博客 (114)

目标： 在运行 HarmonyOS Next 的华为 MateBook Pro 上侧载安装第三方应用程序。

注：本教程同样适用于在运行 HarmonyOS Next 的华为手机上侧载安装第三方应用程序。

所需准备

1. 一台运行 HarmonyOS Next 的华为 MateBook Pro。

2. 一台 Windows 电脑。

3. 一根数据线：

• USB-A to Type-C

• 或 Type-C to Type-C (确保能将两台电脑连接)。

4. 网络连接：两台电脑需在同一局域网下（用于无线调试连接）。

步骤详解

第一步：鸿蒙 PC (MateBook Pro) 端设置 (启用开发者模式与调试)

1. 连接设备： 使用数据线将鸿蒙 MateBook Pro 连接到 Windows 电脑。

2. 打开设置： 在鸿蒙 PC 上，进入 设置。

3. 进入关于本机： 在设置中，找到并点击 关于本机 或您的 电脑型号。

4. 启用开发者模式：

• 在“关于本机”界面，找到 软件版本 或 HarmonyOS 版本。

• 连续点击 软件版本/HarmonyOS 版本 文字 5 次以上。

• 系统会提示“您已处于开发者模式”或提示重启进入开发者模式。按提示重启电脑（如果需要）。

5. 打开开发者选项：

• 重启后，回到 设置 -> 系统 -> 开发者选项 (路径可能略有不同，在“系统和更新”或“隐私与安全”下查找)。

6. 启用 USB 调试：

• 在开发者选项中，找到 USB 调试，将其开启。

• 首次开启时，可能会弹出提示（连接线后或稍后操作时），点击 允许。

• 注意提示：系统可能提示“Matebook Pro 上的右上角的 Type-C 口可以进行调试”，确保使用正确的接口连接调试线。如果弹出“始终允许本机调试”选项，勾选并允许。

7. 启用并记录无线调试信息：

• 在开发者选项中，找到 无线调试，将其开启。

• 开启后，系统会显示一个 IP 地址和端口号（例如 192.168.x.x:xxxxx）。务必准确记下这个 IP 地址和端口号，后续在 Windows 端连接时必须用到。

• 至此，鸿蒙 PC 端的准备工作完成。

第二步：Windows 电脑端操作 (使用小白调试助手)

