LiJie | eiJil

Upgrading peertube to 6.0.1

2024-01-16T08:58:50Z

Originally posted at: https://eijil.com/t/upgrading-peertube-from-5-2-1-to-6-01/476

According to the changelog, upgrading peertube requires manually modifying some configuration files, first and formost, you need to upgrade nodejs to version 18.

Run the script

After you upgrade nodejs to version 18, run the upgrade script listed in the official upgrade doc.

cd /var/www/peertube/peertube-latest/scripts && sudo -H -u peertube ./upgrade.sh
sudo systemctl restart peertube # Or use your OS command to restart PeerTube if you don't use systemd

One the above script finished running, you’ll need to manually modify some configuration files.

I’m using notepad++ with the plugin Compare to help me with the job.

Make sure to back up files before starting this task!

Change the production.yaml

The first file you need to modify manually is the new production.yaml.example which is located in /var/www/peertube/versions/peertube-v6.0.1/config, you’ll use the new file to overwrite the old one which is located in /var/www/peertube/config named production.yaml.

Download the new config file from the VPS and rename the new file production.yaml.example to 6.0.1.yaml and the old production.yaml to 5.2.1.yaml, this is not mandatory but is recommended to avoid confusion when modifying files later on.

Open both files with notepad++. Then click Plugins->Compare->Compare:

Notepad++ will display the two files side by side on the screen, and highlight the differences.

The new file is on the left side, which is the one you’ll be editing, and the old configuration file is on the right side. You’ll need to transfer some of the configuration information from the old file into the new one.

The things you need to change are related to your Peertube instance, such as domain name, keys, database details, redis, domain certificates etc. Be really careful during this process and double-check everything.

Once the old config infos were seccessfully migrated, rename the folder:

sudo -u peertube mv '/var/www/peertube/storage/videos/' '/var/www/peertube/storage/web-videos/'

Since the folder name has been changed in the new production.yaml(6.0.1.yaml), so we need to change it manually.

Save the new file 6.0.1.yaml as production.yaml, upload and overwrite the old one(remember to make a back up!) located in /var/www/peertube/config

Pay attention to the file’s ownership. If it’s not already set to peertube, you can change it by running the command chown peertube production.yaml

Change the nginx file

This step is similar to the previous one, so I won’t repeat it. Just fill in the old configuration details into the new Nginx config file, and make sure to check it several times for accuracy! Make a back up before you overwrite the file.

Restart everything

That’s it! Now, all we need is to restart everything. You can simply reboot the server, or you can restart peertube and nginx manually:

sudo systemctl reload nginx
sudo systemctl restart peertube

If anything goes wrong, look into the log by running sudo journalctl -fu peertube

隐私！隐私！隐私！

2023-11-06T04:15:43Z

本周全球互联网主要的话题主要集中在隐私泄露这个话题上。Fediverse上有关#Privacy的讨论量飞涨。

汽车会收集隐私

习惯各种智能设备的我们，或多或少都有过相似的经历，刚刚还在谈论购买个什么东西，随后刷手机时相对应的广告就会出现在你的抖音里，微博里，等等。

而现在，根据Mozilla最近的一项针对25个不同品牌汽车的调查发现所有这些品牌的汽车都会收集司机或者乘客的隐私信息，而可能会被收集的信息居然多达160多项！除了你可以想象到厂商会根据你汽车的行驶起点和终点能推断出来你家庭位置和公司位置外，和汽车通过蓝牙连接获而取到你手机的所有相关信息更是作为车主无法想象的，更有甚者，还有一些不可描述的行为隐私也会被收集。特斯拉和尼桑更是首当其冲！随着能够联网的智能汽车占比越来越高，问题估计会更加严重。

而收集的数据越多，对一个人的刻画越准确，收集的这些隐私数据，这些汽车厂商有可能会将数据出售给一些广告商，然后把相应的广告精准地推送给你（汽车厂商会收集你连接汽车的手机信息）。

而更恐怖的是，这些保存用户个人隐私数据的汽车厂家，万一哪天发生了数据泄露事件…

以前看美剧，很多私密问题都是在汽车上进行的，当他们坐在一个带有话筒，摄像头的车里时，估计会谨慎很多。

Chrome浏览器

Google is doing evil again!

