MAXADA社区知识库官网

远程客户端连接linux错误登录3次封禁30分钟的步骤

Anglei — Fri, 29 May 2026 12:03:00 +0800

在 Ubuntu 上要实现“登录三次失败就锁定该 IP 30 分钟”，主流、稳妥的方案是用 fail2ban（封 IP）,下面直接给可照着敲的完整步骤。

一、安装 fail2ban

sudo apt update
sudo apt install fail2ban -y

二、创建本地配置（推荐，不改动原文件）

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

找到并修改/添加以下内容：

[DEFAULT]
# 白名单：本机/内网/你自己固定IP
ignoreip = 127.0.0.1/8 ::1 192.168.0.0/16

# 全局默认（可被 jail 内覆盖）
bantime  = 1800   # 封禁 30 分钟 = 1800 秒，也可以简写:30m
findtime = 600    # 10 分钟内计数
maxretry = 3      # 失败 3 次触发封禁

[sshd]
enabled  = true
port     = ssh
logpath  = /var/log/auth.log

保存退出（nano：Ctrl+O → 回车 → Ctrl+X）。

三、重启服务并设开机自启

sudo systemctl restart fail2ban
sudo systemctl enable fail2ban

四、验证是否生效

# 查看 sshd 规则状态
sudo fail2ban-client status sshd

# 查看被封禁 IP 列表
sudo fail2ban-client status sshd | grep 'Banned IP list'

五、常用操作（解封/查看日志）

手动解封某个 IP

sudo fail2ban-client set sshd unbanip 192.168.1.100

查看 fail2ban 日志

sudo tail -f /var/log/fail2ban.log

六、说明

fail2ban：扫描系统日志，封禁来源 IP，正好符合你要的“锁 IP 30 分钟”。

hermes部署完后的优化调整教程

Anglei — Sun, 17 May 2026 19:25:00 +0800

在 Ubuntu 24.04 上部署 Hermes+DeepSeek 后，核心优化是模型参数调优、网络稳定性、系统资源限制与安全配置；必装技能聚焦文件处理、网页搜索、命令行/自动化、写作与总结四类。下面直接给可落地的配置与清单。

一、默认配置必改优化（Ubuntu 24.04 + DeepSeek）

1. 基础环境与依赖优化（避坑）

Ubuntu 24.04 默认 Python 3.12，Hermes 官方适配 3.11，必须锁定版本并补依赖：

# 1. 安装系统依赖
sudo apt update && sudo apt upgrade -y
sudo apt install -y git curl wget python3-pip python3-venv python3-dev \
  build-essential libffi-dev libssl-dev ffmpeg libsm6 libxext6

# 2. 创建 Python 3.11 虚拟环境（关键）
python3.11 -m venv ~/hermes-venv
source ~/hermes-venv/bin/activate

# 3. 重装 Hermes 到该环境（避免系统 Python 冲突）
curl -fsSL https://raw.githubusercontent.com/NousResearch/hermes-agent/main/scripts/install.sh | bash

2. DeepSeek 模型配置（config.yaml 核心）

路径：~/.hermes/config.yaml，直接覆盖默认：

model:
  provider: deepseek
  default: deepseek-v4-flash  # 日常用 Flash（快、便宜）
  model: deepseek-v4-flash
  base_url: https://api.deepseek.com/v1
  api_key: ${DEEPSEEK_API_KEY}  # 从 .env 读取，不硬编码
  # 推理参数优化
  default_params:
    temperature: 0.7    # 平衡创造力/稳定性
    top_p: 0.9
    frequency_penalty: 0.1
    presence_penalty: 0.1
    max_tokens: 4096   # 输出上限，避免超长
    stream: true
  # 复杂任务自动切 Pro+思考模式
  fallback:
    model: deepseek-v4-pro
    thinking:
      type: enabled
      reasoning_effort: high  # high/max，复杂任务自动升 max

3. 环境变量安全与网络优化

新建/编辑 ~/.hermes/.env（权限设 600）：

# 密钥（必须）
DEEPSEEK_API_KEY=sk-xxx
# 网络优化（国内直连提速）
HERMES_DNS_RESOLVER=223.5.5.5  # 阿里 DNS
HERMES_HTTP_TIMEOUT=120         # 超时从 60 改 120
# 代理（可选，直连不稳时用）
# HTTPS_PROXY=http://127.0.0.1:7890

chmod 600 ~/.hermes/.env  # 防止密钥泄露

4. 系统资源与性能限制（Ubuntu）

# 1. 限制 Hermes 内存（避免 OOM）
echo 'export HERMES_MAX_MEMORY=2G' >> ~/.bashrc
source ~/.bashrc

# 2. 增大文件句柄（高并发技能调用）
echo '* soft nofile 65535' | sudo tee /etc/security/limits.conf
echo '* hard nofile 65535' | sudo tee /etc/security/limits.conf
sudo sysctl -w fs.file-max=65535

