搜索: ha

Linux 用户管理避坑指南 — /etc/passwd/shadow 到用户安全运维

标题匹配

title: Linux 用户管理避坑指南 — /etc/passwd/shadow 到用户安全运维

- 密码占位符是 `x`，真正的密码在 `/etc/shadow` 里 — 分离设计是安全考虑的基线

### 2. `/etc/shadow` — 密码的"保险箱"

| `$6$` | SHA-512 | 当前推荐算法 |

| `$5$` | SHA-256 | 兼容性场景 |

Wiki Schema

- **Provenance markers:** On pages that synthesize 3+ sources, append `^[raw/articles/source-file.md]` at the end of paragraphs whose claims come from a specific source.

├── hardware/ # 无线网络与硬件

sha256:

- ha: 高可用架构

- Overview / what it is

MySQL 性能调优 — 慢查询 / 锁分析 / 死锁排查 / 索引失效 / 深度分页 / 缓冲池 / 配置模板

-- ❌ 不走索引（user_id 是 VARCHAR，传了数字）

| 共享锁（S） | `SELECT ... LOCK IN SHARE MODE`，与S兼容与X互斥 | 低 |

ALTER TABLE orders ADD COLUMN remark VARCHAR(255); -- 对 orders 加 MDL 排他锁

4. **根本解决：** DDL 操作前确保没有长事务，或使用 `pt-online-schema-change` 做无锁 DDL

character-set-server = utf8mb4

Redis 高可用 — 主从复制 / 哨兵 / 脑裂 / 集群踩坑

- raw/articles/redis-ha-replication-sentinel.md

- raw/articles/redis-pitfalls-ha-series-3.md

CROSSSLOT Keys in request don't hash to the same slot

**解决 CROSSSLOT：** 使用 **Hash Tag**，强制关联 key 落入同一 slot：

# 不使用 Hash Tag → key1 和 key2 可能在不同 slot

Redis 内存优化完全指南 — 数据结构/TTL/淘汰策略/Bigkey/碎片治理

| value 本身 | 存储的数据 | JSON 字符串、Hash field、List element |

例如 `{"id":10001,"name":"Tom","age":18,"city":"Shanghai"}` — 字段名 `id`/`name`/`age`/`city` 都是重复开销。

### 4.3 小对象可以考虑 Hash

# Hash 方式

HSET user:10001 name Tom age 18 city Shanghai

运维工程师面试 50 题 — 经典 Linux/网络/数据库基础全覆盖

ln source hard_link # 硬链接

cat /etc/redhat-release # CentOS/RHEL

负载算法：轮询、权重、ip_hash、least_conn。参见 [[nginx-config-pitfalls]] 和 [[nginx-pre-launch-checklist]]。

参见 [[server-security-hardening-checklist]]（安全配置联动监控）。

参见 [[keepalived-nginx-ha]]（Keepalived + Nginx 高可用）。

K8s CI/CD 架构实战 — Jenkins / GitLab CI / Argo CD / Helm 全链路

| Harbor / DockerHub | 镜像仓库 | 内网优先 |

REGISTRY = "harbor.mycorp.local"

git clone https://gitlab.mycorp.local/helm-charts.git

cd helm-charts && sed -i "s/tag:.*/tag: ${VERSION}/" values.yaml

Argo CD 监听 Git 仓库中的 Helm Chart 变更，自动同步到 K8s 集群：

Pod Pending 排障指南 — 7 个角度快速定位调度失败根因

**Events 关键词：** `node(s) had taint`

| `node.kubernetes.io/unreachable` | 节点不可达 | 默认 NoExecute |

**Events 关键词：** `node(s) didn't have free ports for the requested pod ports`

│ │ ├─ node(s) had taint → 方向二

│ │ └─ didn't have free ports → 方向七

Node 排障 — NotReady 九步排查 / Kubelet / 容器运行时 / 资源压力 / 证书 / 预防

MemoryPressure False KubeletHasSufficientMemory

DiskPressure True KubeletHasDiskPressure ← 磁盘压力

PIDPressure False KubeletHasSufficientPID

sudo kubeadm alpha certs renew kubelet.conf --kubeconfig=/etc/kubernetes/kubelet.conf