谷歌的#Chrome浏览器新推出了所谓的"Enhanced AD Privacy"，可以让网站根据你的浏览记录，更加精准地给你推送广告。

谷歌的早期"Don’t Be Evil"的宗旨已经被抛掷脑后。

昨天起开始把Firefox设为了默认浏览器，使用自己搭建的SearXNG也有半年多时间了，Fediverse也使用了一年多的时间。但是能起多大作用呢…

电信诈骗案件的发生和包括但不限于这些掌握个人信息的厂商因为疏于管理而导致的数据泄露有不可推卸的责任。作为个人，只能从自己身上做出一些习惯的改变，谨小慎微，需要填写个人信息的平台，能不填写就不填写，能不注册就不注册！因为你所填写的个人真实信息，对于各种平台来说，有可能根本没有专业人士使用专业方法进行加密保存，数据泄露只是时间问题。智能化是无法阻挡的脚步，但是在这过程中如何保护自己个人隐私的泄露，作为个体，我们也需要多注意，多辨别！

VPS装好系统后的一些设置

2024-10-05T11:52:41Z

https://lijie.org/wp-content/uploads/2023/05/Untitled-notebook.wav

每次都要重新搜索，然后设置一遍，所以这里记录下在VPS上装好操作系统后的一些设置，系统使用Ubuntu22.04，默认使用root登录。

使用Screen

因为网络环境的问题，ssh连接vps经常会掉线，所以第一件事就是要使用screen，这样掉线后不影响任务或者系统升级，避免一些灾难性问题

apt update
apt full-upgrade
apt install screen -y

编辑.bashrc，加入bash脚本，这样每次登陆时候都会自动返回上次的screen，工作更加无缝

cd
nano .bashrc

添加如下内容：

if [[ -z "$STY" ]]; then
screen -xRR default #注意screen前面有四个空格
fi

重启下，或者退出ssh，重新连接，连接时如果出现 new screen… 一闪而过，那就成功了。

开启BBR

echo net.core.default_qdisc=fq >> /etc/sysctl.conf
echo net.ipv4.tcp_congestion_control=bbr >> /etc/sysctl.conf
sysctl -p

套cloudflare后，隐藏服务器ip

套了cf后，我们就只让cf的ip可以请求vps的web服务，其它ip一概不允许。ufw默认一般都安装好了。

这个只能最大限度禁止别人刺探真实服务器ip，比如fofa或者shodan之类的。不敢保证百分百阻止，实际上，VPS运行几个月后，发现这些工具没有找到我服务器真实ip。不设置这一步的话，一般几个月后真实ip会被找到。

重置ufw规则：

ufw reset

默认禁止所有进入的请求，允许所有的出去的请求：

ufw default deny incoming
ufw default allow outgoing

开放ssh连接：

ufw allow OpenSSH
ufw enable

执行只允许cf ip的脚本：

git clone https://github.com/Paul-Reed/cloudflare-ufw
cd ./cloudflare-ufw
./cloudflare-ufw.sh

查看下当前ufw规则：

ufw status numbered

把没必要的删除，只留下cf规则和ssh规则，删除可以使用命令 ufw delete 2，这里指的是第二条规则。

定期更新cf的ip:

sudo crontab -e

0 0 * * 1 /root/cloudflare-ufw/cloudflare-ufw.sh > /dev/null 2>&1

禁止ping服务器ip

echo net.ipv4.icmp_echo_ignore_all=1 >> /etc/sysctl.conf

运行，生效

sysctl -p

禁止通过ip访问web服务

nginx安装好以后，都会有一个default配置文件，在server段修改成如下：

server {
listen 80 default_server;
server_name "";
return 444;
}

注意，default_server只能出现在一个配置文件中。

使用证书登录SSH

windows下，打开powershell，注意不是cmd

ssh-keygen #一定要设置个密码，公钥，私钥可以加密压缩后放到网盘同步
cat ~/.ssh/id_rsa.pub | ssh root@VPSip "mkdir ~/.ssh; cat >> ~/.ssh/authorized_keys" #如果客户机是windows10及以上系统
ssh-copy-id root@ip #如果客户机是linux系统