1. 获取工具和 HAP 包：

• 访问包含 HarmonyOS Next 可用 HAP 包的资源（如 GitHub 上的相关仓库，搜索 “HarmonyOS Next HAP”）。

• 下载小白调试助手：

• 在工具仓库中找到 小白调试助手 或类似名称。

• 点击 Latest (最新版本)。

• 点击 Download 下载其 Windows 版压缩包（.zip 文件）。

• 下载目标应用的 HAP 包（以 ClashBox 为例，你也可以使用自己已有的 .hap 文件）：

• 在应用仓库中找到 ClashBox。

• 同样点击 Latest -> Download 下载其 HAP 包（.hap 文件）。

2. 准备小白调试助手：

• 将下载的小白调试助手压缩包解压到一个非中文且无空格路径的文件夹。

• 进入解压后的文件夹，找到可执行文件。双击运行。根据 Windows SmartScreen 或安全软件提示（若有），选择 更多信息 -> 仍要运行。

3. 登录华为开发者账号 (强烈推荐)：

• 在小白调试助手界面，找到登录入口（通常在界面顶部或设置中），点击 登录。

• 使用您的华为开发者账号登录（登录时，您的华为手机可能会收到验证码，或在鸿蒙PC上验证）。

• 输入验证码，并在授权请求页面点击 允许。登录成功后，界面通常会显示您的账号昵称或ID。

• 重要： 开发者账号签发的应用证书有效期通常为 6 个月，普通账号仅 14 天。为方便使用，建议申请华为开发者账号。

4. 连接鸿蒙设备：

• 在小白调试助手主界面，找到 连接设备、添加设备 或类似功能的按钮并点击。

• 在弹出的连接窗口（通常是输入IP和端口的对话框）中：

• 输入您在鸿蒙 PC 上 无线调试 功能中记录的 IP 地址。

• 输入记录的 端口号。

• 点击 确定、连接 或 OK。

• 连接成功：如果地址和端口输入正确，且鸿蒙 PC 的开发者选项已开启无线调试：

• 鸿蒙 PC 可能弹出调试请求（“允许调试？”），勾选“始终允许”并点击 允许。

• 小白调试助手界面会显示“连接成功”或目标设备信息。

• （若未弹出提示框但连接成功，也属正常）

第三步：安装第三方 HAP 包

1. 选择 HAP 包：

• 确保设备已连接成功。

• 在小白调试助手界面，找到 选择 HAP、加载 HAP、安装应用 或类似按钮（通常在文件菜单或主功能区）。

• 点击该按钮，浏览文件系统，找到您下载好的目标 HAP 文件（如 ClashBox-xxx.hap），选中并点击 打开。

2. 开始安装：

• 选择好 HAP 文件后，小白调试助手界面通常会激活 开始调试、安装 或 运行 按钮。

• 点击 开始调试 或 安装。

3. 等待安装完成：

• 小白调试助手会开始处理 HAP 包：进行签名、推送到设备并安装。

• 观察进度条或日志输出，耐心等待直至提示“安装成功”。

第四步：在鸿蒙 PC 上使用安装的应用

• 安装完成后，返回您的鸿蒙 MateBook Pro。

• 在桌面或 开始菜单 中，查找您刚刚安装的应用图标（如 ClashBox）。

• 点击图标即可启动使用该应用。

常见问题处理

• 签名错误/证书问题：在小白调试助手内寻找 **清理缓存、重置证书、重新登录** 或类似选项。执行后，重新登录开发者账号，再尝试安装。确保登录的是开发者账号。

• Java 环境报错：如果小白调试助手提示需要 Java 环境（如 java 命令未找到），按照其提示点击安装，它会引导下载并安装所需的 Java Runtime Environment (JRE)。

• 连接失败：

• 检查鸿蒙 PC 的 无线调试 IP 和端口号是否变化（息屏、重启、网络切换可能导致变化），在开发者选项里重新确认并输入。

• 确保两台电脑在同一局域网。

• 检查鸿蒙 PC 的 **USB 调试 和 无线调试 是否已开启**。

• 尝试在鸿蒙 PC 的开发者选项中关闭再重新开启 无线调试，获取新的端口号。

• 其他报错：查阅小白调试助手官方的使用说明或 GitHub 仓库的 Issue 区寻求解决方案。

1. 临界区与 lock 关键字

   核心作用：
   

   通过将多线程访问串行化，保护共享资源或代码段。lock 关键字是 Monitor 类的语法糖，提供异常安全的临界区实现。

   实现示例：

   // 创建私有静态只读对象
   // private static readonly object _lockObj = new object();
   private static readonly System.Threading.Lock _locker = new(); // .NET 9+ 推荐使用 Lock 类型，避免传统 object 的性能损耗
   
   public void ThreadSafeMethod()
   {
       lock (_lockObj) 
       {
           // 临界区代码（每次仅一个线程可进入）
       }
   }

   超时机制：

   高并发场景可结合 Monitor.TryEnter 设置超时，避免无限等待：

   
   

   if (Monitor.TryEnter(lockObject, TimeSpan.FromSeconds(1)))
   {
       try { /* 操作 */ }
       finally { Monitor.Exit(lockObject); }
   }

   关键特性：

   用户态锁（无内核切换开销）

   自动调用Monitor.Enter和Monitor.Exit

   必须使用专用私有对象作为锁标识

   注意事项：

   ❌ 避免锁定this、Type实例或字符串（易引发死锁）

   ❌ 避免嵌套锁（需严格按顺序释放）

   ✅ 推荐readonly修饰锁对象

   ❌ lock 不适用于异步代码（async/await），需使用 SemaphoreSlim 实现异步锁

   lock 示例

    