5. 持久化与自启动（systemd）

sudo nano /etc/systemd/system/hermes.service

写入：

[Unit]
Description=Hermes Agent
After=network.target

[Service]
User=$USER
WorkingDirectory=/home/$USER
ExecStart=/home/$USER/hermes-venv/bin/hermes start
Restart=always
RestartSec=5

[Install]
WantedBy=multi-user.target

sudo systemctl daemon-reload
sudo systemctl enable hermes
sudo systemctl start hermes

二、必装技能清单（直接可用，按优先级）

🔧 核心必装（5 个，无争议）

pdf-reader：PDF 解读、合同/政策提取、划重点
```
hermes skill install pdf-reader
```
web-search：网页搜索、实时信息、查政策/文档
```
hermes skill install web-search
```
bash：命令行执行、文件操作、系统管理（兜底能力）
```
hermes skill install bash
```
document-writer：公文/周报/报告生成、格式规范
```
hermes skill install document-writer
```
task-scheduler：定时任务、自动化流程、周期提醒
```
hermes skill install task-scheduler
```

✅ 高频推荐（按需装）

obsidian-notes：Obsidian 知识库读写、整理笔记
ppt-generator：一键生成 PPT、大纲转幻灯片
code-interpreter：Python 代码执行、数据分析、图表生成
email-sender：邮件发送、模板生成、自动回复

三、验证与测试（改完必做）

# 1. 检查环境全绿
hermes doctor

# 2. 测试 DeepSeek 连通性
hermes model test deepseek

# 3. 测试技能调用
hermes run "解读 ~/test.pdf 并总结核心观点"
hermes run "搜索 2026 年 DeepSeek 最新模型"

四、避坑要点

不要硬编码 API Key：统一放 .env 并设 600 权限
国内网络优先用 DNS 优化：直连不稳再考虑代理
模型选择：日常用 deepseek-v4-flash，复杂任务自动切 v4-pro
Python 版本：必须 3.11，否则依赖编译报错

如何批量查docker运行容器的IP地址

Anglei — Tue, 28 Apr 2026 10:07:00 +0800

一、批量查所有容器（名称 + IP）

运行

# 所有容器（含停止的）
docker inspect -f '{{.Name}} {{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' $(docker ps -aq)

# 只查运行中的
docker inspect -f '{{.Name}} {{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}' $(docker ps -q)

输出示例：

plaintext
/webapp 172.17.0.2
/db     172.17.0.3

二、格式化输出（表格更清晰）

运行
docker ps -q | xargs docker inspect -f \
'{{printf "%-20s %-15s\n" .Name (index .NetworkSettings.Networks "bridge").IPAddress}}'

三、只查某类镜像启动的容器

比如只查 nginx 镜像的容器 IP：

运行

docker ps -q --filter ancestor=nginx | xargs docker inspect -f \
'{{.Name}} {{range .NetworkSettings.Networks}}{{.IPAddress}}{{end}}'

四、说明

bridge 网络：IP 一般是 172.17.x.x。
host 网络：容器无独立 IP，显示为空。
自定义网络：把上面 bridge 换成你的网络名即可。

OpenCloudOS部署NFS 服务

Anglei — Tue, 21 Apr 2026 20:12:00 +0800

OpenCloudOS 8 兼容 CentOS/RHEL 8 体系，NFS 服务安装和配置步骤非常清晰。

以下是服务器端（服务端）完整部署指南：

一、安装 NFS 软件包

# 安装核心工具包（包含nfs-server与rpcbind）
dnf install -y nfs-utils

二、创建并授权共享目录

# 例：创建 /data/nfs_share 作为共享目录
mkdir -p /data/nfs_share

# 权限设置（生产建议严格控制，测试可宽松）
chown -R nobody:nobody /data/nfs_share
chmod 755 /data/nfs_share

三、配置共享规则（/etc/exports）

vim /etc/exports

写入格式：

# <共享目录>  <客户端地址>(权限选项)
/data/nfs_share  192.168.1.0/24(rw,sync,no_root_squash,no_subtree_check)

常用选项说明

rw：读写
ro：只读
sync：同步写盘（数据安全）
async：异步写（性能高、可能丢数据）
no_root_squash：客户端 root 保留服务器 root 权限（慎用）
root_squash：客户端 root 映射为匿名（默认）
no_subtree_check：关闭子树检查（提升性能）

四、启动并设置开机自启

必须先 rpcbind，再 nfs-server

# 启动并开机自启
systemctl enable --now rpcbind
systemctl enable --now nfs-server

# 重载配置（修改/etc/exports后执行）
exportfs -rv

五、防火墙放行（关键）

OpenCloudOS 8 默认 firewalld 开启，必须放行 NFS：

# 永久放行 nfs、rpc-bind、mountd
firewall-cmd --permanent --add-service=nfs
firewall-cmd --permanent --add-service=rpc-bind
firewall-cmd --permanent --add-service=mountd

