技术用户 -- 使用技巧 |
普通用户 -- 使用技巧 |
gpg 相关
- 铜豌豆的公钥 #gpg
- 添加 ssh 登录密钥 #sshadd
- 使用 GPG ssh 公钥登录服务器 #gpgssh
- 把某个密钥对从钥匙环里面删除 #delkey
- 雷鸟邮件客户端 enigmail 匹配调整 #enigmail
- 以 8 个字符的方式,显示主钥及子钥的 key ID #keyidshort
- GnuPG 图形化前端软件包--海马#seahorse
- 查看当前用户下 gpg 代理运行情况 #gpgagent
其它
- 在 vi 里面高亮显示行尾的空格和 tab 键 #vi-trailing-whitespace
- 添加 iso 文件到本地 apt 软件包安装源 #apt-cdrom
- 安装 5.x 系列 rt 内核 #kernel-5.x
- 安装普通内核 #kernel-normal
- 安装 NVIDIA 显卡厂家闭源驱动及相关软件 #nvidia
- 查看 Intel GPU 使用情况 #intel_gpu_top
- 使用 jigdo 下载制作铜豌豆 iso 镜像文件 #jigdo
- 免 U 盘安装铜豌豆系统 #hd-install
- 将铜豌豆系统安装到 U 盘,移动硬盘 #hd-live
gpg 相关
- 铜豌豆的公钥 #gpg 《铜豌豆 Linux》使用业界通用的 GPG 公私钥签名技术来保证用户和铜豌豆服务器之间,数据传输端到端的安全通信。
- 铜豌豆 11 版本
- 从铜豌豆服务器上下载 公钥文件下载地址: https://www.atzlinux.com/atzlinux/download/public-v11.key
- 导入到 apt 公钥库 将该文件下载后,用 root 账号运行:
- 导入到个人账号下的 gpg 公钥库 gpg --import public-v11.key
- 从业界通用的 gpg 公钥服务器上通过公钥 GPG id 搜索下载 铜豌豆目前使用的公钥 GPG id 为: 0x4EE54C28 其电子邮件为:atzlinux apt release key (v11) <xsw@atzlinux.com>
- 导入到 apt 公钥库 apt-key adv --keyserver keys.gnupg.net --receive-keys 0x4EE54C28
- 导入到个人账号下的 gpg 公钥库 用下述命令搜索、导入该公钥到个人账号下的 gpg 公钥库:
- 铜豌豆 10 版本
- 从铜豌豆服务器上下载 公钥文件下载地址: https://www.atzlinux.com/atzlinux/download/public.key
- 导入到 apt 公钥库 将该文件下载后,用 root 账号运行:
- 导入到个人账号下的 gpg 公钥库 gpg --import public.key
- 从业界通用的 gpg 公钥服务器上通过公钥 GPG id 搜索下载 铜豌豆目前使用的公钥 GPG id 为: 0x4E91726B 其电子邮件为:atzlinux <atzlinux@yeah.net>
- 导入到 apt 公钥库 apt-key adv --keyserver keys.gnupg.net --receive-keys 0x4E91726B
- 导入到个人账号下的 gpg 公钥库 用下述命令搜索、导入该公钥到个人账号下的 gpg 公钥库:
- 添加 ssh 登录密钥 #sshadd 运行 ssh-add 命令,输入私钥密码。后续远程登录机器,就不用再次输入私钥密码,一直在本次登录有效。
- 使用 GPG ssh 公钥登录服务器 #gpgssh GPG 密钥对,也可以用于 ssh 登录远程服务器。实现此功能的相关步骤如下,供参考:
- 生成具备 SSH 认证功能的子钥 具体请查阅 相关文档, 关键点是用于 ssh 登录认证的子钥,需要有身份验证功能。 这种类型的子钥,需要用 --expert 专家模式才能够生成。 例如: gpg --expert --edit-key atzlinux@yeah.net
- 安装命令行 gpg 密码输入软件包 apt -y install pinentry-tty pinentry-curses
- 修改 ~/.bashrc 增加如下几行:
- 修改 ~/.gnupg/gpg.conf 增加如下一行:
- 修改 ~/.gnupg/gpg-agent.conf 增加如下几行:
- 修改 ~/.gnupg/sshcontrol 将生成的具备认证功能 [A] 的“子钥 keygrip”加入该文件。
- 将 gpg 公钥导出,放入远程机器的 ~/.ssh/authorized_keys 运行 ssh-add -L 或者 gpg --export-ssh-key user-id 命令,将会生成 ssh 远程登录公钥。
