本文将介绍在 Debian 或 Ubuntu 下使用 nginx-acme 自动签发并配置 SSL 证书的方法。

本文适合 Debian Stable 和 Ubuntu LTS，请使用 root 用户进行操作。

1、什么是 nginx-acme

nginx-acme 是 Nginx 官方开发的基于 ACME 协议自动签发 SSL 证书的模块，隔壁 Caddy 都出了几百年的功能， Nginx 也终于赶上了。

和 Nginx 使用 C 语言开发不同，这个模块是用 Rust 语言开发的，这里就不做评价。

这个模块支持 RFC8555、RFC8737、RFC8738 和 draft-ietf-acme-profiles 等规范，目前我实际测试下来已经基本可以用于生产环境。

2、安装 N.WTF

这里我们使用烧饼博客打包的 N.WTF，这个项目已经集成了 nginx-acme 模块，可以做到开箱即用。

首先，安装一些必要的软件包：

sudo apt update
sudo apt upgrade -y
sudo apt install curl vim wget gnupg dpkg apt-transport-https lsb-release ca-certificates

然后加入 N.WTF 的 GPG 公钥和 apt 源：

curl -sSL https://n.wtf/public.key | sudo bash -c 'gpg --dearmor > /usr/share/keyrings/n.wtf.gpg'
sudo bash -c 'echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/n.wtf.gpg] https://mirror-cdn.xtom.com/sb/nginx/ $(lsb_release -sc) main" > /etc/apt/sources.list.d/n.wtf.list'

国内机器可以用清华 TUNA 的国内源：

curl -sSL https://mirrors.tuna.tsinghua.edu.cn/n.wtf/public.key | sudo bash -c 'gpg --dearmor > /usr/share/keyrings/n.wtf.gpg'
sudo bash -c 'echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/n.wtf.gpg] https://mirrors.tuna.tsinghua.edu.cn/n.wtf/ $(lsb_release -sc) main" > /etc/apt/sources.list.d/n.wtf.list'

Debian 下也可以直接使用 extrepo:

sudo apt update
sudo apt install extrepo -y
sudo extrepo enable n.wtf

接着更新系统并安装 Nginx：

sudo apt update
sudo apt install nginx-extras -y

3、nginx-acme 准备工作

准备工作很简单，我们需要建立一个目录来存放 SSL 证书并给予正确的权限，这里我们以 /var/cache/nginx/letsencrypt 为演示：

sudo mkdir -p /var/cache/nginx
sudo mkdir -p /var/cache/nginx/letsencrypt
sudo chown 33:33 /var/cache/nginx -R

然后别忘了把域名解析到你的服务器哦！

4、配置 Nginx 站点

我们以 example.com 为例，假设你的邮箱是 user@example.com，需要配置的域名是 example.com 和 www.example.com，并且希望访问 www.example.com 跳转到 example.com：

直接修改 /etc/nginx/sites-enabled/default 文件：

resolver 8.8.8.8:53 ipv6=off valid=5s;

acme_issuer letsencrypt {
    uri         https://acme-v02.api.letsencrypt.org/directory;
    contact     user@example.com;
    state_path  /var/cache/nginx/letsencrypt;
    accept_terms_of_service;
    ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt;
    ssl_verify off;
}

acme_shared_zone zone=ngx_acme_shared:1M;

server {
    # Listen on port 80 for all IPv4 and IPv6 addresses
    listen 80 default_server;
    listen [::]:80 default_server;
   
    # Match all domain names
    server_name _;

    location /.well-known/ {
        return 404;
    }

    location / {
        # Redirect all other HTTP requests to HTTPS using 301 permanent redirect
        return 301 https://$host$request_uri;
    }
}

server {
    # Standard TLS listening
    listen 443 ssl default_server;
    listen [::]:443 ssl default_server;

    # HTTP/2 protocol support
    http2 on;
   
    # HTTP/3 QUIC protocol support
    listen 443 quic reuseport;
    listen [::]:443 quic reuseport;
    add_header Alt-Svc 'h3=":443"; ma=86400' always;
    add_header X-Protocol $server_protocol always;

    server_name example.com;
    root /var/www/html;
    index index.html;

    # modern configuration
    ssl_protocols TLSv1.3;
    ssl_ecdh_curve X25519:prime256v1:secp384r1;
    ssl_prefer_server_ciphers off;

    acme_certificate letsencrypt;

    ssl_certificate       $acme_certificate;
    ssl_certificate_key   $acme_certificate_key;

    # do not parse the certificate on each request
    ssl_certificate_cache max=2;
}

server {
    listen 443 ssl;
    listen [::]:443 ssl;

    http2 on;

    listen 443 quic;
    listen [::]:443 quic;

    add_header Alt-Svc 'h3=":443"; ma=86400' always;
    add_header X-Protocol $server_protocol always;

    server_name www.example.com;
    return 301 https://example.com$request_uri;

    ssl_protocols TLSv1.3;
    ssl_ecdh_curve X25519:prime256v1:secp384r1;
    ssl_prefer_server_ciphers off;

    acme_certificate letsencrypt;

    ssl_certificate       $acme_certificate;
    ssl_certificate_key   $acme_certificate_key;

    # do not parse the certificate on each request
    ssl_certificate_cache max=2;
}

然后验证 Nginx 配置并重新加载：

sudo nginx -t
sudo nginx -s reload

此时，在默认的 Nginx 日志文件 /var/log/nginx/access.log 中可以看到 Let's Encrypt 验证服务器的请求记录：

23.178.112.210 - - [15/Jan/2026:16:08:18 +0000] "GET /.well-known/acme-challenge/blablablablablablablablablablablablablablab HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"
34.212.137.78 - - [15/Jan/2026:16:08:18 +0000] "GET /.well-known/acme-challenge/blablablablablablablablablablablablablablab HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"
18.222.179.58 - - [15/Jan/2026:16:08:18 +0000] "GET /.well-known/acme-challenge/blablablablablablablablablablablablablablab HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"
16.171.19.61 - - [15/Jan/2026:16:08:18 +0000] "GET /.well-known/acme-challenge/blablablablablablablablablablablablablablab HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"
13.228.72.222 - - [15/Jan/2026:16:08:18 +0000] "GET /.well-known/acme-challenge/blablablablablablablablablablablablablablab HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"
2600:3000:2710:200::81 - - [15/Jan/2026:16:08:20 +0000] "GET /.well-known/acme-challenge/blablablablablablablablablablablablablablab HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"
2600:1f14:804:fd02:f7fd:3c68:dec7:a062 - - [15/Jan/2026:16:08:20 +0000] "GET /.well-known/acme-challenge/blablablablablablablablablablablablablablab HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"
2600:1f16:269:da00:c9ce:508c:ea69:9c2 - - [15/Jan/2026:16:08:20 +0000] "GET /.well-known/acme-challenge/blablablablablablablablablablablablablablab HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"
2a05:d016:39f:3101:8b83:62b8:2603:d15d - - [15/Jan/2026:16:08:20 +0000] "GET /.well-known/acme-challenge/blablablablablablablablablablablablablablab HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"
2406:da18:85:1401:1f69:967a:a988:cdc8 - - [15/Jan/2026:16:08:20 +0000] "GET /.well-known/acme-challenge/blablablablablablablablablablablablablablab HTTP/1.1" 200 87 "-" "Mozilla/5.0 (compatible; Let's Encrypt validation server; +https://www.letsencrypt.org)"

等待数秒后即可访问 https://example.com/ 了。

如果要给 IP 地址签发证书，则需要在 acme_issuer letsencrypt {} 段里添加一行 profile shortlived;，并且 server_name 必须写入完整的 IP 地址，不能直接用 server_name _ 哦。

不过目前 nginx-acme 最新版本 0.3.1 签发 IP 证书还是会失败，开发版已经修复，应该需要等下一个版本才能使用。

目前最新版本已经支持 IP 地址证书的签发，可以在 accept_terms_of_service; 下方加入一条 profile shortlived; 并且自行修改 server_name example.com; 为你的 IP 地址，比如 server_name 192.0.2.2 2001:db8::2; 即可。

读者们在使用过程中如果遇到问题，可以在 V2EX 交流讨论：

https://be.st/Mv7j

本文将指导如何升级 Ubuntu 24.04 Noble Numbat 到 Ubuntu 26.04 Resolute Raccoon。

相关教程：Ubuntu 22.04 Jammy 升级 Ubuntu 24.04 Noble。

准备工作

除非你是物理服务器，以及没有用过奇奇怪怪定制或修改的内核的 KVM 构架的 VPS 和云主机，否则升级大版本更新内核是有一定机率导致 Grub 加载失败的，切记备份重要数据！

OpenVZ 和 LXC 构架的 VPS 是无法升级的，因为他们没有自己独立的内核

再强调一遍，一定要备份重要数据！

Ubuntu 26.04 LTS 已经正式发布，不过 Ubuntu LTS 版本的自动升级提示通常会等到第一个小版本发布后才会开放。如果你在 Ubuntu 26.04.1 LTS 发布前从 Ubuntu 24.04 LTS 升级，do-release-upgrade 需要加上 -d 参数。

以下操作需要在 root 用户下完成，请使用 sudo -i 或 su root 切换到 root 用户进行操作

更新系统

首先需要更新你当前的系统

apt update
apt upgrade -y
apt dist-upgrade -y
apt autoclean
apt autoremove -y

如果内核更新了，可以重启让最新的内核生效，也可以直接进行升级。

升级系统

这里有两种升级系统的方法，第一种是使用 do-release-upgrade 命令，第二种是手动更新 apt 源文件。

方法一：使用 do-release-upgrade 命令

首先需要安装 ubuntu-release-upgrader-core 包：

apt install ubuntu-release-upgrader-core

然后修改 /etc/update-manager/release-upgrades 文件，确保 Prompt 值为 lts：

cat /etc/update-manager/release-upgrades | grep lts

显示如下内容即可：

root@ubuntu ~ # cat /etc/update-manager/release-upgrades | grep lts
#  lts    - Check to see if a new LTS release is available.  The upgrader
Prompt=lts

最后执行以下命令升级系统：

do-release-upgrade -d

等 Ubuntu 26.04.1 LTS 发布并开放 LTS 自动升级后，可以直接使用：

do-release-upgrade

方法二：手动更新 apt 源文件

Ubuntu 24.04 的默认软件源配置文件已经变更为 DEB822 格式，路径为 /etc/apt/sources.list.d/ubuntu.sources。我们可以直接替换 noble 为 resolute：

sed -i 's/noble/resolute/g' /etc/apt/sources.list.d/ubuntu.sources

如果你的系统里仍然有传统 One-Line-Style 的源文件，也可以一并替换：

sed -i 's/noble/resolute/g' /etc/apt/sources.list
sed -i 's/noble/resolute/g' /etc/apt/sources.list.d/*.list

如果没有对应文件会提示诸如 sed: can't read /etc/apt/sources.list: No such file or directory 的错误，忽略即可。

或者直接一行命令：

sed -i 's/noble/resolute/g' /etc/apt/sources.list /etc/apt/sources.list.d/*.{list,sources} 2>/dev/null

使用 DEB822 格式的源文件 /etc/apt/sources.list.d/ubuntu.sources 应该是类似这样的：

Types: deb
URIs: https://archive.ubuntu.com/ubuntu
Suites: resolute resolute-updates resolute-backports
Components: main restricted universe multiverse
Signed-By: /usr/share/keyrings/ubuntu-archive-keyring.gpg

Types: deb
URIs: http://security.ubuntu.com/ubuntu
Suites: resolute-security
Components: main restricted universe multiverse
Signed-By: /usr/share/keyrings/ubuntu-archive-keyring.gpg

国内服务器可以替换 archive.ubuntu.com 和 security.ubuntu.com 为 mirrors.tuna.tsinghua.edu.cn

如果你有第三方源或 PPA，建议先备份并根据情况临时禁用，升级完成后再确认是否支持 Ubuntu 26.04：

mkdir -p /root/apt-sources-backup
cp -a /etc/apt/sources.list.d /root/apt-sources-backup/

第三方源通常需要单独检查，不能简单把 noble 替换成 resolute。

然后我们再次执行更新系统：

apt update
apt upgrade -y
apt full-upgrade -y

更新过程中会提示一些软件是否需要自动重启，选 Yes 即可，以及一些软件的配置文件是否需要更新，按照自己的情况选择即可，默认回车即视为使用旧的配置文件，一般会出现在 OpenSSH 等软件的更新上。

更新后删除不必要的软件和依赖：

apt autoclean
apt autoremove -y

然后我们使用 reboot 命令重启系统，耐心等待后，查看最新的系统版本：

root@ubuntu ~ # lsb_release -a
No LSB modules are available.
Distributor ID:	Ubuntu
Description:	Ubuntu 26.04 LTS
Release:	26.04
Codename:	resolute

root@ubuntu ~ # uname -a
Linux Nana 7.0.0-15-generic #15-Ubuntu SMP PREEMPT_DYNAMIC Wed Apr 22 16:06:43 UTC 2026 x86_64 GNU/Linux

这时我们就已经更新到了最新的 Ubuntu 26.04 Resolute 和内核了。

本文介绍在 WSL 2 中使用 Docker 的桥接模式（bridge network）访问 HTTPS 时出现超时问题的解决方法。

最近一直在 Windows 下使用基于 WSL 2 的 Debian 进行开发。许多场景下需要使用 Docker 构建镜像，但过程中遇到一个奇怪的问题，在 Docker 容器内部访问 HTTP 站点时一切正常：

$ docker run --rm curlimages/curl time curl -s http://ip.gs
192.0.2.2
real    0m 0.02s
user    0m 0.00s
sys     0m 0.00s

一旦切换为 HTTPS，访问就会明显变慢，并且有一定概率出现超时：

$ docker run --rm curlimages/curl time curl -s https://ip.gs
192.0.2.2
real    0m 6.52s
user    0m 0.00s
sys     0m 0.00s

