OpenSSH 可以使用tun/tap设备来创建一个加密隧道，SSH隧道类似mode TCP模式下的OpenVPN，对于有需求快速设置一个基于IP的VPN来说非常方便。使用SSH隧道的优点：

1. 不需要安装和配置额外的软件
2. 使用SSH认证并自带加密，不需要使其它VPN软件一样配置共享密钥或者证书
3. 兼容性强，可以建立二层隧道或三层隧道，所有3/4层协议如：ICMP、TCP/UDP 等都可支持

1. 基于TCP协议，其传输效率较低
2. 隧道依赖于单个TCP连接，容易中断或假死

这里还要说明一下二层和三层的区别：

• layer 2 : 交换单元是帧，只识别MAC地址，只有交换功能，相关协议：Ethernet、VLAN、STP、PPP、FDDI、ARP（OSI模型）、MPLS（介于2层3层之间）等，在Linux中是虚拟点对点设备，显示为tap
• layer 3 : 交换单元是包，能识别MAC地址和IP，有交换和路由功能，相关协议：IP、ICMP、IGMP、IPsec等，在Linux中是虚拟以太网设备，显示tun

在Linux中tun/tap都可以设置IP，只是模拟的工作层有区别，tun是模拟三层网络设备，收发的是IP包，无法处理以太网数据帧。tap模拟的是二层设备，收发的是以为网数据帧，更接近物理网卡，可以和物理网卡通过网桥绑定。我们日常用的wmware虚拟机中的nat网络，对应的就是tun，桥接网络对应的就是tap。

首先要使用ssh的二层和三层隧道，尽量保证系统差别不要太大，我这里两边都是oracle linux 8，SSH版本更新到最新。server端需要允许root登录和隧道，编辑/etc/ssh/sshd_config：

用date命令转换一下日期格式：

CentOS Stream发布方式改为滚动更新，不像传统的操作系统有着明确的系统版本号，而是在升级过程中使用来自上游的最新软件包版本以及内核功能等。其定位是吸收Fedora中测试稳定的软件，制作成相对稳定的滚动发型版，即给RHEL做测试，又为RHEL培养客户。对于稳定性要求不高的场景，可以直接从CentOS 8迁移至CentOS Stream。

迁移之前，先备份好数据及重要的配置！！备份好数据及重要的配置！！备份好数据及重要的配置！！

把这这个命令加到定时任务中，一定要确保服务器时间准确。

如果系统是redhat8，系统中ntp已经被chrony替代，执行以下命令:

查看时间同步时间源服务器:

准备工作做完后，就可以初始化两步验证，首先需要手机或个人电脑中安装两步验证的客户端，例如：谷歌验证器、authy等。

简单来说，linux的内存分为虚拟内存和物理内存，进程在申请内存时，首先申请的是虚拟内存，等到真正需要的时候才去申请物理内存。内核通过这种机制避免内存的浪费，实现了按需分配物理内存。

所以虚拟内存可以大于实际的物理内存，超过这部分就是memory overcommit，而一旦进程需要申请的物理内存超过实际内存和交换空间的总和，内核就会用OOM Killer，选择杀掉一个或部分进程，保障系统和其它进程有可用的内存。

• 默认值是 0，在这种情况下，只允许轻微的 overcommit，但一次申请大量内存会被禁止，root能使用的overcommit也比普通用户多
• 设置为 2，则表示总是禁止 overcommit，系统分配的内存不能超过系统内存+交换内存

linux内核会为每个进程算一个分数，发生OOM时分数最高的进程会被kill掉，主要看以下几个参数：

如果不想关闭OOM，也可以直接调整相应进程的oom_score_adj和oom_adj值，来按需进行设置OOM的优先级：

通过脚本计算一下所有进程的oom_score和oom_score_adj，就可以找出最可能产生OOM的进程,系统进程的OOM score是0，需要排除，脚本是网上找的，内容如下：

