分类目录归档：OS

利用百度网盘直接下载助手下载大文件

发表评论

介绍：

百度网盘直接下载助手是一款浏览器用户脚本（user scripts），在无登录，无客户端情况下直接下载百度网盘和百度网盘分享的大文件,避免下载文件时调用百度网盘客户端,获取网盘文件的直接下载地址。

此脚本不仅限于上述特性，而且还不限速，非常好用。

1.安装一个用户脚本管理器

使用Tampermonkey（油猴）脚本，需要在浏览器安装一个扩展，然后再安装脚本，支持以下浏览器：

Chrome、Microsoft Edge、Safari、Firefox、Opera Next、Dolphin Browser、UC Browser

安装方法：

打开Tampermonkey官网选择匹配的浏览器点击下载安装即可：

//tampermonkey.net/

2.安装百度网盘直接下载助手脚本

打开以下连接安装此脚本即可：

//greasyfork.org/zh-CN/scripts/39504-%E7%99%BE%E5%BA%A6%E7%BD%91%E7%9B%98%E7%9B%B4%E6%8E%A5%E4%B8%8B%E8%BD%BD%E5%8A%A9%E6%89%8B-%E7%9B%B4%E9%93%BE%E5%8A%A0%E9%80%9F%E7%89%88

安装完成后，在百度网盘重新打开需要下载的链接地址，或刷新地址，此时你应该看到一个 下载助手 鼠标放上去会显示 直接下载 & 显示连接 如果你使用迅雷下载，复制下载连接，在迅雷中新建下载任务即可。

如果百度网盘直接下载助手不能使用，请打开 //greasyfork.org 网站，搜索关键字百度网盘会列出多个脚本，根据需要安装脚本即可，如果不行就多尝试几个，总有一款适合你。

Linux下的21个ss命令使用示例详解

发表评论

简介：

Socket Statistics（ss）命令类似于netstat，它用于显示各种有用的网络套接字信息。

长时间看，已经注意到netstat这个命令程序已经过时了。从而代替netstat的是ss命令。一个全新的ss命令使用起来必定有些陌生，不过ss许多选项与netstat使用的选项类似，但我们还会看到一些差异。

ss命令是Linux CentOS 7中iproute软件包的一部分，默认已经安装。

一般来说，网络套接字是由IP地址，传输协议和端口来定义的。这种组合构成了双向连接的一个方面。例如：一个Web服务器可能正在侦听172.28.204.62:80上的传入TCP连接，这是套接字。不过需要说明的是套接字不是连接本身，而是连接的端点之一。

下面我讲解如何使用ss命令查看各种信息。具体使用语法如下：

ss [options] [ FILTER ]

1.列出已建立的连接

默认情况下，如果我们运行ss命令而没有指定其他选项，它将显示所有已建立连接的打开的非侦听套接字的列表，例如TCP，UDP或UNIX套接字。

[root@renwolecom ~]# ss | head -n 5
Netid  State  Recv-Q Send-Q Local Address:Port   Peer Address:Port
u_str  ESTAB  0      0       * 19098                 * 18222
u_str  ESTAB  0      0       * 19441                 * 19440
u_str  ESTAB  0      0       * 19440                 * 19441
u_str  ESTAB  0      0       * 19396                 * 19397

2.显示监听套接字

我们可以使用-l选项专门列出当前正在侦听连接的套接字，而不是列出所有的套接字。

[root@renwolecom ~]# ss -lt
State   Recv-Q Send-Q    Local Address:Port       Peer Address:Port
LISTEN  0      128                   *:http                  *:*
LISTEN  0      100           127.0.0.1:smtp                  *:*
LISTEN  0      128                   *:entexthigh            *:*
LISTEN  0      128       172.28.204.62:zabbix-trapper        *:*
LISTEN  0      128           127.0.0.1:cslistener            *:*
LISTEN  0      80                   :::mysql                :::*
LISTEN  0      100                 ::1:smtp                 :::*
LISTEN  0      128                  :::entexthigh           :::*

在这个示例中，我们还使用-t选项只列出TCP，稍后将对此进行详细说明。在后面的例子中，你会看到我将结合多种选择，以快速过滤掉，从而达到我们的目的。

3.显示进程

我们可以用-p选项打印出拥有套接字的进程或PID号。

[root@renwolecom ~]# ss -pl

Netid  State      Recv-Q Send-Q Local Address:Port     Peer Address:Port
tcp    LISTEN     0      128    :::http                :::*                 users:(("httpd",pid=10522,fd=4),("httpd",pid=10521,fd=4),("httpd",pid=10520,fd=4),("httpd",pid=10519,fd=4),("httpd",pid=10518,fd=4),("httpd",pid=10516,fd=4))

在上面的例子中我只列出了一个结果，没有进行进一步选项，因为ss的完整输出打印出超过500行到标准输出。所以我只列出一条结果，由此我们可以看到服务器上运行的各种Apache进程ID。

4.不解析服务名称

默认情况下，ss只会解析端口号，例如在下面的行中，我们可以看到172.28.204.62:mysql，其中mysql被列为本地端口。

[root@renwolecom ~]# ss
Netid State Recv-Q Send-Q   Local Address:Port      	Peer Address:Port
tcp   ESTAB 0      0 ::ffff:172.28.204.62:mysql ::ffff:172.28.204.62:38920
tcp   ESTAB 0      0 ::ffff:172.28.204.62:mysql ::ffff:172.28.204.62:51598
tcp   ESTAB 0      0 ::ffff:172.28.204.62:mysql ::ffff:172.28.204.62:51434
tcp   ESTAB 0      0 ::ffff:172.28.204.62:mysql ::ffff:172.28.204.62:36360

但是，如果我们指定-n选项，看到的是端口号而不是服务名称。

[root@renwolecom ~]# ss -n
Netid State Recv-Q Send-Q   Local Address:Port      	Peer Address:Port
tcp   ESTAB 0      0 ::ffff:172.28.204.62:3306  ::ffff:172.28.204.62:38920
tcp   ESTAB 0      0 ::ffff:172.28.204.62:3306  ::ffff:172.28.204.62:51598
tcp   ESTAB 0      0 ::ffff:172.28.204.62:3306  ::ffff:172.28.204.62:51434
tcp   ESTAB 0      0 ::ffff:172.28.204.62:3306  ::ffff:172.28.204.62:36360

