo systemctl disable nmbd

4.4 关闭 Samba 在 IPv6 上的监听

我不使用 IPv6 传输文件，这里关闭 Samba 在 IPv6 上的监听：

Samba 默认会同时监听 IPv6 地址

Samba 使用参数 bind interfaces only 和参数 interfaces 来控制 Samba 服务器的网络行为：

• bind interfaces only 参数用于限制 Samba 服务是否在“指定的接口或地址”上监听，可选值为 yes 和 no，默认值为 no 表示监听所有可用的接口和地址；
• interfaces 参数用来指定接口或地址，可以指定接口名称、IP 地址或者二者同时存在，例如 interfaces = eth0 192.168.2.10/24 192.168.3.10/255.255.255.0。

下载机只会在局域网（192.168.50.0/24）中与 NAS 和其他主机互传文件，所以这里只设置（192.168.50.0/24），此外使用 smbpasswd 命令修改密码时需要监听 localhost/127.0.0.1，127.0.0.1 也应当添加到接口列表。这里不能监听 lo 接口，因为 lo 接口包括 IPv6 的回环地址 ::1。

1
2
3
4

# 添加到 /etc/samba/smb.conf [global] 部分
bind interfaces only = yes
# interfaces = lo 192.168.50.0/24
interfaces = 127.0.0.1 192.168.50.0/24

保存后重启 smbd 服务，查看设置结果：

Samba 只监听指定的 IPv4 地址

不要试图在 interfaces 参数里添加 WireGuard 接口，或者 WireGuard 接口的 IP，不会生效！

而且由于设置了 bind interfaces only = yes，原本可以通过 WireGuard 连通的 SMB 也会无法访问。

参考bind interfaces only 参数

For file service it causes smbd(8) to bind only to the interface list given in the interfaces parameter. This restricts the networks that smbd will serve, to packets coming in on those interfaces. Note that you should not use this parameter for machines that are serving PPP or other intermittent or non-broadcast network interfaces as it will not cope with non-permanent interfaces.

WireGuard 接口是不支持广播的，图中 wg0 和 wg6 都是 WireGuard 接口：

WireGuard 接口不支持广播

参考：

• Samba is not listening on specified wireguard / vpn interface，但是选定的答案也是错误的，参考其他回复。
• Samba over Tailscale/Wireguard

这种情况只能使用 allow hosts 来限定哪些 IP 可以访问 SMB 服务，不能使用 interfaces 参数。

5 设置防火墙

5.1 Linux 防火墙的简单认识

Linux 防火墙一般由两部分组成，一部分是作为内核模块的 Netfilter 数据包过滤框架，负责数据包的捕获和处理。另一部分是运行在用户空间配置该框架的用户程序。传统的用户空间工具是 iptables，用户使用 iptables 配置 Netfilter 规则。xtables 是 iptables 在内核中的实现，是 Netfilter 框架的组成部分。

nftables 是 Netfilter 框架的新一代的子系统，旨在替代 xtables（及用户空间工具 iptables、ip6tables 等），它简化了规则管理，并提供更丰富的功能和更好的性能。

现阶段的 Linux 内核同时支持两种系统，从 Ubuntu 22.04 LTS 开始，防火墙后端默认使用 nftables，传统的 iptables 用户空间管理工具仍然能使用，不过默认情况下使用 nftables 后端实现，同时还提供了新的 nft 用户空间工具，能够创建传统 iptables 不支持的更灵活的规则。

Ubuntu 默认使用 ufw-Uncomplicated Firewall 作为防火墙程序，ufw 是 iptables 的一个上层抽象和简化工具，便于普通用户使用，而在复杂网络环境或需要更高自定义水平时，直接使用 iptables 仍是必要的。

我这里选用 iptables 作为防火墙配置工具。其实对于一台普通的主机（例如这台下载机），只需要开放特定的端口，阻止非必要的入站连接（有时也称为传入连接）等非常基础的防火墙功能，ufw 已经足够。选用 iptables 主要是我比较熟悉这个工具，而且可以配合使用 Fail2Ban，该工具对 iptables 支持比较完善。

为什么不用新的 nft（nftables）？因为不会，另外 iptables 还不大可能在短时间彻底被 nftables 替换掉。

5.2 检查 iptables 是否可用

首先关闭 ufw，使用命令 sudo ufw status 查看 ufw 状态，默认是关闭状态 inactive。如果 ufw 已经启用，使用命令 sudo ufw disable 禁用。

然后检查 iptables 版本 sudo iptables -V，我这里输出 iptables v1.8.7 (nf_tables)，这就是使用 nftables 作为后端的 iptables 工具。如果没有 iptables 命令，可能是没有使用 sudo，或者需要用 apt 安装一下。

5.3 针对一般主机的 iptables 配置

这部分主要参考了Simple stateful firewall，根据我的需要略作修改，非常建议去阅读原文。

iptables 会按照顺序处理规则，一旦数据包匹配到某条规则，则不会向后检查规则。应当将最常匹配到的规则放在前面，减少匹配规则的开销。另外由于这个特性，一些限定较为精准的规则应当放在限定比较宽泛的规则之前，允许访问的规则应当放在拒绝访问的规则之前。

1

iptables -A INPUT -p tcp -s 192.168.50.100 --dport 12345 -j ACCEPT

1

iptables -A INPUT -s 192.168.50.0/24 -j DROP

针对一般主机的防火墙设置时，主要操作 iptables 的 filter 表，不使用参数 -t <table> 指定表时，默认操作的就是 filter 表。

5.3.1 设置 IPv4 防火墙

• 恢复所有链的默认策略为 ACCEPT，清除所有规则，将防火墙恢复为初始状态：

1
2
3
4
5
6
7
8
9
10

# 先设置默认策略
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
# 清空规则
sduo iptables -F
# 查看结果
sudo iptables -nvL
# 查看结果(可选)
sudo iptables-save

清空后的 iptables 规则如图，iptables-save 的输出也可能为空，也是正常的。

恢复 iptables 规则到默认策略

• 添加自定义链，分别管理新到达的 UDP 数据包和 TCP 数据包：

1
2

sudo iptables -N MY_TCP
sudo iptables -N MY_UDP

• 设置 FORWARD 链默认规则：

本机不用做 NAT 网关，不会有经本机转发到其他主机的数据，所以转发直接丢弃。同时检查内核是否开启了转发，默认是关闭的，如果开启了也要关闭。

1
2
3
4
5
6
7
8

# FORWARD链默认丢弃
sudo iptables -P FORWARD DROP
# 查看内核是否开启转发(IPv4，IPv6)，输出0表示关闭
cat /proc/sys/net/ipv4/ip_forward
cat /proc/sys/net/ipv6/conf/all/forwarding
# 或者使用sysctl工具
sysctl net.ipv4.ip_forward
sysctl net.ipv6.conf.all.forwarding

临时关闭内核转发（重启后恢复，临时关闭仅作命令参考，实际需要永久关闭）：

1
2
3
4
5
6

# 直接修改文件
echo 0 | sudo tee /proc/sys/net/ipv4/ip_forward
echo 0 | sudo tee /proc/sys/net/ipv6/conf/all/forwarding
# 或者使用sysctl工具
sudo sysctl -w net.ipv4.ip_forward=0
sudo sysctl -w net.ipv6.conf.all.forwarding=0

永久关闭内核转发（如果默认已经关闭则无需操作）：

1
2
3
4
5
6
7
8
9

# 编辑配置文件
sudo vim /etc/sysctl.conf

# 添加或修改
net.ipv4.ip_forward = 0
net.ipv6.conf.all.forwarding = 0

# 应用更改，使配置生效
sudo sysctl -p

• 设置 OUTPUT 链默认规则：

OUTPUT 链管理本机主动发出的数据（出站），一般来说不需要做什么限制，所以保持为全部 ACCEPT 即可。

• 设置 INPUT 链规则：

INPUT 链管理所有外部主机发送到主机的数据（入站），在目的为本机的数据包到达接口后首先经过 INPUT 链过滤。对于入站数据我们只想接收允许的数据包，拒绝或者丢弃其他的数据，所以默认策略应当为 DROP。

但是考虑到使用 SSH 连接主机，如果先配置默认策略 DROP，SSH 连接会被立即断开，INPUT 规则先设置允许规则，设置完自定义链规则后再设置 INPUT 默认 DROP 规则。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

# 允许状态为RELATED或ESTABLISHED的数据包发送到本机
sudo iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# 允许接收来自lo接口的数据包，lo接口为本地回环接口
sudo iptables -A INPUT -i lo -j ACCEPT
# 丢弃状态为INVALID的数据包
sudo iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
# 允许本机被其他主机ping，接收ICMP类型为Echo Request(8)，状态为NEW的数据包
sudo iptables -A INPUT -p icmp --icmp-type echo-request -m conntrack --ctstate NEW -j ACCEPT
# 将接收到的状态为NEW的UDP连接使用自定义的MY_UDP链处理
sudo iptables -A INPUT -p udp -m conntrack --ctstate NEW -j MY_UDP
# 将接收到的状态为NEW的TCP SYN连接使用自定义的MY_TCP链处理
sudo iptables -A INPUT -p tcp --syn -m conntrack --ctstate NEW -j MY_TCP
# 拒绝未能匹配之前规则的UDP数据，并且发送一个ICMP端口不可达消息给UDP数据的发送方
sudo iptables -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable 
# 拒绝未能匹配之前规则的TCP数据，并且发送TCP RESET数据包立即关闭TCP连接
sudo iptables -A INPUT -p tcp -j REJECT --reject-with tcp-reset
# 拒绝其他所有的连接，并且回复发送方ICMP协议不可达
sudo iptables -A INPUT -j REJECT --reject-with icmp-proto-unreachable

• 设置自定义链 MY_TCP，MY_UDP 的规则：

使用命令 sudo netstat -ntulp 查看有哪些端口正在使用。注意之前在修改监听地址和端口，将 SSH 的默认端口号由 22 修改为 53156。qBittorrent 的 WebUI 的默认端口为 8080，我这里修改为 8789。

最终确定需要开放入站连接的端口和协议类型：

TCP 协议需要允许：SSH 连接（53156）、qBittorrent 的 WebUI（8789）、SMB 连接（445，139）。

UDP 协议无需开放任何端口入站。

1
2
3
4
5
6
7
8

# 允许SSH连接
# sudo iptables -A MY_TCP -p tcp --dport 22 -j ACCEPT
sudo iptables -A MY_TCP -p tcp --dport 53156 -j ACCEPT
# 允许qBittorrent的WebUI
sudo iptables -A MY_TCP -p tcp --dport 8789 -j ACCEPT
# 允许SMB
sudo iptables -A MY_TCP -p tcp --dport 139 -j ACCEPT
sudo iptables -A MY_TCP -p tcp --dport 445 -j ACCEPT

