# 查看依赖
apt-cache depends gnome-core # 正向依赖（查看某个包依赖哪些包）
apt-cache rdepends gnome-core # 反向依赖（查看哪些包依赖这个包）

# 查看依赖
dnf deplist perl # 正向依赖（查看某个包依赖哪些包）
repoquery --whatrequires perl # 反向依赖（查看哪些包依赖这个包，需要安装 dnf install -y yum-utils

dpkg --help
dpkg -L openssh-server # 显示指定软件包在系统中安装的所有文件和目录的完整路径列表。

rpm -ql openssh-server # 列出软件包中的文件。显示指定软件包在系统中安装的所有文件和目录的完整路径列表。

dnf --version

# REDIRECT 是 DNAT 的一种特例，用于将流量“重定向”到本机的某个端口。它会把数据包的 目标 IP 改为本机 IP，并可选地修改目标端口。方向：外部 → 本机。常用场景：本机透明代理、流量重定向/端口转发、本机端口劫持。
# DNAT 改变数据包的目标地址和目标端口，使外部访问被转发到内网主机（入站端口映射）。方向：外部 → 内部。常见场景：外部访问内网服务（端口映射）、公网访问转发到私网服务器。
# SNAT（Source NAT）用于修改数据包的源IP（和可选的源端口），使外部服务器认为请求来自指定的公网IP。方向：内部 → 外部。常见场景：内网主机访问外网时共享一个公网IP、多网卡服务器的流量伪装、NAT 路由器出站流量转换。

# 若忽略出站入栈网卡，则作用于所有网卡流量
iptables -t nat -A PREROUTING  -i ens33 -p tcp --dport 8989 -j REDIRECT --to-port 22                  # 
iptables -t nat -A PREROUTING  -i ens33 -p tcp --dport 8989 -j DNAT --to-destination 192.168.0.7:22   # 
iptables -t nat -A POSTROUTING -o ens33 -s 192.168.0.0/24 -j SNAT --to-source 114.114.114.114         # 内网 192.168.0.0/24 子网的主机访问外网时，源地址被替换为公网IP 114.114.114.114。

# 查看 NAT 表 (nat table) 中 PREROUTING 链 的所有规则，并以数字形式显示（不反查 DNS / 服务名）。
#     -t nat             指定 NAT 表（专门处理地址转换，DNAT/SNAT/REDIRECT）
#     -L                 列出（List）该表中指定链的所有规则
#     PREROUTING         指定要查看的链（chain）。PREROUTING 用于入站数据包，包到达本机前触发。
#     -n                 以数字方式显示 IP 和端口，不反查域名或服务名（更快更准确）
#     --line-numbers     给每条规则显示一个编号，便于删除或修改特定规则
iptables -t nat -L PREROUTING -n --line-numbers

iptables -t nat -D PREROUTING 1 # 根据行号删除规则
iptables -t nat -D PREROUTING  -i ens33 -p tcp --dport 8989 -j REDIRECT --to-port 22 # 按规则内容删除规则

sed [选项] 'sed命令' 文件名
# 或
sed [选项] -f 脚本文件 文件名

# 删除空行，并将所有的 'old' 替换为 'new'
sed -e '/^$/d' -e 's/old/new/g' file.txt
# 或者使用分号
sed '/^$/d ; s/old/new/g' file.txt

# 假设一行内容是 "apple banana"
# 将其转换为 "banana apple"
echo "apple banana" | sed 's/\(apple\) \(banana\)/\2 \1/'

[root@localhost ~]# whereis nginx
[root@localhost ~]# whereis -b nginx # 定位指令的二进制程序、源代码文件和man手册页等相关文件的路径
[root@localhost ~]# locate nginx # 搜索一个数据库/var/lib/locatedb，查找目录与文件，但查不到最新的变动，为避免这种情况应先使用updatedb命令
[root@localhost ~]# find / | grep nginx # 在指定目录下查找子目录与文件