现在显示3306，而非mysql，因为禁用了主机名和端口的所有名称解析。另外你还可以查看/etc/services得到所有服务对应的端口列表。

5.解析数字地址/端口

用-r选项可以解析IP地址和端口号。用此方法可以列出172.28.204.62服务器的主机名。

[root@renwolecom ~]# ss -r
Netid  State  Recv-Q Send-Q        Local Address:Port      Peer Address:Port
tcp    ESTAB      0      0         renwolecom:mysql        renwolecom:48134

6.IPv4套接字

我们可以通过-4选项只显示与IPv4套接字对应的信息。在下面的例子中，我们还使用-l选项列出了在IPv4地址上监听的所有内容。

[root@renwolecom ~]# ss -l4
Netid State      Recv-Q Send-Q  Local Address:Port            Peer Address:Port
tcp   LISTEN     0      128                 *:http                       *:*
tcp   LISTEN     0      100         127.0.0.1:smtp                       *:*
tcp   LISTEN     0      128                 *:entexthigh                 *:*
tcp   LISTEN     0      128     172.28.204.62:zabbix-trapper             *:*
tcp   LISTEN     0      128         127.0.0.1:cslistener                 *:*

7.IPv6套接字

同样，我们可以使用-6选项只显示与IPv6套接字相关信息。在下面的例子中，我们还使用-l选项列出了在IPv6地址上监听的所有内容。

[root@renwolecom ~]# ss -l6
Netid State      Recv-Q Send-Q  Local Address:Port            Peer Address:Port
udp   UNCONN     0      0                  :::ipv6-icmp                 :::*
udp   UNCONN     0      0                  :::ipv6-icmp                 :::*
udp   UNCONN     0      0                  :::21581                     :::*
tcp   LISTEN     0      80                 :::mysql                     :::*
tcp   LISTEN     0      100               ::1:smtp                      :::*
tcp   LISTEN     0      128                :::entexthigh                :::*

8.只显示TCP

-t选项只显示TCP套接字。当与-l结合只打印出监听套接字时，我们可以看到所有在TCP上侦听的内容。

[root@renwolecom ~]# ss -lt
State       Recv-Q Send-Q    Local Address:Port               Peer Address:Port
LISTEN      0      128                   *:http                          *:*
LISTEN      0      100           127.0.0.1:smtp                          *:*
LISTEN      0      128                   *:entexthigh                    *:*
LISTEN      0      128       172.28.204.62:zabbix-trapper                *:*
LISTEN      0      128           127.0.0.1:cslistener                    *:*
LISTEN      0      80                   :::mysql                        :::*
LISTEN      0      100                 ::1:smtp                         :::*
LISTEN      0      128                  :::entexthigh                   :::*

9.显示UDP

-u选项可用于仅显示UDP套接字。由于UDP是一种无连接的协议，因此只运行-u选项将不显示输出，我们可以将它与-a或-l选项结合使用，来查看所有侦听UDP套接字，如下所示：

[root@renwolecom ~]# ss -ul
State      Recv-Q Send-Q Local Address:Port                 Peer Address:Port
UNCONN     0      0              *:sunwebadmins                 *:*
UNCONN     0      0              *:etlservicemgr                *:*
UNCONN     0      0              *:dynamid                      *:*
UNCONN     0      0              *:9003                         *:*
UNCONN     0      0              *:9004                         *:*
UNCONN     0      0      127.0.0.1:terabase                     *:*
UNCONN     0      0              *:56803                        *:*

10. Unix套接字

-x选项只能用来显示unix域套接字。

[root@renwolecom ~]# ss -x
Netid State Recv-Q Send-Q                    Local Address:Port Peer Address:Port
u_str ESTAB 0      0 /tmp/zabbix_server_preprocessing.sock 23555           * 21093
u_str ESTAB 0      0          /tmp/zabbix_server_ipmi.sock 20155           * 19009
u_str ESTAB 0      0 /tmp/zabbix_server_preprocessing.sock 19354           * 22573
u_str ESTAB 0      0 /tmp/zabbix_server_preprocessing.sock 21844           * 19375
...

11.显示所有信息

-a选项显示所有的监听和非监听套接字，在TCP的情况下，这意味着已建立的连接。这个选项与其他的组合很有用，例如可以添加-a选项显示所有的UDP套接字，默认情况下只有-u选项我们看不到多少信息。

[root@renwolecom ~]# ss -u
Recv-Q Send-Q Local Address:Port                 Peer Address:Port
0      0      172.28.204.66:36371                    8.8.8.8:domain

[root@renwolecom ~]# ss -ua
State      Recv-Q Send-Q Local Address:Port                 Peer Address:Port
UNCONN     0      0                 *:sunwebadmins                    *:*
UNCONN     0      0                 *:etlservicemgr                   *:*
UNCONN     0      0                 *:dynamid                         *:*
UNCONN     0      0                 *:9003                            *:*
UNCONN     0      0                 *:9004                            *:*
UNCONN     0      0         127.0.0.1:terabase                        *:*
UNCONN     0      0                 *:56803                           *:*
ESTAB      0      0      172.28.204.66:36371                     8.8.8.8:domain

12.显示套接字内存使用情况

-m选项可用于显示每个套接字使用的内存量。

[root@renwolecom ~]# ss -ltm
State   Recv-Q Send-Q  Local Address:Port Peer Address:Port
LISTEN  0      128                 *:http           *:*skmem:(r0,rb87380,t0,tb16384,f0,w0,o0,bl0)
LISTEN  0      100         127.0.0.1:smtp           *:*skmem:(r0,rb87380,t0,tb16384,f0,w0,o0,bl0)
LISTEN  0      128                 *:entexthigh     *:*skmem:(r0,rb87380,t0,tb16384,f0,w0,o0,bl0)
LISTEN  0      128     172.28.204.62:zabbix-trapper *:*skmem:(r0,rb87380,t0,tb16384,f0,w0,o0,bl0)
LISTEN  0      128         127.0.0.1:cslistener     *:*skmem:(r0,rb87380,t0,tb16384,f0,w0,o0,bl0)
LISTEN  0      80                 :::mysql         :::*skmem:(r0,rb87380,t0,tb16384,f0,w0,o0,bl0)
LISTEN  0      100               ::1:smtp          :::*skmem:(r0,rb87380,t0,tb16384,f0,w0,o0,bl0)
LISTEN  0      128                :::entexthigh    :::*skmem:(r0,rb87380,t0,tb16384,f0,w0,o0,bl0)