最后设置 INPUT 链默认规则为 DROP，将所有未匹配到的数据包丢弃：

1

sudo iptables -P INPUT DROP

至此，IPv4 防火墙配置完成。

使用命令 sudo iptables-save -f iptables.rules 可以将当前的规则保存在文件 iptables.rules 中，按上述设置过程得到的文件内容为：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

# Generated by iptables-save v1.8.7 on Thu Nov 28 00:06:39 2024
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:MY_TCP - [0:0]
:MY_UDP - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m conntrack --ctstate NEW -j MY_UDP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j MY_TCP
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -j REJECT --reject-with tcp-reset
-A INPUT -j REJECT --reject-with icmp-proto-unreachable
-A MY_TCP -p tcp -m tcp --dport 53156 -j ACCEPT
-A MY_TCP -p tcp -m tcp --dport 8789 -j ACCEPT
-A MY_TCP -p tcp -m tcp --dport 139 -j ACCEPT
-A MY_TCP -p tcp -m tcp --dport 445 -j ACCEPT
COMMIT
# Completed on Thu Nov 28 00:06:39 2024

5.3.2 设置 IPv6 防火墙

和 IPv4 的配置内容基本相同，不过用户空间程序使用 ip6tables，和 ICMP 协议有关的内容更新为 ICMPv6 对应的内容。

此外，在自定义链中开放了 qBittorrent-nox 监听的端口 51934 的 TCP 和 UDP 入站连接，这样其他 PT 用户才能连接到这台机器：

1
2

sudo ip6tables -A MY_TCP -p tcp --dport 51934 -j ACCEPT
sudo ip6tables -A MY_UDP -p udp --dport 51934 -j ACCEPT

类似的，使用使用命令 sudo ip6tables-save -f ip6tables.rules 可以将当前的规则保存在文件 ip6tables.rules 中，得到的文件内容为：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

# Generated by ip6tables-save v1.8.7 on Thu Nov 28 01:14:59 2024
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:MY_TCP - [0:0]
:MY_UDP - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -s fe80::/10 -p ipv6-icmp -j ACCEPT
-A INPUT -p ipv6-icmp -m icmp6 --icmpv6-type 128 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m udp --sport 547 --dport 546 -j ACCEPT
-A INPUT -p udp -m conntrack --ctstate NEW -j MY_UDP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j MY_TCP
-A INPUT -p udp -j REJECT --reject-with icmp6-adm-prohibited
-A INPUT -p tcp -j REJECT --reject-with tcp-reset
-A INPUT -j REJECT --reject-with icmp6-adm-prohibited
-A MY_TCP -p tcp -m tcp --dport 51934 -j ACCEPT
-A MY_UDP -p udp -m udp --dport 51934 -j ACCEPT
COMMIT
# Completed on Thu Nov 28 01:14:59 2024

1

-A INPUT -s fe80::/10 -p ipv6-icmp -j ACCEPT

1

-A INPUT -p udp -m udp --sport 547 --dport 546 -j ACCEPT

5.3.3 规则持久化保存

使用 iptables、ip6tables 命令设置的防火墙规则都是临时规则，重启后会被删除，想要持久化保存规则，最简便的办法是用 netfilter-persistent 服务。

安装：

1
2
3
4

sudo apt update
sudo apt install iptables-persistent
# 确保服务自动启动
sudo systemctl enable netfilter-persistent

安装过程中会提示是否保存当前的防火墙规则，选择是，保存的规则文件位于 /etc/iptables/rules.v4 和 /etc/iptables/rules.v6。文件的内容和之前使用 iptables-save 命令保存的文件一致。

以后再修改防火墙规则，可以使用命令手动保存：

1

sudo netfilter-persistent save

6 封禁可疑 IP

Fail2Ban 是一款开源的入侵防护软件，用于保护服务器免受暴力破解等潜在的恶意攻击。它通过监控日志文件以检测出多次失败的登录尝试，并自动添加防火墙规则（如 iptables）来暂时或永久禁止来自恶意 IP 地址的连接。

这里使用 Fail2Ban 监测 SSH 登录、qBittorrent 的 WebUI 登录和 Samba 登录的失败尝试。

6.1 安装 Fail2Ban

直接使用 apt 包管理器安装：

1
2
3

sudo apt update
sudo apt install fail2ban
# version 0.11.2

6.2 默认设置

Fail2Ban 的基本原理是实时监控由 logpath 指定的日志文件，使用 filter 中的规则匹配日志，如果在 findtime 时段内，匹配次数达到了 maxretry，就会执行 banaction动作封禁 IP，封禁时间由 bantime 定义。其他参数的含义可以参考默认配置文件 jail.conf 的注释。

Fail2Ban 提供了一些默认的日志匹配规则（位于 /etc/fail2ban/filter.d），一些默认封禁动作（位于 /etc/fail2ban/action.d）。

参考项目 WiKi-Proper fail2ban configuration，在 /etc/fail2ban/jail.d/ 路径下创建自定义配置文件 my.local。这个目录中可能会有自动生成的配置文件，比如我这里有一个 defaults-debian.conf，直接删除即可。

Fail2Ban 的配置项遵循一定的覆盖规则，总是自定义配置（*.local）覆盖默认配置（jail.conf），针对具体服务的设置（称为一个 jail，监狱）覆盖 [DEFAULT] 中的设置。先创建一个 [DEFAULT] 部分，这部分设置是 SSH、qBittorrent 的 WebUI 和 Samba 三个配置块的“全局”配置。

使用较为严格的封禁策略，5 分钟内有 3 次失败尝试直接封禁 72 小时。一旦某个 IP 被视为恶意的 IP，那么该 IP 也不应该连接其他端口了，直接使用 iptables-allports 封禁所有端口。当然这是比较激进的封禁策略，也可以使用 iptables-multiport 仅封禁对应服务的端口（如果不是默认端口要用 port 参数指定）。

自定义配置文件 my.local 内容：

1
2
3
4
5
6
7
8
9

[DEFAULT]
# 忽略的IP，即不会封禁的IP
ignoreip = 127.0.0.1/8
# 5分钟内有3次失败的尝试封禁72小时
maxretry = 3
findtime = 5m
bantime = 72h
# 使用iptables封禁于该IP的所有端口的连接
banaction = iptables-allports

6.3 保护 SSH 登录

其实 SSH 在修改为不常用的端口和禁止密码登录后已经变得相当安全，不过万一端口被扫到，还是会在系统日志（/var/log/auth.log）中留下一些垃圾记录。SSH 的配置十分简单，直接使用 Fail2Ban 提供的过滤规则即可：

在自定义配置文件 my.local 中追加 sshd 的 jail 规则：

1
2
3
4
5

[sshd]
enabled = true
port = 53156
filter = sshd
logpath = /var/log/auth.log

6.4 保护 qBittorrent-WebUI 登录

Fail2Ban 默认的过滤规则中，并没有直接适用于 qBittorrent-WebUI 登录失败的日志，不过我在 issues#3738 中找到了可以匹配的规则。

首先在 /etc/fail2ban/filter.d 目录中新建一个规则文件 qbittorrent.conf，内容如下：

1
2

[Definition]
failregex = ^\(W\)\s*-\s*WebAPI login failure\. Reason: [^,]+(?:, (?!IP:)[^,]+)*, IP:\s*<ADDR>, username:\s*<F-USER>\S*</F-USER>

这个正则表达式能够匹配这种格式的 WebUI 登录错误日志：

1

(W) 2024-11-28T01:35:23 - WebAPI login failure. Reason: invalid credentials, attempt count: 1, IP: 192.168.50.100, username: test

在自定义配置文件 my.local 中追加 qBittorrent-WebUI 登录的 jail，filter 参数使用我们自己创建的规则文件，qBittorrent 日志目录默认在运行 qBittorrent 的用户的 home 目录中：

1
2
3
4
5

[qbittorrent]
enabled = true
port = 8789
filter = qbittorrent
logpath = /home/ubuntu/.local/share/qBittorrent/logs/qbittorrent.log

默认的 WebUI 的语言设置和区域属性（General\Locale）相关联，界面设置为中文，那么输出的日志也是中文，上述规则无法匹配。我目前使用第三方 WebUI VueTorrent，这个 WebUI 中的界面语言可以单独设置，不影响 Locale 属性。这样原版 UI 中将语言选择为英语，日志用英语输出，在第三方 UI 中设置中文。修改语言后需要重启qBittorrent 才能修改日志的语言。

另外的解决方法就是写一个支持中文的正则表达式去匹配中文日志，我对正则表达式过敏，写不来这东西：

1	(W) 2024-11-28T01:49:53 - WebAPI 登录失败。原因：凭证无效，尝试次数：2，IP：192.168.50.100，用户名：test

使用以下命令测试规则：

1	sudo fail2ban-regex -l heavydebug ~/.local/share/qBittorrent/logs/qbittorrent.log /etc/fail2ban/filter.d/qbittorrent.conf

最后，qBittorrent 其实也有一个简单的封禁多次登录失败的 IP 的功能，也勉强够用：

qBittorrent 自身的封禁功能

6.5 保护 Samba 登录

同样 Fail2Ban 默认的过滤规则中，也没有针对 Samba 日志进行过滤匹配的规则，仍然需要自己创建规则。之前的 Samba 配置中对日志部分保持了默认，Samba 默认的日志级别为 0，只输出严重错误和启动停止信息。我们需要修改 Samba 设置输出用户认证的信息。

Samba 用于输出用户身份验证信息的模块有 auth、auth_audit 和 auth_json_audit，分别设置了一下发现日志输出格式不同。auth 输出详细的验证过程日志，auth_audit 输出的日志是“human_readable”日志，auth_json_audit 使用 JSON 格式输出类似 auth_audit 的内容。

最容易匹配的是 auth_json_audit 输出的 JSON 格式日志，这里设置常规日志的输出等级为 1，auth_json_audit 输出等级为 3（3：身份认证成功和失败都输出，2：只输出失败日志），auth_json_audit 的日志单独输出到/var/log/samba/auth_json_audit.log。

在 Samba 配置文件 /etc/samba/smb.conf 的 [global] 部分添加：

1

log level = 1 auth_json_audit:3@/var/log/samba/auth_json_audit.log

然后在 /etc/fail2ban/filter.d 目录中新建一个匹配规则文件 samba.conf，内容如下：

1
2
3

[Definition]
failregex = NT_STATUS_WRONG_PASSWORD.*remoteAddress": "ipv4:<HOST>:
            NT_STATUS_NO_SUCH_USER.*remoteAddress": "ipv4:<HOST>:

过滤规则参考了 Configuring Fail2ban for Samba-AD，匹配用户名不存在和密码错误两种情况。

最后在自定义配置文件 my.local 中追加 smbd 的 jail 规则，Samba 在验证身份时会建立两次连接，如果使用全局的 maxretry=3 很容易造成因为输错密码被封 IP，这里覆盖 [DEFAULT] 设置，放宽对失败次数的限制：

1
2
3
4
5
6

[smbd]
enabled = true
maxretry = 8
port = 139,445
filter = samba
logpath = /var/log/samba/auth_json_audit.log

还可以给可靠的局域网设备添加白名单（ignoreip 参数），防止被意外封禁。

最终的 my.local 文件：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

[DEFAULT]
# 忽略的IP，即不会封禁的IP
ignoreip = 127.0.0.1/8
# 5分钟内有3次失败的尝试封禁72小时
maxretry = 3
findtime = 5m
bantime = 72h
# 使用iptables封禁于该IP的所有端口的连接
banaction = iptables-allports

[sshd]
enabled = true
port = 53156
filter = sshd
logpath = /var/log/auth.log

[qbittorrent]
enabled = true
port = 8789
filter = qbittorrent
logpath = /home/ubuntu/.local/share/qBittorrent/logs/qbittorrent.log

[smbd]
enabled = true
maxretry = 8
port = 139,445
filter = samba
logpath = /var/log/samba/auth_json_audit.log

使用命令启动 Fail2Ban，并设置为自启动：

1
2

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

Fail2Ban 的日志记录在 /var/log/fail2ban.log，如果启动失败可以查看日志。

查看所有 jail 的状态，或者查看某个 jail 的状态：

1
2

sudo fail2ban-client status
sudo fail2ban-client status sshd

最后看一下测试效果，我使用一台局域网设备（192.168.50.106）在 WebUI 用错误的用户名和密码登录两次，均被 Fail2Ban 日志记录。然后用 SSH 使用错误密码登录三次，IP 被封禁，此时刷新 WebUI 发现也已经无法访问，符合预期，因为封禁策略使用的是 iptables-allports，直接封禁 IP 的所有端口，查看 iptables 记录可见 Fail2Ban 通过添加一条阻止入站的规则封禁 IP。

fail2ban.log 中记录了 192.168.50.106 的登录失败记录

192.168.50.106 设备已被 sshd jail 封禁

Fail2Ban 创建的 iptables 规则

如果发生了误封，可以手动解封，需要指定 jail 和 IP：

1

sudo fail2ban-client set <JAIL> unbanip <IP>

总结

断断续续终于把这篇文章写完了，对于一台工作在局域网的下载机，这些防御手段实在是有些过剩。

参考

• ArchLinux-Security
• Securing Debian Manual
• manpages-sshd_config.5
• smb.conf — The configuration file for the Samba suite
• Samba is not listening on specified wireguard / vpn interface
• Samba over Tailscale/Wireguard
• Ubuntu-Firewalls
• Simple stateful firewall
• IptablesHowTo
• Iptables 指南
• iptables 备忘清单
• fail2ban-jail.conf
• fail2ban-issues#3738
• Configuring Fail2ban for Samba-AD

• 2024-11-17：初始版本
• 2024-11-21：添加了网络结构图和 SMB 方案图
• 2024-12-13：在设置 qBittorrent 部分添加了指向不要使用 WebUI 跳过身份验证功能的链接

1 概述

最近用一些闲置设备搭建了一个用于 PT 下载的小主机，这里记录一下配置的过程。我用 PT 基本属于养老状态，偶尔下载一些资源，不想花费过多时间和精力去折腾，只是需要一台机器能长期开机保种而已。

此外由于目前尴尬的网络环境，以及我的硬件都是从闲置的硬件中挑选，一些方案可能比较奇怪，并不符合一般家庭网络场景下的常规选择，也没有性能、性价比和功耗等方面的考虑。

学校的校园网只提供无线方式接入，直接接入校园网的设备能获取到2001开头的公网 IPv6 地址（全球单播地址）。之前配置过一台 NAS，也在 NAS 上跑过一段时间的教育网 IPv6 PT，当时的方案是编译了带无线网卡驱动的 OpenWRT 软路由，通过无线网卡作为 WAN 口连接校园网，OpenWRT 配置了 IPv6 中继模式，让 LAN 侧设备都能获取到2001开头的 IPv6 地址。但是这个方案最近几个月变得不稳定，NAS 上连接教育网 PT 站还算正常，其他 LAN 侧设备虽然有 IPv6 地址，但无法访问 IPv6 网站，时好时坏，尝试回退软路由的配置到之前的备份也没有解决问题。最近新注册了其他非教育网 PT 站，NAS 也无法访问了。所以就准备单独搭建一个通过无线网卡联网的主机来挂 PT 保种，正好有一台联想 M710q 准系统主机闲置吃灰，也还有几块闲置的硬盘可以用。

1.1 硬件组成

主机使用联想 ThinkCentre M710q 准系统，用户手册，配件情况如下：

• CPU：I3-7100T（与 M710q 一起购买，支持 VT-d，当时想用来安装 PVE）
• 内存 1:16G DDR4 内存（旧笔记本拆机）
• 内存 2：空
• NVMe1：KIOXIA 512G SSD（旧笔记本拆机）
• NVMe2：主板未焊接，好像可以改 BIOS 支持
• SATA：Transcend 120G SSD（旧笔记本拆机，近十年前的 mSATA 硬盘，用一块转接板转为 SATA 接口）
• 网卡 M.2：AX210（本来是买给笔记本用的，装上后经常突然重启）
• USB：前面板 2 个 + 后面板 4 个，USB3.0 接口，接一个硬盘盒，安装了一块笔记本拆机的 2.5 寸 1T HDD

暂时的规划是用 120G 的 SSD 做系统盘，512G 的 SSD 和 1T 的 HDD 挂载到系统中存储下载的内容。对于我来说，PT 下载的数据存储的可靠性不需要太高，值得收藏的资源下载之后我会尽快同步到 NAS 中存储。

1.2 软件组成

• Ubuntu Desktop 22.04
  • 用户名：ubuntu
• WireGuard，外网远程访问；
• qBittorrent-nox，PT 下载与保种上传；
• Samba，SMB 共享。

1.3 网络结构

网络整体结构

图中标注为绿色的 IPv6 地址，是从校园网 AP 获得的能够稳定访问 IPv6 站点的地址。

标注为橙色的 IPv6 地址，是经过 OpenWRT 中继模式获得的 IPv6 地址，具有这些内网地址的设备访问 IPv6 站点并不稳定，故障似乎是近几个月才出现，因为我已经在 NAS 上正常用了一年多的 PT，原因暂时未知。

这也是我单独搞一个能直接连接校园网 AP，获取 IPv6 地址的下载机的主要原因。

OpenWRT 路由器通过无线接口 wlan0 连接校园网 AP：

• WAN 侧获得校园网 IPv4 地址（10.192.xx.111）、单播 IPv6 地址（2001:250:20x❌x❌x:111）；
• LAN 侧局域网使用 192.168.50.0/24 地址段，网关 IP 为 192.168.50.1，IPv6 设置为中继模式，局域网设备也能获取到单播 IPv6 地址。

公网 WireGuard 服务器：

• 阿里云小水管服务器，拥有公网 IPv4 地址（39.106.117.205）；
• 服务器作为所有没有公网 IP 的 WireGuard 节点的对端设备，其他节点之间的流量由服务器中转。
• WireGuard 虚拟局域网网段为 192.168.70.0/24，服务器自身局域网 IP 为 192.168.70.1；
• 使用WireGuard-Easy搭建 WireGuard 中转服务器，WireGuard-Easy 是一个用 WebUI 管理 WireGuard 节点的简单易用的工具，运行在 docker 容器中。
• WireGuard 中转服务器转发节点之间的数据的防火墙规则由 WireGuard-Easy 设置（容器中），容器外由 docker 开放端口（iptables），云服务器还需要在其控制台防火墙规则中开放对应的端口。

Ubuntu-PT 下载机：

• 通过无线接口 wlp2s0 连接校园网 AP，获得校园网 IPv4 地址（10.192.xx.219）、全球单播 IPv6 地址（2001:250:20x❌x❌x:219）；
• 通过有线接口 enp0s31f6 连接路由器 LAN 口，获得局域网 IP 地址（192.168.50.219），主要用于局域网内设备间 SMB 传输文件。禁用 IPv6，不用路由器中继的 IPv6；
• 通过接口 wg0 连接公网 WireGuard 服务器，主要用于穿透校园网 AP 隔离，也可以与非校园网设备的互连。

2 Ubuntu 系统安装

系统使用 Ubuntu Desktop 22.04，也可以用 Server 版本，基本所有操作都可以不使用图形界面。

常规的系统安装，注意选对安装的硬盘全新安装。遇到的问题是之前在 KIOXIA SSD 中安装过 PVE，Ubuntu 安装后启动时会进入 grub rescue 模式，将 KIOXIA SSD 分区表删除即可，这个硬盘里的内容本来也是要清空的。

3 Ubuntu 初始配置

• 设置 root 密码 : sudo passwd root

• 连接 WiFi，校园网的 WiFi 身份验证方式一般和普通路由器的 WPA/WPA2-PSK 不同，我这里使用 WPA/WPA2-EAP 加密，EAP 类型选择 PEAP，认证方式选择 EAP-MSCHAPV2，鉴权和密码分别输入校园网的登录用户名和密码，其他设置留空或保持默认即可。

• 修改软件源Tsinghua Open Source Mirror

  1 2 3 4

  sudo mv /etc/apt/sources.list /etc/apt/sources.list_bak sudo vim /etc/apt/sources.list sudo apt update sudo apt full-upgrade -y

• 开启 SSH 服务

  1 2 3

  sudo apt install ssh -y sudo systemctl enable ssh # 有关于 SSH 安全性的设置可以最后一起修改，暂时不需要修改配置文件

• 安装 Zsh，我习惯 Zsh 终端，安装过程参考之前文章：在 Ubuntu 中安装配置 Zsh

至此，完成了一个普通 Ubuntu 系统的安装和简单设置。

4 使用 WireGuard 实现外网访问

校园网存在 AP 隔离，不同设备间不能互访，上一小节的配置是在 M710q 上外接显示器和键盘鼠标来完成，现在解决“远程”SSH 连接的问题，让管理 M710q 能脱离显示器。

使用 WireGuard 是一个比较简单的方案，之前的其他设备互访也都是通过这个方法。WireGuard 是一种简单、高效和现代的虚拟专用网技术，简单理解是可以将不在同一局域网的设备连接到一个虚拟的局域网中实现相互访问，这里不做过多介绍。

