随笔杂谈

Certbot 命令完整指南

Certbot 是 Let’s Encrypt 的官方客户端，用于免费获取和自动更新 SSL/TLS 证书。以下是详细的命令使用指南。

📋 快速安装 Certbot

Ubuntu/Debian 系统

1
2
3
4
# 使用 apt 安装
sudo apt update
sudo apt install certbot python3-certbot-nginx  # 对于 Nginx
sudo apt install certbot python3-certbot-apache # 对于 Apache

CentOS/RHEL/Fedora 系统

1
2
3
4
5
6
7
8
# CentOS/RHEL 8+
sudo dnf install certbot python3-certbot-nginx

# CentOS/RHEL 7
sudo yum install certbot python3-certbot-nginx

# Fedora
sudo dnf install certbot python3-certbot-nginx

通过 Snap 安装（推荐，保持最新）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
# 安装 Snap
sudo apt install snapd  # Debian/Ubuntu
sudo dnf install snapd  # Fedora
sudo yum install snapd  # CentOS

# 确保 Snap 核心已安装
sudo snap install core
sudo snap refresh core

# 安装 Certbot
sudo snap install --classic certbot
sudo ln -s /snap/bin/certbot /usr/bin/certbot

🚀 基础证书获取命令

1. 自动配置模式（最简单）

1
2
3
4
5
# Nginx 自动配置
sudo certbot --nginx

# Apache 自动配置
sudo certbot --apache

执行后会：

继续阅读

随笔杂谈

jrebel 这类插件工程难度到底有多高?

开发像 JRebel（现在属于 JRebel by Perforce）或者类似的热部署（HotSwap）工具，其工程难度极高。

这不仅仅是写一个普通的 Java 插件，它实际上是在对抗 JVM 的设计原则，并试图在“飞行中”更换引擎。

如果要量化这个难度，我们可以将其分为三个层级：底层黑科技（JVM 级）、中间层架构（字节码级）、以及最繁琐的应用层适配（框架级）。

以下是详细的难度拆解：

1. 核心难点：突破 JVM 的“一次加载”限制

Java 的 ClassLoader 机制设计之初就是为了“安全”和“稳定”，类一旦被加载（Load），其结构（字段、方法签名）通常在 JVM 生命周期内是不可变的。

原生 HotSwap 的局限性： JDK 自带的 JPDA HotSwap 功能非常弱，通常只允许修改方法体（Method Body）。一旦你增加了一个字段、修改了方法参数，或者增加了一个方法，原生 HotSwap 就会失败。
JRebel 的做法： 它必须绕过这个限制。它不是简单地“重新加载类”，而是通过 Java Agent 在字节码加载时进行极其复杂的插桩（Instrumentation）。
难度体现： 它实际上是在编译后的 .class 文件中插入了一套自己的“路由层”。当你调用 Method A 时，JRebel 插入的代码会检查“是否有新版本的 Method A？”，如果有，就跳转执行新的。这相当于在 JVM 内部手写了一个动态分发系统。

2. “状态继承”的噩梦

这是最考验算法和内存管理的地方。假设你有一个 User 类的实例正在内存中，里面存着 name="Jack"。

场景： 你修改了代码，给 User 类加了一个 age 字段。
问题： 重新加载类很容易，但旧的 User 对象还在堆内存里！它的内存布局是旧的（没有 age 的空间）。如果代码去访问这个旧对象的 age，JVM 就会崩溃（Segmentation Fault）。

继续阅读

随笔杂谈

RK键盘R98三模无线机械键盘电子使用说明书用户手册

Couponhub酷彭

2024年12月09日 18:03

收录于文集

各电子版使用说明书合集 · 4篇

RK R98键盘

RK-royal kludge R98 无线机械键盘用户手册

使用说明操作说明书无线键盘三模无线键盘 RK键盘 R98 RKR98

继续阅读

随笔杂谈

ISO 4217 外汇场景中--各国货币简称

好的，在跨境支付领域，货币的简称遵循一套国际标准，最核心的是 ISO 4217 三字母代码。这套标准由国际标准化组织制定，被全球金融、商业和技术领域广泛采用，确保了货币识别的唯一性和准确性。

以下是跨境支付中一些主要国家/地区及其货币的标准简称和常见符号：

全球主要储备货币及主要经济体

国家/地区	货币名称	ISO 4217 代码（简称）	常见符号
美国	美元	USD	US$ 或 $
欧元区	欧元	EUR	€
英国	英镑	GBP	£
日本	日元	JPY	¥
瑞士	瑞士法郎	CHF	CHF
加拿大	加元	CAD	C$
澳大利亚	澳元	AUD	A$
新西兰	新西兰元	NZD	NZ$