[root@localhost ~]# which nginx # 查找并显示给定命令(可执行程序)的绝对路径。查看某个系统命令是否存在并显示命令位置。

# rpm命令是RPM软件包的管理工具
[root@localhost ~]# rpm -qa | grep nginx # 列出安装过的软件包，且包含字符串nginx
[root@localhost ~]# rpm -q nginx # 获取nginx软件包的全名
[root@localhost ~]# rpm -ql nginx # rpm包中文件的安装位置
[root@localhost ~]# rpm -qal | grep nginx

yum install -y lsof
lsof -i:8080 # 查看端口是否被占用，有列头，推荐使用

yum install -y net-tools
netstat -ntlp # 查看当前所有tcp端口
netstat -nulp # 查看当前所有udp端口
netstat -an | grep 80 # 查看所有包含80的端口使用情况
netstat -ntulp | grep 80 # 查看所有包含80的端口使用情况，包括PID(进程ID)、进程名。
netstat -tunlp | grep 80	# 查看所有包含80的端口使用情况，包括PID(进程ID)、进程名。
#　-t : 指明显示TCP端口
#　-u : 指明显示UDP端口
#　-l : 仅显示监听套接字(所谓套接字就是使应用程序能够读写与收发通讯协议(protocol)与资料的程序)
#　-p : 显示进程标识符和程序名称，每一个套接字/端口都属于一个程序。
#　-n : 不进行DNS轮询，显示IP(可以加速操作)

[root@localhost ~]# ps aux
[root@localhost ~]# ps aux | grep nginx

[root@localhost ~]# ps -f
[root@localhost ~]# ps -ef
[root@localhost ~]# ps -ef | grep nginx

ps axw -o pid,ppid,user,%cpu,vsz,wchan,command | egrep '(nginx|PID)'

$ ps axuw
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.3 193984  6556 ?        Ss   08:51   0:03 /usr/lib/systemd/systemd --switched-root --system --deserialize 22
root         2  0.0  0.0      0     0 ?        S    08:51   0:00 [kthreadd]
root         4  0.0  0.0      0     0 ?        S<   08:51   0:00 [kworker/0:0H]
root         5  0.0  0.0      0     0 ?        S    08:51   0:00 [kworker/u128:0]
root         6  0.0  0.0      0     0 ?        S    08:51   0:00 [ksoftirqd/0]
root         7  0.0  0.0      0     0 ?        S    08:51   0:01 [migration/0]
root         8  0.0  0.0      0     0 ?        S    08:51   0:00 [rcu_bh]
root         9  0.0  0.0      0     0 ?        S    08:51   0:03 [rcu_sched]
root        10  0.0  0.0      0     0 ?        S<   08:51   0:00 [lru-add-drain]

$ ps axuw | grep redis
esuser    2636  0.0  0.0    192     4 ?        Ss   08:52   0:00 /usr/bin/dumb-init -- /redis-commander/docker/entrypoint.sh
polkitd   2654  0.2  0.4  52956  9020 ?        Ssl  08:52   0:09 redis-server *:6379
esuser    2810  0.0  1.9 272292 36548 ?        Ssl  08:52   0:01 /usr/bin/node ./bin/redis-commander
root     39925  0.0  0.0 112824   980 pts/0    S+   10:05   0:00 grep --color=auto redis

$ ps axuw | head -1;ps axuw | grep redis
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
esuser    2636  0.0  0.0    192     4 ?        Ss   08:52   0:00 /usr/bin/dumb-init -- /redis-commander/docker/entrypoint.sh
polkitd   2654  0.2  0.4  52956  9020 ?        Ssl  08:52   0:09 redis-server *:6379
esuser    2810  0.0  1.9 272292 36548 ?        Ssl  08:52   0:01 /usr/bin/node ./bin/redis-commander
root     40905  0.0  0.0 112824   984 pts/0    S+   10:07   0:00 grep --color=auto redis

$ ps auxw | sort -rnk 2
root     44271  0.0  0.0 126840   928 pts/0    S+   10:14   0:00 sort -rnk 2
root     44270  0.0  0.0 155448  1868 pts/0    R+   10:14   0:00 ps auxw
root     44269  0.0  0.0 108052   612 ?        S    10:14   0:00 sleep 1
201      44263  0.0  0.0   1560   248 ?        SN   10:14   0:00 sleep 1
201      33288  0.0  0.0   2412  1400 ?        SN   09:52   0:01 bash /usr/libexec/netdata/plugins.d/tc-qos-helper.sh 1
root      8204  0.0  0.0      0     0 ?        S<   09:02   0:00 [kworker/11:1H]
......