然而，如果将 Docker 切换到 Host 模式（--network=host），访问又恢复正常：

$ docker run --rm --network=host curlimages/curl time curl -s https://ip.gs
192.2.0.2
real    0m 0.28s
user    0m 0.00s
sys     0m 0.00s

在排查了 WSL 2 的 Debian 系统配置后，最终请教 ChatGPT 得到结论：

Path MTU 与防火墙流量检查（inspection）不兼容导致问题

解决方法很简单：将 WSL 2 虚拟网络的 MTU 下调为 1400 即可。

1、添加 Docker 配置

在 WSL 2 的系统里，使用 root 用户修改 /etc/docker/daemon.json 文件：

{
    "log-driver": "json-file",
    "log-opts": {
        "max-size": "20m",
        "max-file": "3"
    },
    "mtu": 1400,
    "dns": [
      "8.8.8.8",
      "1.1.1.1"
    ]
}

其中 "mtu": 1400, 是关键配置。

然后在 Windows 下把 WSL 2 关闭：

wsl --shutdown

2、修改 WSL 2 网卡配置

在 Windows 下使用管理员身份运行 Powershell，检查网卡名称：

PS C:\Users\showfom> Get-NetAdapter | Where-Object { $_.Name -like "*WSL*" }

Name                      InterfaceDescription                    ifIndex Status       MacAddress             LinkSpeed
----                      --------------------                    ------- ------       ----------             ---------
vEthernet (WSL (Hyper-V … Hyper-V Virtual Ethernet Adapter #3          41 Up           12-34-56-78-AB-CD        10 Gbps

PS C:\Users\showfom> Get-NetAdapter | Format-Table -AutoSize

Name                               InterfaceDescription                      ifIndex Status       MacAddress        Lin
                                                                                                                    kSp
                                                                                                                    eed
----                               --------------------                      ------- ------       ----------        ---
vEthernet (Default Switch)         Hyper-V Virtual Ethernet Adapter               35 Up           12-34-56-78-AB-AB …ps
vEthernet (WSL (Hyper-V firewall)) Hyper-V Virtual Ethernet Adapter #3            41 Up           12-34-56-78-AB-CD …ps

输出可以看到完整名称为 vEthernet (WSL (Hyper-V firewall))，然后为其设置 MTU：

netsh interface ipv4 set subinterface "vEthernet (WSL (Hyper-V firewall))" mtu=1400 store=persistent

出现 Ok. 字样即代表设置成功。

3、测试 WSL 2 中的 Docker 网络

然后重新运行 WSL 2 虚拟机：

wsl -d debian

再次测试：

$ docker run --rm curlimages/curl time curl -s https://ip.gs
192.0.2.2
real    0m 0.28s
user    0m 0.00s
sys     0m 0.00s

问题已完美解决，可以继续愉快地 Vibe Coding 了！ ★,°:.☆(￣▽￣)/$:.°★ 。

本文将介绍使用官方源和第三方源在 Debian 和 Ubuntu 安装最新版 Apache 2 + PHP + MySQL 的教程，并且可以自行选择 PHP 版本。

PS：本文适用于 Debian Stable 以及 Ubuntu LTS

以下操作需要在 root 用户下完成，请使用 sudo -i 或 su root 切换到 root 用户进行操作。

1、更新系统并安装部分必要软件

apt update
apt upgrade -y
apt dist-upgrade -y
apt install curl vim wget gnupg dpkg apt-transport-https lsb-release ca-certificates

如果您通过 iso 方式安装 Debian 并且设置了 root 密码，则默认不带 sudo 包，使用 apt install sudo 安装即可

2、增加 Ondřej Surý 大神打包的 PHP 源并安装 PHP 8.x

和 LEMP 安装方法一样，我们还是使用 Ondřej Surý 大佬打包的 PHP 源。

至于为啥先装 PHP 再装 Apache 2，因为装了 PHP 以后 Apache 2 会识别你 PHP 版本然后生成对应的配置文件，所以顺序不要搞反。

2.1 Debian 和 Ubuntu 安装 LAMP 区别

唯一区别就是 PHP 和 Apache 2 的安装添加源方法不一样，其他的步骤都一毛一样。

2.2 加入大神做好的源

wget -O /usr/share/keyrings/php.gpg https://packages.sury.org/php/apt.gpg
echo "deb [signed-by=/usr/share/keyrings/php.gpg] https://packages.sury.org/php/ $(lsb_release -sc) main" > /etc/apt/sources.list.d/php.list

add-apt-repository ppa:ondrej/php

Debian 下也可以直接使用 extrepo:

sudo apt update
sudo apt install extrepo -y
sudo extrepo enable sury

2.3 更新系统源

apt update
apt upgrade -y

2.4 安装自己需要的 PHP 版本

这个源目前默认的 PHP 是 8.5.x，如果您需要其他版本，那么请修改对应的 PHP 版本号 (注意配置文件哦)。

这里举例 WordPress 需要的部分 PHP 包

安装 PHP 8.5.x (从 PHP 8.5 开始 OPcache 已经强制集成，不需要单独安装):

apt install php8.5-{fpm,cli,mysql,curl,gd,mbstring,xml,zip,imap,soap,gmp,bcmath} -y

安装 PHP 8.4.x：

apt install php8.4-{fpm,cli,mysql,curl,gd,mbstring,xml,zip,imap,opcache,soap,gmp,bcmath} -y

安装 PHP 8.3.x：

apt install php8.3-{fpm,cli,mysql,curl,gd,mbstring,xml,zip,imap,opcache,soap,gmp,bcmath} -y

安装 PHP 8.2.x：

apt install php8.2-fpm php8.2-cli php8.2-mysql php8.2-curl php8.2-gd php8.2-mbstring php8.2-xml php8.2-zip php8.2-imap php8.2-opcache php8.2-soap php8.2-gmp php8.2-bcmath -y

以下版本 PHP 已经 EOL，PHP 官方不再提供支持，请尽快更新您的程序兼容最新的 PHP，如果您的程序还未兼容，建议鞭策开发者

安装 PHP 8.1.x

apt install php8.1-fpm php8.1-cli php8.1-mysql php8.1-curl php8.1-gd php8.1-mbstring php8.1-xml php8.1-zip php8.1-imap php8.1-opcache php8.1-soap php8.1-gmp php8.1-bcmath -y

安装 PHP 8.0.x

apt install php8.0-fpm php8.0-cli php8.0-mysql php8.0-curl php8.0-gd php8.0-mbstring php8.0-xml php8.0-zip php8.0-imap php8.0-opcache php8.0-soap php8.0-gmp php8.0-bcmath -y

安装 PHP 7.4.x

apt install php7.4-fpm php7.4-cli php7.4-mysql php7.4-curl php7.4-gd php7.4-mbstring php7.4-xml php7.4-xmlrpc php7.4-zip php7.4-json php7.4-imap php7.4-opcache php7.4-soap php7.4-gmp php7.4-bcmath -y

安装 PHP 7.3.x

apt install php7.3-fpm php7.3-mysql php7.3-curl php7.3-gd php7.3-mbstring php7.3-xml php7.3-xmlrpc php7.3-zip php7.3-opcache

安装 PHP 7.2.x (PHP 7.2 开始已经不支持 mcrypt 组件)

apt install php7.2-fpm php7.2-mysql php7.2-curl php7.2-gd php7.2-mbstring php7.2-xml php7.2-xmlrpc php7.2-zip php7.2-opcache

安装 PHP 7.1.x

apt install php7.1-fpm php7.1-mysql php7.1-curl php7.1-gd php7.1-mbstring php7.1-mcrypt php7.1-xml php7.1-xmlrpc php7.1-zip php7.1-opcache

安装 PHP 7.0.x

apt install php7.0-fpm php7.0-mysql php7.0-curl php7.0-gd php7.0-mbstring php7.0-mcrypt php7.0-xml php7.0-xmlrpc php7.0-zip php7.0-opcache

安装 PHP 5.6.x

apt install php5.6-fpm php5.6-mysql php5.6-curl php5.6-gd php5.6-mbstring php5.6-mcrypt php5.6-xml php5.6-xmlrpc php5.6-zip php5.6-opcache

如果希望安装其他组件，可以通过搜索看看有没有对应的包

apt-cache search php8.5* | grep php8.5

修改 php.ini 防止跨目录攻击，如果安装的 PHP 8.5.x 请相应修改 /etc/php/8.5/fpm/php.ini PHP 7.4.x 请相应修改 /etc/php/7.4/fpm/php.ini

sed -i 's/;cgi.fix_pathinfo=1/cgi.fix_pathinfo=0/' /etc/php/8.5/fpm/php.ini 

修改 php.ini 增加上传大小限制

sed -i 's/upload_max_filesize = 2M/upload_max_filesize = 10M/' /etc/php/8.5/fpm/php.ini
sed -i 's/post_max_size = 8M/post_max_size = 10M/' /etc/php/8.5/fpm/php.ini

您也可以同时安装多个 PHP 版本，然后使用以下命令选择系统默认的 PHP 版本：

update-alternatives --config php

3、增加 Ondřej Surý 大神打包的 Apache 2 源并安装

这里我们推荐 Ondřej Surý 打包的 Apache 2 源。

3.1 Debian 和 Ubuntu 安装 LAMP 区别

唯一区别就是 Apache 2 和 PHP 的安装添加源方法不一样，其他的步骤都一毛一样。

3.2 首先增加 Apache 源

wget -O /usr/share/keyrings/apache2.gpg https://packages.sury.org/apache2/apt.gpg
echo "deb [signed-by=/usr/share/keyrings/apache2.gpg] https://packages.sury.org/apache2/ $(lsb_release -sc) main" > /etc/apt/sources.list.d/apache2.list

add-apt-repository ppa:ondrej/apache2

Debian 下也可以直接使用 extrepo:

sudo extrepo enable sury_apache2

3.3 接着更新并安装 Apache 2.4

apt update
apt upgrade -y
apt install apache2 -y

安装完毕后，我们可以使用 apachectl -v 命令看到 Apache 2 已经是最新的 2.4 版本了

root@debian ~ # apachectl -v
Server version: Apache/2.4.66 (Debian)
Server built:   2025-12-05T14:35:42

3.4 Apache 2 开启 PHP-FPM 支持

首先，需要开启 Apache 2 的 PHP-FPM 支持，我们以 PHP 8.5 为例，按照自己的需求，可以开启如下模块

a2enconf php8.5-fpm
a2enmod proxy_fcgi
a2enmod headers
a2enmod http2
a2enmod remoteip
a2enmod ssl
a2enmod rewrite
a2enmod expires
a2enmod deflate
a2enmod mime
a2enmod setenvif

然后我们重启 PHP-FPM 服务

systemctl restart php8.5-fpm

对应 PHP 7.4.x 命令如下

systemctl restart php7.4-fpm

Apache 2 参考配置文件如下，因为默认 Debian 的 Apache 2 默认配置已经使用了 example.com 这个域名，所以我们以 example.org 为例，新建立个 /etc/apache2/sites-available/example.org.conf

cat >> /etc/apache2/sites-available/example.org.conf << EOF
<VirtualHost *:80>
	ServerName example.org
	DocumentRoot /var/www/example.org
	DirectoryIndex index.php index.html index.htm
	
	ErrorLog ${APACHE_LOG_DIR}/example.org.error.log
	CustomLog ${APACHE_LOG_DIR}/example.org.access.log combined

	<Directory /var/www/example.org>
		Options FollowSymLinks
		AllowOverride All
		Require all granted
	</Directory>
</VirtualHost>
EOF

然后使用 a2ensite 命令使其生效

a2ensite example.org.conf

如果不需要这个 vhost 的时候可以使用 a2dissite example.org.conf 命令移除

检测是否已经软链接到 /etc/apache2/sites-enabled 目录

root@debian ~ # ls /etc/apache2/sites-enabled
000-default.conf  example.org.conf

到这里基本没有问题，我们可以执行 apache2ctl configtest 命令检查配置文件是否出错

root@debian ~ # apache2ctl configtest 
Syntax OK

显示 Syntax OK 则说明所有配置文件均无问题，可以重启 Apache 2 使我们的配置生效

systemctl restart apache2

我们的目录在 /var/www/example.org，我们先创建这个目录

mkdir -p /var/www/example.org

然后创建一个 phpinfo.php 并输入 phpinfo() 函数

cat >> /var/www/example.org/phpinfo.php << EOF
<?php phpinfo(); ?>
EOF

好了，此时在浏览器输入 http://example.org/phpinfo.php，如果看到经典的 phpinfo 页面则说明安装成功，如果不成功，请仔细对比步骤查找哪里出错或在烧饼博客下方留言。

最终效果如下：

4、安装 MariaDB

这里我们使用 MariaDB 作为 MySQL 的代替

4.1 首先，添加并导入 Mariadb 的官方源

按照官方的教程导入 GPG

下载 GPG Key：

curl -sSL https://supplychain.mariadb.com/MariaDB-Server-GPG-KEY | gpg --dearmor > /usr/share/keyrings/mariadb.gpg

然后添加 MariaDB 的源

echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/mariadb.gpg] https://dlm.mariadb.com/repo/mariadb-server/11.8/repo/debian $(lsb_release -sc) main" > /etc/apt/sources.list.d/mariadb.list

echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/mariadb.gpg] https://dlm.mariadb.com/repo/mariadb-server/11.8/repo/ubuntu $(lsb_release -sc) main" > /etc/apt/sources.list.d/mariadb.list

Debian 下也可以直接使用 extrepo:

sudo extrepo enable mariadb-11.8

国内可以用清华 TUNA 的源

echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/mariadb.gpg] https://mirrors.tuna.tsinghua.edu.cn/mariadb/repo/11.8/debian $(lsb_release -sc) main" > /etc/apt/sources.list.d/mariadb.list

echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/mariadb.gpg] https://mirrors.tuna.tsinghua.edu.cn/mariadb/repo/11.8/ubuntu $(lsb_release -sc) main" > /etc/apt/sources.list.d/mariadb.list