**常见错误：** cgroupDriver 不一致、evictionHard 格式错误、serializeImagePulls 值类型错误。

Linux 目录结构完全指南 — FHS 标准与运维实战

| /usr/share | 架构无关共享数据 | doc, man, zoneinfo |

├── passwd / shadow / group # 用户账户信息

| 查看用户账户 | /etc/passwd / /etc/shadow |

- [[linux-perf-troubleshooting-handbook]] — Linux 性能排查手册

- [[server-security-hardening-checklist]] — 服务器安全加固（/etc 配置项）

Linux 入侵检测与应急响应 — AIDE/rkhunter/auditd 安全事件排查实战

安全加固（预防）与入侵检测（发现/响应）的体系关系参见 [[server-security-hardening-checklist]]。

| `BINLIB` | 全属性 + sha256 + sha512 | 关键二进制（/bin, /sbin, /usr/bin） |

| `DATAONLY` | 权限 + 属主 + sha256 | 数据目录 |

-w /etc/shadow -p wa -k identity_mod

sudo chattr +a /var/log/auth.log

Linux 高并发内核优化手册 — 文件句柄/网络/内存/调度/I/O/安全七维调优

* hard nofile 65535

* hard nproc 65535

root hard nofile 65535

- `soft` — 软限制（可动态超限），`hard` — 硬限制（上限）

- [[linux-perf-troubleshooting-handbook]] — Linux 服务器性能排查实战手册 — 60 秒快速摸底/4 大瓶颈排查/3 个实战案例/监控阈值/

NFS 挂载参数全解析 — 测试与调优指南

- raw/articles/wechat-吃透NFS挂载机制：挂载参数全解析与测试-调优指南.md

### 2. 故障处理参数（决定 HA 行为）

# hard + intr（NFSv3 传统方案）

mount -t nfs3 -o hard,intr server:/data /mnt

NFS 故障排查 SOP — 7 步法 / 6 类故障 / 实战案例

| 3. 客户端挂载状态异常 | 挂载点卡死、Stale file handle、df/ls 阻塞 | 服务端重启致 inode 变化、hard 挂载未设 intr |

mount -t nfs -v -o vers=4.2,tcp,hard,intr,rsize=1048576,wsize=1048576 \

### 案例 1：Stale file handle（句柄过期）

- **现象**：ls /mnt 报 Stale file handle，部分文件可读写，部分失败

- **根因**：服务端重启/导出路径 inode 变更，客户端缓存的 filehandle 失效

服务器安全加固清单 — 新机器上线前必做的 20 件事

sources: [raw/articles/server-security-hardening-checklist.md]

# ChallengeResponseAuthentication no

sudo chage -M 90 -m 7 -W 7 admin

* hard nofile 65535

* hard nproc 65535

SSH 连接调试完全指南 — ssh -vvv 输出解读 + 服务端日志联查 + 典型问题排查

debug1: kex: algorithm: curve25519-sha256

debug1: Authentications that can continue: publickey,password

debug1: Offering public key: /home/user/.ssh/id_ed25519 ED25519 SHA256:xxxx

debug1: Authentications that can continue: publickey,password

Unable to negotiate with 192.168.1.100 port 22: no matching key exchange method found.