配置服务器ssh，关闭密码登录：

nano /etc/ssh/sshd_config

按Ctrl+w, 找到PasswordAuthentication，将前面#号删除，后面的值改为no即可。

重启ssh生效：

systemctl restart sshd

Nginx配置屏蔽/允许某些国家/地区IP访问

随后写

其它

注册各种网站后，第一时间先看下网站是否支持2FA，有的话一定要打开，注册时使用浏览器或者密码管理软件随机生成复杂的密码。

使用Cloudflare的email routing，打开catch all，每个需要邮箱的网站在注册时使用 网站域名@domain.ltd 邮箱。

Setting up your own Matrix Synapse service on VPS

2024-01-29T12:17:15Z

For the past one month, I’ve been digging around the internet about the decentralized fediverse community. Platforms like Mastodon, Matrix Synapse, Pixelfed etc are the open-source implementations of twitter, IMs like telegram Signal and instagram, and more importantly these platforms are all decentralized, which means your posts/pics/blog/account belongs to yourself, and won’t be deleted by those BIG companies for no reason, especially those stupid companies in China like weibo, bilibili, douyin etc. Ad-free, no user privacy tracking/leaking are also advantages of the fediverse platforms.

Up to now, I’ve tried my hand on Soapbox FE, Matrix Synapse and got them successfully running on my VPS. This post mainly focuses on the installation of Matrix Synapse which was written in Python. There is a Go version of Matrix – Dendrite. It’s more efficient and maybe the VPS hardware requirements aren’t that high. But it’s still in the beta version, not recommended for the production environment.

Minimal VPS Specs: 1-core vCPU, 1G of RAM, here is the utilization of Synapse running on my VPS(just 1 user), 2G RAM is recommended for users less than 20. The OS is Ubuntu 20.04.

I’ve made a test video call between my 2 phones, the CPU ( Intel(R) Xeon(R) CPU E5-2690 v4 @ 2.60GHz ) usage is around 25%, so a 2-core CPU is recommended.

I want to use the base domain as part of the user name, like @user:example.org, instead of @user:matrix.example.org which is the actual server address. In this case, you can host other websites (like Mastodon) with the base domain example.org.

Let’s get rolling!

Install matrix synapse package

sudo apt update 
sudo apt upgrade -y
sudo apt install lsb-release wget apt-transport-https -y

// add the gpg keys
sudo wget -qO /usr/share/keyrings/matrix-org-archive-keyring.gpg https://packages.matrix.org/debian/matrix-org-archive-keyring.gpg 
sudo echo "deb [signed-by=/usr/share/keyrings/matrix-org-archive-keyring.gpg] https://packages.matrix.org/debian/ $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/matrix-org.list

// install matrix-synapse package
sudo apt update 
sudo apt upgrade 
sudo apt install matrix-synapse-py3

One window will pop up, enter the base domain name example.org, NOT matrix.example.org, it’s very important. Hit and .

sudo systemctl enable matrix-synapse 
sudo systemctl start matrix-synapse 
sudo systemctl status matrix-synapse

Go through the log file if synapse is not running:

sudo tail -f /var/log/matrix-synapse/homeserver.log

Make sure again by typing:

sudo netstat -lnpt | grep :8008

Change the configurations:

Generate the Matrix Synapse registration secret:

cat /dev/urandom | tr -dc 'a-zA-Z0-9' | fold -w 32 | head -n 1

Edit the synapse config file:

sudo nano /etc/matrix-synapse/homeserver.yaml

Press Ctrl+w to find registration_shared_secret: uncomment it and change the value with the random string generated above.

Find the following lines and change the value correspondingly:

enable_registration: false
allow_public_rooms_without_auth: false
allow_public_rooms_over_federation: false

Press Ctrl+o to save the file and Ctrl+x to exit. Then restart the synapse service:

sudo systemctl restart matrix-synapse

Again, if anything goes wrong, check out the log file.

sudo more /var/log/matrix-synapse/homeserver.log

Install Nginx and certbot:

sudo apt install nginx certbot python3-certbot-nginx -y

Generate the SSL certificates:

sudo systemctl stop nginx
sudo certbot certonly -d example.org -d matrix.example.org

Create Nginx config file of the base domain:

cd /etc/nginx/sites-available
sudo nano example.org

Change example.org to your domain name:

server {
        root /var/www/example.org; # You can host another website here or do a reverse proxy.