您也可以在这儿找到更多的 MariaDB 源

4.2 接着更新一下系统

apt update

4.3 然后直接安装最新稳定版 MariaDB

apt install mariadb-server mariadb-client

安装完毕后强烈推荐使用 mariadb-secure-installation 命令做一次安全设置

4.4 创建数据库并测试

开启数据库之前，您可以使用 pwgen 这个小工具或者随机密码生成器生成一个强大的随机密码，比如 32 位，然后随意挑选一个使用

apt install pwgen
pwgen 32

使用 MySQL root 用户登陆，因为默认使用 Unix domain socket 模式，所以本机不需要 MySQL root 密码即可登录

mariadb -u root

创建数据库 example_database

CREATE DATABASE example_database DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;

创建用户名 example_user 并赋予权限

GRANT ALL ON example_database.* TO 'example_user'@'localhost' IDENTIFIED BY '这里改成您要设置的强大的没人能猜出来的随机的密码';

刷新 MySQL 权限

FLUSH PRIVILEGES;

没问题以后就可以退出了

EXIT;

新建立一个 /var/www/example.org/mysql-test.php 文件并测试

cat >> /var/www/example.org/mysql-test.php << EOF
<?php
\$dbname = 'example_database';    //MySQL 数据库名
\$dbuser = 'example_user';   //MySQL 用户名
\$dbpass = '您的强大的没人可以猜出来的密码';
\$dbhost = 'localhost';  //安装在本地就用 localhost
\$link = mysqli_connect(\$dbhost, \$dbuser, \$dbpass) or die("Unable to Connect to '\$dbhost'");
mysqli_select_db(\$link, \$dbname) or die("Could not open the db '\$dbname'");
\$test_query = "SHOW TABLES FROM \$dbname";
\$result = mysqli_query(\$link, \$test_query);
\$tblCnt = 0;
while(\$tbl = mysqli_fetch_array(\$result)) {
  \$tblCnt++;
  #echo \$tbl[0]."&lt;br /&gt;\n";
}
if (!\$tblCnt) {
  echo "MySQL is working fine. There are no tables.";
} else {
  echo "MySQL is working fine. There are \$tblCnt tables.";
}
?>
EOF

创建完毕后访问 http://example.org/mysql-test.php 如果出现 MySQL is working fine. There are no tables. 则说明 MySQL 工作正常。

5、安装 MySQL (可选)

如果您必须使用某些 MySQL 才有的功能，那么可以按照 MySQL 官网的教程安装 MySQL。

注意：除非您知道您在做什么，否则不要同时安装 MySQL 和 MariaDB。

5.1 添加 apt 源

wget https://repo.mysql.com/mysql-apt-config_0.8.34-1_all.deb
dpkg -i mysql-apt-config_0.8.34-1_all.deb

国内的机器可以在添加完成后修改为清华 TUNA 源，您可以修改 /etc/apt/sources.list.d/mysql-community.list 文件，替换成如下内容：

deb https://mirrors.tuna.tsinghua.edu.cn/mysql/apt/debian $(lsb_release -sc) mysql-8.0 mysql-8.4-lts mysql-apt-config mysql-tools

Debian 下也可以直接使用 extrepo:

sudo extrepo enable mysql-lts

5.2 安装 MySQL

apt update
apt install mysql-server -y

默认 MySQL 会安装最新的 8.4 版本，如果您需要更低的版本，比如 8.0，可以使用如下命令：

dpkg-reconfigure mysql-apt-config

您可能需要设置一个强大的 root 密码，接下来的步骤和 MariaDB 基本相同，把 mariadb 命令换成 mysql 命令即可，本文不再赘述。

好了，以上就是基本的 Debian 和 Ubuntu 安装最新版 LAMP 的教程，如有问题可以随时发评论留言讨论。

本文将介绍使用官方源和第三方源在 Debian 和 Ubuntu 安装最新版 Nginx + PHP + MySQL 的教程，并且可以自行选择 PHP 版本。

PS：本文适用于 Debian Stable 以及 Ubuntu LTS

以下操作需要在 root 用户下完成，请使用 sudo -i 或 su root 切换到 root 用户进行操作。

1、更新系统并安装部分必要软件

apt update
apt upgrade -y
apt install curl vim wget gnupg dpkg apt-transport-https lsb-release ca-certificates

如果您通过 iso 方式安装 Debian 并且设置了 root 密码，则默认不带 sudo 包，使用 apt install sudo 安装即可

2、增加烧饼博客打包的 Nginx 源并安装

这里我们推荐烧饼博客团队打包的 Nginx 源，这货是在官方 Nginx 打包组的基础上，保持更新最新版本的 Nginx 以及 OpenSSL。

2.1 首先增加 GPG Key

curl -sSL https://n.wtf/public.key | gpg --dearmor > /usr/share/keyrings/n.wtf.gpg

2.2 然后增加 Nginx 源

echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/n.wtf.gpg] https://mirror-cdn.xtom.com/sb/nginx/ $(lsb_release -sc) main" > /etc/apt/sources.list.d/n.wtf.list

国内机器可以用清华 TUNA 的国内源：

echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/n.wtf.gpg] https://mirrors.tuna.tsinghua.edu.cn/n.wtf/ $(lsb_release -sc) main" > /etc/apt/sources.list.d/n.wtf.list

Debian 下也可以直接使用 extrepo:

sudo apt update
sudo apt install extrepo -y
sudo extrepo enable n.wtf

2.3 接着更新并安装 Nginx

apt update
apt install nginx-extras -y

安装完毕后，我们可以使用 nginx -V 命令看到 Nginx 已经是最新的 1.29.4 主线版了：

root@debian ~ # nginx -V
nginx version: nginx-n.wtf/1.29.4
built by gcc 14.2.0 (Debian 14.2.0-19) 
built with OpenSSL 3.6.0 1 Oct 2025
TLS SNI support enabled

3、增加 Ondřej Surý 大神打包的 PHP 源并安装 PHP 8.x

Ondřej Surý 大佬打包的 PHP 源更好用，Ubuntu 的 PPA for PHP 就是这位大佬做的，当然少不了 Debian 的源了，下面一步一步来。

3.1 Debian 和 Ubuntu 安装 LEMP 区别

唯一区别就是 PHP 的安装添加源方法不一样，其他的步骤都一毛一样。

3.2 加入大神做好的源

wget -O /usr/share/keyrings/php.gpg https://packages.sury.org/php/apt.gpg
echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/php.gpg] https://packages.sury.org/php/ $(lsb_release -sc) main" > /etc/apt/sources.list.d/php.list

add-apt-repository ppa:ondrej/php

这个大神的 GPG 密钥每两年会更新一个新的，如果 GPG 密钥失效，重新下载 GPG 密钥即可。

Debian 下也可以直接使用 extrepo:

sudo extrepo enable sury

国内机器可以用南京大学 的国内源：

wget -O /usr/share/keyrings/php.gpg https://mirror.nju.edu.cn/sury/php/apt.gpg
echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/php.gpg] https://mirror.nju.edu.cn/sury/php/ $(lsb_release -sc) main" > /etc/apt/sources.list.d/php.list

Ubuntu 的 PPA 暂时没有国内镜像，可以使用 USTC 反代的方式：

curl "https://keyserver.ubuntu.com/pks/lookup?op=get&search=0x14aa40ec0831756756d7f66c4f4ea0aae5267a6c" | gpg --dearmor > /usr/share/keyrings/php.gpg
echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/php.gpg] https://launchpad.proxy.ustclug.org/ondrej/php/ubuntu $(lsb_release -sc) main" > /etc/apt/sources.list.d/php.list

如果 GPG 密钥失效，请查看最新的 GPG 密钥。

3.3 更新系统

apt update
apt upgrade -y

3.4 安装自己需要的 PHP 版本

这个源目前默认的 PHP 是 8.5.x，如果您需要其他版本，那么请修改对应的 PHP 版本号 (注意配置文件哦)。

这里举例 WordPress 需要的部分 PHP 包：

安装 PHP 8.5.x (从 PHP 8.5 开始 OPcache 已经强制集成，不需要单独安装):

apt install php8.5-{fpm,cli,mysql,curl,gd,mbstring,xml,zip,imap,soap,gmp,bcmath} -y

安装 PHP 8.4.x：

apt install php8.4-{fpm,cli,mysql,curl,gd,mbstring,xml,zip,imap,opcache,soap,gmp,bcmath} -y

安装 PHP 8.3.x：

apt install php8.3-{fpm,cli,mysql,curl,gd,mbstring,xml,zip,imap,opcache,soap,gmp,bcmath} -y

安装 PHP 8.2.x：

apt install php8.2-fpm php8.2-cli php8.2-mysql php8.2-curl php8.2-gd php8.2-mbstring php8.2-xml php8.2-zip php8.2-imap php8.2-opcache php8.2-soap php8.2-gmp php8.2-bcmath -y

以下版本 PHP 已经 EOL，PHP 官方不再提供支持，请尽快更新您的程序兼容最新的 PHP，如果您的程序还未兼容，建议鞭策开发者

安装 PHP 8.1.x：

apt install php8.1-fpm php8.1-cli php8.1-mysql php8.1-curl php8.1-gd php8.1-mbstring php8.1-xml php8.1-zip php8.1-imap php8.1-opcache php8.1-soap php8.1-gmp php8.1-bcmath -y

安装 PHP 8.0.x：

apt install php8.0-fpm php8.0-cli php8.0-mysql php8.0-curl php8.0-gd php8.0-mbstring php8.0-xml php8.0-zip php8.0-imap php8.0-opcache php8.0-soap php8.0-gmp php8.0-bcmath -y

安装 PHP 7.4.x：

apt install php7.4-fpm php7.4-cli php7.4-mysql php7.4-curl php7.4-gd php7.4-mbstring php7.4-xml php7.4-xmlrpc php7.4-zip php7.4-json php7.4-imap php7.4-opcache php7.4-soap php7.4-gmp php7.4-bcmath -y

安装 PHP 7.3.x：

apt install php7.3-fpm php7.3-mysql php7.3-curl php7.3-gd php7.3-mbstring php7.3-xml php7.3-xmlrpc php7.3-zip php7.3-opcache

安装 PHP 7.2.x (PHP 7.2 开始已经不支持 mcrypt 组件)：

apt install php7.2-fpm php7.2-mysql php7.2-curl php7.2-gd php7.2-mbstring php7.2-xml php7.2-xmlrpc php7.2-zip php7.2-opcache

安装 PHP 7.1.x：

apt install php7.1-fpm php7.1-mysql php7.1-curl php7.1-gd php7.1-mbstring php7.1-mcrypt php7.1-xml php7.1-xmlrpc php7.1-zip php7.1-opcache

安装 PHP 7.0.x：

apt install php7.0-fpm php7.0-mysql php7.0-curl php7.0-gd php7.0-mbstring php7.0-mcrypt php7.0-xml php7.0-xmlrpc php7.0-zip php7.0-opcache

安装 PHP 5.6.x：

apt install php5.6-fpm php5.6-mysql php5.6-curl php5.6-gd php5.6-mbstring php5.6-mcrypt php5.6-xml php5.6-xmlrpc php5.6-zip php5.6-opcache

如果希望安装其他组件，可以通过搜索看看有没有对应的包：

apt-cache search php8.5* | grep php8.5

修改 php.ini 防止跨目录攻击，如果安装的 PHP 8.5.x 请修改 /etc/php/8.5/fpm/php.ini PHP 7.4.x 请对应修改 /etc/php/7.4/fpm/php.ini：

sed -i 's/;cgi.fix_pathinfo=1/cgi.fix_pathinfo=0/' /etc/php/8.5/fpm/php.ini 

修改 php.ini 增加上传大小限制，比如我们设置 10MB：

sed -i 's/upload_max_filesize = 2M/upload_max_filesize = 10M/' /etc/php/8.5/fpm/php.ini
sed -i 's/post_max_size = 8M/post_max_size = 10M/' /etc/php/8.5/fpm/php.ini

您也可以同时安装多个 PHP 版本，然后使用以下命令选择系统默认的 PHP 版本：

update-alternatives --config php

3.5 重启 PHP 和 Nginx

systemctl restart php8.5-fpm

对应 PHP 7.4.x 命令如下：

systemctl restart php7.4-fpm

Nginx 参考配置文件如下，新建立个 /etc/nginx/sites-available/example.com.conf：

cat >> /etc/nginx/sites-available/example.com.conf << EOF
server {
    listen 80;
    listen [::]:80;

# 指定网站目录，可根据自己情况更换，建议放在 /var/www 目录下
    root /var/www/example.com;
    index index.php index.html index.htm;

# 默认第一个域名，替换 example.com 为您的域名
    server_name example.com;

    location / {
        try_files \$uri \$uri/ =404;
    }

# 开启 PHP8.5-fpm 模式，如需要安装 PHP 7.4.x 请修改为 fastcgi_pass unix:/run/php/php7.4-fpm.sock;
    location ~ \.php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_pass unix:/run/php/php8.5-fpm.sock;
    }
}
EOF

然后把这个配置文件软链接到 /etc/nginx/sites-enabled 目录使其生效：

ln -s /etc/nginx/sites-available/example.com.conf /etc/nginx/sites-enabled/example.com.conf

到这里基本没有问题，可以直接重新加载 Nginx：

nginx -t
nginx -s reload

或者暴力点直接重启 Nginx：

systemctl restart nginx

我们的目录在 /var/www/example.com，我们先创建这个目录：

mkdir -p /var/www/example.com

然后创建一个 phpinfo.php 并输入 phpinfo() 函数：

cat >> /var/www/example.com/phpinfo.php << EOF
<?php phpinfo(); ?>
EOF

好了，此时在浏览器输入 http://example.com/phpinfo.php，如果看到经典的 phpinfo 页面则说明安装成功，如果不成功，请仔细对比步骤查找哪里出错。