- 使用主钥方式 使用 GPG 的主钥,也可以设置认证功能,用于 ssh 登录服务器。 gpg --edit-key 主钥 keyid 进入 gpg 交互式提示符后,使用 change-usage 修改添加 (A) 身份验证功能开关, 其余步骤和使用子钥一样。
- 使用 GPG ssh 公钥的优点
- 提升私钥安全性
- 简化开通服务器登录权限步骤 如果一个 gpg key 配置了 ssh 认证功能,并将 key 上传到了 key server,那么其它人就可以通过 key id 搜索下载这个 key,并用 --export-ssh-key 命令将该 key 的 GPG ssh 公钥导出。 导出的 GPG ssh 公钥,可以直接放到服务器用户目录的 .ssh/authorized_keys 文件里面,这样就可以更加方便的让对方直接登录服务器,少了一次人工向对方索取 ssh 公钥的步骤,更加便捷。
- 统一管理 将登录服务器的 ssh 公钥和邮件签名、加密、deb 打包签名、git 提交签名等相关工作,统一用一个 gpg id 管理起来, 可以提升工作效率。
- 把某个密钥对从钥匙环里面删除 #delkey gpg --pinentry-mode ask --delete-secret-keys 0x8F88E2B4
- 雷鸟邮件客户端 enigmail 匹配调整 #enigmail 雷鸟邮件客户端常用的 GPG 加密插件 enigmail 会出现无法输入密码导致报错的现象。 请按如下方式解决:
- 以 8 个字符的方式,显示主钥及子钥的 key ID #keyidshort gpg --keyid-format 0xshort -k
- 查看当前用户下 gpg 代理运行情况 #gpgagent systemctl --user status gpg-agent
- 安装 GnuPG 图形化前端软件包--海马,可以图形化方式查看当前密码、密钥使用情况 #seahorse apt install seahorse
- gpg 缩写介绍
公钥获取方式:
apt-key add public-v11.key
gpg --show-key public-v11.key
gpg --keyserver keys.gnupg.net --search-keys 0x4EE54C28
apt-key add public.key
gpg --show-key public.key
gpg --keyserver keys.gnupg.net --search-keys 0x4E91726B
注: 铜豌豆公钥在 iso 操作系统安装和一键安装脚本安装的时候,已经自动导入 apt 公钥库。 apt-key list 命令可以查看当前 apt 公钥库里面所有公钥列表。
gpg> addkey 请选择您要使用的密钥类型: (3) DSA(仅用于签名) (4) RSA(仅用于签名) (5) ElGamal(仅用于加密) (6) RSA(仅用于加密) (7) DSA(自定义用途) (8) RSA(自定义用途) (10) ECC(仅用于签名) (11) ECC(自定义用途) (12) ECC(仅用于加密) (13) 现存的密钥 您的选择是? 8 RSA 密钥的可实现的功能: 签名(Sign) 加密(Encrypt) 身份验证(Authenticate) 目前启用的功能: 签名(Sign) 加密(Encrypt) (S) 签名功能开关 (E) 加密功能开关 (A) 身份验证功能开关 (Q) 已完成在这里选择 A
export GPG_TTY=$(tty)
if [[ -n "$SSH_CONNECTION" ]] ;then
export PINENTRY_USER_DATA="USE_CURSES=1"
fi
gpg-connect-agent updatestartuptty /bye >/dev/null
unset SSH_AGENT_PID
if [ "${gnupg_SSH_AUTH_SOCK_by:-0}" -ne $$ ]; then
export SSH_AUTH_SOCK="$(gpgconf --list-dirs agent-ssh-socket)"
fi
pinentry-mode loopback
enable-ssh-support allow-loopback-pinentry disable-scdaemon
gpg --list-keys --with-keygrip atzlinux@yeah.net
sub rsa4096 2020-06-05 [A] [有效至:2021-06-05]
Keygrip = D9160EA08492B604A0DFEB0922104A9B9CDFB47E
相关信息,请参阅: https://wiki.archlinux.org/index.php/GnuPG#SSH_agent
指定导出某个子钥或主钥的 ssh 公钥,可以在 keyid 后加感叹号实现,如: gpg --export-ssh-key 0xC7909957!