        # Add index.php to the list if you are using PHP
        index index.html index.htm index.nginx-debian.html;

        server_name example.org;

        location / {
                # First attempt to serve request as file, then
                # as directory, then fall back to displaying a 404.
                try_files $uri $uri/ =404;
        }

    location /.well-known/matrix/client {
         # pay attention here, help client like element to find the actual address.
        return 200 '{"m.homeserver": {"base_url": "matrix.example.org"}}';
        default_type application/json;
        add_header Access-Control-Allow-Origin *;
    }

    location /.well-known/matrix/server {
        return 200 '{"m.server": "matrix.example.org:443"}';
        default_type application/json;
        add_header Access-Control-Allow-Origin *;
    }

    listen [::]:443 ssl ipv6only=on; # managed by Certbot
    listen 443 ssl; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/example.org/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/example.org/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

}

server {
    if ($host = example.org) {
        return 301 https://$host$request_uri;
    } # managed by Certbot
    listen 80;
    listen [::]:80;
    server_name example.org;
    return 404; # managed by Certbot
}

Create the matrix.example.org config file:

sudo nano matrix.example.org

Change the content to:

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;

    # make your synapse instance federated. 
    listen 8448 ssl http2;  
    listen [::]:8448 ssl http2;

    server_name matrix.example.org;

    ssl_certificate /etc/letsencrypt/live/matrix.example.org/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/matrix.example.org/privkey.pem;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    ssl_ciphers ECDHE-RSA-AES256-GCM-SHA512:DHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384;
    ssl_session_timeout  10m;
    ssl_session_cache shared:SSL:10m;
    ssl_session_tickets on;
    ssl_stapling on;
    ssl_stapling_verify on;

    location ~ ^(/_matrix|/_synapse/client) {
        # note: do not add a path (even a single /) after the port in proxy_pass,
        # otherwise nginx will canonicalise the URI and cause signature verification
        # errors.
        proxy_pass http://127.0.0.1:8008;
        proxy_set_header X-Forwarded-For $remote_addr;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $host;

        # Nginx by default only allows file uploads up to 1M in size
        # Increase client_max_body_size to match max_upload_size defined in homeserver.yaml
        # support file size up to 200MB.
        client_max_body_size 200M;  
    }

    # make your synapse instance federated.
    location / {  
        proxy_pass http://localhost:8008;
        proxy_set_header X-Forwarded-For $remote_addr;
    } 
}
server {
    if ($host = matrix.example.org) {
        return 301 https://$host$request_uri;
    } # managed by Certbot

    listen 80;
    listen [::]:80;
    server_name matrix.example.org;
    return 404; # managed by Certbot
}

Link the config files to sites-enabled folder and restart nginx

ln -s /etc/nginx/sites-available/example.org /etc/nginx/sites-enabled/
ln -s /etc/nginx/sites-available/matrix.example.org etc/nginx/sites-enabled/

nginx -t
systemctl restart nginx

Setting up Postgres

Issue the following commands:

sudo apt install postgresql postgresql-contrib
sudo -i -u postgres
psql
# Create an user and password, you shoud change the Password
CREATE USER "synapseuser" WITH PASSWORD 'Password';
CREATE DATABASE synapse ENCODING 'UTF8' LC_COLLATE='C' LC_CTYPE='C' template=template0 OWNER "synapseuser";
exit
exit # exit the current user
sudo apt install python3-psycopg2

Edit synapse config file:

sudo nano /etc/matrix-synapse/homeserver.yaml

Since I’ll use PostgreSQL instead of sqlite3, comment out the following lines:

#database:
#  name: sqlite3
#  args:
#    database: /path/to/homeserver.db

Uncomment the following lines:

database:
  name: psycopg2
  txn_limit: 10000
  args:
    user: synapseuser  
    # enter the username and password created above.
    password: password  
    database: synapse
    host: localhost
    port: 5432
    cp_min: 5
    cp_max: 10

Looks like this:

Change public_baseurl to the real domain matrix.example.org (IMPORTANT!):

Find and change maximum file size to 200M

max_upload_size: 200M

Since the file size has been changed in the nginx config file of matrix.example.org, there is 1 more place to change:

sudo nano /etc/nginx/nginx.conf

Add the following line in http section:

client_max_body_size 200M;

Save & exit. Restart synapse & nginx:

sudo systemctl restart matrix-synapse
sudo nginx -t
sudo systemctl restart nginx

Enable ports:

ufw allow OpenSSH
ufw allow 'Nginx Full'
ufw allow 8448

Visit https://matrix.example.org:8448, you’ll get this page:

Visit https://federationtester.matrix.org/ , enter the base domain example.org to test if everything is OK.