效果如下：

4、安装 MariaDB

自从 Debian 9.x Stretch 开始，Debian 已经默认使用 Mariadb，所以我们不做对于 MySQL 和 MariaDB 的争论，直接跟着开源社区走即可。

4.1 首先，添加并导入 Mariadb 的官方源

下载 GPG Key：

curl -sSL https://supplychain.mariadb.com/MariaDB-Server-GPG-KEY | gpg --dearmor > /usr/share/keyrings/mariadb.gpg

然后添加 MariaDB 的源：

echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/mariadb.gpg] https://dlm.mariadb.com/repo/mariadb-server/11.8/repo/debian $(lsb_release -sc) main" > /etc/apt/sources.list.d/mariadb.list

echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/mariadb.gpg] https://dlm.mariadb.com/repo/mariadb-server/11.8/repo/ubuntu $(lsb_release -sc) main" > /etc/apt/sources.list.d/mariadb.list

Debian 下也可以直接使用 extrepo:

sudo extrepo enable mariadb-11.8

国内可以用清华 TUNA 的源：

echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/mariadb.gpg] https://mirrors.tuna.tsinghua.edu.cn/mariadb/repo/11.8/debian $(lsb_release -sc) main" > /etc/apt/sources.list.d/mariadb.list

echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/mariadb.gpg] https://mirrors.tuna.tsinghua.edu.cn/mariadb/repo/11.8/ubuntu $(lsb_release -sc) main" > /etc/apt/sources.list.d/mariadb.list

您也可以在这儿找到更多的 MariaDB 源。

4.2 接着更新一下系统

apt update

4.3 然后直接安装最新稳定版 MariaDB

apt install mariadb-server mariadb-client

安装完毕后强烈推荐使用 mariadb-secure-installation 命令做一次安全设置。

4.4 创建数据库并测试

开启数据库之前，您可以使用 pwgen 这个小工具或者随机密码生成器生成一个强大的随机密码，比如 32 位，然后随意挑选一个使用

apt install pwgen
pwgen 32

使用 Mariadb root 用户登陆，因为默认使用 Unix domain socket 模式，所以本机不需要 MySQL root 密码即可登录：

mariadb -u root

创建数据库 example_database：

CREATE DATABASE example_database DEFAULT CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;

创建用户名 example_user 并赋予权限：

GRANT ALL ON example_database.* TO 'example_user'@'localhost' IDENTIFIED BY '这里改成您要设置的强大的没人能猜出来的随机的密码';

刷新 MySQL 权限：

FLUSH PRIVILEGES;

没问题以后就可以退出了：

EXIT;

新建立一个 /var/www/example.com/mysql-test.php 文件并测试：

cat >> /var/www/example.com/mysql-test.php << EOF
<?php
\$dbname = 'example_database';    //MySQL 数据库名
\$dbuser = 'example_user';   //MySQL 用户名
\$dbpass = '您的强大的没人可以猜出来的密码';
\$dbhost = 'localhost';  //安装在本地就用 localhost
\$link = mysqli_connect(\$dbhost, \$dbuser, \$dbpass) or die("Unable to Connect to '\$dbhost'");
mysqli_select_db(\$link, \$dbname) or die("Could not open the db '\$dbname'");
\$test_query = "SHOW TABLES FROM \$dbname";
\$result = mysqli_query(\$link, \$test_query);
\$tblCnt = 0;
while(\$tbl = mysqli_fetch_array(\$result)) {
  \$tblCnt++;
  #echo \$tbl[0]."&lt;br /&gt;\n";
}
if (!\$tblCnt) {
  echo "MySQL is working fine. There are no tables.";
} else {
  echo "MySQL is working fine. There are \$tblCnt tables.";
}
?>
EOF

创建完毕后访问 http://example.com/mysql-test.php 如果出现 MySQL is working fine. There are no tables. 则说明 MariaDB 工作正常。

5、安装 MySQL (可选)

如果您必须使用某些 MySQL 才有的功能，那么可以按照 MySQL 官网的教程安装 MySQL。

注意：除非您知道您在做什么，否则不要同时安装 MySQL 和 MariaDB。

5.1 添加 apt 源

wget https://repo.mysql.com/mysql-apt-config_0.8.34-1_all.deb
dpkg -i mysql-apt-config_0.8.34-1_all.deb

国内的机器可以在添加完成后修改为清华 TUNA 源，您可以修改 /etc/apt/sources.list.d/mysql-community.list 文件，替换成如下内容：

deb https://mirrors.tuna.tsinghua.edu.cn/mysql/apt/debian $(lsb_release -sc) mysql-8.0 mysql-8.4-lts mysql-apt-config mysql-tools

Debian 下也可以直接使用 extrepo:

sudo extrepo enable mysql-lts

5.2 安装 MySQL

apt update
apt install mysql-server -y

默认 MySQL 会安装最新的 8.4 版本，如果您需要更低的版本，比如 8.0，可以使用如下命令：

dpkg-reconfigure mysql-apt-config

您可能需要设置一个强大的 root 密码，接下来的步骤和 MariaDB 基本相同，把 mariadb 命令换成 mysql 命令即可，本文不再赘述。

好了，以上就是基本的 Debian 和 Ubuntu 安装最新版 LEMP 的教程，如有问题可以随时发评论留言讨论。

本文将指导使用 Docker 安装 Shlink 搭建自建短网址服务。

PS：本文同时适用于任何可安装 Docker 的 Linux 发行版。

什么是短网址？

短网址，即 URL Shortener (缩略网址服务)，一般我们使用 HTTP 协议 的 301 或 302 响应码，现在也有使用 307 或 308 来跳转一个长网址，简单的区别：

MDN 上有对这几个状态码的详细介绍：

• 301 Moved Permanently
• 302 Found
• 307 Temporary Redirect
• 308 Permanent Redirect

301 和 302 有一个最重要的区别，前者会在浏览器留下缓存，后者不会，导致如果你需要精确的统计访客，尤其是有一些使用一个浏览器的重复访客会不准确，但是影响不大，而使用 302 每次都会请求服务器造成服务器资源紧张，所以一般没有特殊需求的话，使用 301 就行。

举一个典型的 301 跳转的例子：

root@debian ~ # curl -I http://u.sb/ -A Mozilla
HTTP/1.1 301 Moved Permanently
Date: Tue, 26 Apr 2022 18:28:14 GMT
Content-Type: text/html
Content-Length: 162
Location: https://u.sb/

我们可以看到，使用浏览器访问 http://u.sb/ 的时候，会返回 HTTP/1.1 301 Moved Permanently 状态，对应跳转到 Location https://u.sb/。

市面上开源和收费的短网址源码

众所周知，本人的短域名贼多，对各种短网址程序都有所研究，市面上主要有这几款免费的短网址程序：

• Blink - Easy-to-host，SSO-integrated，CDN-powered link shortener (+decoupled analytics) for teams。(Source Code) AGPL-3.0 Nodejs
• Kutt - A modern URL shortener with support for custom domains。(Source Code) MIT Nodejs
• Polr - Modern，minimalist，modular，and lightweight URL shortener。(Source Code) GPL-2.0 PHP
• Shlink - URL shortener with REST API and command line interface。Includes official progressive web application and docker images。(Source Code，Clients) MIT PHP
• YOURLS - YOURLS is a set of PHP scripts that will allow you to run Your Own URL Shortener。Features include password protection，URL customization，bookmarklets，statistics，API，plugins，jsonp。(Source Code) MIT PHP

我基本上都安装使用过，数据量大了以后性能基本惨不忍睹，对比以后还是使用 PHP Swoole 写的 Shlink 稍微占优，所以本文推荐安装 Shlink。

至于收费的？呵呵，没一个好用的，建议别去踩坑，我都帮你们踩过了。。。

广告：因为市面上没有好用的收费短网址，所以我们做了一个 S.EE 欢迎购买使用~

安装 Docker 和 Docker Compose

Debian 和 Ubuntu 系统请参考本站教程。

其他 Linux 系统可以使用 Docker 官方的脚本安装 Docker 和 Docker Compose：

curl -fsSL https://get.docker.com -o get-docker.sh
sh get-docker.sh

安装 Shlink Server 和 Web Client

参考官网的安装教程，我们可以把 Server 和 Web Client 装在一个地方方便管理。

首先我们新建 /opt/shlink 和 /opt/shlink/data 目录：

mkdir -p /opt/shlink
mkdir -p /opt/shlink/data

然后我们新建一个 compose.yaml 文件，假设你的域名是 example.com，放在 /opt/shlink/compose.yaml：

cat > /opt/shlink/compose.yaml << EOF
services:
    shlink:
      image: shlinkio/shlink:stable
      container_name: shlink
      ports:
        - 127.0.0.1:8080:8080
      environment:
        - DEFAULT_DOMAIN=example.com
        - IS_HTTPS_ENABLED=true
        - GEOLITE_LICENSE_KEY=
        - DB_DRIVER=maria
        - DB_NAME=shlink
        - DB_USER=shlink
        - DB_PASSWORD=随机密码1
        - DB_HOST=db
        - DB_PORT=3306
        - TIMEZONE=UTC
        - REDIRECT_STATUS_CODE=301
      depends_on:
        db:
          condition: service_healthy
      restart: always

    db:
      image: mariadb:lts
      container_name: db
      ports:
        - 127.0.0.1:3306:3306
      environment:
        - MYSQL_ROOT_PASSWORD=随机密码2
        - MYSQL_DATABASE=shlink
        - MYSQL_USER=shlink
        - MYSQL_PASSWORD=随机密码1
      volumes:
        - /opt/shlink/data:/var/lib/mysql
      healthcheck:
        test: ["CMD", "healthcheck.sh", "--connect", "--innodb_initialized"]
        interval: 10s
        timeout: 5s
        retries: 3
        start_period: 30s
      restart: always

    shlink-web-client:
        image: shlinkio/shlink-web-client:stable
        container_name: shlink-web-client
        ports:
          - 127.0.0.1:8081:8080
        restart: always
EOF

如果希望有用户登录等功能，则可以用官方的下一代面板 shlink-dashboard，这里我们可以让 shlink-dashboard 容器和 shlink 容器共用一个 MariaDB 容器和用户，首先还是一样建立 docker compose 文件：

cat > /opt/shlink/compose.yaml << EOF
services:
    shlink:
      image: shlinkio/shlink:stable
      container_name: shlink
      ports:
        - 127.0.0.1:8080:8080
      environment:
        - DEFAULT_DOMAIN=example.com
        - IS_HTTPS_ENABLED=true
        - GEOLITE_LICENSE_KEY=
        - DB_DRIVER=maria
        - DB_NAME=shlink
        - DB_USER=shlink
        - DB_PASSWORD=随机密码1
        - DB_HOST=db
        - DB_PORT=3306
        - TIMEZONE=UTC
        - REDIRECT_STATUS_CODE=301
      depends_on:
        db:
          condition: service_healthy
      restart: always

    db:
      image: mariadb:lts
      container_name: db
      ports:
        - 127.0.0.1:3306:3306
      environment:
        - MYSQL_ROOT_PASSWORD=随机密码2
        - MYSQL_DATABASE=shlink
        - MYSQL_USER=shlink
        - MYSQL_PASSWORD=随机密码1
      volumes:
        - /opt/shlink/data:/var/lib/mysql
        - /opt/shlink/mariadb-init:/docker-entrypoint-initdb.d
      healthcheck:
        test: ["CMD", "healthcheck.sh", "--connect", "--innodb_initialized"]
        interval: 10s
        timeout: 5s
        retries: 3
        start_period: 30s
      restart: always

    shlink-dashboard:
      image: shlinkio/shlink-dashboard:stable
      container_name: shlink-dashboard
      ports:
        - '127.0.0.1:8081:8080'
      environment:
        - SHLINK_DASHBOARD_DB_DRIVER=mariadb
        - SHLINK_DASHBOARD_DB_HOST=db
        - SHLINK_DASHBOARD_DB_PORT=3306
        - SHLINK_DASHBOARD_DB_USER=shlink
        - SHLINK_DASHBOARD_DB_PASSWORD=随机密码1
        - SHLINK_DASHBOARD_DB_NAME=shlink-dashboard
        - SHLINK_DASHBOARD_SESSION_SECRETS=secret1,secret2  # 设置会话加密，需要设置多个高强度随机值，用半角逗号隔开
      depends_on:
        db:
          condition: service_healthy
      restart: always
EOF

然后创建一个 /opt/shlink/mariadb-init/01-create-databases.sql 文件

mkdir -p /opt/shlink/mariadb-init

cat > /opt/shlink/mariadb-init/01-create-databases.sql << 'EOF'
CREATE DATABASE IF NOT EXISTS `shlink-dashboard`;
GRANT ALL PRIVILEGES ON `shlink-dashboard`.* TO 'shlink'@'%';
FLUSH PRIVILEGES;
EOF

然后我们可以先启动 MariaDB 容器创建用户和数据库：

cd /opt/shlink
docker compose up db -d

验证下是否成功：

docker exec -it db mariadb -u root -p'随机密码2' -e "SHOW DATABASES;"

看到有 shlink 和 shlink-dashboard 两个数据库就成功了：

# docker exec -it db mariadb -u root -p'随机密码2' -e "SHOW DATABASES;"
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
| performance_schema |
| shlink             |
| shlink-dashboard   |
| sys                |
+--------------------+

注意：

GEOLITE_LICENSE_KEY 需要在 Maxmind 注册帐号获取，可以参考《使用 Docker 安装 Plausible Analytics 自建网站统计》