普通的 ssh 公钥登录,生成的私钥文件: 直接存放在用户目录的 .ssh 目录下; 私钥文件名默认是固定的 id_rsa、id_dsa 等; 很多私钥文件没有设置密码; 甚至为了方便,直接上传到了网络存储, 这样导致 ssh 的私钥文件,相对容易被窃取。
使用 GPG ssh 公钥,其私钥使用 gpg 的方式统一管理。 必须使用 gpg --export-secret-keys 或 --export-secret-subkeys 命令才能够将私钥导出,必须输入私钥密码。 极大的增加了私钥文件被窃取的难度。
注:其它相关影响
设置 GPG ssh 公钥方式后,由于修改了密码输入方式为 loopback,会影响到部分程序使用 GPG 时的密码输入。 需要手工指定 pinentry-mode 为 ask。在雷鸟里面依次进入 enigmail,选项,显示专家设置和菜单,高级, 附加到 Gnupg 的参数 里面填入: “--pinentry-mode=ask”
注:雷鸟从版本 1:78.4.0-1~deb10u1 开始,本身已经默认支持使用 GPG,不需要额外安装 enigmail 插件。 在雷鸟版本升级时,enigmail 插件能够把旧版本的 GPG 数据,导入新版本的雷鸟。
也可以把下面这行加入 gpg 配置文件 ~/.gnupg/gpg.conf:
keyid-format 0xshort
让 gpg 命令默认以短格式 8 字符方式显示 key ID。
sec => 'SECret key'
ssb => 'Secret SuBkey'
pub => 'PUBlic key'
sub => 'public SUBkey'
其它
- 在 vi 里面高亮显示行尾的空格和 tab 键 #vi-trailing-whitespace 在 vi 配置文件里面,一般是用户目录下的 .vimrc,加上如下内容:
- 添加 iso 文件到本地 apt 软件包安装源 #apt-cdrom 在系统安装后,使用 apt install 安装其它软件包时,经常需要联网下载一些依赖包,比较耗时。 可以先一次性下载 Debian 官方的 iso 文件到本地,用 apt-cdrom add 命令,将 iso 文件里面的所有软件包,加入本地 apt 软件包安装源。
- 安装 5.x 系列 rt 内核 #kernel-5.x Debian 10 稳定版会移植最新的 5.x 系列内核,使用铜豌豆 ISO 安装的机器,可以使用如下步骤安装:
- apt update;apt upgrade
- 确认当前最新的 5.x 内核软件包名称 因 5.x 系列内核在不断升级中,可以使用
- 安装内核 以 linux-image-5.10.0-0.bpo.3-rt-amd64 为例:
- 重启机器 安装完成后,会自动设置 grub 默认使用新内核启动系统,重启机器生效。
- 安装普通内核 #kernel-normal 从 10.3.2 版本开始,为提升操作系统的响应速度,默认安装了 linux-image-rt-amd64 内核。 普通内核的安装命令如下:
- 铜豌豆 10 版本系列
- 4.19.x 系列 apt install linux-image-amd64
- 5.x 系列 apt -y install -t buster-backports linux-image-amd64
- 铜豌豆 11 版本系列 apt install linux-image-amd64
- 安装 NVIDIA 显卡厂家闭源驱动及相关软件 #nvidia 由于显卡厂家闭源驱动,不支持 rt 内核,需要重新安装不带 rt 功能的普通内核。 请用 root 执行下述操作:
- 请先安装普通内核,重启机器,用普通内核进入系统。 铜豌豆 10 版本请安装 5.x 系列版本
- 卸载 rt 内核 由于 NVIDIA 厂家显卡闭源驱动不支持 rt 内核,并且 rt 内核会影响闭源驱动软件包的安装,导致安装过程报错, 所以需要先卸载原有的 rt 内核。
- 安装普通内核头文件
- 铜豌豆 10 版本系列 apt install -t buster-backports linux-headers-amd64
- 铜豌豆 11 版本系列 apt install linux-headers-amd64
- 安装 nvidia
- 铜豌豆 10 版本系列
- 铜豌豆 11 版本系列 apt install nvidia-settings
highlight RedundantSpaces ctermbg=red guibg=red match RedundantSpaces /\s\+$/
以 Debian 10.9.0 第一张 DVD iso 文件为例:
假设下载的 iso 文件放在:/home/iso/debian-10.9.0-amd64-DVD-1.iso
运行 apt-cdrom add 命令,会提示挂载光盘,打开另外一个终端窗口用 root 运行 mount 命令:mount -o loop /home/iso/debian-10.9.0-amd64-DVD-1.iso /media/cdrom/
在添加完成后, /etc/apt/sources.list 文件会增加如下一行:deb cdrom:[Debian GNU/Linux 10.9.0 _Buster_ - Official amd64 DVD Binary-1 yyyymmdd-HH:MM]/ buster contrib main
以后安装软件的时候,如果需要的软件包,已经在这张光盘里面,系统就会提示你 mount 这个 iso 文件到 /media/cdrom。
如果不想每次手工 mount 这个 iso 文件,还可以在: /etc/fstab 增加如下一行:/home/iso/debian-10.9.0-amd64-DVD-1.iso /media/cdrom iso9660 loop 0 0
让系统自动使用 mount 好的这个 iso 文件。-
root 在命令行执行:
apt search linux-image-5 | more搜索当前最新版本号,软件包名使用含有 rt-amd64 的即可。
apt install linux-image-5.10.0-0.bpo.3-rt-amd64
apt purge linux-image-rt-amd64
apt purge linux-image-5.10.0-18-rt-amd64
apt autoremove
注:请替换为当前使用的内核版本号。 在上面普通内核的安装步骤中,有部分情况会自动卸载该 rt 内核,该步骤再次执行时,会有提示已经没有 rt 内核。apt install -t buster-backports nvidia-settings
Debian 官方 jigdo 介绍: https://www.debian.org/CD/jigdo-cd/
下面以制作铜豌豆 11.5.1 iso 镜像文件为例说明: (请用新的铜豌豆 iso 版本号替代示例中的文件和路径名称)
- 安装 jigdo 软件 root 账号下,在命令行执行:apt -y install jigdo-file
- 挂载原有 iso 文件 如有有已经下载的 Debian 10 最新版本 iso 镜像文件或者铜豌豆 iso 上一版本的镜像文件,请先挂载:
- 下载 jigdo 相关文件 相关文件目录为: https://www.atzlinux.com/atzlinux-cd/11.5.1/amd64/jigdo-dvd/
- 执行制作命令 jigdo-lite atzlinux-11.5.1-amd64-DVD-1.jigdo
- 下载网址信息 jigdo 制作过程,会提示输入文件来源信息,需要用到来源如下:
- 原有 iso 文件挂载的本地目录 如:/media/cdrom/,请优先输入。
- Debian 网络镜像源 http://mirrors.cloud.tencent.com/debian/
- 铜豌豆 CDN 软件源 https://cdn.atzlinux.com/atzlinux/
- Debian 快照镜像源 http://snapshot.debian.org/archive/debian/20210620T085058Z/
mount -o loop /home/iso/debian-10.10.0-amd64-DVD-1.iso /media/cdrom/
后续步骤可以使用普通账号执行。
请执行如下命令下载:
wget https://www.atzlinux.com/atzlinux-cd/11.5.1/amd64/jigdo-dvd/atzlinux-11.5.1-amd64-DVD-1.jigdo
wget https://www.atzlinux.com/atzlinux-cd/11.5.1/amd64/jigdo-dvd/atzlinux-11.5.1-amd64-DVD-1.template
http://mirrors.cloud.tencent.com/debian-security/
注:
http://snapshot.debian.org 是 Debian 快照镜像源,请到该网站上选择铜豌豆 iso 发布前一天的地址填入。
在大部分情况下,不需要使用该镜像源的软件包,就可以完成整个 iso 文件的制作。
- 备份电脑数据 硬盘安装 Linux 系统,属于风险非常高的操作,请切记备份数据!