WireGuard 本身不是“服务器 - 客户端”类型的连接，而是“节点 - 节点”的连接，相连的节点是对等的，互为对方的对端（peer）。但是这种情况要求至少有一方有公网 IP，如果两个节点都位于局域网中是无法连接的。这就不得不把 WireGuard 用成了“服务器 - 客户端”的模式，即让一个拥有公网 IP 的服务器充当 WireGuard 服务器节点，这个节点是所有无公网 IP 的节点的对端，无公网 IP 节点之间互访的流量会通过服务器中转。

我使用的是一个阿里云的小水管（1Mbps）服务器，只能用来连接 SSH，传文件就别想了。服务器使用WireGuard Easy建立，该工具提供了 WebUI 管理所有对端，设置 Ubuntu 下载机的虚拟子网 IP 后即可下载生成的配置文件 wg0.conf。对于只作为“客户端”的节点来说，不需要转发流量，不需要在配置文件中增加iptables规则，直接使用 WireGuard Easy 生成的配置文件无需修改。

Ubuntu 系统中安装 WireGuard 非常简单，直接用apt安装即可，安装后将配置文件 wg0.conf 移动至/etc/wireguard目录。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

# 安装
sudo apt install wireguard -y
sudo mv wg0.conf /etc/wireguard

# 启动，wg0是WireGuard的接口名，来自于配置文件名
sudo wg-quick up wg0
# 停止
sudo wg-quick down wg0

# 查看接口状态
sudo wg
sudo wg show

# 打开和关闭开机自启动
sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0

WireGuard 安装成功后，就可以用加入同一个 WireGuard 局域网的其他设备 SSH 连接到下载机的 WireGuard 局域网 IP 地址了，这样既能够在 AP 隔离的校园网内访问，也可以在非校园网环境访问。

5 挂载硬盘

对于一块全新的（已经删除分区的）硬盘，挂载到 Ubuntu 上的步骤一般为：创建分区，格式化，挂载，设置自动挂载。

如果硬盘有数据，可能需要删除分区，删除的步骤也在本节最后列出用作参考，不是必须的步骤。

文件系统选择 ext4，优点是 Linux 可以无痛兼容，缺点是 Windows 不能直接读取。后面会用 SMB 共享的方式让 Windows 来读写文件，不需要硬盘直连到 Windows 电脑上读写。

将硬盘挂载信息写入/etc/fstab文件，该文件在系统启动时被读入，执行挂载操作。挂载时使用硬盘的 UUID（Universally Unique Identifier），UUID 是固定的，避免了用设备节点名称（如/dev/sda1）挂载时，设备名称变化带来的挂载失败的问题。

5.1 创建分区

首先找到空硬盘：sudo fdisk -l或者lsblk，这里需要挂载的硬盘设备名为/dev/nvme0n1。

使用fdisk分区：sudo fdisk /dev/nvme0n1，用m命令打印帮助，如果只建立一个分区，直接用命令n，按照提示创建分区（保持默认一直回车即可），最后用w命令应用修改。用 w 保存修改之前，硬盘分区不会发生实际修改，随时可以退出 fdisk。

5.2 格式化

指定文件系统：sudo mkfs -t ext4 /dev/nvme0n1。

5.3 挂载

创建挂载目录，一般在/mnt目录下，我这里创建在当前用户 home 目录下：mkdir -p /home/ubuntu/nvssd。

挂载：sudo mount /dev/nvme0n1 /home/ubuntu/nvssd。

检查是否挂载成功：df -hT。

调整目录权限：挂载后nvssd目录会被修改为 root 所有，普通用户无读写权限。直接修改nvssd目录权限让当前用户 ubuntu 可用读写：sudo chown ubuntu:ubuntu nvssd。

5.4 设置自动挂载

查到硬盘的 UUID：sudo blkid，注意找对应硬盘的 UUID（不是 PARTUUID）。如果没有 UUID，可能是格式化没有成功。必须使用sudo，否则可能看不到所有硬盘。

找到要挂载硬盘的 UUID

编辑 fstab：sudo vim /etc/fstab，在最后一行加入：（替换为你自己硬盘的 UUID 和挂载路径）

1
2
3

UUID=6d0a******9c2 /home/ubuntu/nvssd  ext4  auto,nofail,user,rw  0  0
# nofail 防止硬盘故障无法开机
# user,rw 表示允许其他用户读写

编辑 fstab 文件

测试自动挂载：sudo mount -a，测试前先取消已有的挂载。与手动挂载一样，此时仍可能有权限问题，用同样方法调整：sudo chown ubuntu:ubuntu nvssd。最好重启后用命令df -hT检查是否自动挂载成功。

硬盘已成功挂载

5.5 其他问题

• 取消挂载：sudo umount /home/ubuntu/nvssd，取消挂载时如果当前工作目录（cwd）在挂载目录中会提示挂载目录正忙，取消挂载失败。
• 如需挂载 FAT32 和 NTFS 等非 UNIX 权限文件系统，可以通过挂载选项指定uid和gid修复权限问题，参考评论区，但是不要用在 EXT4 等文件系统中包含权限信息的文件系统中，这类文件系统直接修改挂载目录的所有权即可。
• 删除分区方法：使用fdisk删除分区：sudo fdisk /dev/nvme0n1，输入d命令，输入分区编号依次删除即可，最后用w命令保存。

6 配置 qBittorrent

最初由于无知安装了普通版本的qbittorrent，连接显示器导入了大量的种子之后才想起来查一下如何只启动 WebUI 而不启动 GUI，结果发现无 GUI 版本的程序叫qbittorrent-nox。

幸运的是qbittorrent和qbittorrent-nox可以共存（不能同时运行），默认情况下配置文件和种子信息数据存放路径相同，可以无缝切换。

6.1 安装 qbittorrent-nox

1
2
3
4
5
6

# 添加qBittorrent PPA源
sudo add-apt-repository ppa:qbittorrent-team/qbittorrent-stable

# 安装
sudo apt update
sudo apt install qbittorrent-nox -y

安装的版本为 qBittorrent v4.5.5，以下设置基于这个版本。

6.2 启动 qbittorrent-nox

启动 qbittorrent-nox 有两种方式可以选择，使用当前用户直接运行和创建独立的用户运行。

主要区别是：

• 使用当前用户运行：
  • 优点：
    • 设置和管理较为简单，不需要创建新用户，也不需要配置权限；
    • 下载的文件直接在当前用户的权限范围内，访问和修改都较为方便。
  • 缺点：
    • 安全性较低，权限较大。如果 qbittorrent-nox 被利用，攻击者可能获取当前用户的所有权限。
• 使用独立的用户运行
  • 优点：
    • 可以限制 qbittorrent-nox 仅拥有必要的权限，降低安全风险。
  • 缺点：
    • 文件访问不便，qbittorrent-nox 只能往新用户有写入权限的目录下载文件；并且下载的文件权限属于新用户，需要额外的权限调整才能让其他用户读写下载的文件。

考虑到下载机是我个人使用，不会将其暴露在公网，安全风险不是很高，简单起见直接用当前用户运行，不过下面仍然给出两种方式的操作步骤用作参考，选择任意一种即可。

使用当前用户运行

• 运行

运行：qbittorrent-nox，此时可以访问 WebUI。默认用户admin，密码adminadmin，设置信息和种子数据保存在当前用户的 home 目录中：

1
2

QBT_DATA_DIR="$HOME/.local/share/qBittorrent/BT_backup"
QBT_CONFIG_DIR="$HOME/.config/qBittorrent"

• 设置后台运行及开机自启动：

较新版本的 qBittorrent 提供了 systemd 的配置文件/usr/lib/systemd/system/qbittorrent-nox@.service，无需自己编写，运行时需要指定一个启动程序的用户作为参数。
这个文件在：github：qbittorrent-nox%40.service.in，如果系统中没有可以直接在这里复制。

1
2
3
4
5
6
7
8
9
10

# 启动，'@'后为指定的参数，由哪个用户运行 qbittorrent-nox
sudo systemctl start qbittorrent-nox@ubuntu
# 停止
sudo systemctl stop qbittorrent-nox@ubuntu
# 查看状态
sudo systemctl status qbittorrent-nox@ubuntu
# 开机自启动
sudo systemctl enable qbittorrent-nox@ubuntu
# 关闭开机自启动
sudo systemctl disable qbittorrent-nox@ubuntu

使用独立的用户运行

• 创建用户

创建一个非特权的新用户来运行 qbittorrent-nox，这里指定--system参数创建系统用户，系统用户拥有更少的权限，默认 shell 是/usr/sbin/nologin，即不允许从终端和 SSH 登录，也不需要密码。用--group参数创建用户组，对于系统用户如果不指定则会不创建新组。添加--home参数创建用户 home 目录。

1

sudo adduser --system --group --home /home/qbtuser qbtuser

如果没有指定--system参数，创建的是普通用户，需禁止用户从终端和 SSH 登录，使用命令sudo usermod -s /usr/sbin/nologin qbtuser，如需要恢复该用户的登录权限，使用命令sudo usermod -s /bin/bash qbtuser。

• 解决权限问题

一般可能会遇到两处权限问题：

1. 使用 qbtuser 启动的程序只能往 qbtuser 具有写入权限的目录中下载文件。
2. 使用 qbtuser 启动的程序下载的文件权限属于 qbtuser，其他用户不能访问。

如果下载的东西都存在 qbtuser home 目录中，且 home 目录足够大，第一个问题不需要处理。

如果需要向其他用户拥有的目录下载，比如我使用当前用户 ubuntu 挂载的硬盘目录nvssd，需要单独设置挂载目录的写入权限：

1

sudo setfacl -R -m "u:qbtuser:rwx" /home/ubuntu/nvssd

该命令递归地给予用户 qbtuser 对目录/home/ubuntu/nvssd及其所有子目录和文件的读、写和执行权限，允许用户 qbtuser 完全访问和操作这些文件和目录，而不影响其他用户的权限设置。

也可以像挂载硬盘中提到的那样，使用sudo chown qbtuser:qbtuser /home/ubuntu/nvssd将挂载目录的所有权转移至 qbtuser 用户，但这样又会让其他用户（如当前用户 ubuntu）无法访问nvssd，也就是变成了第二个问题那种情况，需要进一步将需要读取文件的用户加入到 qbtuser 用户组，让其他用户可以访问属于 qbtuser 的文件和目录。

1
2
3
4
5
6

# 使用adduser将已存在的用户ubuntu加入到已存在的用户组qbtuser中
sudo adduser ubuntu qbtuser
# 或者使用usermod命令 -a表示append
sudo usermod -aG qbtuser ubuntu
# 查看用户是否成功加入组
groups ubuntu

• 运行及开机自动运行

参考使用当前用户运行中的命令，将所有用户名替换成新的系统用户用户名 qbtuser。

1
2

sudo systemctl start qbittorrent-nox@qbtuser
sudo systemctl enable qbittorrent-nox@qbtuser