13.显示TCP内部信息

我们可以使用-i选项请求额外的内部TCP信息。

[root@renwolecom ~]# ss -lti
State       Recv-Q Send-Q Local Address:Port         Peer Address:Port
LISTEN      0      128               *:chimera-hwm              *:* 	bbr cwnd:10
LISTEN      0      128               *:etlservicemgr            *:* 	bbr cwnd:10
LISTEN      0      128   172.28.204.66:27017                    *:* 	bbr cwnd:10
LISTEN      0      128       127.0.0.1:27017                    *:* 	bbr cwnd:10
LISTEN      0      128               *:dynamid                  *:* 	bbr cwnd:10
LISTEN      0      128               *:9003                     *:* 	bbr cwnd:10
LISTEN      0      128               *:9004                     *:* 	bbr cwnd:10
LISTEN      0      128               *:http                     *:* 	bbr cwnd:10
LISTEN      0      128               *:ssh                      *:* 	bbr cwnd:10
LISTEN      0      100       127.0.0.1:smtp                     *:* 	bbr cwnd:10
LISTEN      0      128               *:sunwebadmins             *:* 	bbr cwnd:10
LISTEN      0      128              :::ssh                     :::* 	bbr cwnd:10

在每个侦听套接字下面，我们可以看到更多信息。注意：-i选项不适用于UDP，如果您指定-u，而非-t，则不会显示这些额外的信息。

14.显示统计信息

我们可以使用-s选项快速查看统计数据。

[root@renwolecom ~]# ss -s
Total: 798 (kernel 1122)
TCP:   192 (estab 99, closed 81, orphaned 0, synrecv 0, timewait 1/0), ports 0

Transport Total     IP        IPv6
*         1122      -         -
RAW       1         0         1
UDP       0         0         0
TCP       111       59        52
INET      112       59        53
FRAG      0         0         0

这使我们能够快速看到已建立连接的总数，及各种类型的套接字的计数和IPv4或IPv6的使用情况。

15.基于状态的过滤器

我们可以指定一个套接字的状态，只打印这个状态下的套接字。例如，我们可以指定包括已建立， established, syn-sent, syn-recv, fin-wait-1, fin-wait-2, time-wait, closed, closed-wait, last-ack监听和关闭等状态。以下示例显示了所有建立的TCP连接。为了生成这个，我通过SSH连接到了服务器，并从Apache加载了一个网页。然后我们可以看到与Apache的连接迅速转变为等待时间。

[root@renwolecom ~]# ss -t state established
Recv-Q Send-Q       Local Address:Port              Peer Address:Port
0      52           172.28.204.67:ssh              123.125.71.38:49518
0      0     ::ffff:172.28.204.67:http      ::ffff:123.125.71.38:49237

[root@renwolecom ~]# ss -t state established
Recv-Q Send-Q       Local Address:Port              Peer Address:Port
0      0            172.28.204.67:ssh            103.240.143.126:55682
0      52           172.28.204.67:ssh              123.125.71.38:49518
0      0     ::ffff:172.28.204.67:http      ::ffff:123.125.71.38:49262

16.根据端口号进行过滤

可以通过过滤还可以列出小于(lt)，大于(gt)，等于(eq)，不等于(ne)，小于或等于(le)，或大于或等于(ge)的所有端口。

例如，以下命令显示端口号为500或以下的所有侦听端口：

[root@renwolecom ~]# ss -ltn sport le 500
State       Recv-Q Send-Q Local Address:Port        Peer Address:Port
LISTEN      0      128                *:80                     *:*
LISTEN      0      100        127.0.0.1:25                     *:*
LISTEN      0      100              ::1:25                    :::*

为了进行比较，我们可以执行相反的操作，并查看大于500的所有端口：

[root@renwolecom ~]# ss -ltn sport gt 500
State       Recv-Q Send-Q Local Address:Port        Peer Address:Port
LISTEN      0      128                *:12002                  *:*
LISTEN      0      128    172.28.204.62:10051                  *:*
LISTEN      0      128        127.0.0.1:9000                   *:*
LISTEN      0      80                :::3306                  :::*
LISTEN      0      128               :::12002                 :::*

我们还可以根据源或目标端口等项进行筛选，例如，我们搜索具有SSH源端口运行的TCP套接字：

[root@renwolecom ~]# ss -t '( sport = :ssh )'
State       Recv-Q Send-Q    Local Address:Port     Peer Address:Port
ESTAB       0      0         172.28.204.66:ssh     123.125.71.38:50140

17.显示SELinux上下文

-Z与-z选项可用于显示套接字的SELinux安全上下文。在下面的例子中，我们使用-t和-l选项来列出侦听的TCP套接字，使用-Z选项我们也可以看到SELinux的上下文。

[root@renwolecom ~]# ss -tlZ
State  Recv-Q Send-Q  Local Address:Port        Peer Address:Port
LISTEN 0      128                 *:sunrpc                 *:*
users:(("systemd",pid=1,proc_ctx=system_u:system_r:init_t:s0,fd=71))
LISTEN 0      5       172.28.204.62:domain                 *:*
users:(("dnsmasq",pid=1810,proc_ctx=system_u:system_r:dnsmasq_t:s0-s0:c0.c1023,fd=6))
LISTEN 0      128                 *:ssh                    *:*
users:(("sshd",pid=1173,proc_ctx=system_u:system_r:sshd_t:s0-s0:c0.c1023,fd=3))
LISTEN 0      128         127.0.0.1:ipp                    *:*
users:(("cupsd",pid=1145,proc_ctx=system_u:system_r:cupsd_t:s0-s0:c0.c1023,fd=12))
LISTEN 0      100         127.0.0.1:smtp                   *:*
users:(("master",pid=1752,proc_ctx=system_u:system_r:postfix_master_t:s0,fd=13))

18.显示版本号

-v选项可用于显示ss命令的特定版本信息，在这种情况下，我们可以看到提供ss的iproute包的版本。

[root@renwolecom ~]# ss -v
ss utility, iproute2-ss130716

19.显示帮助文档信息

-h选项可用于显示有关ss命令的进一步的帮助，如果需要对最常用的一些选项进行简短说明，则可以将其用作快速参考。请注意：这里并未输入完整列表。

[root@renwolecom ~]# ss -h
Usage: ss [ OPTIONS ]