2. 互斥锁（Mutex）

   核心作用：

   系统级内核锁，支持跨进程同步，但性能开销较高（用户态/内核态切换）。

   实现示例：

   using var mutex = new Mutex(false, "Global\\MyAppMutex");
   
   try 
   {
       // 等待锁（最大等待时间500ms）
       if (mutex.WaitOne(500)) 
       {
           // 临界区代码
       }
   }
   finally 
   {
       if (mutex != null)
       {
           mutex.ReleaseMutex();
       }
   }

   关键特性：

   支持跨应用程序域同步

   线程终止时自动释放锁

   支持命名互斥体（系统全局可见）

   适用场景：

   单实例应用程序控制

   进程间共享文件访问

   硬件设备独占访问

   Mutex 示例

    

3. 信号量（Semaphore）

   核心作用：

   通过许可计数器控制并发线程数，SemaphoreSlim为轻量级版本（用户态实现）。

   实现对比：

   类型	跨进程	性能	最大许可数
   Semaphore	✔️	低	系统限制
   SemaphoreSlim	❌	高	Int32.Max

   代码示例：

   // 创建初始3许可、最大5许可的信号量
   var semaphore = new SemaphoreSlim(3, 5);
   
   semaphore.Wait();  // 获取许可
   try 
   {
       // 资源访问代码
   }
   finally 
   {
       semaphore.Release();
   }

   异步编程

   private readonly SemaphoreSlim _asyncLock = new(1, 1);
   public async Task UpdateAsync()
   {
       await _asyncLock.WaitAsync();
       try { /* 异步操作 */ }
       finally { _asyncLock.Release(); }
   }

   典型应用：

   数据库连接池（限制最大连接数）

   API 请求限流

   批量任务并发控制

   Semaphore 示例

    
   

4. 事件（Event）

   核心机制：

   通过信号机制实现线程间通知，分为两种类型：

   类型	信号重置方式	唤醒线程数
   AutoResetEvent	自动	单个
   ManualResetEvent	手动	所有

   使用示例：

   var autoEvent = new AutoResetEvent(false);
   
   // 等待线程
   Task.Run(() => 
   {
       autoEvent.WaitOne();
       // 收到信号后执行
   });
   
   // 信号发送线程
   autoEvent.Set();  // 唤醒一个等待线程

   高级用法：

   配合WaitHandle.WaitAll实现多事件等待

   使用ManualResetEventSlim提升性能

   AutoResetEvent 示例

    
   

5. 读写锁（ReaderWriterLockSlim）

   核心优势：

   实现读写分离的并发策略，适合读多写少场景（如缓存系统）。

   锁模式对比：

   模式	并发性	升级支持
   读模式(EnterReadLock)	多线程并发读	❌
   写模式(EnterWriteLock)	独占访问	❌
   可升级模式	单线程读→写	✔️

   代码示例：

   var rwLock = new ReaderWriterLockSlim();
   
   // 读操作
   rwLock.EnterReadLock();
   try 
   {
       // 只读访问
   }
   finally 
   {
       rwLock.ExitReadLock();
   }
   
   // 写操作
   rwLock.EnterWriteLock();
   try 
   {
       // 排他写入
   }
   finally 
   {
       rwLock.ExitWriteLock();
   }

   最佳实践：

   优先使用ReaderWriterLockSlim（旧版有死锁风险）

   避免长时间持有读锁（可能饿死写线程）

   ReaderWriterLockSlim 示例
   

6. 原子操作（Interlocked）

   原理：

   通过CPU指令实现无锁线程安全操作。

   常用方法：

   int counter = 0;
   Interlocked.Increment(ref counter);      // 原子递增
   Interlocked.Decrement(ref counter);      // 原子递减
   Interlocked.CompareExchange(ref value, newVal, oldVal);  // CAS操作

   适用场景：

   简单计数器

   标志位状态切换

   无锁数据结构实现

    