MYSQL_ROOT_PASSWORD 和 MYSQL_PASSWORD 记得设置两个随机的密码，同时 MYSQL_PASSWORD 需要和 DB_PASSWORD 一致。

更多的环境变量参数可以参考这里。

然后拉取所有的 Docker 镜像并运行：

docker compose pull
docker compose up -d

然后获取一个 API Key：

docker exec -it shlink shlink api-key:generate

注意第一个 shlink 是 Docker 容器名字，第二个 shlink 是命令名称。

所有 API 命令如下：

docker exec -it shlink shlink

记得保存你的 API Key，下面会要用到。

安装配置 Nginx 反代

我们的 Docker Compose 配置文件中，Shlink Server 服务监听在 127.0.0.1:8080 端口，Shlink Web Client 监听在 127.0.0.1:8081 端口，所以我们需要配置 Nginx 反代来访问，假设你短网址是 https://example.com/ Web 客户端是 https://app.example.com/

example.com 段配置：

	location / {
		proxy_set_header X-Real-IP $remote_addr;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_set_header Host $http_host;
		proxy_http_version 1.1;
		proxy_set_header Upgrade $http_upgrade;
		proxy_redirect off;
		proxy_set_header        X-Forwarded-Proto $scheme;
		proxy_connect_timeout       300;
		proxy_send_timeout          300;
		proxy_read_timeout          300;
		send_timeout                300;
		proxy_pass http://127.0.0.1:8080;
	}

app.example.com 段配置：

	location / {
		proxy_set_header X-Real-IP $remote_addr;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_set_header Host $http_host;
		proxy_http_version 1.1;
		proxy_set_header Upgrade $http_upgrade;
		proxy_redirect off;
		proxy_set_header        X-Forwarded-Proto $scheme;
		proxy_connect_timeout       300;
		proxy_send_timeout          300;
		proxy_read_timeout          300;
		send_timeout                300;
		proxy_pass http://127.0.0.1:8081;
	}

最后记得参考本站 Nginx SSL 配置教程加上 SSL 证书后，即可访问 https://app.example.com/：

点击 + Add a server 添加你的 Shlink 服务：

输入名称，URL 和 API Key 以后点击 Create server 即可使用：

如果你懒得搭建 Web Client，也可以使用官方现成的服务：

Shlink Web Client

数据都是储存在浏览器本地的，可放心使用。

如果搭建的 Shlink Dashboard，则默认账号密码都是 admin， 登录以后记得修改哦！

升级 Shlink

直接使用 Docker Compose 升级并删除旧的镜像文件：

cd /opt/shlink
docker compose pull
docker compose up -d
docker system prune -f

切记不要跨多个版本升级，最好按照每个小版本的最新补丁顺序更新 Shlink。

比如，要从 3.2.1 版本升级到 3.4.0，先更新到 3.3.2，然后再升级到 3.4.0，可以自行替换 Docker 镜像里的 stable 标签为具体版本号来更新升级。

迁移 Shlink

可以参考《使用 Docker 安装 Mailcow 自建域名邮箱》。

备份 Shlink

我们可以定期备份数据库，导出命令如下：

docker exec db mariadb-dump -u root --password='随机密码2' --databases shlink > shlink-all-$(date +"%Y_%m_%d_%I_%M_%p").sql

如果装了 shlink-dashboard：

docker exec db mariadb-dump -u root --password='随机密码2' --databases shlink shlink-dashboard > shlink-all-$(date +"%Y_%m_%d_%I_%M_%p").sql

请替换 随机密码2 为你的数据库 root 密码。

本文将介绍使用 acme.sh 配置 Let's Encrypt 为 IP 地址签发 SSL 证书。

之前写过一篇使用 acme.sh 签发证书的教程，但在很长一段时间里，Let's Encrypt 只能给域名签发证书。

经过几个月的测试之后，现在终于可以对 IP 地址 下手了。

为什么要给 IP 签发证书

在很多场景下，我们并不一定需要域名，但确实需要 HTTPS。比如：

1. DNS over HTTPS（DoH）服务无需依赖域名解析

直接通过 IP 提供 DoH 服务，避免「为了安全先做一次不安全的域名解析」这种哲学问题。

2. Web 服务默认站点隐藏真实域名

默认站点只暴露 IP，不暴露真实域名，顺便还能挡掉一部分不太礼貌的爬虫。

3. 临时服务或测试环境

临时起个服务，只想加个锁，不想再去 DNS 那边折腾。

4. 避免证书透明日志（Certificate Transparency Log）暴露域名，保护隐私

有些域名不太想出现在公开日志里，低调一点总是好的。

准备工作

首先更新 acme.sh 到最新版本：

acme.sh --upgrade

因为 IP 证书目前只能通过 http-01 和 tls-alpn-01 方式进行验证，所以你需要检查服务器的防火墙，设置允许 TCP 80 和 TCP / UDP 443 端口在公网可以访问。

配置 Nginx 80 端口的默认站点

这里我只介绍在 Nginx 下的配置吧，我们可以直接写入 80 端口的默认配置：

如果你在 Debian 或 Ubuntu 下安装 Nginx，可以直接覆盖 /etc/nginx/sites-available/default 文件：

server {
    # Listen on port 80 for all IPv4 and IPv6 addresses
    listen 80 default_server;
    listen [::]:80 default_server;
   
    # Match all domain names
    server_name _;

    # Merge Let's Encrypt and SSL verification path configuration
    location ~ ^/.well-known/(acme-challenge|pki-validation)/ {
        add_header Content-Type text/plain;
        root /var/www/letsencrypt;
    }

    # Redirect all other HTTP requests to HTTPS using 301 permanent redirect
    location / {
        return 301 https://$host$request_uri;
    }
}

然后创建两个目录并重新加载 Nginx：

mkdir -p /var/www/letsencrypt
mkdir -p /etc/nginx/ssl
nginx -t
nginx -s reload

使用 acme.sh 签发 IP 证书

假设你服务器的 IP 地址是 192.0.2.2 和 2001:db8::2：

acme.sh --issue --server letsencrypt -d 192.0.2.2 -d 2001:db8::2 \
  -w /var/www/letsencrypt \
  --certificate-profile shortlived \
  --days 3

注意这里我们必须使用 shortlived 这个 Profile，因为 Let's Encrypt 的 IP 证书有效期只有 6.66666 天（160 小时），同时 acme.sh 需要更短的时间来进行检查更新证书，所以可以设置 --days 3 参数，让它 3 天检查并更新一次，你也可以设置 4 或 5，但是不要设置 6，否则可能证书过期了都没更新哦。

执行命令以后会看到类似的申请成功返回：

[Wed Dec 17 05:46:28 AM UTC 2025] Using CA: https://acme-v02.api.letsencrypt.org/directory
[Wed Dec 17 05:46:28 AM UTC 2025] Multi domain='IP:192.0.2.2,IP:2001:db8::2'
[Wed Dec 17 05:46:30 AM UTC 2025] Getting webroot for domain='192.0.2.2'
[Wed Dec 17 05:46:30 AM UTC 2025] Getting webroot for domain='2001:db8::2'
[Wed Dec 17 05:46:30 AM UTC 2025] Verifying: 192.0.2.2
[Wed Dec 17 05:46:31 AM UTC 2025] Pending. The CA is processing your order, please wait. (1/30)
[Wed Dec 17 05:46:34 AM UTC 2025] Success
[Wed Dec 17 05:46:34 AM UTC 2025] Verifying: 2001:db8::2
[Wed Dec 17 05:46:35 AM UTC 2025] Pending. The CA is processing your order, please wait. (1/30)
[Wed Dec 17 05:46:38 AM UTC 2025] Success
[Wed Dec 17 05:46:38 AM UTC 2025] Verification finished, beginning signing.
[Wed Dec 17 05:46:38 AM UTC 2025] Let's finalize the order.
[Wed Dec 17 05:46:38 AM UTC 2025] Le_OrderFinalize='https://acme-v02.api.letsencrypt.org/acme/finalize/blablablablablablablabla/blablablablablablablabla'
[Wed Dec 17 05:46:41 AM UTC 2025] Downloading cert.
[Wed Dec 17 05:46:41 AM UTC 2025] Le_LinkCert='https://acme-v02.api.letsencrypt.org/acme/cert/blablablablablablablabla'
[Wed Dec 17 05:46:42 AM UTC 2025] Cert success.
-----BEGIN CERTIFICATE-----
blablablablablablablablablablablablablablablablablablabla
-----END CERTIFICATE-----
[Wed Dec 17 05:46:42 AM UTC 2025] Your cert is in: /root/.acme.sh/192.0.2.2_ecc/192.0.2.2.cer
[Wed Dec 17 05:46:42 AM UTC 2025] Your cert key is in: /root/.acme.sh/192.0.2.2_ecc/192.0.2.2.key
[Wed Dec 17 05:46:42 AM UTC 2025] The intermediate CA cert is in: /root/.acme.sh/192.0.2.2_ecc/ca.cer
[Wed Dec 17 05:46:42 AM UTC 2025] And the full-chain cert is in: /root/.acme.sh/192.0.2.2_ecc/fullchain.cer

然后我们可以把申请好的证书放在 /etc/nginx/ssl 目录：

mkdir -p /etc/nginx/ssl

acme.sh --install-cert -d 192.0.2.2 \
  --key-file       /etc/nginx/ssl/ip.key  \
  --fullchain-file /etc/nginx/ssl/ip.crt \
  --ca-file        /etc/nginx/ssl/ip.ca.crt \
  --reloadcmd     "systemctl restart nginx"

配置 Nginx 443 端口的默认站点

安装完证书后我们即可配置 Nginx 默认的 443 端口了，你可以把这段配置一起放入 /etc/nginx/sites-available/default 文件：

# HTTPS Server block - Handle all HTTPS requests
server {
    # Standard TLS listening
    listen 443 ssl default_server;
    listen [::]:443 ssl default_server;

    # HTTP/2 protocol support
    http2 on;
   
    # HTTP/3 QUIC protocol support
    listen 443 quic reuseport;
    listen [::]:443 quic reuseport;
    add_header Alt-Svc 'h3=":443"; ma=86400' always;
    add_header X-Protocol $server_protocol always;
   
    # Match all domain names
    server_name _;
    return 403;

    # modern configuration
    ssl_protocols TLSv1.3;
    ssl_ecdh_curve X25519:prime256v1:secp384r1;
    ssl_prefer_server_ciphers off;

    ssl_certificate /etc/nginx/ssl/ip.crt;
    ssl_certificate_key /etc/nginx/ssl/ip.key;
}

然后检查并重新加载 Nginx：

nginx -t
nginx -s reload

一切就绪以后就可以直接访问 https://192.0.2.2/ 并返回 403 错误页面，我们可以看到证书里 Subject Alt Names 字段也显示 IP Address 了：

读者们在使用过程中如果遇到问题，可以在 V2EX 交流讨论或在下方评论：

https://be.st/pGx9

本文原理适用于大多数 Linux 系统，其他系统尚未测试，请读者自行验证。

背景介绍

双协议栈技术就是指在一台设备上同时启用 IPv4 协议栈和 IPv6 协议栈，这样就可以同时使用 IPv4 和 IPv6 的网络。

现代操作系统和浏览器通常会优先使用 IPv6，只有当 IPv6 无法访问时，才会回退到 IPv4。但在某些特定的应用或场景中，我们可能更希望系统优先使用 IPv4，这时就需要通过配置文件进行调整。

修改 /etc/gai.conf

在 Debian 等 Linux 系统下，有一个 /etc/gai.conf 文件，用于系统的 getaddrinfo 调用，默认情况下，它会使用 IPv6 优先，如果您安装了 curl 并且本地支持 IPv6，那么可以使用 curl ip.sb 测试：

root@debian ~ # curl ip.sb
2001:db8::2

结果与 curl ip.sb -6 等效。

从 Debian 13 开始，curl (8.14.1) 默认强制使用 IPv6。因此，如果希望测试本地出口公网 IP，可以改用 wget：

root@debian ~ # wget -qO- http://ip.sb
2001:db8::2

效果等同于 wget -qO- http://ip.sb -6

如果你不想使用 IPv6 优先，可以在这个文件中找到：

#precedence ::ffff:0:0/96  100

取消注释，修改为：

precedence ::ffff:0:0/96  100

一行命令修改：

sed -i 's/#precedence ::ffff:0:0\/96  100/precedence ::ffff:0:0\/96  100/' /etc/gai.conf

此时再次执行 curl ip.sb 测试：

root@debian ~ # curl ip.sb
192.0.2.2

效果等同于 curl ip.sb -4

从 Debian 13 开始的 curl (8.14.1) 会强制 IPv6 优先，所以我们可以使用 wget 命令：

root@debian ~ # wget -qO- http://ip.sb
192.0.2.2

效果等同于 wget -qO- http://ip.sb -4

某些情况下，你可能又需要强制启用 IPv6 优先（是的，有些系统和用户的需求确实有点奇怪😅），因为目前 IANA 分配的公网 IPv6 还未进行到 3000:0000::/4，所以我们只要把这段之前的 IPv6 加到优先级列表即可，加入这两行 label 的优先级：

label 2002::/16    1
label 2001:0::/32   1

禁用 IPv6

有一些极端情况下，我们可能需要禁止系统的 IPv6 功能，这时候就需要添加或修改 /etc/sysctl.d/local.conf 文件，首先找到你的网卡名称，这里以 eth0 为例，然后加入如下内容：

net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.all.accept_ra = 0
net.ipv6.conf.default.accept_ra = 0
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
net.ipv6.conf.eth0.disable_ipv6 = 1

若需对其他网卡禁用 IPv6，只需将 eth0 替换为对应网卡名称即可。

一句话命令

cat >> /etc/sysctl.d/local.conf << EOF
net.ipv6.conf.all.autoconf = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.all.accept_ra = 0
net.ipv6.conf.default.accept_ra = 0
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
net.ipv6.conf.eth0.disable_ipv6 = 1
EOF