Create the admin account

register_new_matrix_user -c /etc/matrix-synapse/homeserver.yaml http://localhost:8008

Type name & password, and then type yes when asked if make it admin.

Visit https://app.element.io/#/login to login. Click Edit at the upper-right corner of the page, and then fill in the actual synapse address:

Hit Continue and then enter the username and password you just created. You might see something like this as well🤣🤣🤣

Of course, you can find many other clients for you PC, Mac, iphone etc at https://matrix.org/clients/.

Upgrade

Upgrading synapse to the latest version is just like upgrading other softwares on ubuntu, Executing apt full-upgrade would do the job. But before doing that, make sure to backup your homeserver.yaml and then press n when asked wheather or not to replace the config file.

It’s not very complicated, but you can use ansible to deploy matrix which is much easier, especially when you want to bridge other IM tools like telegram or discord etc.

使用Maddy搭建自己的邮箱服务

2023-11-06T04:16:57Z

搭建以前，一定要确认自己的vps是否开通了25端口，以及是否可以设置rDNS，否则下面不用看了。我使用的racknerd的VPS，一年只需要10美元左右，符合搭建的要求，推荐大家在这家注册使用。

使用Maddy搭建邮箱服务挺方便，这里记录下，供以后再搭建时使用，注意将example.com换成自己的域名。

先设置二级域名，mx.example.com，A记录和AAAA记录分别指向服务器ipv4地址和ipv6地址。然后设置根域名(@)mx记录，指向mx.example.com

这里使用Maddy编译好的文件进行。先下载并解压缩（目前是0.5.4版本）:

wget https://github.com/foxcpp/maddy/releases/download/v0.5.4/maddy-0.5.4-x86_64-linux-musl.tar.zst
apt install zstd
tar --use-compress-program=unzstd -xvf maddy-0.5.4-x86_64-linux-musl.tar.zst
cd maddy-0.5.4-x86_64-linux-musl
mv maddy maddyctl /usr/local/bin/
mkdir /etc/maddy && mv maddy.conf /etc/maddy/
mv systemd/*.service /usr/lib/systemd/system/
mv man/*.1 /usr/share/man/man1/ && mv man/*.5 /usr/share/man/man5/

运行tree命令，可以看到maddy目录结构很简单，主要是maddy和maddyctl两个可执行文件和maddy.conf配置文件

为Maddy程序添加一个单独的用户并且授予权限:

useradd -mrU -s /sbin/nologin -c "maddy mail server" maddy
chown -R maddy:maddy /usr/local/bin/maddy* /etc/maddy

获取证书，需要先停止占用80端口的程序，比如nginx:

apt install snapd
snap install --classic certbot
certbot certonly --standalone --preferred-challenges http -d mx.example.com
apt install acl
mkdir -p /etc/maddy/certs
mkdir -p /etc/maddy/state
mkdir -p /etc/maddy/runtime
mkdir -p /etc/maddy/log
chown maddy:maddy /etc/maddy -R
setfacl -R -m u:maddy:rX /etc/maddy/certs/
setfacl -R -m u:maddy:rX /etc/letsencrypt/{live,archive}
cd /etc/maddy/certs
ln -s /etc/letsencrypt/live/mx.example.com

接下来配置下Maddy:

nano /etc/maddy/maddy.conf

修改以下内容:

$(hostname) = mx.example.com
$(primary_domain) = example.com
$(local_domains) = $(primary_domain)

添加以下内容:

state_dir /etc/maddy/state
runtime_dir /etc/maddy/runtime
log syslog /etc/maddy/log/maddy.log

保存，退出。

创建用户和对应的密码:

maddyctl creds create hi@example.com
maddyctl imap-acct create hi@example.com

启动maddy服务:

chown maddy:maddy /etc/maddy -R
service maddy start

这时候就可以使用thunderbird或者需要smtp服务的程序等工具连接邮箱了。

为了避免邮件进入垃圾邮箱，域名还需要进行配置:

新建一个根域名(@)的TXT记录，值为v=spf1 mx ~all
新建 _dmarc 的TXT记录，值为 v=DMARC1; p=quarantine; ruf=mailto:hi@example.com
新建 default._domainkey 的TXT记录，值为 /etc/maddy/state/dkim_key/example.com_default.dns 文件的内容，类似于 v=DKIM1; k=rsa; p=MII...AB
最后要到VPS主机商那里，设置下rDNS记录，指向mx.example.com，这一步很重要，我使用的racknerd的vps，一年才10美元左右，可以发ticket让客服将rdns指向你的mx.example.com，一般5分钟左右就能设置好。