# 重载防火墙
firewall-cmd --reload

六、SELinux 配置（如开启）

# 给共享目录添加 NFS 共享上下文
chcon -R -t nfs_t /data/nfs_share

# 永久生效（可选）
semanage fcontext -a -t nfs_t "/data/nfs_share(/.*)?"
restorecon -Rv /data/nfs_share

七、验证服务

# 查看 NFS 版本
cat /proc/fs/nfsd/versions

# 查看本机共享目录
showmount -e localhost

# 查看服务状态
systemctl status nfs-server

客户端（OpenCloudOS 8）挂载

# 安装客户端工具
dnf install -y nfs-utils

# 创建挂载点
mkdir -p /mnt/nfs

# 挂载
mount -t nfs 192.168.1.100:/data/nfs_share /mnt/nfs

# 开机自动挂载（/etc/fstab）
echo "192.168.1.100:/data/nfs_share  /mnt/nfs  nfs  defaults  0 0" >> /etc/fstab

常见问题

挂载失败：权限被拒
- 检查 /etc/exports 客户端 IP/网段
- 检查目录权限与 SELinux 上下文
showmount 无法查看
- 防火墙未放行 rpc-bind/mountd
客户端 root 无法写入
- 加 no_root_squash（测试环境）
- 或调整目录属主为 nfsnobody

K8S添加完ingress后，提示80和443端口被占用的解决办法

Anglei — Tue, 21 Apr 2026 14:14:00 +0800

禁用 hostNetwork 模式（生产推荐）
检查当前 Deployment 是否配置了 hostNetwork: true：

kubectl get deployment -n ingress-nginx ingress-nginx-controller -o yaml | grep hostNetwork

如果值为 true，则 Pod 会直接使用宿主机网络。将其改为 false 可以让 Pod 使用独立的网络命名空间，不再占用宿主机端口，而仅通过 Service 对外暴露。

kubectl patch deployment -n ingress-nginx ingress-nginx-controller -p '{"spec":{"template":{"spec":{"hostNetwork":false}}}}'

修改后，Ingress Controller 的访问入口将变为 Service 的 NodePort（如 30080/30443），或者使用外部负载均衡器。

一键导出 MySQL 所有用户+权限+密码

Anglei — Mon, 20 Apr 2026 14:54:00 +0800

导出 MySQL 所有用户 + 权限 + 密码（可直接在另一台服务器导入）

不用写复杂脚本，一条命令搞定👇

一、直接导出所有 MySQL 用户（不含系统用户）

在 Linux 命令行 执行（不是 MySQL 内）：

mysql -uroot -p -e "SELECT CONCAT('CREATE USER IF NOT EXISTS \'',user,'\'@\'',host,'\' IDENTIFIED WITH ',plugin,' AS \'',authentication_string,'\';') FROM mysql.user WHERE user NOT IN ('mysql.infoschema','mysql.session','mysql.sys');" > mysql_users.sql

执行后会生成：
mysql_users.sql
里面就是所有业务用户的创建语句（包含加密密码、认证方式、host）

二、再导出所有用户的权限

mysqldump -uroot -p mysql user db tables_priv columns_priv procs_priv > mysql_privileges.sql

三、最终你得到 2 个文件

mysql_users.sql
所有用户：root、docu、fankui、maxada...
包含：用户名、host、认证插件、加密密码
mysql_privileges.sql
所有用户的权限（哪个用户能访问哪个库）

四、在新服务器导入（直接用）

# 导入用户
mysql -uroot -p < mysql_users.sql

# 导入权限
mysql -uroot -p < mysql_privileges.sql

# 刷新权限
mysql -uroot -p -e "FLUSH PRIVILEGES;"

五、如果你只想【查看导出内容】

直接看：

cat mysql_users.sql

你会看到类似：

CREATE USER IF NOT EXISTS 'root'@'%' IDENTIFIED WITH caching_sha2_password AS '*XXX';
CREATE USER IF NOT EXISTS 'docu'@'172.17.0.%' IDENTIFIED WITH caching_sha2_password AS '*XXX';
...