$ ps auxw | sort -rnk 2 | head -10

$ ps auxw | head -1; ps auxw | sort -rnk 6 | head -10
$ ps auxw --sort=-rss | head -11

# 查看所有可用的单元文件
[root@localhost ~]# systemctl list-unit-files | grep ''
# 查看所有已安装服务
[root@localhost ~]# systemctl list-unit-files --type=service | grep ''

# 输出激活的unit，下面两个命令等效
[root@localhost ~]# systemctl | grep ''
[root@localhost ~]# systemctl list-units | grep ''
# 输出激活的类型为service的unit
[root@localhost ~]# systemctl list-units --type=service | grep ''
[root@localhost ~]# systemctl list-units --type=service | grep nginx

[root@localhost ~]# history 10               # 显示最近使用的10条历史命令
[root@localhost ~]# history -c               # 清空当前shell历史命令记录
[root@localhost ~]# rm -rf ~/.bash_history   # 删除'.bash_history'文件

[root@localhost ~]# wget -c URL
[root@localhost ~]# curl URL -O --progress

rm -rf # 文件或文件夹名
# -i 删除前逐一询问确认。
# -f 即使原档案属性设为唯读，亦直接删除，无需逐一确认。
# -r 将目录及以下之档案亦逐一删除。

# 解压
tar -zxvf jdk-7u80-linux-i586.tar.gz
tar -zxvf /mnt/hgfs/SharedFolders/openjdk-11+28_linux-x64_bin.tar.gz -C /data/

# 安装zip、unzip应用
yum install zip unzip # Centos
apt install zip unzip # Ubuntu

# 解压
unzip /mnt/hgfs/SharedFolders/linuxx64_12201_database.zip -d /data
# 将 /home/html/ 这个目录下所有文件和文件夹打包为当前目录下的 html.zip
zip -q -r html.zip /home/html
# 如果在我们在 /home/html 目录下，可以执行该命令
zip -q -r html.zip *
# 从压缩文件 cp.zip 中删除文件 a.c
zip -dv cp.zip a.c

# 安装
$ yum install p7zip p7zip-plugins
$ apt install p7zip-full p7zip-rar

# 将01.jpg和02.png压缩成一个7z包
$ 7z a pkg.7z 01.jpg 02.png
# 将所有的.jpg文件压缩成一个7z包
$ 7z a pkg.7z *.jpg
# 将文件夹folder压缩成一个7z包
$ 7z a pkg.7z folder
# 将pkg.7z中的所有文件解压出来，e是解压到当前路径
$ 7z e pkg.7z # 不实用
# 将pkg.7z中的所有文件解压出来，x是解压到压缩包命名的目录下
$ 7z x pkg.7z # 正确的解压方法

LANG="zh_CN.UTF-8"
LANGUAGE="zh_CN:zh"
LC_NUMERIC="zh_CN"
LC_TIME="zh_CN"
LC_MONETARY="zh_CN"
LC_PAPER="zh_CN"
LC_NAME="zh_CN"
LC_ADDRESS="zh_CN"
LC_TELEPHONE="zh_CN"
LC_MEASUREMENT="zh_CN"
LC_IDENTIFICATION="zh_CN"
LC_ALL="zh_CN.UTF-8"