7. 自旋锁（SpinLock）

   核心特点：

   通过忙等待（busy-wait）避免上下文切换，适用极短临界区（<1微秒）。

   实现示例：

   private SpinLock _spinLock = new SpinLock();
   
   public void CriticalOperation()
   {
       bool lockTaken = false;
       try 
       {
           _spinLock.Enter(ref lockTaken);
           // 极短临界区代码
       }
       finally 
       {
           if (lockTaken) _spinLock.Exit();
       }
   }

   优化技巧：

   单核CPU需调用Thread.SpinWait或Thread.Yield

   配合SpinWait结构实现自适应等待

    

8. 同步机制对比指南

   机制	跨进程	开销级别	最佳适用场景
   lock	❌	低	通用临界区保护
   Mutex	✔️	高	进程间资源独占
   Semaphore	✔️	中	并发数限制（跨进程）
   SemaphoreSlim	❌	低	并发数限制（进程内）
   ReaderWriterLockSlim	❌	中	读多写少场景
   SpinLock	❌	极低	纳秒级临界区
   Interlocked	-	无锁	简单原子操作

选择原则：

1. 优先考虑用户态锁（lock/SpinLock/SemaphoreSlim）

2. 跨进程需求必须使用内核对象（Mutex/Semaphore）

3. 读写比例超过10:1时考虑读写锁

4. 自旋锁仅用于高频短操作（如链表指针修改）

通过以上结构化的分类和对比，开发者可以更精准地选择适合特定场景的线程同步方案。建议在实际使用中配合性能分析工具（如BenchmarkDotNet）进行量化验证。

💡 ASP.NET 的异步编程（async/await）本质是单进程内的线程调度，不算“跨进程”。每个 IIS 应用程序池对应一个独立的工作进程（w3wp.exe），不同用户访问同一应用程序池下的 ASP.NET 网站，两者的请求均由同一个 w3wp.exe 进程处理。可能跨进程的场景有：Web Garden 配置、多应用程序池部署等。

在 C# 中，除了常规锁机制（如 lock、Mutex、Semaphore 等），还有一些内置类型通过内部锁或无锁设计实现线程安全。以下是常见的几类：

1. 线程安全集合（System.Collections.Concurrent）这些集合通过细粒度锁或无锁算法（如 CAS）实现线程安全，适合高并发场景。

• ConcurrentDictionary：分段锁机制，将数据分片存储，每个分片独立加锁，减少锁竞争。

• ConcurrentQueue / ConcurrentStack：基于原子操作（Interlocked）保证线程安全。

• ConcurrentBag：每个线程维护本地存储，减少争用，适合频繁添加和移除的场景。

• BlockingCollection：基于 ConcurrentQueue 和信号量（SemaphoreSlim）实现生产-消费者模式，支持阻塞和超时。

2. 不可变集合（System.Collections.Immutable） 通过数据不可变性实现线程安全（无需锁），每次修改返回新对象。

3. Lazy 的线程安全初始化（Lazy<T>） 通过锁或 Interlocked 确保延迟初始化的线程安全。

4. 通道（System.Threading.Channels）用于异步生产-消费者模型，内部通过锁和信号量管理容量限制。

5. 内存缓存（System.Runtime.Caching.MemoryCache）内部使用锁保护共享状态，确保线程安全。

6. 原子操作类型（Interlocked 类、Volatile 关键字、Unsafe 类）通过 CPU 指令实现无锁线程安全。

7. 其他同步工具（Barrier、CountdownEvent）虽然不是严格意义上的锁，但用于协调线程。

在 .NET Framework 的缓存管理中，cacheMemoryLimitMegabytes 是一个关键配置属性，用于控制内存缓存（MemoryCache）实例的最大内存占用。以下是其具体用法及实现细节：

1. 基本定义与作用

• 功能：通过 cacheMemoryLimitMegabytes 可设置 MemoryCache 实例允许占用的最大内存（单位：MB）。若缓存数据超过此限制，系统会自动淘汰旧条目。