6.3 设置 qBittorrent

设置 qBittorrent 在 WebUI 中进行，这部分设置内容需要参考 PT 站的要求结合个人习惯设置，这里列出部分我觉得有用的设置。

部分设置参考了用户 @ColderCoder 发布在各 PT 站的帖子，在此表示感谢！

• 下载页面
  • 勾选为所有文件预分配磁盘空间；
  • 修改默认保存路径到挂载的硬盘目录；
• 连接页面
  • 监听端口设置为 10000-65535 之间的数，不要过小，也不要随机；
  • 取消勾选使用 UPnP/NAT-PMP，自己在路由器设置端口转发；
  • IP 过滤可以写一个.dat文件过滤掉所有 IPv4 地址，文件内容只需写入：0.0.0.0-255.255.255.255即可；
• 速度页面
  • 有些 PT 站会有最大速度要求，可以在这里加全局限制防止违规被 ban；
• BitTorrent 页面
  • 隐私部分全部取消勾选（针对 PT）；
  • 取消勾选 Torrent 排队；
  • 取消做种限制（按需）；
• RSS 页面
  • 考虑到近期 qBittorrent 的漏洞，取消勾选所有 RSS 功能；
• WebUI 页面
  • 设置语言为中文；
  • 端口修改为不常用的端口；
  • 取消勾选使用 UPnP/NAT-PMP，自己设置端口转发，使用 WireGuard 时，通过虚拟专用网络隧道访问，无需端口转发；
  • 建议启用 HTTPSTODO；即便是用 WireGuard，仍然建议配置 HTTPS（来自 AI 的建议，但我觉得没什么用）；
  • 验证部分的用户名和密码就是登录 WebUI 的用户名和密码，建议设置复杂密码；
  • 不要开启两个跳过身份验证功能；为什么不要使用 qBittorrent WebUI 的跳过身份验证功能？
• 高级页面
  • 网络接口选为无线网络接口，即有 IPv6 地址的接口；
  • 绑定到的可选 IP 地址选为所有 IPv6；
  • 磁盘 IO 类型设置为 POSIX 可以减少内存占用，需要 libtorrent 版本在 2.0 及以上，用ldd /usr/bin/qbittorrent-nox | grep libtorrent查看 qbittorrent-nox 依赖的库版本；
  • 勾选允许来自同一 IP 地址的多个连接；
  • 增大最大并行 HTTP 发布，直接加两个 0；

标记为TODO的内容以可能后会单独补充。

6.4 备份与恢复

在使用当前用户运行部分提到过 qBittorrent 的设置信息和种子数据保存在当前用户的 home 目录中：

1
2

QBT_DATA_DIR="$HOME/.local/share/qBittorrent/BT_backup"
QBT_CONFIG_DIR="$HOME/.config/qBittorrent"

qBittorrent 的备份和恢复只需要关心这两个目录中的文件。这里分享一个 ChatGPT 帮我写的备份程序，使用前注意修改为你自己的路径：

备份qBittorrent_backup.sh：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

#!/bin/bash
# 指定保存备份文件的目录
BACKUP_DIR="$HOME/qbittorrent_backup"
# 确保备份目录存在，不存在则创建
if [ ! -d "$BACKUP_DIR" ]; then
    mkdir -p "$BACKUP_DIR"
fi
# 需要备份的qBittorrent设置和数据目录
QBT_DATA_DIR="$HOME/.local/share/qBittorrent/BT_backup"
QBT_CONFIG_DIR="$HOME/.config/qBittorrent"
# 检查目录是否存在
if [ ! -d "$QBT_DATA_DIR" ] || [ ! -d "$QBT_CONFIG_DIR" ]; then
    echo "qBittorrent data or config directory does not exist."
    exit 1
fi
# 获取当前时间戳
TIMESTAMP=$(date +%Y%m%d%H%M%S)
# 备份，备份文件名添加备份时的时间戳
echo "Starting backup of qBittorrent settings and data..."
tar -czf "$BACKUP_DIR/qbittorrent_data_${TIMESTAMP}.tar.gz" -C "$QBT_DATA_DIR" .
tar -czf "$BACKUP_DIR/qbittorrent_config_${TIMESTAMP}.tar.gz" -C "$QBT_CONFIG_DIR" .
echo "Backup completed successfully."

7 配置 SMB 共享

开始提到我还有一台 OpenWRT 软路由在使用中，给我的一些其他设备提供了一个局域网环境，主要是给一些不能直接连接校园网 WiFi 的物联网设备提供网络，也可以让其他局域网主机连接 NAS。这台下载机同样需要接入到路由器的局域网中，因为我需要用 Windows 主机查看下载的内容，也需要将值得收藏的资源传输到 NAS 中保存。

SMB 部分网络结构

网络结构是下载机使用网线连接路由器，网线接口只用于下载机和内网其他主机（Windows 主机、NAS）之间传输文件。下载机的下载和上传以及连接 PT 站通过无线网卡直接连接校园网 WiFi 获取 IPv6。

原本计划在下载机配置 SMB 共享，将下载目录共享出去，Windows 主机和 NAS 挂载这个共享目录，可以实现 Windows 主机读写下载机、NAS 读写下载机的目的。但是实际测试发现 NAS 挂载 CIFS（SMB）共享目录并不稳定，传输文件时会经常卡住。

最后方案修改为：

最终 SMB 共享方案

• 下载机通过 SMB 共享下载目录/home/ubuntu/nvssd，实现与 Windows 主机的文件传输；
• NAS 中创建一个单独的目录/PTShare和一个低权限（只对/PTShare目录有读写权限）的 SMB 用户ptuser，专门用于下载机与 NAS 之间的文件传输，由下载机将 NAS 的共享目录挂载到/home/ubuntu/NAS_PTShare。

该方案虽然比较“将就”，但测试下来还是能够稳定的满足需求的。

下面7.1、7.2、7.3和7.4介绍下载机作为 SMB 服务端，安装并配置 SMB 服务，让 Windows 客户端能够访问下载机的 SMB 共享目录。7.5介绍下载机作为 SMB 客户端，挂载 NAS 上 SMB 服务器共享的目录。

7.1 安装 Samba

SMB 协议是“客户端 - 服务器”类型的协议，客户端通过该协议可以访问服务器上的共享文件系统，打印机等资源。Samba 是在 Linux 和 UNIX 系统上实现 SMB 协议的一个免费软件。在 Ubuntu 系统中可以直接使用apt包管理器安装：

1

sudo apt install samba -y

7.2 修改 Samba 配置

Samba 的配置文件位于/etc/samba/smb.conf，修改后可以使用命令testparm来测试配置文件是否存在错误，修改配置文件后建议重启 Samba 服务使文件修改生效。

配置文件由若干小节（section）组成，默认配置文件中一般包含[global]、[homes]、[printers]和[print$]。在我安装的版本中（Version 4.15.13-Ubuntu），[homes]部分已经被注释掉了，在一些旧版本中，[homes]部分默认是开启的。

[global]部分定义了一些全局配置，通常是规定了 Samba 服务器的行为，也可能包含一些“共享资源”参数的默认值。除[global]之外的所有小节都定义了一个“共享资源”，这些共享资源要么是文件共享服务（即将创建的共享目录就是这种），要么是可打印服务（如[printers]和[print$]）。

首先修改[global]部分，修改两处原有的配置，追加两条新增的配置：

1
2
3
4
5
6
7
8
9
10
11
12
13

# 原配置文件中为yes，这里改为no；
# 这个配置会影响后面创建文件和目录的权限设置，修改为no即可
obey pam restrictions = no

# 原配置文件中为yes，这里改为no；
# 该配置允许共享在没有身份验证的情况下被访问，通常用于让网络中的任何人都能访问某些公开的资源，不需要输入用户名和密码
usershare allow guests = no

# 以下两条配置为新增配置，放在[global]部分最后即可
# 设置SMB协议版本不低于SMB3，设置前确保所有客户端都支持SMB3
server min protocol=SMB3
# 安全模式设置为user，要求连接的客户端提供有效的用户名和密码，实际上这是默认的安全模式，不设置这一条也可以
security=user

如果客户端挂载时出现连接问题，可以考虑删除server min protocol=SMB3试一下，我在用 NAS 挂载下载机的 SMB 共享时，NAS 上的 SMB 客户端就不支持 SMB3 协议。

然后处理[homes]、[printers]和[print$]，如果没有明确的理由需要使用这些功能，建议全部注释掉以关闭 home 目录的共享和打印机共享。我这里全部注释。

最后增加要共享的目录，我这里直接将硬盘的挂载目录共享出去，以目录/home/ubuntu/nvssd为例：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

[NVSSD]
    # 资源描述信息
    comment = NVMe SSD 500G
    # 共享的目录
    path = /home/ubuntu/nvssd
    # 允许连接的主机
    hosts deny = 0.0.0.0/0
    hosts allow = 192.168.50.0/24 192.168.70.0/24
    # 允许访问的用户（多用户用逗号隔开，"@组名"可以指定一组用户）
    valid users = ubuntu
    # 禁止访问的用户
    # invalid users = root
    # 允许写入的用户
    # write list = ubuntu
    # 共享目录可被浏览（
    # 设置为no后访问主机地址看不到path目录，但访问包含目录的地址可以打开目录
    browseable = yes
    # 共享目录是否可写
    writable = yes
    # 是否允许guest用户访问
    guest ok = no
    # 新建文件的最高权限（DOS权限->UNIX权限后与该参数按位与得到UNIX权限）
    # 文件0664与Ubuntu默认用户权限相同
    create mode = 0664
    # 新建目录的最高权限（DOS权限->UNIX权限后与该参数按位与得到UNIX权限）
    # 目录0775与Ubuntu默认用户权限相同
    directory mode = 0775
    # 新建文件的最低权限（将上一步得到的UNIX权限与该参数按位或得到最终权限）
    # 默认值为0000，Windows创建的权限与Linux显示的权限不一致时可以启用该参数强制修改权限
    force create mode = 0664
    # 新建目录的最低权限（将上一步得到的UNIX权限与该参数按位或得到最终权限）
    # 默认值为0000，Windows创建的权限与Linux显示的权限不一致时可以启用该参数强制修改权限
    force directory mode = 0775

设置项的含义和用途基本已在注释中说明，这里说明两处细节：

• 访问控制

出于安全性考虑，使用hosts deny和hosts allow限定了允许连接的主机 IP 段，即先拒绝所有 IP 的连接，然后放通内网网段（192.168.50.0/24）和 WireGuard 内网网段（192.168.70.0/24）的连接。

hosts deny和hosts allow也可以在[global]部分设置，但是与其他参数惯用的：“共享资源”中的设置优先于（覆盖）“全局默认”的设置不同，对于可连接的主机设置是[global]会覆盖“共享资源”中对应的条目。此外如果再加上仅有hosts deny或者仅有hosts allow时的特殊规则，会让 Samba 的访问控制逻辑变得十分复杂。Samba 访问控制的详细分析可以访问文末相关的参考链接。