LANG="zh_CN.UTF-8"
LANGUAGE="zh_CN:zh"
LC_NUMERIC="zh_CN"
LC_TIME="zh_CN"
LC_MONETARY="zh_CN"
LC_PAPER="zh_CN"
LC_NAME="zh_CN"
LC_ADDRESS="zh_CN"
LC_TELEPHONE="zh_CN"
LC_MEASUREMENT="zh_CN"
LC_IDENTIFICATION="zh_CN"
LC_ALL="zh_CN.UTF-8"

sudo passwd -S root # 查看 root 状态
sudo passwd -l root # -l → Locked（锁定用户）
sudo passwd -u root # -u → unlock（解锁用户）
sudo passwd -d root # 删除 root 的密码（删除 /etc/shadow 里的加密串）
sudo passwd root # 设置root用户的密码

su root # 测试是否可以进入 root 用户

dpkg -l | grep ssh
rpm -qa | grep ssh

apt install openssh-server
dnf install openssh-server

apt install openssh-client
dnf install openssh-client

ps -ef | grep ssh
systemctl status ssh   # Ubuntu 上服务名是 ssh
systemctl status sshd  # CentOS 上服务名是 sshd

#PermitRootLogin prohibit-password
PermitRootLogin yes # 允许root用户登录

#PasswordAuthentication yes # 指定是否使用密码认证。此关键字的参数必须为 yes（默认值）或 no

systemctl reload ssh   # 仅重新加载配置，不中断现有会话
# 或
systemctl restart ssh  # 重启服务，会断开现有会话

ssh root@服务器IP

# 查看所有正在运行的服务
systemctl list-units --type=service --state=running
# 查看开机启动的服务
systemctl list-unit-files --type=service --state=enabled

cat /proc/swaps
swapoff -a        # 禁用 /proc/swaps 中的所有 swaps
swapon --show
free -h

# 编辑 /etc/fstab 文件
vim /etc/fstab
# 找到包含 swap 关键字的行，并注释掉。
#/swap.img       none    swap    sw      0       0

# 如果您的Swap不是一个分区，而是一个文件（例如 /swap.img），您还需要删除该文件。
# 如果Swap是一个分区，您也可以尝试删除它，但这可能需要更复杂的LVM 操作。
rm -rf /swap.img

cat /etc/apt/sources.list                                   # 主配置文件
cat /etc/apt/sources.list.d/ubuntu.sources                  # 主配置文件，24.04 之后
ll /etc/apt/sources.list.d/*.sources                        # 主配置文件+额外软件源（第三方 PPA、软件商提供的源）
grep -rh "URIs:" /etc/apt/sources.list.d/*.sources          # 查看已启用的软件源文件
apt-cache policy                                            # 查看已配置的所有源（启用+禁用）

ll /etc/yum.repos.d/*.repo  # 仓库配置文件
dnf repolist --help
dnf repolist --enabled      # 显示已经启用的仓库（默认）
dnf repolist --all          # 显示所有的软件仓库（启用+禁用）

apt-get update               # 从配置的软件源获取最新的软件包列表信息（元数据），更新本地的软件包索引和缓存。

apt-get upgrade              # 只更新已安装的软件包。会安装新的依赖包。如果升级某个包需要移除其他已安装的包，会跳过升级，避免破坏现有系统环境。
apt-get dist-upgrade         # 升级时智能处理依赖关系。会安装新的依赖包、移除不再需要/冲突的包、更换核心软件包。用于跨版本升级或内核升级。

apt-get autoclean            # 清除旧的已安装的包缓存文件
apt-get autoremove --purge   # 移除不再需要的软件包及其配置文件。--purge 参数的作用是同时删除残留配置文件
apt-get clean                # 清除所有已下载的包缓存文件

# apt 选项 --purge：可和 remove、autoremove 等组合，用于卸载软件并删除残留配置文件
# apt 子命令 purge：卸载软件并删除残留配置文件
apt purge pkg 等价于 apt remove --purge pkg

dnf makecache           # 下载软件包仓库中的软件包列表和其他元数据到本地缓存，以便快速查找和安装软件。是一个准备操作

dnf check-upgrade       # 查询系统已安装的软件包在仓库中是否有新版本。不下载、不安装，只显示更新信息。
dnf -y update           # 更新系统中已经安装的软件包到可用的最新版本。默认只升级已经安装的软件，不会删除任何包。请使用 upgrade。
dnf -y upgrade          # 与 update 不同的是，它会处理包依赖变化，有时会自动移除不需要的旧包。“更彻底的更新”。推荐！！！