20.显示扩展信息

我们可以使用-e选项来显示扩展的详细信息，如下所示，我们可以看到附加到每条行尾的扩展信息。

[root@renwolecom ~]# ss -lte
State  Recv-Q Send-Q Local Address:Port   Peer Address:Port
LISTEN 0      128                *:sunrpc *:*      ino:16090 sk:ffff880000100000 <->
LISTEN 0      5      172.28.204.62:domain *:*      ino:23750 sk:ffff880073e70f80 <->
LISTEN 0      128                *:ssh    *:*      ino:22789 sk:ffff880073e70000 <->
LISTEN 0      128        127.0.0.1:ipp    *:*      ino:23091 sk:ffff880073e707c0 <->
LISTEN 0      100        127.0.0.1:smtp   *:*      ino:24659 sk:ffff880000100f80 <->

21.显示计时器信息

-o选项可用于显示计时器信息。该信息向我们展示了诸如重新传输计时器值、已经发生的重新传输的数量以及已发送的keepalive探测的数量。

[root@renwolecom ~]# ss -to
State      Recv-Q Send-Q Local Address:Port      Peer Address:Port
ESTAB      0      52     172.28.204.67:ssh      123.125.71.38:49518timer:(on,406ms,0)
LAST-ACK   0      1      172.28.204.67:ssh    103.240.143.126:49603timer:(on,246ms,0)

总结：

现在你应该对ss有了初步的认识。如果你想使用ss命令快速检查有关套接字的各种信息，建议你查阅ss的相关手册。

Linux用户权限设置详细讲解

发表评论

今天不是很忙，所以把Linux文件权限熟悉熟悉。下面咱就掰开揉碎了的说说linux文件权限那些事。

[root@renwole-com local]# ll

drwxr-xr-x. 15 root root  175 Nov 14 15:31 apache
lrwxrwxrwx.  1 root root    6 Nov 24 16:00 httpd -> apache
-rw-r--r--.  1 root root   66 Nov 24 16:47 index.html
srwx------.  1 www  www        0 11月  8 17:22 php.sock

文件类型：

+------------------------------------------------+
| -  |  开头表示文件				 |
| d  |  开头表示文件夹                           |
| l  |  开头表示软连接                           |
| b  |  开头表示设备文件里的可供存储的接口设备   |
| c  |  开头表示设备文件里面串行端口设备，如键盘 |
| p  |  FIFO                                     |
| s  |  套接字                                   |
+------------------------------------------------+

数字权限：

+-------------+
| 字符 |八进制|
|------|------|
| rwx  |  7   |
| rw-  |  6   |
| r-x  |  5   |
| r--  |  4   |
| -wx  |  3   |
| -w-  |  2   |
| --x  |  1   |
| ---  |  0   |
+-------------+

权限意义：

+--------------------------------------------------------------+
|  -  	   |  数值0  | 无任何权限			       |	
|r(read)   |  数值4  | 读取文件内容，如：读取文本的文字内容等。|
|w(write)  |  数值2  | 编辑、新增、修改文件的内容。	       |
|x(execute)|  数值1  | 具有被系统执行的权限。   	       |
+--------------------------------------------------------------+

以下为例：

drwxr-xr-x. 15 root root  175 Nov 14 15:31 apache

权限详解：

+------------------------------------------------+
|   d      |    rwx  	|    r-x    |    r-x	 |
|文件类型  | 所有者权限	|用户组权限 |其他用户权限|
+------------------------------------------------+

+--------------------------------------------------------------+
|   15   |  root |  root  |  175   |   Nov 14 15:31   | apache |
| 连接数 | 拥有者| 所属组 |文件大小| 文件最后修改日期 | 文件名 |
+--------------------------------------------------------------+

在权限分配中,都以rwx三个参数组合，且位置顺序无变化，无对应权限就用 – 代替。

改变文件属性和权限

chgrp：修改文件所属用户组
chown：修改文件所有者
chmod：改变文件权限

举例：

如果我想给一个文件夹所有权限：

$ chmod -R 777 renwoleblog

-R 表示继承该目录下的所有文件夹以文件

给一个shell脚本可执行权限：

$ chmod +x renwolecom.sh

+x 表示可执行权限，上述有讲到。

待完善中…

Ubuntu CentOS 7 源代码构建 Shadowsocks libev Servers

10条回复

说明：本文相关配置和说明仅用于示例和操作指引，本站（任我乐）不对相关操作结果及由此产生的问题负责。

介绍：

Shadowsocks libev是目前唯一一个持续更新的版本，其他版本由于某些原因作者已经停止开发。Shadowsocks是一个轻量级的SOCKS5网络代理工具。与其他代理软件不同的是，Shadowsocks的流量被设计为从其他流量到第三方监控工具都难以分辨，并且能够将自己伪装成正常的直接连接。通过Shadowsocks传递的数据被加密，以提高安全性和隐私。

由于目前Ubuntu或CentOS没有Shadowsocks软件包，因此本指南将介绍如何从源代码构建Shadowsocks服务器。

说明：下面章节操作写了Ubuntu、CentOS的配置方案。本文概要说明在 CentOS 系统下的 Shadowsocks 配置。

1.安装 Shadowsocks-libev 服务器

项目地址：//github.com/shadowsocks

更新系统存储库，下载并安装依赖扩展包：

CentOS 7.*:

$ yum update && yum upgrade -y
$ yum install epel-release -y
$ yum install -y gcc gettext autoconf libtool automake make pcre-devel asciidoc xmlto udns-devel libev-devel libsodium-devel mbedtls-devel git m2crypto c-ares-devel

Ubuntu 17.04:

$ apt-get update && apt-get upgrade -yuf
$ apt-get install -y --no-install-recommends gettext build-essential autoconf libtool libpcre3-dev asciidoc xmlto libev-dev libudns-dev automake libmbedtls-dev libsodium-dev git python-m2crypto c-ares-devel

在/mnt目录下载Shadowsocks Git模块：

$ cd /mnt
$ git clone //github.com/shadowsocks/shadowsocks-libev.git

Cloning into 'shadowsocks-libev'...
remote: Counting objects: 11147, done.
remote: Compressing objects: 100% (5/5), done.
remote: Total 11147 (delta 0), reused 3 (delta 0), pack-reused 11142
Receiving objects: 100% (11147/11147), 9.22 MiB | 71.00 KiB/s, done.
Resolving deltas: 100% (7305/7305), done.