亚洲主要货币

国家/地区	货币名称	ISO 4217 代码（简称）	常见符号
中国	人民币元	CNY (离岸常用 CNH)	¥
香港	港元	HKD	HK$
澳门	澳门元	MOP	MOP$
台湾(中国)	新台币	TWD	NT$
韩国	韩元	KRW	₩
印度	印度卢比	INR	₹
新加坡	新加坡元	SGD	S$
马来西亚	马来西亚令吉	MYR	RM
泰国	泰铢	THB	฿
越南	越南盾	VND	₫
菲律宾	菲律宾比索	PHP	₱
印度尼西亚	印尼盾	IDR	Rp

欧洲及其他地区主要货币

国家/地区	货币名称	ISO 4217 代码（简称）	常见符号
瑞典	瑞典克朗	SEK	kr
挪威	挪威克朗	NOK	kr
丹麦	丹麦克朗	DKK	kr
俄罗斯	俄罗斯卢布	RUB	₽
南非	南非兰特	ZAR	R
巴西	巴西雷亚尔	BRL	R$
墨西哥	墨西哥比索	MXN	Mex$
阿联酋	阿联酋迪拉姆	AED	د.إ
沙特阿拉伯	沙特里亚尔	SAR	﷼

跨境支付中的关键点

必须使用标准代码：在SWIFT报文、电汇单据、国际合约等正式场合，必须使用ISO三字母代码（如USD, EUR, GBP）。使用符号（如$）或不规范的缩写（如US$）极易造成混淆和错误，因为很多国家都用"$“符号。

继续阅读

随笔杂谈

我的老baby深夜遇到的问题

这个配置显示 404 错误的主要原因是 静态文件冲突 和 代理配置问题。以下是分析和解决方案：

问题分析

1. 静态文件冲突

1
2
3
4
5
root /var/www/html;
location / {
    try_files $uri $uri/ =404;  # 先查找静态文件，找不到才返回404
    proxy_pass http://127.0.0.1:8080;
}

问题：Nginx 会先尝试在 /var/www/html 目录下查找文件，如果找不到才代理到 Java 应用。

2. Java 应用路径不匹配

Java 应用可能期望在根路径 / 访问，但静态文件干扰了请求转发。

解决方案

方案1：直接代理所有请求（推荐）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
server {
    listen 80;
    server_name _;
    
    # 移除静态文件根目录
    # root /var/www/html;
    
    location / {
        # 直接代理到 Java 应用，不检查静态文件
        proxy_pass http://127.0.0.1:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # 超时控制
        proxy_connect_timeout 30s;
        proxy_send_timeout 30s;
        proxy_read_timeout 30s;
        
        # 等保要求：安全头部
        add_header X-Content-Type-Options nosniff;
        add_header X-Frame-Options DENY;
        add_header X-XSS-Protection "1; mode=block";
    }

    # 等保要求：禁止敏感文件访问
    location ~ /\. {
        deny all;
        access_log off;
        log_not_found off;
    }
}

方案2：保留静态文件服务（如果需要）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
server {
    listen 80;
    server_name _;
    root /var/www/html;

    location / {
        # 优先尝试静态文件，不存在则代理到 Java 应用
        try_files $uri @java_app;
    }

    location @java_app {
        proxy_pass http://127.0.0.1:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        proxy_connect_timeout 30s;
        proxy_send_timeout 30s;
        proxy_read_timeout 30s;
    }

    # 静态资源安全配置
    location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg)$ {
        expires 1y;
        add_header Cache-Control "public, immutable";
        try_files $uri =404;
    }

    location ~ /\. {
        deny all;
        access_log off;
        log_not_found off;
    }
}