总结

你只需要复制 这 1 条命令，就能导出所有业务用户（含密码、host、插件）：

mysql -uroot -p -e "SELECT CONCAT('CREATE USER IF NOT EXISTS \'',user,'\'@\'',host,'\' IDENTIFIED WITH ',plugin,' AS \'',authentication_string,'\';') FROM mysql.user WHERE user NOT IN ('mysql.infoschema','mysql.session','mysql.sys');" > mysql_users.sql

公安备案公司主体如何转入转出

Anglei — Thu, 26 Mar 2026 19:56:00 +0800

根据《‌计算机信息网络国际联网安全保护管理办法‌》（公安部第33号令）等法规：所有在中国大陆境内提供互联网信息服务的网站（包括通过腾讯云服务器托管的网站），‌必须在完成ICP备案后30日内‌，向公安机关办理公安备案（又称公安联网备案）‌。未按时完成公安备案，可能面临网站被关停、行政处罚等风险‌。

登录以下网址进行公安备案，基于运维角度，如果需要转入转出，按照以下方法进行即可。

https://beian.mps.gov.cn/web/dashboard/home

蓝箭头为转出，红箭头为转入

别搞错了哟！！

教你如何修改openclaw对接的大模型

Anglei — Mon, 23 Mar 2026 17:30:00 +0800

如何修改openclaw的大模型呢？看这里

先删除所有模型：

openclaw config unset models.providers

然后再创建对接模型：

npx openclaw config

运行后，出现以下信息，根据提示创建即可。

PS C:\Users\Administrator> npx openclaw config

🦞 OpenClaw-CN 0.1.8-fix.3 (10afea4) — WhatsApp，但让它变成✨工程✨。

░████░█░░░░░█████░█░░░█░███░░████░░████░░▀█▀
█░░░░░█░░░░░█░░░█░█░█░█░█░░█░█░░░█░█░░░█░░█░
█░░░░░█░░░░░█████░█░█░█░█░░█░████░░█░░░█░░█░
█░░░░░█░░░░░█░░░█░█░█░█░█░░█░█░░█░░█░░░█░░█░
░████░█████░█░░░█░░█░█░░███░░████░░░███░░░█░
            🦞 每日新鲜 🦞
T  Clawdbot 配置
|
o  检测到现有配置 -------------------------------+
|  workspace: ~\.openclaw\workspace              |
|  model: siliconflow/Qwen/Qwen2.5-32B-Instruct  |
|  gateway.mode: local                           |
|  gateway.port: 18789                           |
|  gateway.bind: loopback                        |
|  skills.nodeManager: npm                       |
+------------------------------------------------+
(node:10136) [DEP0040] DeprecationWarning: The `punycode` module is deprecated. Please use a userland alternative instead.
(Use `node --trace-deprecation ...` to show where the warning was created)
|
*  网关将在哪里运行？
|  > 本地（此设备） (网关可达 (ws://127.0.0.1:18789))
|    远程（仅信息）
—

升级到 PowerShell 7 的教程

Anglei — Sat, 21 Mar 2026 19:04:00 +0800

升级到 PowerShell 7 非常简单，解决之前 && 语法不支持的问题。

前置说明：

PowerShell 7 是独立安装的，不会覆盖系统默认的 PowerShell 5.1（两者可共存）；
升级后，你可以在开始菜单找到「PowerShell 7」（或「PowerShell 7 (x64)」），专门用于执行支持 && 等现代语法的命令。

方法：用 winget 升级（推荐，Windows 10/11 自带）

winget 是微软官方的包管理器，Windows 10 1709+、Windows 11 都默认预装，操作最简便：

步骤 1：以管理员身份打开 PowerShell 5.1

按下 Win + X，选择「Windows PowerShell (管理员)」（或「终端 (管理员)」）；
（可选）先检查 winget 是否可用：

winget --version

步骤 2：执行安装命令

winget install --id Microsoft.PowerShell

执行后，winget 会自动下载并安装最新版 PowerShell 7（无需手动下载安装包）；
安装过程中会显示进度，等待提示「成功」即可。

基于windows如何增加openclaw子代理

Anglei — Sat, 21 Mar 2026 10:41:00 +0800

一、CLI 命令一键添加（推荐）

在 PowerShell / WSL2 终端执行：

语法：openclaw agents add <子代理ID> --model <模型名>
示例：添加 coder、thinker、tester 三个子代理

openclaw agents add coder --model deepseek-chat --workspace "workspace-coder"
openclaw agents add thinker --model deepseek-chat --workspace "workspace-thinker"
openclaw agents add tester --model deepseek-chat --workspace "workspace-tester"

自动创建：workspace-coder、agents/coder/agent 等目录
自动写入配置到 ~/.openclaw/openclaw.json

二、重启网关使配置生效

openclaw gateway restart

三、验证与使用

查看所有代理

openclaw agents list

四、主代理调用子代理

在 OpenClaw 聊天 / CLI 中直接分配任务：

# 示例1：让 coder 写代码
请 coder 写一个 Python 斐波那契函数
# 示例2：让 thinker 分析需求
请 thinker 分析这个需求并给出方案
# 示例3：让 tester 测试代码
请 tester 测试上面的斐波那契函数

MAXADA社区知识库 官网