注意：cat 命令中的 >> 表示追加内容；若使用 >，则会覆盖原有内容。

然后执行 sysctl --system 重新加载配置文件。此时查看 ip a，即可发现 IPv6 已被禁用。

下图为修改前后的对比示例：

使用前，我们可以看到无论是本地还是公网网卡都有 inet6，即都有 IPv6 地址：

使用后，无论本地还是公网网卡均无 IPv6 地址：

其他系统和软件

Windows 系统可参考这篇回答

Firefox 下打开 about:config 然后把 network.dns.disableIPv6 改成 true 即可禁止 Firefox 请求 IPv6

RDAP.SS 是一个基于 RDAP 协议的 Whois 查询网站，本文介绍 RDAP 协议以及如何使用。

1、什么是 RDAP 协议？

RDAP，全称 Registration Data Access Protocol，由 IETF（互联网工程任务组）制定，主要用于查询以下注册信息：

• 域名（Domain）
• IP 地址（IPv4 / IPv6）
• ASN（自治系统号）

它定义在 RFC 7480、7481、7482、7483、7484 等系列标准中。

2、RDAP 和 Whois 协议的区别

以下是对两者主要区别的总结：

在传统的 Whois 协议中，用户需要给 Whois 服务器的 43 端口发送查询，然后 Whois 服务器返回纯文本的结果。

这导致了传统的 Whois 协议有几个无法修补的劣势：

1. 非结构化的文本输出，没有标准化的接口

传统的 Whois 没有统一的查询和返回 API，只有简单的文本命令，这导致每家注册局返回的信息格式不一致，例如有的字段写作 Registrant Email，有的写作 Contact Email。这给开发者带来了巨大的解析工作量，需要为不同注册局甚至注册商编写对应的匹配规则。

2. 非加密传输

TCP 43 端口使用明文传输，任何中间节点（包括运营商）都能看到查询内容。🤷‍♂️ 这在 2025 年已经难以被接受。

3. 缺乏访问控制权限

Whois 服务器只能识别查询的 IP 地址，无法针对单个用户分配权限或进行身份区分，安全设置也只能基于 IP 层面。

4. 管理混乱

Whois 客户端需要为每个 TLD 手动配置对应的 Whois 服务器，缺乏类似 RDAP 的自动 bootstrap 机制。

3、RDAP 协议的优势

而 RDAP 协议完美的弥补了这些劣势：

1. 标准化的 JSON 输出

RDAP 返回的数据是结构化的 JSON，字段统一定义，例如：

{
  "objectClassName": "domain",
  "ldhName": "example.com",
  "status": ["active"],
  "entities": [...]
}

这让程序能直接解析字段，无需依赖正则或人工格式识别。

2. 统一的 API

RDAP 基于 HTTP/HTTPS 的 RESTful API，支持 GET 请求、分页、过滤等现代查询方式。

例如：

GET https://rdap.verisign.com/com/v1/domain/example.com

即可从注册局调用 example.com 的信息

3. Bootstrap 自动重定向

RDAP 客户端无需知道具体注册商，它会根据 IANA 的 bootstrap 数据自动跳转到正确的注册局或 RIR

IANA 的 Bootstrap 数据是公开的，可在以下地址访问：

https://data.iana.org/rdap/

按照 RDAP.org 的统计，目前大约有 77% 的注册局已经接入了 RDAP 协议，除了少部分 TLD 需要手工添加 RDAP 服务器，大部分已经都接入了 IANA 的 bootstrap 数据。

4. 安全和隐私

RDAP 强制使用 HTTPS，保障查询与返回内容的完整性与保密性。防止中间人攻击与数据监听。

如有需要，注册局还可以通过 OAuth 2.0 或 Token 认证实现访问控制，根据用户身份（如公众、注册商或执法机构）返回不同级别的信息。这非常契合 GDPR 等隐私法规的要求。

5. 可扩展性

RDAP 支持使用 extensions（扩展字段），注册局可以在标准字段外添加自定义信息，而不会破坏兼容性。

例如：

"rdapConformance": ["rdap_level_0", "icann_rdap_technical_implementation_guide_0"]

4、RDAP.SS 网站

基于 RDAP 的优势，我使用 Claude Code 开发了一个基于 RDAP 协议的 Whois 查询网站： RDAP.SS

技术栈：

• Next.js
• Tailwind CSS
• Redis 缓存

目前支持如下格式的 Whois 查询：

• 域名 - https://rdap.ss/whois/google.com
• IPv4 - https://rdap.ss/whois/8.8.8.8
• IPv4 CIDR - https://rdap.ss/whois/8.8.8.0/24
• IPv6 - https://rdap.ss/whois/2001:4860:4860::8888
• IPv6 CIDR - https://rdap.ss/whois/2001:4860::/32
• ASN - https://rdap.ss/whois/AS15169

仅当对应的 TLD 注册局支持 RDAP 协议时，域名查询才可用；未支持的注册局会降级为传统 Whois 协议返回结果。

如果在使用过程中遇到问题，请随时在 GitHub 提交 issue。

本文将指导如何在 Debian 下使用 extrepo 配置第三方软件源。

什么是 extrepo？

extrepo 用于管理 Debian 中的外部软件源。

在没有 extrepo 之前，想要使用未被 Debian 官方打包的软件，用户通常需要手动编写 APT 配置文件、以 root 身份运行未经签名的脚本，或安装一个包含所有系统配置的未签名 .deb 包。

遗憾的是，这些方法都不是很安全。

打个比方，我们要添加 Docker 的软件源，有三种方式。

第一种是传统的 One-Line Style：

curl -sSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor > /usr/share/keyrings/docker-ce.gpg

echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-ce.gpg] https://download.docker.com/linux/debian $(lsb_release -sc) stable" | sudo bash -c 'cat > /etc/apt/sources.list.d/docker-ce.list'

sudo apt update
sudo install docker-ce docker-ce-cli containerd.io docker-compose-plugin -y

第二种是新的 DEB822 格式：

curl -sSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor > /usr/share/keyrings/docker-ce.gpg

sudo bash -c 'cat > /etc/apt/sources.list.d/docker-ce.sources << EOF
Components: stable
Architectures: $(dpkg --print-architecture)
Suites: $(lsb_release -cs)
Types: deb
Uris: https://download.docker.com/linux/debian
Signed-By: /usr/share/keyrings/docker-ce.gpg
EOF'

sudo apt update
sudo apt install docker-ce docker-ce-cli containerd.io docker-compose-plugin -y

第三种方法则更为简单粗暴，直接运行脚本：

curl -fsSL https://get.docker.com -o get-docker.sh
sh get-docker.sh

在以上这些方法中（包括第三种脚本方式），我们都需要手动下载并导入 GPG 密钥，创建必要的 APT 配置文件，更新软件列表，然后再安装软件。而我们推荐使用 extrepo 的话，只需要简单的三个命令即可完成整个过程。

安装并使用 extrepo

Debian Stable 下直接用如下命令安装 extrepo 即可：

sudo apt update
sudo apt install extrepo -y

接着我们就可以启用比如 Docker CE 的仓库源：

sudo extrepo enable docker-ce

然后更新系统并安装 Docker：

sudo apt update
sudo apt install docker-ce docker-ce-cli containerd.io docker-compose-plugin -y

此时我们会发现在 /etc/apt/sources.list.d 目录中多了一个 extrepo_docker-ce.sources 文件：

# cat /etc/apt/sources.list.d/extrepo_docker-ce.sources 
Suites: trixie
Types: deb
Uris: https://download.docker.com/linux/debian
Components: stable
Architectures: amd64 arm64 armhf s390x ppc64el
Signed-By: /var/lib/extrepo/keys/docker-ce.asc

换句话说，extrepo 帮我们完成了以下工作：

1. 抓取经过验证的 GPG Key
2. 使用 DEB822 格式写入 APT 配置

对比之前的几种方法，你可能还需要满大街找配置命令，找脚本命令，现在只要敲几行命令就可以搞定，何乐而不为呢？

External Repository Metadata

看到这里读者可能有疑问，extrepo 的数据又是谁维护的呢？它是由 Debian External Repositories Team 维护，成员主要为志愿者（包括本文作者），数据本身也有个仓库叫做 extrepo-data。

我个人维护了一些仓库，包括 Redis，MariaDB，N.WTF 等，你可以从这里看到我的 commits。

任何人都可以对这个 Git 仓库做出贡献，而且 YAML 语法也十分容易上手，你可以参考默认的模板文件。

需要查看完整的第三方软件源列表的话，你可以在这里浏览所有的第三方仓库的 .yaml 文件。

了解了 extrepo 的机制和优势后，我们再来总结一下。

结论

总之，使用 extrepo 是一种既安全又方便的添加第三方软件源的方法。

它的主要优点在于：

1. 可以让你快速启用经过测试和验证的软件源，而无需手动搜索和复制第三方软件源的配置信息。
2. 当第三方仓库的 GPG 密钥过期或 URI 发生变化（这种情况相当常见）时，也不再需要手动更新。

比如，使用 extrepo 时，只需运行 extrepo enable docker-ce 和 extrepo update docker-ce，它就会自动刷新 Docker CE 仓库的 GPG 密钥和 URI。

不过，extrepo 也有一定的缺点：

1. 目前只兼容 Debian 系统，Ubuntu 因为没有人维护 extrepo-data 所以基本没有可以用的第三方软件源。
2. 默认的 extrepo-data 托管在 Debian 官方的 GitLab Pages，这对一些网络不通畅的服务器来说获取仓库信息就有点困难，而自建 extrepo-data 的过程相对繁琐，并不算方便。

English Version

本文将指导如何在 Debian 下安装并配置 Nextcloud 服务端。

本文的教程同时适用于 Debian Stable 以及 Ubuntu LTS。

以下操作需要在 root 用户下完成，请使用 sudo -i 或 su root 切换到 root 用户进行操作。

什么是 Nextcloud？

Nextcloud 是一套用于建立网络硬盘的客户端和服务器软件。其功能和 Dropbox 相近，但 Nextcloud 是开源的，任何人都可以在自己的服务器上安装并运行它。

虽然 Nextcloud 性能比较弱，但是实际测试下来几个人的小团队用用也足够了。

安装之前你可以先去官方的 Demo 体验。

准备环境

由于 Nextcloud 消耗资源比较大，一般我们不建议在 4GB 内存以下的 VPS 安装，官方推荐配置为 512MB 内存，实际体验下来安装在 8GB 内存上跑 Nextcloud 会比较流畅。

配置 LEMP 环境

首先，可以参考本站教程配置好 LEMP 环境，在安装 PHP 的时候，请选择 PHP 8.3 以及以下模块：

apt install php8.4-{common,fpm,mysql,curl,gd,mbstring,xml,xmlrpc,zip,bz2,intl,ldap,smbclient,bcmath,gmp,imap,opcache,imagick,redis} imagemagick redis-server -y

这里我们使用了 Redis 作为缓存，所以需要安装 redis-server 和 php8.4-redis，请不要直接安装 php-redis，否则系统会默认把所有的 PHP 版本都给你安装一遍哦。

如果想用最新的官方 Redis 的话可以添加官方源：

curl -sSL https://packages.redis.io/gpg | gpg --dearmor > /usr/share/keyrings/redis-archive-keyring.gpg

echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/redis-archive-keyring.gpg] https://packages.redis.io/deb $(lsb_release -cs) main" > /etc/apt/sources.list.d/redis.list

apt update
apt install redis-server -y

curl -sSL https://packages.redis.io/gpg | gpg --dearmor > /usr/share/keyrings/redis-archive-keyring.gpg

cat > /etc/apt/sources.list.d/redis.sources << EOF
Components: main
Architectures: $(dpkg --print-architecture)
Suites: $(lsb_release -cs)
Types: deb
Uris: https://packages.redis.io/deb
Signed-By: /usr/share/keyrings/redis-archive-keyring.gpg
EOF

apt update
apt install redis-server -y

apt install extrepo -y
extrepo enable redis
apt update
apt install redis-server -y

优化 PHP-FPM 设置

由于默认的 PHP-FPM 设置只适合小型应用，不适合 Nextcloud 这种消耗资源比较大的程序，所以我们可以修改如下参数，这里的例子是你想设置最大上传的文件为 10GB：

sed -i 's/;cgi.fix_pathinfo=1/cgi.fix_pathinfo=0/' /etc/php/8.4/fpm/php.ini 
sed -i 's/upload_max_filesize = 2M/upload_max_filesize = 10240M/' /etc/php/8.4/fpm/php.ini
sed -i 's/post_max_size = 8M/post_max_size = 10240M/' /etc/php/8.4/fpm/php.ini
sed -i 's/memory_limit = 128M/memory_limit = 512M/' /etc/php/8.4/fpm/php.ini
sed -i 's/;opcache.interned_strings_buffer=8/opcache.interned_strings_buffer=16/' /etc/php/8.4/fpm/php.ini
sed -i 's/;listen.mode = 0660/listen.mode = 0660/' /etc/php/8.4/fpm/pool.d/www.conf
sed -i 's/pm.max_children = 5/pm.max_children = 20/' /etc/php/8.4/fpm/pool.d/www.conf
sed -i 's/pm.start_servers = 2/pm.start_servers = 4/' /etc/php/8.4/fpm/pool.d/www.conf
sed -i 's/pm.min_spare_servers = 1/pm.min_spare_servers = 2/' /etc/php/8.4/fpm/pool.d/www.conf
sed -i 's/pm.max_spare_servers = 3/pm.max_spare_servers = 8/' /etc/php/8.4/fpm/pool.d/www.conf
sed -i 's/;clear_env = no/clear_env = no/' /etc/php/8.4/fpm/pool.d/www.conf