调试步骤

1. 检查 Java 应用状态

1
2
3
4
5
6
7
8
# 检查应用是否在运行
ps aux | grep phoneCard-admin.jar

# 检查端口监听
netstat -tlnp | grep 8080

# 直接测试应用
curl http://127.0.0.1:8080

2. 检查 Nginx 错误日志

1
tail -f /var/log/nginx/error.log

3. 重新加载 Nginx 配置

1
2
3
4
5
6
7
# 测试配置语法
sudo nginx -t

# 重新加载配置
sudo systemctl reload nginx
# 或
sudo nginx -s reload

完整的简化配置（推荐使用）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
server {
    listen 80;
    server_name _;
    
    location / {
        proxy_pass http://127.0.0.1:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        
        proxy_connect_timeout 30s;
        proxy_send_timeout 30s;
        proxy_read_timeout 30s;
    }
    
    location ~ /\. {
        deny all;
    }
}

使用方案1的简化配置应该能解决 404 问题。如果仍有问题，请检查 Java 应用是否正常运行在 8080 端口。

继续阅读

随笔杂谈

二级等保--专业的中间件安装方式

这是一个非常好的问题，也是部署流程中的关键细节。正确的顺序是：

先使用 root 安装软件，再创建专属用户进行配置和运行。

详细流程说明

让我用一个更直观的流程图来说明整个部署过程：

1
2
3
4
5
6
7
8
flowchart TD
    A[开始部署] --> B[使用 root 安装软件]
    B --> C[创建专属用户和组]
    C --> D[创建目录并设置权限]
    D --> E[配置文件调整]
    E --> F[创建 systemd 服务]
    F --> G[使用专属用户启动服务]
    G --> H[验证和测试]

为什么要这个顺序？

安装阶段需要 root 权限：
- 安装软件通常需要向系统目录写入文件（如 /usr/local）
- 需要设置全局的符号链接
- 需要安装系统级的依赖包
运行阶段需要降权：
- 日常运行时，服务不应该拥有 root 权限
- 遵循"最小权限原则"

具体操作步骤

阶段一：使用 root 安装（部署基础）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
# 1. 安装 JDK
yum install java-11-openjdk-devel   # CentOS/RHEL
# 或
apt install openjdk-11-jdk          # Ubuntu/Debian

# 2. 安装 MySQL
# 方式1: 使用包管理器
yum install mysql-server
# 方式2: 下载官方二进制包解压（此时还是用root）
tar -xzf mysql-8.0.xx.tar.gz -C /usr/local/
cd /usr/local && ln -s mysql-8.0.xx mysql

# 3. 安装 Redis
yum install redis
# 或从源码编译
tar -xzf redis-7.0.x.tar.gz
cd redis-7.0.x && make && make install

# 4. 安装 Nginx
yum install nginx
# 或从源码编译
tar -xzf nginx-1.20.x.tar.gz
cd nginx-1.20.x && ./configure --prefix=/usr/local/nginx && make && make install

阶段二：创建专属用户和目录（安全加固）

现在创建我们之前讨论的专属用户和目录：

继续阅读

随笔杂谈

二级等保--用户与用户组的概念

直接使用 root 部署是很多初学者的常见做法，但从安全和合规角度看是绝对不允许的。针对二级等保的要求，我们来详细拆解一下专业的部署做法。

二级等保的核心是 “审计” 和 “最小权限” 。你的所有操作都应该围绕着这两个核心展开。

核心思想：权限最小化与服务化

专属用户：为每个服务创建独立的、非登录的系统用户。
专属目录：每个服务只能访问它运行所必需的文件和目录，并且这些目录的权限要严格控制。
权限分离：运行服务的用户绝不能是 root，也不应拥有超出其功能范围的权限（如 shell 登录、读写其他服务文件等）。

第一步：准备工作（规划与创建）

在开始部署任何服务之前，先做好规划。

1. 创建专属用户和用户组

为每个服务创建一个不能登录的系统用户和一个对应的用户组。通常用户和组同名。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
# 创建系统用户组
groupadd -r mysql-group
groupadd -r redis-group
groupadd -r nginx-group
groupadd -r app-group  # 为你的Java应用创建

# 创建系统用户，并指定家目录（后续作为其工作目录），并禁止登录
useradd -r -g mysql-group -s /bin/false -d /usr/local/mysql mysql-user
useradd -r -g redis-group -s /bin/false -d /var/lib/redis redis-user
useradd -r -g nginx-group -s /bin/false -d /usr/local/nginx nginx-user
useradd -r -g app-group -s /bin/false -d /opt/your-java-app app-user

-r：创建系统用户。
-g：指定所属用户组。
-s /bin/false：禁止该用户登录系统（最安全）。
-d：指定家目录，这里我们将其作为服务的工作目录。

2. 规划并创建专属目录，并授权

假设你的部署结构如下，请先创建目录并修改所有者为对应的用户。

继续阅读

随笔杂谈

StackEdit MarkDown 编辑器,官网示例

Welcome to StackEdit!