学习的时候需要测试OOM，可以用以下方法手动触发OOM

1. 前台执行一个循环，不停的为变量赋值,最终就会耗光内存

zabbix之类的监控软件可以通过关键字过滤，来进行监控。如果有ELK这类的日志系统，可以收集messages日志，用logstash插件进行告警。

电脑能上QQ不能上网的终极解决办法

这种情况往往表现在打开IE时，在IE界面的左下框提示：正在打开网页，但总是没反应。在任务管理器里查看 进程，看看CPU的占用率如何，如果是100%，可以肯定是感染了病毒。这时你想运行其他程序，简直就是受罪，速度出奇的慢。这就要查看是哪个进程占用了 系统资源。找到后，将其名称记下来，然后点击结束。如果不能结束，则要重新启动机器，进入安全模式下，将相关文件删除。还要进入 注册表，在注册表对话框里点“编辑→查找”，输入那个程序名，找到后将其删除，最好反复搜索几遍，这样才能确保彻底删除（有很多病毒在杀毒软件无能为力时，最好的 方法就是手动删除）。

二、与设置代理服务器有关

有些朋友为了提高网速，在浏览器里设置了代理。设置代理服务器是不影响QQ联网的，因为QQ用的是4000 端口，而访问互联网使用的是80或8080端口，这就是笔者上述的网页无法打开，但QQ却能登录的原因。而代理服务器一般不是很稳定，有时候能上，有时候 不能上。如果有这样设置的，把代理服务器取消就OK了（图1）。

图1 正确设置代理服务器

三、DNS服务器解释出错

能够识别的IP地址。如PCD网站（）对应的IP是

3。弹出的提示框选“是”。

4。点“默认安全机制”标签。

5。在“默认访问权限”栏点“编辑默认值”。

6。看看“名称”下面的栏里有没有“SYSTEM”和“Interactive”项，如果没有，则添加。

7。点击OK，点击OK 其它整理资料：

这种原因比较多出现在需要手动指定IP、网关、DNS联网方式下，及使用代理服务器上网的。仔细检查计算机的网络设置。

二、DNS服务器的问题

当无法浏览网页时，可先尝试用IP地址来访问，如果可以访问，那么应该是DNS的问题，造成DNS的问题可能是连网时获取DNS出错或DNS服务器本身问题，这时你可以手动指定DNS服务（地址可以是你当地ISP提供的DNS服务器地址，也可以用其它地方可正常使用DNS服务器地址。）在网络的属性里进行，（控制面板—网络和拔号连接—本地连接—右键属性—TCP/IP协议—属性—使用下面的DNS服务器地址）。不同的ISP有不同的DNS地址。有时候则是路由器或网卡的问题，无法与ISP的DNS服务连接，这种情况的话，可把路由器关一会再开，或者重新设置路由器。

还有一种可能，是本地DNS缓存出现了问题。为了提高网站访问速度，系统会自动将已经访问过并获取IP地址的网站存入本地的DNS缓存里，一旦再对这个网站进行访问，则不再通过DNS服务器而直接从本地DNS缓存取出该网站的IP地址进行访问。所以，如果本地DNS缓存出现了问题，会导致网站无法访问。可以在“运行”中执行ipconfig /flushdns来重建本地DNS缓存。

三、IE浏览器本身的问题

当IE浏览器本身出现故障时，自然会影响到浏览了；或者IE被恶意修改破坏也会导致无法浏览网页。这时可以尝试用“黄山IE修复专家”来修复（建议到安全模式下修复），或者重新IE（如重装IE遇到无法重新的问题，可参考：附一解决无法重装IE）

如果网络防火墙设置不当，如安全等级过高、不小心把IE放进了阻止访问列表、错误的防火墙策略等，可尝试检查策略、降低防火墙安全等级或直接关掉试试是否恢复正常。

五、网络协议和网卡驱动的问题

IE无法浏览，有可能是网络协议（特别是TCP/IP协议）或网卡驱动损坏导致，可尝试重新网卡驱动和网络协议。

六、HOSTS文件的问题

HOSTS文件被修改，也会导致浏览的不正常，解决方法当然是清空HOSTS文件里的内容。

当与IE有关的系统文件被更换或损坏时，会影响到IE正常的使用，这时可使用SFC命令修复一下，WIN98系统可在“运行”中执行SFC，然后执行扫描；WIN2000/XP/2003则在“运行”中执行sfc /scannow尝试修复。

其中当只有IE无法浏览网页，而可以上时，则往往由于winsock.dll、wsock32.dll或wsock.vxd（VXD只在WIN9X系统下存在）等文件损坏或丢失造成，Winsock是构成TCP/IP协议的重要组成部分，一般要重装TCP/IP协议。但xp开始集成TCP/IP协议，所以不能像98那样简单卸载后重装，可以使用 netsh 命令重置 TCP/IP协议，使其恢复到初次安装时的状态。具体操作如下：