这样一来，邮件不会进垃圾箱了。

设置maddy开机启动:

systemctl enable maddy

更多命令可以使用 maddyctl command -h 查看，比如执行 maddyctl creds -h 可以看到:

maddyctl creds list  列出当前所有用户
maddyctl creds create name@example.com 创建用户
maddyctl creds remove name@example.com 删除用户
myaddyctl creds password name@example.com 修改密码

升级Maddy，将新版本的maddy下载下来，将maddy和maddyctl拷贝到下面目录即可

systemctl stop maddy
mv maddy maddyctl /usr/local/bin/

降低CPU使用率让Plex客户端解码

2023-11-06T04:19:08Z

Plex给人的印象是需要服务器端转码，这给很多人造成了错误的印象，前几天人民币160元入手了终身Plex Pass，随即折腾起来，发现Plex完全可以像Kodi一样使用客户端解码，降低服务器端的CPU占用率，加上Plex本身漂亮的UI界面和强大的数据刮削能力，Plex在Emby(收费), Jellyfin(全免费), 和Kodi(全免费，太丑，弃)的竞争中，完全不落下风。

我的硬件：一台小的Home Box，配置是i3-7100u(Intel Kaby Lake), 8G内存。一台家用NAS，QNAP NAS 453B mini一台，10G内存, 处理器是J3455(Intel Apollo Lake)。

处理器是i3-7100的Home Box安装了Esxi，上面安装了Openwrt和Ubuntu server（ubuntu里又装了Plex服务器端）以及其它系统。也就是所说的软路由中安装Plex服务器。

Ubuntu server和QNAP上都安装了Plex server，这里使用Ubuntu中的Plex server来测试，NAS仅仅作为一个存储设备。

i3-7100U的核显是HD 620, 而QNAP NAS的处理器是J3455，核显是HD 500。两款核显均支持4K分辨率下H.264的转码transcoding（包括解码decoding和编码encoding），而对于, H.265(HEVC)编码，只有HD620的也就是7100u支持转码，J3455仅仅支持解码（支持播放）。具体核显的性能区别可以看这里以及这里。所以不论是自己组件NAS还是购买现成的NAS，CPU是非常关键的，CPU越新，核显越新，才能更大幅度的降低CPU的使用率。

首先在Ubuntu中挂载NAS中共享的电影文件夹：

apt install nfs-common #安装nfs

showmount -e 192.168.1.99 #看下nas哪些目录是共享可挂载的。

mkdir /mnt/qnap #在ubuntu中创建文件夹qnap，用来挂在qnap的共享文件夹

mount 192.168.1.99:/电影共享 /mnt/qnap #将nas共享的电影共享目录挂在到linux的qnap目录上。

apt install ffmpeg intel-gpu-tools #安装解码器和查看intel显卡占用率程序

在ESXI中将Intel CPU显卡直通给Ubuntu server：

↑ESXI中先允许核显直通

↑修改Ubuntu server的显卡信息，将默认的修改为FALSE

↑修改Ubuntu配置，添加PCI设备，然后选择刚才直通的显卡即可

↑进入Ubuntu后，运行lspci | grep -i vga，发现核显直通成功

随后安装Plex的Ubuntu服务器端和手机或者PC的客户端，此处略过…，需要注意的是，媒体文件夹选择刚才挂载的NAS文件夹即可。

↑首先进入Plex服务器后台(我这里的地址http://192.168.1.237:32400/)，点击transcoder，确保下面两个选择框都勾选

播放H.265的影片，默认使用ass字幕，服务器端资源占用率如下：

↑运行htop，cpu占用率情况，可以看到plex的transcoder在工作

↑运行intel_gpu_top，可以看到核显也在工作

↑Plex后台也可以看到Plex在硬件转码(HW)，字幕显示ASS格式

我下载的影片内嵌了srt的字幕，在播放终端手动将字幕设为srt字幕后的情况：

↑CPU占用率明显下降，并且plex的transcoder没有工作

↑核显没有任何负载

↑Plex后台显示Direct Play，意思就是后台没有进行任何的转码，字幕是SRT

上面带宽区别是因为在测试中间去蹲了个坑，导致手机wifi切换到了2.4G，其实没影响。

所以以我目前的播放终端来看，能更进一步降低CPU占用率的很简单的办法就是更换字幕格式，实际测试发现SRT和PGS（pgs字幕还带有各种特效和字体，居然不转码？！很奇怪）以及SSA格式的字幕均不会转码，很不起眼的原因。如果必须服务器端解码的时候，这就考验服务器端CPU的核显了，牙膏厂的7系列及以后的cpu的核显(620及以后的可以)可以承担很多工作，这样CPU使用率会低很多。