Hi! I’m your first Markdown file in StackEdit. If you want to learn about StackEdit, you can read me. If you want to play with Markdown, you can edit me. Once you have finished with me, you can create new files by opening the file explorer on the left corner of the navigation bar.

Files

StackEdit stores your files in your browser, which means all your files are automatically saved locally and are accessible offline!

继续阅读

随笔杂谈

HTTP请求的响应回来时为什么不被入站安全组限制?

问: 我的服务器A请求服务器B,是一个http请求,且我的服务器A安全组入站规则只开放了80端口,假设这一次请求的四元组是[A:25056,B:80],B服务器响应的时候应该算是A服务器的入站,但A服务器只开放了80端口入站,为什么A还能收到B的响应?

答:

你提出的这个问题非常棒，它触及了TCP/IP协议栈中状态跟踪（Stateful Inspection）的关键机制。

核心解释：TCP连接的状态跟踪

你的服务器A能够收到服务器B的响应，即使A的安全组只开放了80端口入站，原因在于：

TCP连接的建立是双向的： 当服务器A（客户端角色）主动向服务器B（服务器角色）发起一个TCP连接时，A会从一个临时端口（你例子中的25056）向B的80端口发送SYN包。这个过程是A主动发起的出站连接。
安全组（或防火墙）是状态化的： 现代的安全组（无论是云平台上的安全组，还是Linux系统上的iptables等防火墙）都是有状态的（Stateful）。这意味着它们会跟踪已建立的连接状态。
允许已建立连接的回包： 当服务器A从25056端口发起连接到服务器B的80端口时，安全组会记录下这个出站连接的状态。一旦这个连接成功建立（即经过TCP三次握手），安全组就会自动允许属于这个已建立连接的回包（即来自B到A的响应数据）通过A的防火墙，即使A的入站规则没有明确开放25056端口。

简单来说，当你的服务器A作为客户端发起一个出站连接时，它的防火墙（安全组）会“记住”这个连接。随后，当服务器B回复数据时，防火墙会识别出这些数据是“属于之前由A主动发起的那个连接的回应”，因此会放行这些数据，而不会因为A的入站规则没有明确开放该临时端口而阻断。

具体流程分析：

A发起出站连接：
- 服务器A（IP: A，端口: 25056，这是一个由操作系统分配的临时高位端口）向服务器B（IP: B，端口: 80）发送连接请求（SYN）。
- A的安全组的出站规则通常是比较宽松的，允许A主动发起对外的连接。
TCP三次握手建立连接：
- B收到SYN后，向A回复SYN-ACK。
- A收到SYN-ACK后，向B回复ACK，连接建立。
- 此时，A的安全组已经记录了：有一个从A:25056到B:80的已建立连接。
B发送响应数据（对A而言是入站数据）：
- 服务器B（源端口: 80，目的端口: A的25056）向服务器A发送HTTP响应数据。
- 当这些数据到达服务器A的安全组时，安全组会检查。它发现这些数据是发往A:25056的，并且这个端口属于一个由A主动发起且已建立的连接。
- 基于“状态跟踪”的特性，安全组判断这是合法的回包，于是放行，数据成功进入服务器A。

为什么只开80端口入站不冲突？

A的安全组入站规则“只开放了80端口入站”是指：

如果有外部未知来源的主机尝试连接A的80端口，那么这些连接会被允许。
如果有外部未知来源的主机尝试连接A的其他端口（比如A的25056端口），那么这些连接会被阻断。

然而，在你的例子中，B的响应数据是回包，它不是一个“未知来源”尝试发起的新连接，而是对A之前主动发出的请求的响应。因此，状态化的安全组会识别并放行，这与“只开放80端口入站”的规则并不冲突，因为这个规则主要是针对由外部发起的新的入站连接。

所以，核心在于防火墙（安全组）的状态跟踪能力。

继续阅读

随笔杂谈

发起HTTP请求,1毫秒内NoHttpResponseException 问题排查

首先看到发起请求的1ms内就不可能是对方原因,主要排查方向在我方请求工具类,

按照日志找到HttpUtils工具类所在行,然后打开git提交记录,看看别人最近改了啥,

果然,领导改我工具类了,还多复制了一行检查空闲链接的事件居然调到了600000毫秒,600秒检查一次空闲连接,是有可能拿到半死不活的连接,先恢复到之前的二十秒,上线观察

继续阅读