dnf clean packages      # 删除所有缓存的软件包文件（通常是 .rpm 文件）。
dnf clean metadata      # 删除所有仓库的元数据文件（XML 格式，包含软件包列表、版本、依赖关系等信息）。
dnf clean all           # 清理所有缓存文件，包括软件包、元数据 等等。

find /etc | grep -E ".*-release"
cat /etc/os-release          # 现代 Linux 统一标准文件（systemd 之后几乎都有）

# 查看当前使用的内核版本
uname -r            # 仅显示内核版本号（最常用）。
uname -a            # 显示所有内核信息，包括内核版本、操作系统、主机名、架构等。
cat /proc/version   # 这个文件记录了 Linux 内核的版本、用于编译内核的 gcc 的版本、内核编译的时间，以及内核编译者的用户名。

# 查看系统已安装的内核
dpkg -l | grep linux-image
dpkg --get-selections | grep linux-image

# 删除旧内核
apt-get autoremove --purge # 系统一般会保留 2~3 个旧内核以防万一
# 手动删除
apt-get purge linux-image-6.8.0-45-generic linux-headers-6.8.0-45-generic

# 查询系统已安装的内核
rpm -qa | grep kernel
dnf list installed | grep kernel

# 删除旧内核
dnf autoremove
dnf remove --oldinstallonly # 一键删除旧内核
# 手动删除
dnf remove kernel-modules-core-5.14.0-522.el9.x86_64 kernel-core-5.14.0-522.el9.x86_64

ip route                                  # 查看网关地址
ip addr show                              # 显示系统中所有网络接口的IP地址和相关配置信息，包括MAC地址、接口状态和网络配置。

# resolvectl 是一个在较新的Linux系统中用于管理和查询系统DNS解析配置的命令行工具，它是 systemd-resolved 服务的一部分。
resolvectl status                         # 显示每个网络接口（网卡）的详细配置。全面状态
resolvectl dns                            # 是 resolvectl status 输出内容的子集。聚焦DNS服务器
resolvectl dns <interface> <DNS server>   # 为指定的网络接口（例如 ens33）设置静态DNS 服务器地址（例如 8.8.8.8）
resolvectl query www.baidu.com            # 执行DNS查询，获取百度的IP地址，它会报告查询使用的协议和网络接口。 
resolvectl flush-caches                   # 清除DNS缓存。当DNS记录发生变化时，使用此命令清楚本地DNS缓存，强制系统重新查询DNS服务器。

root@localhost:~# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:0c:29:7d:6c:a0 brd ff:ff:ff:ff:ff:ff
    altname enp2s1
    inet 192.168.0.102/24 metric 100 brd 192.168.0.255 scope global dynamic ens33
       valid_lft 6189sec preferred_lft 6189sec
    inet6 fe80::20c:29ff:fe7d:6ca0/64 scope link
       valid_lft forever preferred_lft forever
root@localhost:~#
root@localhost:~# ls /etc/netplan
50-cloud-init.yaml

# 保持缩进正确：Netplan 使用 YAML 格式，缩进必须用空格，不能用 Tab
network:
  version: 2
  ethernets:
    ens33: # 网卡名称
      dhcp4: no
      addresses:
      - "192.168.0.7/24" # /24 是CIDR表示法，表示子网掩码，也就是该IP所在网络的大小。将IPv4转换为32位整数值，前24位是网络号，剩下的8位是主机号。
      routes:
      - to: "default" # default 是 0.0.0.0/0 的简写，表示 IPv4 默认路由，“匹配所有目的地址的流量”，即所有未匹配到其他路由的包都走这里”
        via: "192.168.0.101" # 查看网关 ping tplogin.cn
        metric: 100 # 路由优先级，数字越小优先级越高。如果系统存在多条默认路由，内核会根据 metric 选择哪条路由发送流量。默认写 100 就可以，一般不需要改动，除非你有 多网卡 / 多路由策略。
      nameservers:
        addresses:
        - 114.114.114.114
        - 114.114.115.115
        search: [] # 默认DNS搜索域