音频有时候也会转码，但是cpu的使用率却非常低，所以不考虑了。

下一步研究下免费的Jellyfin，毕竟是免费的，并且是从收费的Emby脱离出来的。

使用qnap nas的hbs 3同步onedrive googledrive等网盘内容

2020-04-30T19:37:31Z

QNAP还是不错的，就是界面做的一般般。视频默认油管的，B站地址。

域名如何开启HTTPS,HTTP/2以及HSTS

2020-06-06T02:15:47Z

对于站长，配置域名的https, http/2以及hsts是家常便饭，之前的博客说过，这里使用免费的let’s encrypt来演示，环境是ubuntu18.04 + nginx，域名使用lijie.org，下面的命令替换成自己的域名即可。

一、开启https。

sudo add-apt-repository ppa:certbot/certbot #将let's encrypt加入ubuntu软件源,ubuntu 18.04及之前版本，ubuntu20.04方法如下
sudo apt-get update #更新列表
sudo apt-get install python-certbot-nginx #安装certbot,ubuntu 18.04及之前版本，ubuntu20.04方法如下

apt install certbot python3-certbot-nginx #ubuntu20.04开始直接安装就行，不需要另外添加lets encrypt源。

sudo ufw allow 'Nginx Full' #将80, 443端口开启，加入防火墙
sudo certbot --nginx -d lijie.org -d www.lijie.org #使用certbot给两个域名申请ssl

执行上述命令会提示：

Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access.
——————————————————————————-
1: No redirect – Make no further changes to the webserver configuration.
2: Redirect – Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you’re confident your site works on HTTPS. You can undo this
change by editing your web server’s configuration.
——————————————————————————-
Select the appropriate number [1-2] then [enter] (press ‘c’ to cancel):

这里选择2，按回车，剩下的问题按y，同意即可。

https就配置完成了，访问https://www.ssllabs.com/ssltest/，评分会的A，下面我们继续配置，让其得分到A+。

二、添加HTTP/2支持

sudo nano /etc/nginx/sites-available/lijie.org #编辑网站的nginx配置文件

找到并添加

listen [::]:443 ssl http2 ipv6only=on;  #新添加http2
listen 443 ssl http2;    #新添加http2

按Ctrl + O保存，然后按Ctrl + X退出后，检查nginx配置文件是否正确

sudo nginx -t #检查配置文件是否正确，一般没问题
sudo service nginx reload #重新加载nginx配置文件，使得修改生效

这样http/2配置基本完成，下面来提高http2的安全性。

依旧打开网站配置文件：

sudo nano /etc/nginx/sites-available/lijie.org

找到let’s encrypt替我们生成的下面的语句，前面添加#号将其注释掉：

# include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot

另起一行，加入：

ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;

sudo nginx -t 
sudo service nginx reload #没问题后，重新加载nginx

验证下http2是否生效，命令行输入：

curl -I -L https://lijie.org

从返回结果可以看到，http/2生效了。

三、添加HSTS支持

目前我们使用的https使用的是301转向，即用户先访问http://lijie.org，nginx收到请求后，将80端口的http请求通过301转向到443端口的https。为了避免301转向期间存在的有可能的安全漏洞，我们需要添加hsts功能，强制让浏览器直接访问443端口，而避免访问80端口的http。

编辑nginx配置文件：

sudo nano /etc/nginx/nginx.conf #打开nginx配置文件

在配置文件中找到并添加一行：

include /etc/nginx/conf.d/*.conf;
include /etc/nginx/sites-enabled/*; 
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload" always; #在配置文件中新增这一行

这样hsts就配置完毕了，但是用户第一次访问的时候还要301转向，否则看不到hsts的头部包信息，但是随后就不用了。为了避免这个问题，谷歌的chrome浏览器维持了一个开启hsts的网站列表，https://hstspreload.org，可以将自己的网站提交上去，其它的像是firefox，edge等浏览器也会参考此列表。由于本网站套用了CF，无法hstspreload的检测。