点击“开始 运行”，在运行对话框中输入“CMD”命令，弹出命令提示符窗口，接着输入“netsh int ip reset c:resetlog.txt”命令后会回车即可，其中“resetlog.txt”文件是用来记录命令执行结果的日志文件，该参数选项必须指定，这里指定的日志文件的完整路径是“c:resetlog.txt”。执行此命令后的结果与删除并重新安装 TCP/IP 协议的效果相同。

小提示：netsh命令是一个基于命令行的脚本编写工具，你可以使用此命令配置和监视Windows 系统，此外它还提供了交互式网络外壳程序接口，netsh命令的使用格式请参看帮助文件（在令提示符窗口中输入“netsh/?”即可）。

第二个解决方法是修复以上文件，WIN9X使用SFC重新提取以上文件，WIN2000/XP/2003使用sfc /scannow命令修复文件,当用sfc /scannow无法修复时，可试试网上发布的专门针对这个问题的修复工具WinSockFix，可以在网上搜索下载。

八、杀毒软件的实时监控问题

这倒不是经常见，但有时的确跟实时监控有关，因为现在杀毒软件的实时监控都添加了对网页内容的监控。举一个实例：KV2005就会在个别的机子上会导致IE无法浏览网页（不少朋友遇到过），其具体表现是只要打开网页监控，一开机上网大约20来分钟后，IE就会无法浏览网页了，这时如果把KV2005的网页监控关掉，就一切恢复正常；经过彻底地重装KV2005也无法解决。虽然并不是安装KV2005的每台机子都会出现这种问题，毕竟每台机子的系统有差异，安装的程序也不一样。但如果出现IE无法浏览网页时，也要注意检查一下杀毒软件。

出现只能上QQ不能开网页的情况，重新启动后就好了。不过就算重新启动，开7到8个网页后又不能开网页了，只能上QQ。有时电信往往会让你禁用Application Management服务，就能解决了。具体原因不明。

这种情况往往表现在打开IE时，在IE界面的左下框里提示：正在打开网页，但老半天没响应。在任务管理器里查看进程，（进入方法，把鼠标放在任务栏上，按右键—任务管理器—进程）看看CPU的占用率如何，如果是100%，可以肯定，是感染了病毒，这时你想运行程序简直就是受罪。这就要查查是哪个进程贪婪地占用了CPU资源．找到后，最好把名称记录下来，然后点击结束，如果不能结束，则要启动到安全模式下把该东东删除，还要进入里，（方法：开始—运行，输入regedit）在注册表对话框里，点编辑—查找，输入那个程序名，找到后，点鼠标右键删除，然后再进行几次的搜索，往往能彻底删除干净。下载360安全卫士进行IE清理及恶评软件的清除。把多余的IE插件也清除掉（比如“一搜工具栏”“百度搜霸”“Google工具栏“等等）

有很多的病毒，杀毒软件无能为力时，唯一的方法就是手动删除。

十一、无法打开二级链接

还有一种现象也需特别留意：就是能打开网站的首页，但不能打开二级链接，如果是这样，处理的方法是重新注册如下的DLL文件：

注意：每输入一条，按回车。第二个命令可以先不用输，输完这些命令后重新启动windows，如果发现无效，再重新输入一遍，这次输入第二个命令

1.按开机键没任何反映

1）检查插座是否通电，电源线有没有接紧，主机箱和显示器交换下线看下指示灯状况。

1）检查显示器线是否松动，是不是有独立显卡还接到主板集成显卡上去了。

2）关机取下内存条，再装紧试下。

3.开机显示英文不动（或者久留在品牌画面）

1）按下F1键或者Ｆ2键或者ESC键或者空格键。

4.开机用一段时间后自动关机（相当于停电）

1）有规律的话，用久了温度高就出状况，是散热问题。

2）没规律的话，可能是软件故障，病毒一类。

1）错误678, 拨打所属的报修电话，不知道的话，电信的拨打10000,移动铁通的拨打10086

2）错误769，检查本地网络是否禁用

3）错误691，619重新输入正确的用户名和密码。电信通常是用户名0795加座机号码，密

码就座机号码，移动铁通用户名为手机号码，密码发送CZMM到10086改新密码，4）用了路由器的用户可以不经过路由器直接拨号，或者把总线（WAN）接到（1234）中的一个口子上，再点击宽带连接。