Keepalived + Nginx 高可用实战 — VRRP / VIP 漂移 / 主备切换

tags: [nginx, networking, production, deployment, ha, keepalived]

sources: [raw/articles/keepalived-nginx-ha-guide.md]

Keepalived + Nginx 的 HA 方案中，Nginx 自身配置的可靠性同样重要。

5. **后端单点瓶颈：** 本方案只解决 Nginx 层的 HA，后端服务若为单点则仍有单点故障风险。

- [[keepalived-ha-hidden-pitfalls]] — Keepalived+Nginx 高可用架构 3 个隐藏坑位与生产级防护方案（脑裂/健康检查僵尸进程

Nginx 典型配置错误复盘 — 20+ 个踩坑点详解

root /usr/share/nginx/html;

ssl_certificate /etc/nginx/ssl/example.com.fullchain.pem;

ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:...';

**验证：** `openssl s_client -connect example.com:443` 检查 Certificate chain。

Nginx 负载均衡策略选择实战指南

### IP 哈希（IP Hash）

ip_hash;

1. **有状态 vs 无状态** → 有状态选 IP Hash / sticky，无状态选轮询

3. **缓存亲和性** → 本地缓存依赖强的应用优先 IP Hash

Nginx 实时推送生产实践全解：SSE 与 WebSocket 的原理、架构、工程化与生产级落地

ip_hash; # 或 sticky 模块

func SSEHandler(w http.ResponseWriter, r *http.Request) {

ch := make(chan Event)

采用 **Redis Pub/Sub** 或 **消息队列** 实现跨节点消息分发：消息生产者发到 Redis Channel，各节点的 Hub 订阅后转发给本地客户端。

- **背压控制** — 发送队列限长（channel cap），防止慢消费者拖垮进程

Terraform 基础设施即代码实战 — 从入门到生产

brew tap hashicorp/tap

brew install hashicorp/tap/terraform

wget -O- https://apt.releases.hashicorp.com/gpg | gpg --dearmor | sudo tee /usr/share/keyrings/hashicorp-archive-keyring.gpg

echo "deb [signed-by=/usr/share/keyrings/hashicorp-archive-keyring.gpg] https://apt.releases.hashicorp.com $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/hashicorp.list

region = "cn-hangzhou"

Wiki Index

- [[keepalived-ha-hidden-pitfalls]] — Keepalived+Nginx 高可用架构 3 个隐藏坑位与生产级防护方案（脑裂/健康检查僵尸进程/配置同步时序陷阱）

- [[keepalived-nginx-ha]] — Keepalived + Nginx 高可用：VRRP/VIP 漂移/主备切换

- [[linux-hardware-info-and-ops-guide]] — Linux 硬件信息查询与软件管理命令速查 — CPU/内存/磁盘/网络/主板全覆盖

- [[linux-perf-troubleshooting-handbook]] — Linux 服务器性能排查实战手册 — 60 秒快速摸底/4 大瓶颈排查/3 个实战案例/监控阈值/参数速查

- [[linux-user-management-guide]] — Linux 用户管理避坑指南：/etc/passwd/shadow/用户CRUD/密码策略/登录审计/防暴力破解

Wiki Log

- Created raw: raw/articles/keepalived-nginx-ha-guide.md

- Created concepts: keepalived-nginx-ha

## [2026-05-11] update | 一次网站访问变慢的排查过程（SHA256一致）

## [2026-05-11] update | 线上频发故障：Nginx（SHA256一致）

- Created raw: raw/articles/redis-connection-exhaustion-postmortem.md

Redis 持久化机制 — RDB / AOF / 混合持久化

| 自动触发 | `save hanges>` | 配置文件中定义触发条件 |

rdb_changes_since_last_save # 距上次 RDB 的变更数

- [[redis-ha-replication-sentinel]] — Redis 高可用

Docker 生产环境踩坑指南 — 10 + 5 个常见问题

docker run -e TZ=Asia/Shanghai nginx

**修复方案：** 始终使用具体版本标签，不要用 `latest`。推荐 GitOps 流程：git commit SHA 作为镜像标签。

参见 [[server-security-hardening-checklist]] 的服务器安全加固总纲，以及 [[ssh-brute-force-protection-guide]] 的访问控制实践。