配置后可以使用命令testparm /etc/samba/smb.conf pc 192.168.1.11测试配置文件中设置的访问控制的有效性，pc是待测试的客户端主机名，可以使用任意字符串，192.168.1.11是待测试的客户端的 IP，可以测试当前的客户端 IP 能否访问共享的资源。

我这里用简单明确的方式，不在[global]设置，仅在具体的“共享资源”中设置，缺点就是如果需要修改则需要逐个修改所有共享。

• 权限控制

配置文件中使用了create mode和directory mode分别控制在共享目录中创建文件和目录的权限，按照文档描述，新建的文件或目录的权限是在完成 DOS 权限模型到 UNIX 权限模型的映射后，将得到的权限值与该参数按位与得到新建文件的权限。

二进制运算中，经常用按位与运算x = x & (~mask)来将x中对应mask为 1 的那些位修改为 0，而不影响对应mask为 0 的那些位，这里将映射后的权限与该参数按位与，就是将该参数没有指定的（为 0 的）那些权限移除，计算后的权限一定不包含该参数没有的那些权限，可以认为这个参数限制了新建文件和目录的最高权限。

文档中同时说明了force create mode和force directory mode的用途，即将create mode和directory mode产生的权限结果再和force参数做一次按位或，按位或运算x = x | mask用于将x中对应mask为 1 的那些位修改为 1，而不影响对应mask为 0 的那些位，这里使用按位或运算添加了该参数所指定的权限，也就是最终权限中一定包含该参数所指定的那些权限。可以认为这个参数限制了新建文件和目录的最低权限。

总结：

• create mode和directory mode用来移除权限，客户端创建文件或目录的权限经过这两个参数移除之后，得到不超过这两个参数的权限；
• force create mode和force directory mode用来增加权限，上一步得到的权限经过这两个参数增加后，得到不低于这两个参数指定的权限；
• create mode和directory mode设置的权限高于force create mode和force directory mode设置的权限是没有意义的。

举个例子：Windows 客户端创建一个文件，假定初始权限是 644（我并没有深入了解 DOS 权限到 UNIX 权限是如何转换的，这里仅假设一个权限说明权限参数的作用），文件所有者有读写权限，组内用户和其他用户有读权限。首先和create mask = 0604按位与得到权限为 0604，移除了组用户的读权限，然后和force create mode = 0741做按位或运算得到最终权限 0745，给所有者和其他用户添加了可执行权限，给组内用户增加了可执行权限。

可以用计算器（八进制模式）计算结果。

计算权限结果

也可以按照以上例子中的参数设置，新建文件验证文件权限（但是这个设置完全是我为了举例子瞎编的，完全不合理，测试一下即可，不要使用！）。

新建文件测试权限设置有效

这里有一个坑点，文档中说明create mask等同于create mode，directory mask等同于directory mode。但是，带force的参数只有force create mode和force directory mode，没有force create mask和force directory mask。

错误的使用了force create mask和force directory mask在testparm时会提示未知参数被忽略，但我起初没注意到这个错误提示……

提示 force create mask 是未知参数

另外在[global]设置处提到，如果设置了obey pam restrictions = yes，最终权限也可能不符合预期计算的结果，参考：Samba permissions being ignored。

实际上，搭配使用不带force的参数和带force的参数，不论初始权限是什么最终权限总能修改成所需要的权限。

我这里将两参数指定为相同的权限，最终得到的效果就是不论是从什么类型的客户端新建或上传文件，权限都会强制修改为 Ubuntu 当前用户 ubuntu 的默认权限，文件为 664，目录为 775。

7.3 启动 Samba 服务

启动服务之前，还需要添加客户端登录 Samba 服务器的用户名和密码，只能使用系统中存在的用户，如果想使用独立的用户访问 SMB 服务，先添加新用户，添加新用户的方法在使用独立的用户运行中介绍过。

我这里直接使用当前用户 ubuntu，添加时提示输入的密码是登录 SMB 服务器的密码，不是登录终端和 SSH 的密码。

1
2

# 添加Samba用户
sudo smbpasswd -a ubuntu

其他可能用得到的命令：

1
2
3
4
5
6
7
8

# 列出所有Samba用户
sudo pdbedit -L
# 禁用Samba用户
smbpasswd -d ubuntu
# 启用Samba用户
smbpasswd -e ubuntu
# 删除Samba用户
smbpasswd -x ubuntu

Samba 启动停止和自启动等也用systemctl管理：

1
2
3
4
5
6
7
8
9
10

# 启动
sudo systemctl start smbd
# 停止
sudo systemctl stop smbd
# 查看状态
sudo systemctl status smbd
# 开机自启动
sudo systemctl enable smbd
# 关闭开机自启动
sudo systemctl disable smbd

启动后在 Windows 上访问\\192.168.50.219（下载机局域网 IP 地址），输入 Samba 用户名和密码后，就可以查看下载机的共享目录了。

7.4 修复默认路由问题

受限于网络环境，我的下载机同时连接了网线和 WiFi。网线接口禁用了 IPv6，仅用于局域网内的 SMB 文件互传；无线网卡负责访问外网，包括常规的 IPv4 流量和连接 PT 站的 IPv6 流量。

Ubuntu Desktop 22.04 默认用 NetworkManager 管理网络连接（Sever 版似乎用 netplan），有线网络和无线网络都会自动创建默认网关，而有线网络的优先级默认高于无线网络（参考：NetworkManager 管理多个默认网关）。有线网络 Ethernet 默认的 Metric 为 100，无线网络 Wi-Fi 的默认 Metric 为 600，数值越小优先级越高。

默认设置

图中第一条网关为192.168.50.1（OpenWRT 路由器），接口为enp0s31f6的路由规则应当被删除，并且以后也不自动创建这条路由。

修改有线网卡的连接配置让其不再自动添加默认网关：

显示所有连接：

1

nmcli connection show

显示所有连接

设置连接'Wired connection 1'的ipv4.never-default值为yes：

1

sudo nmcli connection modify 'Wired connection 1' ipv4.never-default yes

重启'Wired connection 1'连接：

1
2

sudo nmcli connection down 'Wired connection 1'
sudo nmcli connection up 'Wired connection 1'

修改后重启连接

最后查看路由表，现在的路由表符合预期：

1

route -n

路由表设置成功

7.5 挂载其他主机的 SMB 共享

这里将 Ubuntu 下载机（IP：192.168.50.219）作为 SMB 客户端，挂载 NAS（IP：192.168.50.233）上 SMB 服务器共享的目录，用于下载机与 NAS 之间的文件传输。虽然在 Linux 主机中使用 NFS (Network File System) 挂载可能更合理，但是 NAS 先前已经设置好了 SMB 服务器，此处为了减少工作量也使用了 SMB 方式。

挂载 NAS 的 SMB 共享

首先在 NAS 中创建一个单独的共享目录PTShare和一个专门让下载机登录的 SMB 用户ptuser，ptuser用户设置为只对PTShare目录具有读写权限。

然后在 Ubuntu 下载机操作，挂载 NAS 上的共享目录PTShare，首先安装必要的工具包：

1

sudo apt install cifs-utils

挂载，将 NAS 上的远程目录PTShare挂载到本地的目录/home/ubuntu/NAS_PTShare，本地目录需要提前创建：

1
2

mkdir -p /home/ubuntu/NAS_PTShare
sudo mount -t cifs -o uid=1000,gid=1000,username=ptuser //192.168.50.233/PTShare /home/ubuntu/NAS_PTShare

挂载命令中的挂载参数uid=1000，也可以直接使用用户名uid=ubuntu，设置这个参数指定挂载目录中文件的默认所有权，如果不设置默认为uid=0，即root用户。

输入挂载命令后，会提示输入密码，这个密码是在 NAS 中创建的 SMB 用户ptuser的登录密码。密码也可以直接使用参数password=xxxxx的方式指定，但如果包含,则会出错，更推荐的做法是将登录信息写在凭证文件中。

建立凭证文件，如/root/.ptuser.smb_credit，安全起见最好将这个文件设置为仅有 root 用户可以读写，这里放在 root 用户的 home 目录中，并将权限设置为 600：

1
2
3
4
5
6

sudo vim /root/.ptuser.smb_credit
# 写入SMB用户名和密码
username=ptuser
password=xxxxxx
# 修改权限为600
sudo chmod 600 /root/.ptuser.smb_credit

挂载命令修改为：

1

sudo mount -t cifs -o uid=1000,gid=1000,credentials=/root/.ptuser.smb_credit //192.168.50.233/PTShare /home/ubuntu/NAS_PTShare

查看挂载情况：

1

df -hT

还可以使用参数指定 SMB 协议版本为 SMB3 及以上（可选）：

1
2

# 使用SMB3.0
sudo mount -t cifs -o uid=1000,gid=1000,seal,vers=3.0,credentials=/root/.ptuser.smb_credit //192.168.50.233/PTShare /home/ubuntu/NAS_PTShare

取消挂载方式与挂载硬盘相同：

1

sudo umount /home/ubuntu/NAS_PTShare

至此完成了在 Ubuntu 下载机挂载 NAS 上的 SMB 共享目录的过程，注意这种挂载是临时的，重启后会失效，这与普通硬盘的挂载是相同的。设置自动挂载的方式也一样，通过将挂载信息添加到/etc/fstab文件实现开机自动挂载，参考挂载硬盘，我这里并没有设置自动挂载，给出参考写法：

1
2

# 添加到/etc/fstab
//192.168.50.233/PTShare  /home/ubuntu/NAS_PTShare  cifs  _netdev,nofail,uid=1000,gid=1000,credentials=/root/.ptuser.smb_credit  0  0

与直接执行mount命令相比增加了两个参数，_netdev表明这是一个网络设备，系统会在网络就绪之后再尝试挂载；nofail表示不报告错误，不指定这个参数时如果挂载出错可能导致系统无法启动。

至此基本完成了下载机的配置，本来还计划记录一些提高安全性的内容，这里也标记为DONE，后面再单独写吧。已完成，见提高 PT 下载机安全性的配置 。

参考

• Ubuntu 自动挂载硬盘实现所有用户可读写
• Share access controls
• Running qBittorrent without X server
• 在 Ubuntu 服务器上安装 qBittorrent-nox
• 如何在 Ubuntu 18.04 桌面或服务器上安装 qBittorrent
• smb.conf — The configuration file for the Samba suite
• 树莓派 Samba 服务器
• Chapter 6. The Samba Configuration File
• Samba 访问控制 smb.conf
• Samba permissions being ignored
• 24.10. 修复因为多个默认网关导致的意外路由行为
• 9.2. 挂载 SMB 共享
• manpages-mount.8
• manpages-mount.cifs.8