- 检查磁盘空间 建议给铜豌豆系统根分区预留 25G 以上磁盘空间。 机器上原来用于存放数据的分区,可以在新安装的铜豌豆系统和原有 Linux 系统之间共享。
- 下载最新版铜豌豆 iso 安装文件到任一 Linux 分区下 该 Linux 分区最好是使用 Linux 默认的 ext4 文件系统。 请直接把 iso 安装文件放到该分区顶级目录下,不要放入子目录。
- 下载安装内核和安装初始文件到 /boot 目录下 用 root 操作:
- 铜豌豆 10.x 版本
- 铜豌豆 11.x 版本
- 修改 grub 配置文件,增加铜豌豆安装条目菜单 grub 配置文件路径一般为:/boot/grub/grub.cfg 将该文件第一个启动条目菜单整体复制,并粘贴到下面形成一个新铜豌豆安装条目,然后修改里面的 linux 行和 initrd 行。 示例如下:
- 重启机器,在 grub 启动界面选择铜豌豆安装条目 后续步骤跟铜豌豆正常安装一样。
- 在分区步骤,请不要对放置有 iso 文件的分区进行挂载操作 警告:如果不慎进行了这个操作,会导致安装失败。需要用 U 盘制作 iso 文件进行重装。
cd /boot wget https://mirrors.cloud.tencent.com/debian/dists/buster/main/installer-amd64/current/images/hd-media/vmlinuz wget https://mirrors.cloud.tencent.com/debian/dists/buster/main/installer-amd64/current/images/hd-media/initrd.gz
cd /boot wget https://mirrors.cloud.tencent.com/debian/dists/bullseye/main/installer-amd64/current/images/hd-media/vmlinuz wget https://mirrors.cloud.tencent.com/debian/dists/bullseye/main/installer-amd64/current/images/hd-media/initrd.gz
linux /vmlinuz preseed/file=/cdrom/simple-cdd/default.preseed debian-installer/locale=zh_CN console-keymaps-at/keymap=us keyboard-configuration/xkb-keymap=us keyboard-configuration/layout=us vga=788 --- quiet echo '载入初始化内存盘...' initrd /initrd.gz
从 10.9.2 版本 iso 开始,支持此项功能。
警告:此功能尚处于测试阶段,极易出现机器无法启动等异常,新手慎重使用!- 电脑有两个 USB 接口 一个插铜豌豆安装盘,一个插目标 U 盘。
- 电脑只有一个 USB 接口 首先需要该电脑安装好一个 Linux 系统。
插入 U 盘后,先按 上述 免 U 盘安装铜豌豆系统 的步骤进行
注:
在使用 EFI 启动的电脑上安装,安装完成后,机器原有硬盘上的系统引导条目,grub 菜单等不受影响;
但在 BIOS 方式启动的电脑上,在安装完成后,电脑原有的 grub 引导会被改写,移动 U 盘拔掉后,原有电脑启动时,会报 grub 分区错误,无法启动。
BIOS grub 异常处理步骤:
- 插入原有 U 盘,重启机器进入原有系统 用 root 运行 dpkg-reconfigure grub-pc 命令,在 sda 上重新安装 grub。
- 插入原有 U 盘,重启机器进入 U 盘系统 用 root 运行 dpkg-reconfigure grub-pc 命令,在 sdb 上重新安装 grub。
《铜豌豆 Linux》官网二维码
版权所有 © 《铜豌豆 Linux》 项目网站版权协议为(CC BY-NC-ND 4.0)