$ cd shadowsocks-libev
$ git submodule update --init --recursive

开始安装：

$ ./autogen.sh
$ ./configure
$ make -j4 && make install

2.配置 Shadowsocks-libev 服务端

为 Shadowsocks 创建一个新的系统用户：

CentOS 7.*：

$ groupadd shadowsocks
$ useradd -g shadowsocks -s /bin/false shadowsocks

Ubuntu 17.04：

$ adduser --system --no-create-home --group shadowsocks

为配置文件创建一个新目录：

$ mkdir -m 755 /etc/shadowsocks-libev

创建Shadowsocks配置文件，将下面列出的内容粘贴到文件中：

$ vim /etc/shadowsocks-libev/shadowsocks.json

{
    "server":"My Server IP",
    "server_port":8388,
    "local_address": "127.0.0.1",
    "local_port":1080,
    "password":"mypassword",
    "timeout":300,
    "method":"aes-256-gcm",
    "fast_open": true
}

核心参数说明：

server：服务端监听地址(IPv4或IPv6)。
server_port：服务端端口，一般为443。
local_address：本地监听地址，缺省为127.0.0.1 可用-b参数设置。
local_port：本地监听端口，一般为1080。
password：用以加密的密匙。
timeout：超时时间（秒）。
method：加密方法。推荐使用AEAD算法。
fast_open：打开可以减少延迟。适用于系统内核kernel versions 3.7.1或更高版本。

3.优化 Shadowsocks libev 服务器

创建系统优化文件并将下面显示的内容粘贴到文件中。这些设置为Shadowsocks提供了最佳的内核配置。如果以前由于某种原因配置了系统内核设置，请确保不存在冲突。

$ vim /etc/sysctl.d/local.conf

fs.file-max = 51200
net.core.rmem_max = 67108864
net.core.wmem_max = 67108864
net.core.rmem_default = 65536
net.core.wmem_default = 65536
net.core.netdev_max_backlog = 4096
net.core.somaxconn = 4096

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 0
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.ip_local_port_range = 10000 65000
net.ipv4.tcp_max_syn_backlog = 4096
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.tcp_fastopen = 3
net.ipv4.tcp_rmem = 4096 87380 67108864
net.ipv4.tcp_wmem = 4096 65536 67108864
net.ipv4.tcp_mtu_probing = 1

net.ipv4.tcp_congestion_control = hybla

net.ipv4.tcp_congestion_control = cubic

可选：

建议开启BBR拥塞算法优化。请参阅《CentOS 7系统开启BBR拥塞算法优化TCP加速服务器网络》。

应用优化生效：

$ sysctl --system

4.创建一个Shadowsocks Systemd服务单元文件

Shadowsocks systemd服务允许守护进程在系统启动时自动启动并在后台运行。

$ vim /etc/systemd/system/shadowsocks.service

[Unit]
Description=Shadowsocks proxy server

[Service]
User=root
Group=root
Type=simple
ExecStart=/usr/local/bin/ss-server -c /etc/shadowsocks-libev/shadowsocks.json -a shadowsocks -v start
ExecStop=/usr/local/bin/ss-server -c /etc/shadowsocks-libev/shadowsocks.json -a shadowsocks -v stop

[Install]
WantedBy=multi-user.target

加入开机自起并启动：

$ systemctl daemon-reload
$ systemctl enable shadowsocks
$ systemctl start shadowsocks

5.为 Shadowsocks 客户端打开防火墙端口

根据您的偏好，您可以使用iptables、UFW或FirewallD命令来完成本节：

Iptables：

$ iptables -4 -A INPUT -p tcp --dport 8388 -m comment --comment "Shadowsocks server listen port" -j ACCEPT

UFW：

$ ufw allow proto tcp to 0.0.0.0/0 port 8388 comment "Shadowsocks server listen port"

FirewallD：

$ firewall-cmd --permanent --zone=public --add-rich-rule=' rule family="ipv4" port protocol="tcp" port="8388" accept'
$ firewall-cmd --reload

ShadowSocks-libev 的服务端到目前为止已经完成安装。

关于Shadowsocks客户端的使用这里不在叙述。

Git 常用基本命令使用方法一览

发表评论

1.创建版本库

$ git clone                      #克隆远程版本库
$ git init                       #初始化本地版本库

2.修改&提交

$ git status                     #查看状态
$ git diff                       #查看变更内容
$ git add .                      #跟踪所有改动过的文件
$ git add                        #跟踪指定的文件
$ git mv                         #文件改名
$ git rm                         #删除文件
$ git rm --cached                #停止跟踪文件但不删除
$ git commit -m "commit message" #提交所有更新过的文件
$ git commit --amend             #修改最后一次提交

3.查看提交历史

$ git log                        #查看提交历史
$ git log -p                     #查看指定文件的提交历史
$ git blame                      #以列表方式查看指定文件的提交历史

4.撤消

$ git reset --hard HEAD          #撤消工作目录中所有未提交文件的修改内容
$ git checkout HEAD              #撤消指定的未提交文件的修改内容
$ git revert                     #撤消指定的提交

5.分支与标签

$ git branch                     #显示所有本地分支
$ git checkout <branch/tag>      #切换到指定分支或标签
$ git branch                     #创建新分支
$ git branch -d                  #删除本地分支
$ git tag                        #列出所有本地标签
$ git tag                        #基于最新提交创建标签
$ git tag -d                     #删除标签

6.合并与衍合

$ git merge                      #合并指定分支到当前分支
$ git rebase                     #衍合指定分支到当前分支

7.远程操作

$ git remote -v                  #查看远程版本库信息
$ git remote show                #查看指定远程版本库信息
$ git remote add                 #添加远程版本库
$ git fetch                      #从远程库获取代码
$ git pull                       #下载代码及快速合并
$ git push                       #上传代码及快速合并
$ git push :<branch/tag-name>    #删除远程分支或标签
$ git push --tags                #上传所有标签