# 系统会应用新的网络设置，可通过 ip addr 或 ping -c 4 www.runoob.com 测试网络是否可用
netplan apply
# 如果 apply 出错，请重启网络服务
systemctl restart systemd-networkd

hostnamectl --help 
hostnamectl status # 查看系统主机名

hostnamectl set-hostname halbin-dev-zhaolq.halbin.mars.com             # 会同时更新 静态主机名 和 瞬态主机名
hostnamectl set-hostname halbin-dev-zhaolq.halbin.mars.com --static    # 静态主机名，永久的
hostnamectl set-hostname halbin-dev-zhaolq.halbin.mars.com --transient # 瞬态主机名，临时的，重启失效
reboot

cat /etc/hostname
cat /etc/hosts
reboot

#************************************ UFW 状态检查与管理
ufw status            # 查看 UFW 的当前状态（active 或 inactive）和已配置的规则。
ufw status verbose    # 显示更详细的信息，包括默认策略和日志级别。
ufw enable            # 启用 UFW，系统启动时会自动运行。注意：在启用前，请确保您已允许 SSH 端口，以防失去远程连接。
ufw disable           # 完全禁用 UFW。
ufw reset             # 清除所有规则，将默认策略设置为拒绝 (deny)，并将状态设置为禁用 (inactive)。谨慎使用！

#************************************ 配置默认策略
ufw default deny incoming   # 拒绝所有传入的连接（入站规则）。服务器和安全桌面的标准配置。这意味着除了您明确允许的端口（如 SSH、HTTP、HTTPS）外，所有外部或内部尝试连接您的机器的请求都会被拒绝。
ufw default allow incoming
ufw default deny outgoing   # 拒绝所有传出的连接（出站规则）。严格安全环境或特定应用服务器。这会阻止您的机器主动发起任何网络连接，除非您明确允许（例如，允许您的服务器连接到外部 DNS 或更新服务器）。这通常会使日常桌面使用变得困难。
ufw default allow outgoing  # 允许所有传出的连接（出站规则）。服务器和安全桌面的标准配置。

#************************************ 添加允许（Allow）规则（拒绝请使用deny）
# 基于 服务名、端口号、协议 来允许流量通过。
ufw allow ssh                                # 按服务名。允许 SSH 连接（自动解析为 TCP 端口 22）。
ufw allow 80                                 # 按端口号。允许所有协议（TCP/UDP）的 80 端口（HTTP）流量。
ufw allow http                               # 允许 80/tcp
ufw allow https                              # 允许 443/tcp
ufw allow 443/tcp                            # 按端口和协议。仅允许 TCP 协议的 443 端口（HTTPS）流量。
ufw allow 6000:6007/udp                      # 按端口范围。允许 6000 到 6007 之间的 UDP 端口。
ufw allow from 192.168.0.0/24                # 特定子网。允许来自 192.168.0.0/24 子网的所有传入（Incoming）连接。
ufw allow from 192.168.0.100                 # 特定IP地址。允许来自特定 IP 地址的所有流量。
ufw allow from 192.168.0.100 to any port 25  # IP和端口。仅允许该 IP 地址访问本机的 25 端口（SMTP）。

#************************************ 添加拒绝（Deny）和限制（Limit）规则
ufw deny 23                 # 拒绝所有尝试连接到 23 端口（Telnet）的流量。
ufw limit ssh               # 允许 SSH 连接，但在 30 秒内如果同一 IP 尝试连接超过 6 次，则阻止该 IP 地址。这是防止暴力破解的推荐做法。
ufw reject 143/tcp          # 拒绝连接请求，但发送一个拒绝响应（如 ICMP port unreachable），而不是直接丢弃数据包（deny行为）。