开始hsts后，再次访问https://www.ssllabs.com/ssltest/，网站域名的https评分会从A变为A+。

ssllabs.com/ssltest A+

如何在ESXI中安装Home Assistant

2020-05-12T13:03:16Z

家里有个ESXI虚拟化平台的确是方便，除了可以使用软路由，很多系统都可以安装进去，这里简单说下如何在ESXI中安装Home Assistant，网上大部分教程都是在Linux中的docker里跑HA。

视频演示过程：youtube, B站

首先到官网下载HA的虚拟机文件

下载vmdk文件

将解压缩出来的文件上传到esxi，打开esxi的SSH权限，进入后台，使用下面的命令将vmdk文件转换为esxi可以使用的文件。

vmkfstools -i hassxxx.vmdk 1.vmdk

随后创建虚拟机

新建虚拟机

按照框框里的选择好

然后下一步，下一步。建立好虚拟机后，开始调整虚拟机配置。调整配置很重要。

删除CD/DVD驱动器，然后添加硬盘，添加现有硬盘，选择上面转换好的1.vmdk文件。删除默认分配的硬盘。
点击硬盘左侧的三角，控制器位置选择IDE控制器0，右侧选择主要。
虚拟机选项下面的引导选项，选择EFI。
记得调整cpu和内存数量。

完成上述的配置调整后，就可以给虚拟机通电了，随后访问hassio.local:8123就能打开HA的首页了。

如果访问hassio.local:8123无法打开这个页面，等待5-10分钟再访问

在首页等待一会儿之后，就会自动跳转到管理员设置页面

以上就是安装的粗略过程。

让你的网站使用cloudflare全球加速

2019-11-28T00:09:30Z

使用免费版本的cloudflare在大陆都被称为cdn减速，但是从我实际使用来说，减速效果不明显，但是却可以大大提升全球的访问速度。设置合理可以严重降低服务器的负担，对于服务器配置不好，vps本身直连国内速度本身就很慢，以及vps ip被封的人来说，是个神器。

这里，就如何设置wordpress来说下cloudflare的基础设置。先放个效果图，可以看到绝大多数网站请求都使用了cloudflare的cache。

深色是使用的cache，浅色是从我的服务器处理的请求

首先，注册cloudflare，然后修改你域名的两个dns为cloudflare提供给你的。一般十分钟搞定。

打开cloudflare管理界面，可以看到上面有不少可设置选项，在上面先找到page rules。

找到Page rules

免费版本可以使用三条规则，对于wordpress，我感觉两条就足够了。

第一条告诉cloudflare不缓存wordpress的管理员界面，并且应用上了几条cloudflare的安全检查，可以阻止一些有危险行为的访问。如果你不是wordpress程序，可以替换成你使用的程序的管理uri。

第二条，开启除第一条以外所有内容的缓存，缓存时间7天，这样可以极大减轻服务器的负担。尤其是图片，js，css文件等，效果很明显。假如你对某篇文章进行了编辑，可以找到Caching，点击下面的Custom Purge，输入要强制更新的页面地址，这样cloudflare会获取最新修改后的页面，然后在你自己浏览器此页面的URL后面添加个?号，让浏览器也强制刷新缓存。最后记得把首页缓存也purge一下。但是很多清况下，即使你purge了页面，清除了浏览器缓存，但是页面依然没更新，这一点比较恼人。

注意，Rules是有顺序关系的，不能搞乱。Page rules设置就此完毕。

其余的cloudflare的设置，这里提一下

可以将SSL/TLS中Edge Certificates下面的Always Use HTTPS打开。并且将HSTS打开。Automatic HTTPS Rewrites打开。
将Speed中Optimization下面的Auto Minify右侧的Javascript, CSS, HTML全部勾选，并且打开下面的Brotli和Rocket Loader。
将Caching下面的Always Online打开，这样你的服务器短期出现故障，比如重启之类的活动时候，网站访问几乎不受影响。

关于网站使用cloudflare是基本设置就是这样了，其余的要么收费，要么我也看不懂。后续可能会研究下Firewall及Workers的详细用法。网上关于网站测速评分工具看看就好，毕竟这个和你网站使用的图片，模板，插件有很大关系。