1 准备源代码

下载并解压源代码，这里选择更新到 13.3.0 版本。

1
2

wget https://ftp.gnu.org/gnu/gcc/gcc-13.3.0/gcc-13.3.0.tar.gz
tar -xvf gcc-13.3.0.tar.gz

2 安装依赖

首先确保使用apt安装了基本的编译环境。

1

sudo apt update && sudo apt install -y build-essential libgmp-dev libmpfr-dev libmpc-dev gcc-multilib

然后下载 GCC 13.3.0 编译过程中需要的依赖。

1
2

cd gcc-13.3.0
./contrib/download_prerequisites

3 编译安装

根据GCC 文档的说明，不能在代码所在目录gcc-13.3.0编译，应当创建一个和代码同级的目录生成 Makefile 文件，这里创建gcc-build目录。

1
2
3

# 回到 gcc-13.3.0 所在的 home 目录后创建 gcc-build
cd ~
mkdir gcc-build

创建后的目录结构应为：

1
2
3
4

.
├── gcc-13.3.0
├── gcc-13.3.0.tar.gz
├── gcc-build

运行配置程序生成 Makefile，同样根据GCC 安装文档，这个步骤不要添加过多自己不清楚是干什么的参数。

1
2
3

# 进入 gcc-build 目录后使用 configure 生成 Makefile
cd gcc-build
../gcc-13.3.0/configure --enable-languages=c,c++

3.1 编译

这个过程可能会非常慢，取决于硬件条件，使用虚拟机的话可以临时把 CPU 和内存都调到最大。我在虚拟机中编译，AMD R7-6800H 内核分配 16，内存分配 8G，编译时间大约 55 分钟。

1

make -j$(nproc)

编译过程中可能会出现错误，大多数情况是因为缺少依赖，根据报错信息搜索安装对应的依赖即可。编译中断后，可以在gcc-build目录中重复执行make -j$(nproc)命令，已经编译过的文件不会再次编译，幸运的话可以节省一些时间。

3.2 安装

这一步也会花费一些时间，但是比编译要快得多。在configure时没有指定--prefix参数，默认安装到了/usr/local/bin。向/usr/local/bin目录写入文件需要使用sudo。

1

sudo make install

3.3 添加动态库的路径

安装完成后会看到终端中有类似这样的提示：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

Libraries have been installed in:
   /usr/local/lib/../lib64

If you ever happen to want to link against installed libraries
in a given directory, LIBDIR, you must either use libtool, and
specify the full pathname of the library, or use the '-LLIBDIR'
flag during linking and do at least one of the following:
   - add LIBDIR to the 'LD_LIBRARY_PATH' environment variable
     during execution
   - add LIBDIR to the 'LD_RUN_PATH' environment variable
     during linking
   - use the '-Wl,-rpath -Wl,LIBDIR' linker flag
   - have your system administrator add LIBDIR to '/etc/ld.so.conf'

See any operating system documentation about shared libraries for
more information, such as the ld(1) and ld.so(8) manual pages.

这是提示我们新的 GCC 的动态库安装在了/usr/local/lib/../lib64路径下，需要通过给出的方法中的至少一种，将这个路径添加到动态库搜索路径中。

可以选择修改环境变量的方式修改：

1
2

export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/lib/../lib64
export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/lib/../lib32

将上面两条命令写入终端配置文件（如.bashrc、.zshrc等），可以实现永久配置。

也可以选择修改/etc/ld.so.conf配置文件，需要使用sudo，新加入的路径放在上面会优先于原来的路径查找：

1
2
3
4
5
6

# 原文件
include /etc/ld.so.conf.d/*.conf
# 修改后
/usr/local/lib/../lib64
/usr/local/lib/../lib32
include /etc/ld.so.conf.d/*.conf

修改/etc/ld.so.conf配置文件后，需要使用sudo ldconfig命令刷新。

4 更新软连接

虽然已经编译安装完成，但使用gcc -v命令查看版本还没有更新，还需要修改gcc和g++命令的软连接，将其指向我们刚编译安装的/usr/local/bin/gcc和/usr/local/bin/g++。

查看旧版本的 GCC 所在的路径

1
2
3
4
5
6
7

which gcc
# /usr/bin/gcc
ls -l /usr/bin/gcc* /usr/bin/g++*
# /usr/bin/g++ -> g++-12
# /usr/bin/g++-12 -> x86_64-linux-gnu-g++-12
# /usr/bin/gcc -> gcc-12
# /usr/bin/gcc-12 -> x86_64-linux-gnu-gcc-12

可以发现原本的gcc命令也是一个软连接，指向另一个软连接gcc-12，而gcc-12指向了真正的可执行文件x86_64-linux-gnu-gcc-12。g++命令也是一样。

现在删除原本的gcc和g++：

1

sudo rm /usr/bin/gcc /usr/bin/g++

新建指向/usr/local/bin/gcc和/usr/local/bin/g++的gcc和g++：

1
2

sudo ln -s /usr/local/bin/gcc /usr/bin/gcc
sudo ln -s /usr/local/bin/g++ /usr/bin/g++

此时就可以使用gcc -v验证更新后的版本了。

5 删除文件

使用新的 GCC 编译一个程序，并且该程序能正常运行。简单测试一下安装正常之后，可以删除 GCC 编译后产生的文件，位于目录gcc-build；GCC 代码文件，位于目录gcc-13.3.0；GCC 代码压缩包gcc-13.3.0.tar.gz。

1

rm -rf gcc-build gcc-13.3.0 gcc-13.3.0.tar.gz

至此 GCC 更新完成。

6 参考

• InstallingGCC
• GCC FAQ
• Installing gcc13 and g++13 in Debian bookworm rust docker image

• 2024-07-11：初始版本
• 2024-07-15：添加TL;DR，删除了文中的长代码，完整代码上传到 Github

最近要用到吃灰已久的树莓派 4B，发现原来的 TF 卡已经损坏。更换 TF 卡写入最新 64bit 的 RaspiOS-Lite，配置时发现之前使用的温控风扇的程序文件也找不到了，索性直接重新整理一下。

买外壳时自带了一个风扇，是普通的不支持 PWM 调速的 5V 风扇，只需要用程序根据 CPU 温度控制风扇启停即可。

TL;DR

完整代码已经发布在 Github 仓库pi_auto_fan

控制程序及设置控制程序自启动的步骤略繁琐，使用Makefile把需要操作的步骤打包成了install和uninstall，直接运行sudo make insatll即可完成编译、创建系统服务、启动服务、设置自启动，注意必须使用sudo，因为创建系统服务需要使用root权限。

运行sudo make install之前仍然需要按照文章中编译测试部分的步骤安装依赖。

默认使用GPIO 14作为控制 IO（fan_pin=14），上限阈值为 60°（temp_high=60.0），下限阈值为 50°（temp_low=50.0），如需修改需要在文件auto_fan.c中修改对应代码。

1
2
3
4
5
6
7
8

git clone https://github.com/gsh1209/pi_auto_fan.git
cd pi_auto_fan
# 仅编译，无需sudo
make
# 安装
sudo make install
# 卸载
sudo make uninstall

查看 GPIO 状态的一些命令

1
2

raspi-gpio get | grep "GPIO 14"
gpio readall

1 控制电路

找到了之前画的驱动电路，使用了两个三极管（型号均为 S8050）级联来进一步减轻 GPIO 输出电流的负担。电路很简单，不过当时还在嘉立创白嫖了一块 PCB，PCB 源文件已经找不到了，只能找到一个布局的图片。

风扇驱动电路图

风扇驱动 PCB 布局

这个电路是经过长时间验证的，曾经用树莓派跑了大半年的局域网打印机共享服务器和 SMB 文件共享服务器，使用的散热方案就是这套电路，长时间工作时三极管也不会发热。

风扇控制 PCB

控制板与树莓派的连接

树莓派上的控制 IO 使用的是GPIO 14，紧挨着 5V 电源和 GND，可以方便的使用 3PIN 的杜邦线进行连接，不过 GPIO 14 其实也是 UART 串口的TXD，如果需要用到串口可以使用其他 IO 作为风扇控制 IO。

树莓派 4B 的 GPIO 定义

风扇控制使用的 GPIO

GPIO 定义图片来自树莓派文档

2 控制程序

之前的程序使用的是 Python 来控制，但是由于控制程序需要长期运行，Python 脚本占用的系统资源更高一些，尤其对于我的 1GB 内存版本有些不友好，这次使用 C 语言来写控制程序。

2.1 CPU 温度读取

树莓派系统中提供了可供读取的文件来获取 CPU 温度，文件位于/sys/class/thermal/thermal_zone0/temp，文件内容是整数形式的 CPU 温度，包含三位小数。如果需要将温度输出到终端显示需要将获取的数值除以 1000 进行转换。

1

printf("CPU temperature: %.2f°C\n", atof(cpu_temp_str) / 1000.0);

这里的温控风扇的程序运行在后台，不需要向终端显示温度，为了简单我暂时也不需要打印 log，所以这里的获取温度的函数不做转换直接返回文件内容转换为整数。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

/**
 * 从文件获取 CPU 温度
 * 返回文件内容，不转换为浮点数
 */
int getCpuTemp() {
    FILE *file;
    char cpu_temp_file[] = "/sys/class/thermal/thermal_zone0/temp";
    char cpu_temp_str[10];
    file = fopen(cpu_temp_file, "r");
    if(NULL == file) {
        perror("fopen");
        return 1;
    }
    if(NULL == fgets(cpu_temp_str, sizeof(cpu_temp_str), file)) {
        fprintf(stderr, "read error!\n");
        fclose(file);
        return 1;
    }
    fclose(file);
    return atoi(cpu_temp_str);
}

2.2 启停控制逻辑

控制程序每 2s 读取一次温度，和温度阈值进行比较，控制风扇的启停。为了防止风扇在阈值附近反复的开启和关闭，控制程序设置了上限阈值temp_high和下限阈值temp_low两个阈值，当温度超过上限时风扇启动，当温度低于下限时风扇停止。程序中设置上下限阈值为 60℃和 50℃，可根据环境温度等情况按需调整。

上下限阈值是直接写到程序代码中的，如果需要修改则要重新编译，合理的做法是作为参数传入或者使用其他方式配置，包括用于控制的 GPIO 也是这样，但是因为懒暂时就不写了。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

float temp_high = 60.0;
float temp_low = 50.0;
typedef enum { ON, OFF } fan_status;
int main(int argc, char *argv[]) {
    initFanGpio();
    fan_status status = OFF;
    while(1) {
        int cpu_temp = getCpuTemp();
        if(OFF == status) {
            if(cpu_temp > (int)(temp_high * 1000)) {
                digitalWrite(fan_pin, HIGH);
                status = ON;
            }
        } else {
            if(cpu_temp < (int)(temp_low * 1000)) {
                digitalWrite(fan_pin, LOW);
                status = OFF;
            }
        }
        sleep(2);
    }
    return 0;
}