#************************************ 删除规则
# 按规则内容删除 (推荐)：直接在命令前加上 delete 关键字，内容与添加规则时完全相同。
ufw delete allow 80/tcp    # 删除允许 80 端口的规则
# 按编号删除 (适用于规则多且复杂的情况)
ufw status numbered        # 先查看带有编号的规则列表
sudo ufw delete 2          # 然后使用编号删除

#************************************ firewalld 服务管理
systemctl status firewalld	    # 检查 firewalld 服务是否正在运行。
systemctl start firewalld	    # 启动 firewalld 服务。
systemctl stop firewalld	    # 停止 firewalld 服务。
systemctl enable firewalld	    # 设置 firewalld 开机自启。
systemctl disable firewalld	    # 禁止 firewalld 开机自启。

#************************************ 常用防火墙配置命令
firewall-cmd --help # 查看帮助
firewall-cmd --version # 查看版本
firewall-cmd --get-default-zone             # 查看当前默认的区域（通常是 public）。
firewall-cmd --get-active-zones             # 查看区域信息
firewall-cmd --get-zone-of-interface=eth0   # 查看指定接口所属区域信息
firewall-cmd --list-all                     # 查看默认区域的运行时所有规则（服务、端口等）。
firewall-cmd --zone=public --list-all       # 查看 public 区域的所有运行时规则。
firewall-cmd --reload                       # 应用永久配置，使更改立即生效，且不中断现有连接。

#************************************ 区域（Zone）概念
# 区域是 firewalld 的核心概念，用于根据网络环境定义不同的信任级别：
# 区域名称          信任级别    默认行为
# trusted(信任)     最高        允许所有网络连接。
# home(家庭)        中高        信任网络上的大多数计算机，允许少量入站连接。
# work(工作)        中          信任工作环境中的计算机，允许少量入站连接。
# public(公共)      低          默认区域，不信任网络上的其他计算机，只接受选定的入站连接（例如您手动开放的服务）。
# drop(丢弃)        最低        丢弃所有入站数据包，不回复任何信息，只允许出站连接。
firewall-cmd --set-default-zone=public    # 修改默认区域

#************************************ 开放/关闭端口或服务，默认情况在 public 区域进行配置
# firewalld 的配置分为 运行时（runtime）和永久（permanent） 两种。
#     运行时配置立即生效，但在服务重启或系统重启后会丢失。
#     永久配置需要使用 --permanent 标志，并且需要重新加载防火墙才能生效。!!!!!!
firewall-cmd --zone=public --add-service=ssh --permanent           # 添加服务（永久生效）
firewall-cmd --zone=public --remove-service=ssh --permanent        # 关闭服务（永久生效）
firewall-cmd --zone=public --list-ports                            # 查看指定区域所有开放的端口号
firewall-cmd --zone=public --add-port=80/tcp --permanent           # 开放端口（永久生效）
firewall-cmd --zone=public --remove-port=80/tcp --permanent        # 关闭端口（永久生效）
firewall-cmd --zone=public --add-port=18881:65534/tcp --permanent  # 开放指定范围的端口号

#************************************ 紧急模式
# 紧急模式是一个极端的安全措施，用于在系统检测到攻击或严重威胁时，立即丢弃（drop）所有网络数据包。
firewall-cmd --panic-on     # 开启紧急模式。立即丢弃所有传入和传出的网络数据包。通常在系统遭受拒绝服务（DoS）攻击或检测到严重入侵企图时使用，以完全隔离服务器。
firewall-cmd --panic-off    # 关闭紧急模式。停止丢弃所有数据包，恢复到正常运行时的防火墙规则。在安全威胁解除后，用于恢复正常的网络连接。
firewall-cmd --query-panic  # 查询紧急模式状态。检查 firewalld 当前是否处于紧急模式。返回 yes 或 no。

grep -qxF 'export PATH=/data/local/git/bin:$PATH' /etc/profile || \
echo 'export PATH=/data/local/git/bin:$PATH' >> /etc/profile

source /etc/profile
git -v

# 若存在 JAVA_HOME 行就替换，不存在就添加
grep -q "^export JAVA_HOME=" /etc/profile \
    && sed -i 's|^export JAVA_HOME=.*|export JAVA_HOME=/data/local/java/jdk-17.0.14+7|' /etc/profile \
    || echo 'export JAVA_HOME=/data/local/java/jdk-17.0.14+7' >> /etc/profile