具体配置可以参考官网教程。

然后我们重启 PHP-FPM 生效：

systemctl restart php8.4-fpm.service

配置 Nginx

我们假设你的 Nextcloud 需要安装在 /var/www/nextcloud 目录，配置的域名是 cloud.example.com，证书文件位于 /etc/nginx/ssl/cloud.example.com.crt，证书私钥位于 /etc/nginx/ssl/cloud.example.com.key，那么我们直接参考官网上的第三方教程配置 Nginx：

upstream php-handler {
    #server 127.0.0.1:9000;
    server unix:/var/run/php/php8.4-fpm.sock;
}

# Set the `immutable` cache control options only for assets with a cache busting `v` argument
map $arg_v $asset_immutable {
    "" "";
    default "immutable";
}

server {
    listen 443 ssl;
    listen [::]:443 ssl;
    listen 443 quic;
    listen [::]:443 quic;

    http2 on;

    server_name cloud.example.com;

    # Path to the root of your installation
    root /var/www/nextcloud;

    ssl_session_timeout 1d;
    ssl_session_cache shared:MozSSL:10m;  # about 40000 sessions
    ssl_session_tickets off;

    # curl https://ssl-config.mozilla.org/ffdhe2048.txt > /etc/nginx/ssl/dhparam
    ssl_dhparam /etc/nginx/ssl/dhparam;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384;
ssl_prefer_server_ciphers off;

    ssl_certificate /etc/nginx/ssl/cloud.example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/cloud.example.com.key;

    # HSTS settings
    # WARNING: Only add the preload option once you read about
    # the consequences in https://hstspreload.org/. This option
    # will add the domain to a hardcoded list that is shipped
    # in all major browsers and getting removed from this list
    # could take several months.
    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always; 
    add_header Alt-Svc 'h3=":443"; ma=86400' always;

    # set max upload size and increase upload timeout:
    client_max_body_size 10240M;
    client_body_timeout 300s;
    fastcgi_buffers 64 4K;

    # Enable gzip but do not remove ETag headers
    gzip on;
    gzip_vary on;
    gzip_comp_level 4;
    gzip_min_length 256;
    gzip_proxied expired no-cache no-store private no_last_modified no_etag auth;
    gzip_types application/atom+xml application/javascript application/json application/ld+json application/manifest+json application/rss+xml application/vnd.geo+json application/vnd.ms-fontobject application/wasm application/x-font-ttf application/x-web-app-manifest+json application/xhtml+xml application/xml font/opentype image/bmp image/svg+xml image/x-icon text/cache-manifest text/css text/plain text/vcard text/vnd.rim.location.xloc text/vtt text/x-component text/x-cross-domain-policy;

    # Pagespeed is not supported by Nextcloud, so if your server is built
    # with the `ngx_pagespeed` module, uncomment this line to disable it.
    #pagespeed off;

    # HTTP response headers borrowed from Nextcloud `.htaccess`
    add_header Referrer-Policy                      "no-referrer"   always;
    add_header X-Content-Type-Options               "nosniff"       always;
    add_header X-Download-Options                   "noopen"        always;
    add_header X-Frame-Options                      "SAMEORIGIN"    always;
    add_header X-Permitted-Cross-Domain-Policies    "none"          always;
    add_header X-Robots-Tag                         "none"          always;
    add_header X-XSS-Protection                     "1; mode=block" always;

    # Remove X-Powered-By, which is an information leak
    fastcgi_hide_header X-Powered-By;

    # Specify how to handle directories -- specifying `/index.php$request_uri`
    # here as the fallback means that Nginx always exhibits the desired behaviour
    # when a client requests a path that corresponds to a directory that exists
    # on the server. In particular, if that directory contains an index.php file,
    # that file is correctly served; if it doesn't, then the request is passed to
    # the front-end controller. This consistent behaviour means that we don't need
    # to specify custom rules for certain paths (e.g. images and other assets,
    # `/updater`, `/ocm-provider`, `/ocs-provider`), and thus
    # `try_files $uri $uri/ /index.php$request_uri`
    # always provides the desired behaviour.
    index index.php index.html /index.php$request_uri;

    # Rule borrowed from `.htaccess` to handle Microsoft DAV clients
    location = / {
        if ( $http_user_agent ~ ^DavClnt ) {
            return 302 /remote.php/webdav/$is_args$args;
        }
    }

    location = /robots.txt {
        allow all;
        log_not_found off;
        access_log off;
    }

    # Make a regex exception for `/.well-known` so that clients can still
    # access it despite the existence of the regex rule
    # `location ~ /(\.|autotest|...)` which would otherwise handle requests
    # for `/.well-known`.
    location ^~ /.well-known {
        # The rules in this block are an adaptation of the rules
        # in `.htaccess` that concern `/.well-known`.

        location = /.well-known/carddav { return 301 /remote.php/dav/; }
        location = /.well-known/caldav  { return 301 /remote.php/dav/; }

        location /.well-known/acme-challenge    { try_files $uri $uri/ =404; }
        location /.well-known/pki-validation    { try_files $uri $uri/ =404; }

        # Let Nextcloud's API for `/.well-known` URIs handle all other
        # requests by passing them to the front-end controller.
        return 301 /index.php$request_uri;
    }

    # Rules borrowed from `.htaccess` to hide certain paths from clients
    location ~ ^/(?:build|tests|config|lib|3rdparty|templates|data)(?:$|/)  { return 404; }
    location ~ ^/(?:\.|autotest|occ|issue|indie|db_|console)                { return 404; }

    # Ensure this block, which passes PHP files to the PHP process, is above the blocks
    # which handle static assets (as seen below). If this block is not declared first,
    # then Nginx will encounter an infinite rewriting loop when it prepends `/index.php`
    # to the URI, resulting in a HTTP 500 error response.
    location ~ \.php(?:$|/) {
        # Required for legacy support
        rewrite ^/(?!index|remote|public|cron|core\/ajax\/update|status|ocs\/v[12]|updater\/.+|oc[ms]-provider\/.+|.+\/richdocumentscode\/proxy) /index.php$request_uri;

        fastcgi_split_path_info ^(.+?\.php)(/.*)$;
        set $path_info $fastcgi_path_info;

        try_files $fastcgi_script_name =404;

        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        fastcgi_param PATH_INFO $path_info;
        fastcgi_param HTTPS on;
        fastcgi_param HTTP_HOST $host;

        fastcgi_param modHeadersAvailable true;         # Avoid sending the security headers twice
        fastcgi_param front_controller_active true;     # Enable pretty urls
        fastcgi_pass php-handler;

        fastcgi_intercept_errors on;
        fastcgi_request_buffering off;

        fastcgi_max_temp_file_size 0;
    }

    location ~ \.(?:css|js|svg|gif|png|jpg|ico|wasm|tflite|map)$ {
        try_files $uri /index.php$request_uri;
        add_header Cache-Control "public, max-age=15778463, $asset_immutable";
        access_log off;     # Optional: Don't log access to assets

        location ~ \.wasm$ {
            default_type application/wasm;
        }
    }

    location ~ \.woff2?$ {
        try_files $uri /index.php$request_uri;
        expires 7d;         # Cache-Control policy borrowed from `.htaccess`
        access_log off;     # Optional: Don't log access to assets
    }

    # Rule borrowed from `.htaccess`
    location /remote {
        return 301 /remote.php$request_uri;
    }

    location / {
        try_files $uri $uri/ /index.php$request_uri;
    }
}

关于 SSL 配置可以参考本站教程《Nginx 配置 SSL 证书》和《使用 acme.sh 配置自动续签 SSL 证书》。

如果要修改上传文件大小限制，请求改 Nginx 配置里的 client_max_body_size 10240M; 和 PHP 配置里的 upload_max_filesize 和 post_max_size 参数，本教程举例是上传文件最大限制 10GB。

检查无误后重启 Nginx 生效

nginx -t
nginx -s reload

安装 Nextcloud

首先进入 /var/www 目录，下载并解压最新的 Nextcloud：

cd /var/www
wget -O nextcloud.zip https://download.nextcloud.com/server/releases/latest.zip
unzip nextcloud.zip

然后我们设置解压出来的 nextcloud 文件夹权限和 PHP 以及 Nginx 对应，设置为 www-data 用户，因为 Debian 下默认 www-data 用户/用户组的 uid 和 gid 是 33，所以直接使用 chown 33:33 即可：

chown 33:33 nextcloud -R
find nextcloud/ -type d -exec chmod 750 {} \;
find nextcloud/ -type f -exec chmod 640 {} \;

安装完成后，直接访问 https://cloud.example.com 填入你配置好的数据库信息以及管理员帐号密码即可登录你的 Nextcloud。

配置 Redis 缓存

Debian 默认安装的 redis-server 已经给你基本配置好了，只监听在本地 127.0.0.1 的 6379 端口，如果没有特殊需求不需要修改。

首先，我们把 redis 用户加入 www-data 用户组：

usermod -a -G redis www-data

然后修改 /var/www/nextcloud/config/config.php 文件，在最后一行 ); 字符前加入：

  'memcache.locking' => '\\OC\\Memcache\\Redis',
  'memcache.distributed' => '\\OC\\Memcache\\Redis',
  'memcache.local' => '\\OC\\Memcache\\Redis',
  'redis' => 
  array (
    'host' => '127.0.0.1',
    'port' => 6379,
  ),

重启 PHP-FPM 生效：

systemctl restart php8.4-fpm

其他缓存方式可以参考官方文档。

如果没有问题，可以访问 https://cloud.example.com/settings/admin/serverinfo 查看服务器信息了。

配置 Crontab

我们需要使用 Linux 内置的 cron 来运行自动化任务，直接使用 www-data 用户修改定时任务：

crontab -u www-data -e

选择一款你喜欢的编辑器然后加入：

*/5  *  *  *  * /usr/bin/php -f /var/www/nextcloud/cron.php

这个命令的含义是每 5 分钟执行一次 Nextcloud 的定时任务，具体可以参考官网教程。

保存后可以使用 crontab -u www-data -l 命令查看当前 www-data 用户下的定时任务。

安装 Nextcloud 客户端

这里就不再赘述了，直接从官网下载并安装对应操作系统的软件即可，登录的时候输入完整的网址 https://cloud.example.com/ 即可登录你自己的 Nextcloud。

Nextcloud 更新

如果你的用户和数据不多，直接用管理员访问 https://cloud.example.com/updater/ 即可更新到最新稳定版本。

如果服务器的负载较高或自动下载网速较慢，可以使用命令行更新：

cd /var/www/nextcloud
sudo -u www-data php ./updater/updater.phar --no-interaction

具体可以参考官网教程：更新、升级和手工升级。

切记更新之前先备份数据，避免丢失重要数据哦。

Nextcloud 备份

Nextcloud 目前还是个典型的 PHP + MySQL 程序，所以理论上只要备份 /var/www/nextcloud 目录，你的文件储存目录 (默认在 /var/www/nextcloud/data) 以及 MySQL 数据库即可，这里不再赘述。

本文将介绍在升级 Debian 系统后，GitLab 的 PostgreSQL 数据库无法正常启动的问题。

背景前提

本文的 GitLab 是基于官方源安装的，具体安装和升级方法限于篇幅，不再阐述。

我们从 Debian 11 升级到 Debian 12 后，再更新 GitLab 会发现如下报错：

gitlab [execute] WARNING: database "postgres" has a collation version mismatch DETAIL: The database was created using collation version 2.31, but the operating system provides version 2.36.

或者从 Debian 12 升级到 Debian 13 后更新 GitLab 也会有如下报错：

WARNING:  database “gitlabhq_production” has a collation version mismatch
DETAIL:  The database was created using collation version 2.36, but the operating system provides version 2.41.
HINT:  Rebuild all objects in this database that use the default collation and run ALTER DATABASE gitlabhq_production REFRESH COLLATION VERSION, or build PostgreSQL with the right library version.

我们以 Debian 13 为例，可以看到系统自带的 glibc 版本为 2.41：

# ldd --version
ldd (Debian GLIBC 2.41-12) 2.41

而 Debian 12 自带的 glibc 版本为 2.36：

# ldd --version
ldd (Debian GLIBC 2.36-9+deb12u13) 2.36

Debian 11 的 glibc 版本为 2.31：

# ldd --version
ldd (Debian GLIBC 2.31-13+deb11u13) 2.31

所以我们直接升级系统以后 GitLab 的 PostgreSQL 数据库仍使用旧版本的排序规则，导致版本不匹配，所以 GitLab 升级会失败。

解决方法

我们以 Debian 11 升级到 Debian 12 后的情况举例，首先备份一下 GitLab：

sudo gitlab-backup create

然后我们进入 GitLab 的 PostgreSQL 控制台：

sudo gitlab-psql

接着重新建立索引并修复 gitlabhq_production 数据库：

SET statement_timeout = 0;
REINDEX DATABASE gitlabhq_production;
ALTER DATABASE gitlabhq_production REFRESH COLLATION VERSION;

重建完成后输入 \q 并按回车退出，然后我们修复 template1 和 postgres 数据库：

sudo gitlab-psql -d template1 -c "ALTER DATABASE template1 REFRESH COLLATION VERSION;"
sudo gitlab-psql -d postgres -c "ALTER DATABASE postgres REFRESH COLLATION VERSION;"

修复完成后验证结果：

sudo gitlab-psql -c "
SELECT 
    datname,
    datcollversion,
    pg_collation_actual_version((SELECT oid FROM pg_collation WHERE collname = 'default')) as system_version,
    CASE 
        WHEN datcollversion = pg_collation_actual_version((SELECT oid FROM pg_collation WHERE collname = 'default')) 
        THEN '✅ Good' 
        ELSE '❌ Bad' 
    END as status
FROM pg_database 
WHERE datname IN ('template1', 'postgres', 'gitlabhq_production')
ORDER BY datname;"