| [[server-security-hardening-checklist]] | 服务器安全加固总纲（含 Docker daemon 安全） |

K8s 面试通关指南 — 100 道核心题全解析

| 26 | 什么是 Helm？ | K8s 包管理工具，管理 Chart 的安装、升级、回滚 | — |

| 94 | 存储架构设计？ | 需求分析 + 类型选择（PV/PVC/StorageClass）+ 分层 + HA + 监控 |

| [[server-security-hardening-checklist]] | 服务器安全加固（含 K8s 相关） |

SSH 暴力破解防御指南 — 公钥认证 / fail2ban / 2FA / 入侵检测 / 连接限制 / 蜜罐

sources: [raw/articles/ssh-brute-force-protection-guide.md, raw/articles/server-security-hardening-checklist.md, raw/articles/7招锁死SSH-从端口伪装到Fail2ban-教你把暴力破解挡在门外.md]

ChallengeResponseAuthentication no

ChallengeResponseAuthentication yes

| [[server-security-hardening-checklist]] | 新机器上线安全加固清单（20 项全面基线）——SSH 加固是其中核心环节 |

Keepalived+Nginx 高可用实战 — 3 个隐藏坑位与生产级防护方案

tags: [nginx, keepalived, networking, production, ha, troubleshooting, monitoring, architecture]

handlers:

| CI/CD 集成 | serial:1 逐台执行 + manual 手动触发 + Ansible handler |

- [[keepalived-nginx-ha]] — Keepalived+Nginx 高可用架构原理与基本配置

Nginx 上线前检查清单 — 7 项必查配置

| 带 hash（`app.8f3a1c.js`） | `expires 30d; add_header Cache-Control "public, immutable";` |

| 不带 hash | `expires 7d; add_header Cache-Control "public";` |

- [[nginx-load-balancing-strategy-guide]] — Nginx 负载均衡策略选择实战指南 — 加权轮询与 IP Hash 深度对比、混合策略最佳实践

- [[keepalived-ha-hidden-pitfalls]] — Keepalived+Nginx 高可用架构 3 个隐藏坑位与生产级防护方案（脑裂/健康检查僵尸进程

MySQL 主从复制指南 — 原理 / GTID / 架构 / 故障排查 / 监控

CHANGE MASTER TO

| 双主 | 双向写入 / 快速切换 | HA，注意主键冲突 |

- [[redis-ha-replication-sentinel]] — Redis 主从/哨兵（对比学习数据库 HA）

Redis 备份恢复实战 — 备份脚本 / 恢复流程 / 容灾方案

- **主从不是备份** — 主从切换依然可能丢数据，复制不能替代备份。Redis 高可用方案参见 [[redis-ha-replication-sentinel]]

- **安全配置** — `rename-command FLUSHALL ""`、`requirepass`、`protected-mode`

- [[redis-ha-replication-sentinel]] — Redis 高可用：主从复制/哨兵/脑裂/集群踩坑

DevOps 技术面试指南 — 容器/云原生/内核 59 题

| [[server-security-hardening-checklist]] | 服务器安全加固 |

Kubernetes CoreDNS 自定义域名解析 — 五种场景从原理到生产实操

- raw/articles/wechat-Kubernetes CoreDNS 实现自定义域名解析：从原理到生产实操.md

**需求：** 集群外固定服务（如 Harbor）用统一域名访问。

172.16.29.203 harbor.idcsec.com

K8s 服务访问排查 — 从 Pod、Service 到 Ingress 十步工作流

kubectl get pods -n --field-selector=status.phase!=Running

echo "[ALERT] Service $SVC in namespace $NS has NO endpoints"

echo "[WARNING] Ingress $INGRESS → Service $SVC has NO endpoints!"

生产环境 Linux 内核参数调优 — 6 个必调参数

sources: [raw/articles/linux-kernel-tuning-production.md, raw/articles/server-security-hardening-checklist.md]

完整安全加固清单参见 [[server-security-hardening-checklist]]。

- [[linux-perf-troubleshooting-handbook]] — Linux 服务器性能排查实战手册 — 60 秒快速摸底/4 大瓶颈排查/3 个实战案例/监控阈值/

搜索结果: "ha"