# -q： 找到匹配项后不会向标准输出打印任何内容。
# -x： 强制仅匹配整行。这意味着模式必须匹配从行首到行尾的全部内容，该行的前后不会有任何其他内容。
# -F： 确保搜索模式中的所有字符（特别是 $、/、: 等）都按字面意思匹配，而不是被误认为是正则表达式的特殊含义。
grep -qxF 'export PATH=$JAVA_HOME/bin:$PATH' /etc/profile || \
    echo 'export PATH=$JAVA_HOME/bin:$PATH' >> /etc/profile

source /etc/profile
java -version

grep -qxF 'export PATH=/data/local/apache-maven-3.9.11/bin:$PATH' /etc/profile || \
echo 'export PATH=/data/local/apache-maven-3.9.11/bin:$PATH' >> /etc/profile

source /etc/profile
mvn -v

grep -qxF 'export PATH=/data/local/gradle-7.6.6/bin:$PATH' /etc/profile || \
echo 'export PATH=/data/local/gradle-7.6.6/bin:$PATH' >> /etc/profile

source /etc/profile
gradle -v

grep -qxF 'source /data/local/env/ideps-env.sh' /etc/profile || \
echo 'source /data/local/env/ideps-env.sh' >> /etc/profile

grep -qxF '. /data/local/env/ideps-env.sh' /etc/profile || \
echo '. /data/local/env/ideps-env.sh' >> /etc/profile

source /etc/profile

root@localhost:/# ./remote-dev-server help

Usage: ./remote-dev-server [ij_command_name] [/path/to/project] [arguments...]
Examples:
        ./remote-dev-server installPlugins  [arguments...]
        ./remote-dev-server status  
        ./remote-dev-server dumpLaunchParameters  
        ./remote-dev-server stop  
        ./remote-dev-server run  [arguments...]
        ./remote-dev-server printEnvVar  [arguments...]
        ./remote-dev-server warm-up /path/to/project [arguments...]
        ./remote-dev-server cwmHostStatus  
        ./remote-dev-server remoteDevStatus  
        ./remote-dev-server serverMode  
        ./remote-dev-server registerBackendLocationForGateway  
        ./remote-dev-server warmup /path/to/project [arguments...]
        ./remote-dev-server invalidate-caches  
        ./remote-dev-server help  
Environment variables:
        REMOTE_DEV_SERVER_TRACE                   set to any value to get more debug output from the startup script
        REMOTE_DEV_SERVER_USE_SELF_CONTAINED_LIBS set to '0' to skip using bundled X11 and other Linux libraries from plugins/remote-dev-server/self-contained. Use everything from the system. by default bundled libraries are used
        REMOTE_DEV_TRUST_PROJECTS                 set to any value to skip project trust warning (will execute build scripts automatically)
        REMOTE_DEV_NEW_UI_ENABLED                 set to '1' to start with forced enabled new UI
        REMOTE_DEV_NON_INTERACTIVE                set to any value to skip all interactive shell prompts (set automatically if running without TTY)

./remote-dev-server registerBackendLocationForGateway

mkdir -p /logs/remote-dev-server
tail -f /logs/remote-dev-server/fresh.log

cd /data/local/JetBrains/idea-IU-252.23892.409/bin
# 启动后，会输出三个链接。
nohup ./remote-dev-server.sh run /data/local/workspaces/mars-test/ >/logs/remote-dev-server/fresh.log 2>log &

# 注意新参数必须在 -jar 之前
java -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005 -jar test.jar

# sudo vim $CATALINA_HOME/bin/catalina.sh
JAVA_OPTS="$JAVA_OPTS -agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005"

# sudo vim /etc/sysconfig/iptables
-A INPUT -m state --state NEW -m tcp -p tcp --dport 5005 -j ACCEPT
# 重启生效: sudo systemctl restart iptables