如果出现如下结果，则修复完成：

       datname       | datcollversion | system_version | status  
---------------------+----------------+----------------+---------
 gitlabhq_production | 2.36           | 2.36           | ✅ Good
 postgres            | 2.36           | 2.36           | ✅ Good
 template1           | 2.36           | 2.36           | ✅ Good

然后我们就可以重新配置 GitLab 并更新升级了：

sudo gitlab-ctl reconfigure

完成以后重启 GitLab 即可恢复服务：

sudo gitlab-ctl restart

本文将指导如何升级 Debian 12 Bookworm 到 Debian 13 Trixie。

相关教程：Debian 11 Bullseye 升级 Debian 12 Bookworm。

准备工作

除非你是物理服务器，以及没有用过奇奇怪怪定制或修改的内核的 KVM 构架的 VPS 和云主机，否则升级大版本更新内核是有一定机率导致 Grub 加载失败的，切记备份重要数据！

OpenVZ 6 和 LXC 构架的 VPS 是无法升级的，因为他们没有自己独立的内核

再强调一遍，一定要备份重要数据！

以下操作需要在 root 用户下完成，请使用 sudo -i 或 su root 切换到 root 用户进行操作

更新系统

首先需要更新你当前的系统

apt update
apt upgrade -y
apt full-upgrade -y
apt autoclean
apt autoremove -y

如果内核更新了，可以重启让最新的内核生效，也可以直接进行升级。

升级系统

首先更新 apt 源，替换 bookworm 为 trixie：

sed -i 's/bookworm/trixie/g' /etc/apt/sources.list
sed -i 's/bookworm/trixie/g' /etc/apt/sources.list.d/*.list
sed -i 's/bookworm/trixie/g' /etc/apt/sources.list.d/*.sources

如果没有对应文件会提示诸如 sed: can't read /etc/apt/sources.list.d/*.sources: No such file or directory 的错误，忽略即可。

或者直接一行命令：

sed -i 's/bookworm/trixie/g' /etc/apt/sources.list /etc/apt/sources.list.d/*.{list,sources} 2>/dev/null

修改完成后你的 /etc/apt/sources.list 文件内容应该类似如下：

deb https://deb.debian.org/debian trixie main contrib non-free non-free-firmware

deb https://security.debian.org/debian-security trixie-security main contrib non-free non-free-firmware

deb https://deb.debian.org/debian trixie-updates main contrib non-free non-free-firmware

大部分旧的安装的 Debian 的软件源配置文件使用传统的 One-Line-Style，路径为 /etc/apt/sources.list；但是从 Debian 12 的容器版本开始，以及 Debian 13 正式版后，其软件源配置文件变更为 DEB822 格式，路径为 /etc/apt/sources.list.d/debian.sources:（参考）

Types: deb
URIs: https://deb.debian.org/debian
Suites: trixie trixie-updates trixie-backports
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

Types: deb
URIs: https://security.debian.org/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

如果使用 DEB822 格式，则你可以安全地删除 /etc/apt/sources.list 文件，只保留 /etc/apt/sources.list.d/debian.sources 即可。

国内服务器可以替换 deb.debian.org 和 security.debian.org 为 mirrors.tuna.tsinghua.edu.cn

然后我们再次执行更新系统：

apt update
apt upgrade -y
apt full-upgrade -y

更新过程中，Debian 13 早期版本可能会提示你是否自动更换为软件源配置文件为 DEB822 格式，如果需要的话可以使用 apt modernize-sources 命令来自动转换，或者自行重写 sources 文件。如果使用命令转换，请自行重写 backports 仓库，目前的转换会有 bug 漏掉这个仓库的 GPG Key。

推荐更换成更科学的 DEB822 格式哦~

如果 apt 命令最后没有带 -y 自动同意参数的话，更新过程中还会提示一些软件的更新列表，是否需要自动重启等，选 Yes 即可，以及一些软件的配置文件是否需要更新，按照自己的情况选择即可，默认回车即视为使用旧的配置文件，一般会出现在 OpenSSH 等软件的更新上。

在 apt-listchanges: News 界面可以按 q 退出：

提示是否自动重启服务：

提示是否更新配置文件：

注意某些软件更新后可能会更新 systemd 服务配置，此时我们可以执行 systemctl daemon-reload 重新加载配置。

更新后删除不必要的软件和依赖：

apt autoclean
apt autoremove -y

然后我们使用 reboot 命令重启系统，耐心等待后，查看最新的系统版本：

root@debian ~ # cat /etc/debian_version 
13.0

root@debian ~ # lsb_release -a
No LSB modules are available.
Distributor ID:	Debian
Description:	Debian GNU/Linux 13 (trixie)
Release:	13
Codename:	trixie

root@debian ~ # uname -a
Linux upload 6.12.38+deb13-cloud-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.12.38-1 (2025-07-16) x86_64 GNU/Linux

这时我们就已经更新到了最新的 Debian 13 Trixie 和内核了。

本文将指导如何升级 Ubuntu 22.04 Jammy Jellyfish 到 Ubuntu 24.04 Noble Numbat。

相关教程：Ubuntu 20.04 Focal Fossa 升级 Ubuntu 22.04 Jammy Jellyfish。

准备工作

除非你是物理服务器，以及没有用过奇奇怪怪定制或修改的内核的 KVM 构架的 VPS 和云主机，否则升级大版本更新内核是有一定机率导致 Grub 加载失败的，切记备份重要数据！

OpenVZ 和 LXC 构架的 VPS 是无法升级的，因为他们没有自己独立的内核

再强调一遍，一定要备份重要数据！

以下操作需要在 root 用户下完成，请使用 sudo -i 或 su root 切换到 root 用户进行操作

更新系统

首先需要更新你当前的系统

apt update
apt upgrade -y
apt dist-upgrade -y
apt autoclean
apt autoremove -y

如果内核更新了，可以重启让最新的内核生效，也可以直接进行升级。

升级系统

这里有两种升级系统的方法，第一种是使用 do-release-upgrade 命令，第二种是手动更新 apt 源文件。

方法一：使用 do-release-upgrade 命令

首先需要安装 ubuntu-release-upgrader-core 包：

apt install ubuntu-release-upgrader-core

然后修改 /etc/update-manager/release-upgrades 文件，确保 Prompt 值为 lts：

cat /etc/update-manager/release-upgrades | grep lts

显示如下内容即可：

root@ubuntu ~ # cat /etc/update-manager/release-upgrades | grep lts
#  lts    - Check to see if a new LTS release is available.  The upgrader
Prompt=lts

最后执行以下命令升级系统：

do-release-upgrade -d

方法二：手动更新 apt 源文件

首先更新 apt 源，替换 jammy 为 noble：

sed -i 's/jammy/noble/g' /etc/apt/sources.list
sed -i 's/jammy/noble/g' /etc/apt/sources.list.d/*.list

系统 apt 源文件 /etc/apt/sources.list 应该是类似这样的：

deb https://archive.ubuntu.com/ubuntu/ noble main restricted universe multiverse

deb https://archive.ubuntu.com/ubuntu/ noble-updates main restricted universe multiverse

deb https://archive.ubuntu.com/ubuntu/ noble-backports main restricted universe multiverse

deb http://security.ubuntu.com/ubuntu/ noble-security main restricted universe multiverse

由于在 Ubuntu 24.04 之前，Ubuntu 的软件源配置文件使用传统的 One-Line-Style，路径为 /etc/apt/sources.list；从 Ubuntu 24.04 开始，Ubuntu 的软件源配置文件变更为 DEB822 格式，路径为 /etc/apt/sources.list.d/ubuntu.sources（参考），所以使用 DEB822 格式的源文件 /etc/apt/sources.list.d/ubuntu.sources：

Types: deb
URIs: https://archive.ubuntu.com/ubuntu
Suites: noble noble-updates noble-backports
Components: main restricted universe multiverse
Signed-By: /usr/share/keyrings/ubuntu-archive-keyring.gpg

Types: deb
URIs: http://security.ubuntu.com/ubuntu
Suites: noble-security
Components: main restricted universe multiverse
Signed-By: /usr/share/keyrings/ubuntu-archive-keyring.gpg

国内服务器可以替换 archive.ubuntu.com 和 security.ubuntu.com 为 mirrors.tuna.tsinghua.edu.cn

然后我们再次执行更新系统：

apt update
apt upgrade -y
apt full-upgrade -y

更新过程中会提示一些软件是否需要自动重启，选 Yes 即可，以及一些软件的配置文件是否需要更新，按照自己的情况选择即可，默认回车即视为使用旧的配置文件，一般会出现在 OpenSSH 等软件的更新上。

更新后删除不必要的软件和依赖：

apt autoclean
apt autoremove -y

然后我们使用 reboot 命令重启系统，耐心等待后，查看最新的系统版本：

root@ubuntu ~ # lsb_release -a
No LSB modules are available.
Distributor ID:	Ubuntu
Description:	Ubuntu 24.04 LTS
Release:	24.04
Codename:	noble

root@ubuntu ~ # uname -a
Linux ubuntu 6.8.0-35-generic #35-Ubuntu SMP PREEMPT_DYNAMIC Mon May 20 15:51:52 UTC 2024 x86_64 x86_64 x86_64 GNU/Linux

这时我们就已经更新到了最新的 Ubuntu 24.04 Noble 和内核了。

本文将指导如何在 Linux 下使用 Docker 和 Docker Compose 安装 FreshRSS 开源 RSS 聚合器服务。

PS：本文同时适用于任何可安装 Docker 的 Linux 发行版。

什么是 FreshRSS？

FreshRSS 是一款免费且开源的 RSS 聚合器，设计用于帮助用户集中管理和阅读来自不同网站的新闻源。它具有高效、轻量的特点，并且支持多用户使用。

安装 Docker 和 Docker Compose

Debian 和 Ubuntu 系统请参考本站教程。

其他 Linux 系统可以使用 Docker 官方的脚本安装 Docker 和 Docker Compose：

curl -fsSL https://get.docker.com -o get-docker.sh
sh get-docker.sh

安装 FreshRSS

这里我们使用 PostgreSQL 数据库，首先创建一个目录用于存放 FreshRSS 的配置文件和数据库文件：

mkdir -p /opt/freshrss
cd /opt/freshrss

然后创建一个 docker-compose.yml 文件：

services:

  freshrss:
    image: freshrss/freshrss:latest
    container_name: freshrss
    hostname: freshrss
    restart: unless-stopped
    logging:
      options:
        max-size: 10m
    volumes:
      - ./data:/var/www/FreshRSS/data
      - ./extensions:/var/www/FreshRSS/extensions
    environment:
      TZ: Etc/UTC
      CRON_MIN: '3,33'
      TRUSTED_PROXY: 172.16.0.1/12 192.168.0.1/16
      ADMIN_EMAIL: 你的邮箱
      BASE_URL: 你的 FreshRSS 访问地址
    ports:
      - 127.0.0.1:8080:80

  freshrss-db:
    image: postgres:16
    container_name: freshrss-db
    hostname: freshrss-db
    restart: unless-stopped
    logging:
      options:
        max-size: 10m
    volumes:
      - ./db:/var/lib/postgresql/data
    environment:
      POSTGRES_DB: freshrss
      POSTGRES_USER: freshrss
      POSTGRES_PASSWORD: freshrss
    command:
      - -c
      - shared_buffers=1GB
      - -c
      - work_mem=32MB

请自行替换 ADMIN_EMAIL 和 BASE_URL 的值，BASE_URL 需要写全，比如 https://freshrss.example.com。

然后拉取 Docker 镜像并运行：

cd /opt/freshrss
docker compose pull
docker compose up -d

安装配置 Nginx 反向代理

我们的 Docker Compose 配置文件中，FreshRSS 服务监听在 127.0.0.1:8080 端口，所以我们需要配置 Nginx 反代来访问，假设你 FreshRSS 的地址是 https://freshrss.example.com：

freshrss.example.com 段配置：

	location / {
		proxy_set_header X-Real-IP $remote_addr;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
		proxy_set_header Host $http_host;
		proxy_http_version 1.1;
		proxy_set_header Upgrade $http_upgrade;
		proxy_redirect off;
		proxy_set_header        X-Forwarded-Proto $scheme;
		proxy_connect_timeout       300;
		proxy_send_timeout          300;
		proxy_read_timeout          300;
		send_timeout                300;
		proxy_pass http://127.0.0.1:8080;
	}

最后记得参考本站 Nginx SSL 配置教程加上 SSL 证书后，即可访问 https://freshrss.example.com/：

配置 FreshRSS

访问 https://freshrss.example.com/，在安装向导中填写数据库信息：

• 数据库类型：PostgreSQL
• 数据库主机（Host）：freshrss-db
• 数据库名称（Database）：freshrss
• 数据库用户（User）：freshrss
• 数据库密码（Password）：freshrss

然后点击 Install FreshRSS 即可完成安装。

如果需要安装插件，可以把插件上传到 /opt/freshrss/extensions 目录，然后在 FreshRSS 后台安装。

推荐在官方插件仓库里下载插件：FreshRSS Extensions

推荐安装 CustomCSS 插件，就可以使用自定义 CSS 样式了，个人比较喜欢这个主题系列。

如果需要第三方客户端，可以在这里查看支持的应用：APIs & native apps

迁移 FreshRSS

可以参考《使用 Docker 安装 Mailcow 自建域名邮箱》。

备份 FreshRSS

我们可以定期备份 FreshRSS 网站文件和数据库，压缩网站目录和导出数据库命令如下：

backup_folder_name=$(date +"%Y_%m_%d_%I_%M_%p")
# 备份 FreshRSS 网站文件
tar --exclude /opt/freshrss/data/cache -zcvf data-$backup_folder_name.tar.gz /opt/freshrss/data
tar -zcvf extensions-$backup_folder_name.tar.gz /opt/freshrss/extensions
# 备份 FreshRSS 数据库
docker exec -t freshrss-db pg_dumpall -c -U freshrss | gzip > database-$backup_folder_name.gz