2.3 编译测试

在编译程序之前，需要确保已经安装需要的依赖

1

sudo apt update && sudo apt install build-essential git -y

还需要安装 GPIO 控制库 WiringPi，我使用源码编译安装，也可以直接下载Releases中编译好的二进制包安装。

1
2
3

git clone https://github.com/WiringPi/WiringPi.git
cd WiringPi
./build

使用gpio readall命令来验证WiringPi是否安装成功。

编译时需要添加-l参数链接WiringPi库：

1

gcc auto_fan.c -o auto_fan -lwiringPi

使用sysbench命令让 CPU 快速升温，测试风扇能否按照预期工作，sysbench需要安装。

1
2

sudo apt update && sudo apt install sysbench -y
sysbench --num-threads=4 --test=cpu --cpu-max-prime=200000 run

测试确保控制程序auto_fan功能正常后，按照 Linux 系统中文件的组织习惯将其复制到/usr/bin目录。

1

sudo cp auto_fan /usr/bin

3 设置控制程序自动启动

在树莓派中设置程序自动启动和一般 Linux 系统中的方法类似，如使用定时任务crontab的@reboot，将运行程序的命令写入rc.local等，这里使用systemd自定义系统服务的方法来实现自动启动控制程序。

3.1 创建系统服务

systemctl 的服务配置文件存放在目录/usr/lib/systemd中，有系统 system 和用户 user 之分，需要开机不登录就能运行的程序，存放在系统服务中即/usr/lib/systemd/system目录下。风扇控制程序应当创建为系统服务，在/usr/lib/systemd/system目录新建一个auto_fan.service配置文件，需要使用sudo，内容如下：

1
2
3
4
5
6
7
8
9
10
11

[Unit]
Description=Auto Fan Service by gsh1209

[Service]
Type=simple
Restart=always
ExecStart=/usr/bin/auto_fan &
KillMode=mixed

[Install]
WantedBy=multi-user.target

其中关键的配置项有ExecStart=/usr/bin/auto_fan &和KillMode=mixed：

• ExecStart表示服务启动时运行的命令，这里在后台（使用参数&）运行编译后的风扇控制程序，参考man systemd.service。
• KillMode表示服务终止时的操作，设置为mixed表示主进程将收到SIGTERM信号，子进程收到SIGKILL信号，参考man systemd.kill。

设置KillMode的目的是在服务停止时需要恢复 GPIO 的状态，尤其是如果此时风扇已被打开，服务停止风扇应当被立即关闭，这里通过在程序中接收SIGTERM信号，并自定义信号处理函数的方式实现服务停止时，程序退出前恢复 GPIO 为默认状态。

还可以使用ExecStop=指定一个服务停止时运行的命令来实现恢复 GPIO 状态这个功能，命令既可以使用系统提供的raspi-gpio，也可以使用由WiringPi库提供的gpio命令，还可以使用 C 语言单独写一个实现释放 GPIO 的程序。

根据树莓派 4B 的文档和BCM2711 的 Datasheet(GPIO_PUP_PDN_CNTRL_REG0 Register)，树莓派 GPIO 14 复位后的默认状态为：输入，内部下拉。

3.2 设置服务开机自动启动

使用命令设置服务为enable即可开机自启动

1

sudo systemctl enable auto_fan.service

3.3 systemctl 常用命令

• 启动、停止、重启服务

1

sudo systemctl start/stop/restart auto_fan.service

• 开启、关闭开机自启

1

sudo systemctl enable/disable auto_fan.service

• 查看运行状态

1

sudo systemctl status auto_fan.service

• 重载配置文件（服务启动时修改了 service 文件，需要重载配置）

1

sudo systemctl daemon-reload

4 其他

最后对比了一下 Python 版本和 C 版本的程序，在 CPU 占用上没什么差别。在内存占用上的差距也没有想象中那么大：

1
2
3
4
5
6

# Python程序的pid 3669
pi@raspberrypi:~ $ cat /proc/3669/status | grep VmRSS
VmRSS:      7680 kB
# C程序的pid 3561
pi@raspberrypi:~ $ cat /proc/3561/status | grep VmRSS
VmRSS:      1408 kB

使用的 Python 程序

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

import time
import RPi.GPIO as GPIO


def get_cpu_temp():
    with open("/sys/class/thermal/thermal_zone0/temp", "r") as f:
        return float(f.read()) / 1000


fan_pin = 14
temp_high = 60.0
temp_low = 50.0

GPIO.setmode(GPIO.BCM)
GPIO.setwarnings(False)
GPIO.setup(fan_pin, GPIO.OUT, initial=GPIO.LOW)
is_fan_off = True

try:
    while True:
        temp = get_cpu_temp()
        if is_fan_off == True:
            if temp > temp_high:
                GPIO.output(fan_pin, GPIO.HIGH)
                is_fan_off = False
        else:
            if temp < temp_low:
                GPIO.output(fan_pin, GPIO.LOW)
                is_fan_off = True
        time.sleep(5.0)
except:
    pass

GPIO.cleanup(fan_pin)

• 2024-03-26: 初始版本
• 2024-04-21: 更新禁止用户访问 Waline 的 demo 页面的 Nginx 配置
• 2024-05-10: 更新 MySQL8.4 版本删除 default-authentication-plugin 参数后的 MySQL docker-compose 配置
• 2024-08-20: 更新 MySQL 的 docker-compose 配置，添加TZ环境变量修复评论时间显示异常的问题
• 2024-08-20: 更新 MySQL 修改用户身份认证插件的两种方法
• 2024-08-30: 更新 MySQL 修改用户身份认证插件部分内容

Waline 推荐使用 LeanCloud 和 Vercel 部署，但是 Vercel 受限于网络原因访问并不稳定，刷新评论时间较长，还可能会失败。使用 Docker 独立部署方式将 Waline 部署在博客服务器上可以有效地改善加载速度。部署 Waline 首先要准备数据库，这里使用 MySQL 数据库，同样运行在 Docker 中方便管理。

在初次创建 MySQL 数据库时，需要导入 waline.sql 创建初始的表结构，应当按照先后顺序分别创建 MySQL 容器和 Waline 容器。

如果想使用一个 docker-compose.yml 来管理两个容器，可以提前启动一个临时的数据库容器初始化表结构，然后删除这个临时容器，在 docker-compose.yml 中依次以相同配置启动 MySQL 容器和 Waline 容器，通过设置 depends_on 来规定启动顺序，但是 MySQL 初始化时间可能较长，可能会出现错误，参考 (No connections until MySQL init completes)，还可以使用 wait-for-it.sh 工具来让 Waline 容器等待 MySQL 容器（通过检查端口是否可用）就绪。

1 MySQL 数据库 Docker 部署

1.1 使用 docker-compose 部署 MySQL 数据库

1.1.1 创建 MySQL 容器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

version: "3"

networks:
  waline_net:
    name: "mysql_waline_net"
    external: false

services:
  db_mysql:
    container_name: mysqldb
    image: mysql:8.4
    restart: always
    environment:
      TZ: "Asia/Shanghai"
      MYSQL_ROOT_PASSWORD: "root_password" # 数据库 root 密码
      MYSQL_USER: "waline" # 数据库用户
      MYSQL_PASSWORD: "waline_password" # 数据库用户密码
      MYSQL_DATABASE: "waline_db" # 数据库名
    ports:
      - 3306:3306
    networks:
      - waline_net
    volumes:
      - ./mysql:/var/lib/mysql
    command:
      # 适用于 8.0-8.4（不高于 8.4）版本的 MySQL
      # --default-authentication-plugin=mysql_native_password

      # MySQL8.4 版本不再使用 default-authentication-plugin 参数，使用这个参数会导致启动失败
      # 需要设置参数 mysql-native-password=ON 参数加载 mysql-native-password 插件
      --mysql-native-password=ON
      --character-set-server=utf8mb4
      --collation-server=utf8mb4_unicode_ci

创建 MySQL 容器

此处设置了网络 waline_net，并设置external: false，如果不指定name，在容器启动时将会创建一个名为 mysql_waline_net 的网络，该名称默认由 docker-compose 文件所在目录名 (docker-compose project name) 和设置的网络 waline_net 组成，指定了name则会按照该设置命名创建的网络。

这里指定名字的目的是在创建 waline 容器时使用相同名字的网络完成容器间互连。如果不设置name，即使指定相同的网络 waline_net，由于 waline 容器的 docker-compose 文件与 MySQL 的 docker-compose 文件上级目录名不同，自动生成的网络名也不相同，如果 waline 的设置external: false，则会创建另一个网络 (waline_waline_net)；如果 waline 的设置external: true，则会提示找不到声明的网络。

此方式创建的网络即使在容器删除后也不会自动删除，确认在没有其他容器使用时可以手动删除
查看所有网络docker network ls
查看网络详细信息docker network inspect <NET_NAME>，输出的Containers字段表示正在使用该网络的容器
删除网络docker network rm <NET_NAME>

在最后通过--mysql-native-password=ON（参考链接）参数加载 mysql-native-password 插件，MySQL8.0 以上的版本默认使用 caching_sha2_password 身份验证插件，但 Waline 客户端并不支持新的插件，需要修改为 native 插件。（2024.08.30 更新：--mysql-native-password=ON似乎并不是完全替代--default-authentication-plugin，--mysql-native-password=ON只是加载了插件，让插件变得可用，没有修改默认的插件，还需要使用 SQL 命令来修改用户的默认认证插件。）

插件的可用状态（ACTIVE/DISABLED）可以使用命令SHOW PLUGINS;查看。

启动后进入容器，使用 root 用户登录 MySQL，运行以下命令修改 waline 用户的认证插件。

1
2
3
4
5
6
7
8
9
10
11
12
13

// 已存在waline用户时，修改waline用户的认证方式
ALTER USER 'waline'@'localhost' IDENTIFIED WITH mysql_native_password BY 'waline_password';
// 或者 （'waline'@'%' 表示从远程连接的waline用户，'%'不包括'localhost'）
ALTER USER 'waline'@'%' IDENTIFIED WITH mysql_native_password BY 'waline_password';

// 如果创建容器时不创建用户（在docker-compose文件中不设置`MYSQL_USER`和`MYSQL_PASSWORD`）
// 后续创建用户时指定认证方式
CREATE USER 'waline'@'%' IDENTIFIED WITH mysql_native_password BY 'waline_password';
GRANT ALL PRIVILEGES ON waline_db.* TO 'waline';
flush privileges;

// 查看修改结果
SELECT User,Host,plugin FROM mysql.user;