密码保护：CentOS 7系统配置 SSServer 实现科学上网

要查看留言请输入您的密码。

Linux CentOS 7 OpenVPN Server 安装配置

3条回复

OpenVPN是一个开源应用程序，可以通过公共Internet创建一个专用网络。在我们开始之前，我们首先需要安装Enterprise Linux（EPEL）存储库的额外包。下面就是关于如何在CentOS 7上设置Client和OpenVPN服务器的教程。

1.安装EPEL套件库，顺道更新

# yum -y install epel-release && yum -y update

2.安装 OpenVPN

首先我们需要安装OpenVPN。我们还将安装Easy RSA来生成我们的SSL密钥对，这将保护我们的VPN连接。
# yum install -y openvpn easy-rsa

3.生成密钥及证书的前置条件

3.1.创建密钥与证书储存目录，并且准备好要产生密钥与证书的相关文件：
# mkdir -p /etc/openvpn/easy-rsa/keys
# cp -rf /usr/share/easy-rsa/2.0/* /etc/openvpn/easy-rsa
# cp /etc/openvpn/easy-rsa/openssl-1.0.0.cnf /etc/openvpn/easy-rsa/openssl.cnf
3.2.修改凭证的默认资料，之后产生凭证时就会自动填写，不必再手动输入。
# vim /etc/openvpn/easy-rsa/vars
所有凭证资料的预设值分别是：国家、省份、城市、组织、电子邮件位址、单位。
...
 export KEY_COUNTRY="CN"
 export KEY_PROVINCE="GD"
 export KEY_CITY="ZHUHAI"
 export KEY_ORG="YUNXI"
 export KEY_EMAIL="YUNXI@it.cn"
 export KEY_OU="IT YUNXI."
 ...
上述参数的值可以自定义设置，对配置无影响。

4.Server 端密钥与证书生成

4.1.清除并删除 keys 目录下的所有 key
# cd /etc/openvpn/easy-rsa
以下步骤列出需要清理的目录：
# source ./vars
NOTE: If you run ./clean-all, I will be doing a rm -rf on /etc/openvpn/easy-rsa/keys
# ./clean-all
4.2.生成CA的密钥及凭证，设定值不需修改的话，可以直接按Enter使用vars档案里的预设值。
# ./build-ca
4.3.生成 OpenVPN Server 端的密钥及凭证，同样可以使用vars档案的预设值。

注意：一直回车，直至最后有两次交互，输入 y 确认。
# ./build-key-server renwoleserver
4.4.生成 Diffie Hellman 参数，这个步骤比较久，可能要跑大约 6 分钟左右。
# ./build-dh
4.5.将Server的密钥及凭证放到主目录里：
# cd /etc/openvpn/easy-rsa/keys
# cp dh2048.pem ca.crt renwoleserver.crt renwoleserver.key /etc/openvpn

5.生成 Client 端的密钥及凭证，文件名可以自定义，有两种方式，分别是：（一直回车即可）

5.1.生成不用输入密码的凭证：
# /etc/openvpn/easy-rsa/build-key renwoleusers
5.2.生成需要输入密码的凭证：
# /etc/openvpn/easy-rsa/build-key-pass renwoleusers

6.生成TLS-auth密钥（可选）

OpenVPN提供了TLS-auth功能，可以用来抵御Dos、UDP端口淹没攻击。出于安全考虑，你可以启用该功能；启用该功能，你需要执行以下命令：
# cd /etc/openvpn
# openvpn --genkey --secret ta.key

6.目前我们总共产生了这些金钥及凭证：

# ll keys/

total 84

01.pem
02.pem
renwoleserver.crt
renwoleserver.csr
renwoleserver.key
renwoleusers.crt
renwoleusers.csr
renwoleusers.key
ca.crt
ca.key
dh2048.pem
index.txt
index.txt.attr
index.txt.attr.old
index.txt.old
serial
serial.old

7.配置 OpenVPN server.conf

OpenVPN安装目录默认存在 server.conf 配置文件，我们拷贝一份并修改使用：

# cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn

我们进入 /etc/openvpn/ 目录编辑 server.conf 文件。

配置完成后的内容如下：

# egrep -v "^$|^#|^;" server.conf

local 10.10.204.62
port 1194
proto udp
dev tun
ca ca.crt
cert renwoleserver.crt
key renwoleserver.key # This file should be kept secret
dh dh2048.pem
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 223.5.5.5"
client-to-client
keepalive 10 120
tls-auth ta.key 0 # This file is secret
cipher AES-256-CBC
compress lz4-v2
push "compress lz4-v2"
user nobody
group nobody
persist-key
persist-tun
#新增日志路径
status /var/log/openvpn-status.log
log /var/log/openvpn.log
verb 3
explicit-exit-notify 1

8.启动IP转发功能

# echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
# sysctl -p

9.配置firewall转发规则

确保服务器可以转发数据包到服务器内外网，开启必要的通讯服务，并启用IP伪装(Masquerade)功能。

# firewall-cmd --permanent --add-service openvpn
# firewall-cmd --permanent --add-masquerade
# DEV=$(ip route get 223.5.5.5 | awk 'NR==1 {print $(NF-2)}' )
# firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s 10.8.0.0/24 -o $DEV -j MASQUERADE
# firewall-cmd --reload
# firewall-cmd --list-all

public (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources:
services: dhcpv6-client openvpn ssh
ports:
protocols:
masquerade: yes
forward-ports:
sourceports:
icmp-blocks:
rich rules:

10.启动 OpenVPN

重启网络与OpenVPN服务，并且让OpenVPN开机后自动启动：
# systemctl restart network
# systemctl restart openvpn@server
# systemctl enable openvpn@server

11.执行以下命令我们会看到一个新增的OpenVPN 专用网络：tun0

# ip a
...
tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
link/none
inet 10.8.0.1 peer 10.8.0.2/32 scope global tun0
valid_lft forever preferred_lft forever

12.Windows PC 客户端的配置

12.1.下载 openvpn 客户端并安装：Windows系统下安装，按照默认安装完成即可。

12.2.将Server端生成的Client密钥与证书下载到本地并放在 C:\Program Files\OpenVPN\config 目录下。

需要下载的文件列表：
/etc/openvpn/easy-rsa/keys/renwoleusers.crt
/etc/openvpn/easy-rsa/keys/renwoleusers.key
/etc/openvpn/easy-rsa/keys/ca.crt
/etc/openvpn/ta.key
12.3.将 C:\Program Files\OpenVPN\sample-config 下 client.ovpn 文件拷贝到 C:\Program Files\OpenVPN\config 目录。

client.ovpn 文件配置完成后的内容如下：
client
dev tun
;proto tcp
proto udp
remote 10.10.204.62 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert renwoleusers.crt
key renwoleusers.key
remote-cert-tls server
tls-auth ta.key 1
cipher AES-256-CBC
verb 3

此时点击桌面上的 “OpenVPN GUI” 图标，如果不出意外即可连接成功，若连接报错，请查看分析 C:\Users\yunxi\OpenVPN\log\client.log 日志文件。

Linux CentOS 7 重置root用户密码

发表评论

在Centos 7以前的发行版中，只需要在vmlinuz行末尾添加“1”或“single”后按b重新引导即可。Linux Centos 7系列发行版系统，若是忘记超级用户root密码，破解起来相当费事。而且重置Centos 7 Root密码的方法和Centos 6系列完全不同。

接下来我将以2种解决方案破解Centos 7 Root密码。

第一种解决方案

1.进入单用户模式

在系统启动读秒的时候，按下任意键，会出现选择内核启动项，选择第一个按下e编辑当前内核。

在以下选项中，添加“rd.break”红色标注部分：
linux16 /vmlinuz-3.10.0-514.el7.x86_64 root=/dev/mapper/cl-root ro cra\
shkernel=auto rd.lvm.lv=cl/root rd.lvm.lv=cl/swap rhgb quiet LANG=en_US.UTF-8 rd.break
添加完成，然后按 “ctrl+x” 或 “F10” 启动。

2.以读写权限挂载文件系统

switch_root # mount -o rw,remount /sysroot/
switch_root # chroot /sysroot/

3.修改root用户密码

sh-4.2 # echo NewRenwole123 | passwd --stdin root
Changing password for user root.
passwd：all authentication tokens updated successfully.

或：

sh-4.2 # passwd root （输入两次密码回车即可）

4.重载SElinux并退出单用户模式

sh-4.2 # touch /.autorelabel
sh-4.2 # exit
switch_root # reboot

重新启动后，可以使用新密码 “NewRenwole123” 登录。

第二种解决方案

1.进入单用户模式

系统启动读秒的时候，按下e编辑当前内核：
linux16 /vmlinuz-3.10.0-514.el7.x86_64 root=/dev/mapper/cl-root ro cra\
shkernel=auto rd.lvm.lv=cl/root rd.lvm.lv=cl/swap rhgb quiet LANG=en_US.UTF-8
修改为：
linux16 /vmlinuz-3.10.0-514.el7.x86_64 root=/dev/mapper/cl-root ro cra\
shkernel=auto rd.lvm.lv=cl/root rd.lvm.lv=cl/swap init=/bin/sh
将“rhgb quiet LANG=zh_CN.UTF-8”替换为“init=/bin/sh”，按“ctrl+x”或“F10”引导系统。

2.挂载并使文件系统为可写

sh-4.2 # mount -o remount,rw /
sh-4.2 # passwd root (回车后需输入两次密码，成功后出现如下提示)：
passwd：all authentication tokens updated successfully.

3.加载 SELinux 策略，并重启系统

sh-4.2 # touch /.autorelabel
sh-4.2 # exec /sbin/init

系统初始化完毕后会自动重启，用新密码登录即可。

Centos 7安装配置NTP网络时间同步服务器

发表评论

实验环境：

OS：Linux Centos 7.4 x86_64

1.查看当前服务器时区&列出时区并设置时区（如已是正确时区，请略过）：

# timedatectl
# timedatectl list-timezones
# timedatectl set-timezone Asia/Shanghai

2.时间时区概念理解：

GMT、UTC、CST、DST

UTC：

整个地球分为二十四时区，每个时区都有自己的本地时间，在国际无线电通信场合，为了统一起见，使用一个统一的时间，称为通用协调时(UTC:Universal Time Coordinated)。

GMT：

格林威治标准时间 (Greenwich Mean Time)指位于英国伦敦郊区的皇家格林尼治天文台的标准时间，因为本初子午线被定义在通过那里的经线(UTC与GMT时间基本相同)。

CST：

中国标准时间 (China Standard Time)

GMT + 8 = UTC + 8 = CST

DST：

夏令时(Daylight Saving Time) 指在夏天太阳升起的比较早时，将时间拨快一小时，以提早日光的使用（中国不使用）。

2.使用 NTP 公共时间服务器池（NTP Public Pool Time Servers）//www.pool.ntp.org 同步你的服务器时间。

2.1.查看是否安装：

# rpm -q ntp
ntp-4.2.6p5-25.el7.centos.2.x86_64

2.2.如已安装请略过此步，否则请执行以下命令安装：

# yum install ntpdate ntp -y

2.3.修改NTP配置：

注：绿色为原有我注释掉的内容，红色为新增代替之前注释内容，其他默认。

# vim /etc/ntp.conf

# For more information about this file, see the man pages
# ntp.conf(5), ntp_acc(5), ntp_auth(5), ntp_clock(5), ntp_misc(5), ntp_mon(5).

driftfile /var/lib/ntp/drift

#新增:日志目录.
logfile /var/log/ntpd.log

# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
restrict default nomodify notrap nopeer noquery

# Permit all access over the loopback interface. This could
# be tightened as well, but to do so would effect some of
# the administrative functions.
restrict 127.0.0.1
restrict ::1
#这一行的含义是授权172.16.128.0网段上的所有机器可以从这台机器上查询和同步时间.
restrict 172.16.128.0 mask 255.255.255.0 nomodify notrap

# Hosts on local network are less restricted.
#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (//www.pool.ntp.org/join.html).

#server 0.centos.pool.ntp.org iburst
#server 1.centos.pool.ntp.org iburst
#server 2.centos.pool.ntp.org iburst
#server 3.centos.pool.ntp.org iburst

#新增:时间服务器列表.
server 0.cn.pool.ntp.org iburst
server 1.cn.pool.ntp.org iburst
server 2.cn.pool.ntp.org iburst
server 3.cn.pool.ntp.org iburst

#新增:当外部时间不可用时，使用本地时间.
server 172.16.128.171 iburst
fudge 127.0.0.1 stratum 10

#broadcast 192.168.1.255 autokey # broadcast server
#broadcastclient # broadcast client
#broadcast 224.0.1.1 autokey # multicast server
#multicastclient 224.0.1.1 # multicast client
#manycastserver 239.255.254.254 # manycast server
#manycastclient 239.255.254.254 autokey # manycast client

#新增:允许上层时间服务器主动修改本机时间.
restrict 0.cn.pool.ntp.org nomodify notrap noquery
restrict 1.cn.pool.ntp.org nomodify notrap noquery
restrict 2.cn.pool.ntp.org nomodify notrap noquery

# Enable public key cryptography.
#crypto

includefile /etc/ntp/crypto/pw

# Key file containing the keys and key identifiers used when operating
# with symmetric key cryptography.
keys /etc/ntp/keys

# Specify the key identifiers which are trusted.
#trustedkey 4 8 42

# Specify the key identifier to use with the ntpdc utility.
#requestkey 8

# Specify the key identifier to use with the ntpq utility.
#controlkey 8

# Enable writing of statistics records.
#statistics clockstats cryptostats loopstats peerstats

# Disable the monitoring facility to prevent amplification attacks using ntpdc
# monlist command when default restrict does not include the noquery flag. See
# CVE-2013-5211 for more details.
# Note: Monitoring will not be disabled with the limited restriction flag.
disable monitor

3.设置系统开机自启动：

# systemctl enable ntpd
# systemctl enable ntpdate
# systemctl is-enabled ntpd
3.1.在ntpd服务启动时，先使用ntpdate命令同步时间：
# ntpdate -u 1.cn.pool.ntp.org
原因之一：当服务端与客户端之间的时间误差过大时，此时修改时间可能对系统或应用带来不可预知问题，NTP会停止时间同步。若检查NTP启动后时间未同步时，应考虑可能是时间误差过大所致，此时需要先手动进行时间同步。

3.2.启动NTP服务器：
# systemctl start ntpdate
# systemctl start ntpd

4.加入防火墙：

# firewall-cmd --permanent --add-service=ntp
# firewall-cmd --reload

5.查看ntp连接状态如果没有问题，将正确时间写入硬件：

# ss -tlunp | grep ntp
# ntpq -p
# hwclock -w
5.1.系统时间与硬件时间

5.1.1.硬件时间：

RTC(Real-Time Clock)或CMOS时间，一般在主板上靠电池供电，服务器断电后也会继续运行。仅保存日期时间数值，无法保存时区和夏令时设置。

5.1.2.系统时间：

一般在服务器启动时复制RTC时间，之后独立运行，保存了时间、时区和夏令时设置。

6.客户端：

6.1.以服务进程方式实时同步（需安装NTP）：
# vim /etc/ntp.conf
server 172.16.128.171
重要：修改任意节点服务器的NTP配置文件都需要重起ntpd服务：
# systemctl restart ntpd
6.2.以crontab任务计划同步时间（需安装ntpdate，每天24点更新同步时间）：
# crontab -e
0 0 * * * /usr/sbin/sntp -P no -r 172.16.128.171;hwclock -w

已部署完毕。这样集群会自动定期进行服务的同步，如此以来集群的时间就保持一致了。

安装配置 Kafka Manager 分布式管理工具

发表评论

Kafka Manager 特性，它支持以下内容（官方译解）：

管理多个群集
容易检查集群状态（主题，消费者，偏移量，经纪人，副本分发，分区分配）
运行首选副本选举
使用选项生成分区分配，以选择要使用的代理
运行分区的重新分配（基于生成的分配）
创建可选主题配置的主题（0.8.1.1具有不同于0.8.2+的配置）
删除主题（仅支持0.8.2+，并记住在代理配置中设置delete.topic.enable = true）
主题列表现在表示标记为删除的主题（仅支持0.8.2+）
批量生成多个主题的分区分配，并选择要使用的代理
批量运行多个主题的分区重新分配
将分区添加到现有主题
更新现有主题的配置
可选地，启用JMX轮询代理级和主题级度量。
可选地筛选出在zookeeper中没有ids / owner /＆offset /目录的消费者。

要求：

Kafka 0.8.. or 0.9.. or 0.10..
Java 8+

Kafka Server 的安装：

《在Centos 7上安装配置 Apche Kafka 分布式消息系统集群》

1.安装sbt工具：

# curl //bintray.com/sbt/rpm/rpm > bintray-sbt-rpm.repo
# mv bintray-sbt-rpm.repo /etc/yum.repos.d/
# yum install sbt -y

2.构建kafka-manager包

生成的包会在 kafka-manager/target/universal 下面。kafka-manager只需要Java环境就可以运行，在部署的机器上不需要安装sbt。
# cd /usr/local
# git clone //github.com/yahoo/kafka-manager
# cd kafka-manager
# ./sbt clean dist #时间较久，大约30-60分钟左右
注: kafka manager 1.3.3.22 点此下载。

移动：
# mv target/universal/kafka-manager-1.3.3.13.zip /usr/local/
解压&创建软连接：
# unzip kafka-manager-1.3.3.13.zip
# ln -s kafka-manager-1.3.3.13 kafka-manager
修改配置：
# vim kafka-manager/conf/application.conf
kafka-manager.zkhosts="10.10.204.63:2181,10.10.204.64:2181,10.10.204.65:2181"

3.启动kafka-manager

执行命令后窗口会出现启动日志，当前会话会静止，需要重开终端。结束当前会话（Ctrl+c，同时会自动退出kafka-manager）。
# kafka-manager/bin/kafka-manager
启动后，你可以使用 IP:9000 访问。

4.为了能使用systemctl便于管理，下面创建系统单元文件（开机自启动）：

# vim /usr/lib/systemd/system/kafka-manager.service

[Unit]
 Description=Redis persistent key-value database
 After=network.target

[Service]
 User=kafka
 Group=kafka
 ExecStart=/usr/local/kafka-manager/bin/kafka-manager -Dconfig.file=/usr/local/kafka-manager/conf/application.conf
 ExecStop=/usr/local/kafka-manager/bin/kafka-manager stop
 Restart=always

[Install]
 WantedBy=multi-user.target

重载systemctl配置并加入开机自启动：

# systemctl daemon-reload
# systemctl enable kafka-manager
# systemctl start kafka-manager

加入防火墙：

# firewall-cmd --permanent --add-port=9000/tcp
# firewall-cmd --reload

大功告成。