• 默认值：默认值为 0，表示缓存基于计算机的物理内存自动管理（例如根据可用内存动态调整）。
  

2. 配置方式

• 通过配置文件（web.config）

  在 web.config 的 <system.runtime.caching> 节点下配置 namedCaches，示例：

  <configuration>
    <system.runtime.caching>
      <memoryCache>
        <namedCaches>
          <add 
            name="Default" 
            cacheMemoryLimitMegabytes="500" 
            physicalMemoryLimitPercentage="50" 
            pollingInterval="00:05:00" />
        </namedCaches>
      </memoryCache>
    </system.runtime.caching>
  </configuration>

  参数说明：
  

• cacheMemoryLimitMegabytes：最大内存限制（例如 500 表示 500MB）。

• physicalMemoryLimitPercentage：允许使用的物理内存百分比（可选）。

• pollingInterval：缓存清理策略的轮询间隔（例如每5分钟检查一次）。

• 通过代码动态配置

  在初始化 MemoryCache 时，通过 NameValueCollection 传递参数：

  var config = new NameValueCollection
  {
      { "cacheMemoryLimitMegabytes", "500" },
      { "physicalMemoryLimitPercentage", "50" },
      { "pollingInterval", "00:05:00" }
  };
  var cache = new MemoryCache("CustomCache", config);

  此方式适用于需要动态调整缓存策略的场景。

3. 注意事项

• 优先级规则：

  若同时配置了 cacheMemoryLimitMegabytes 和 physicalMemoryLimitPercentage，系统会选择两者中较小的值作为限制。
  

• 分布式缓存兼容性：

  此属性仅适用于进程内缓存（如 MemoryCache），若使用 Redis 等分布式缓存需通过其独立配置管理内存。
  

• 监控与调试：

  建议结合性能计数器（如 ASP.NET Applications 类别下的 Cache Total Entries）或日志记录模块（参考 web.config 的 <system.diagnostics> 配置）监控实际内存占用。
  

4. 应用场景示例

   场景：一个电商网站需要缓存商品目录数据，限制最大内存为 1GB。

   配置实现：

   <add 
     name="ProductCatalogCache" 
     cacheMemoryLimitMegabytes="1024" 
     pollingInterval="00:10:00" />

   代码调用：
   

   var productCatalog = MemoryCache.Default["ProductCatalog"];

5. 常见问题

1. Q：设置为 0 时缓存会无限制增长吗？

   A：不会。此时缓存基于系统物理内存动态管理，通常上限为总内存的 70%-90%。

2. Q：如何验证配置已生效？

   A：可通过 MemoryCache.GetCount() 统计条目数量，或使用性能监视器跟踪内存占用。
   

1. 打开“任务计划程序”（taskschd.msc）

   

2. 点击右侧“创建任务”

   
   

3. 填写“名称”

   
   

4. “安全选项”根据实际情况设置

   如果选择“不管用户是否登录都要运行”，则启动成功后不会显示窗口（包括由该应用调起的其它应用，任务管理器中可见进程）

   如果选择“只在用户登录时运行”启动成功后会显示窗口，但系统重启后需要进入系统才能运行此计划

5. “触发器”新建，勾选“重复任务间隔”选最短，“持续时间”无限期，并取消“任务的执行时间超过此值则停止执行”

   
   

6. “操作”新建，启动程序，浏览程序或脚本

   
   

7. “设置”请勿启动新实例（只判断它启动的实例，不判断手动打开的或开机启动的实例），其它选项按需设置

   

8. 设置完成

   

设置完成后查看“上次运行结果”。

尚未运行，显示：（0xC000013A)

第一次运行，显示：正在运行任务。(0x41301)

从第二次起，显示：操作员或系统管理员拒绝了请求。（0x800710E0)

1. 一般地，在路由器上启用 UPnP 就可以了。

2. 如果局域网中有多台监控设备，或有多层局域网，可以尝试直接端口映射。

3. 在监控控制面板中查看主机 IP（注意不是各通道的 IP），或者在同一层局域网通过电脑浏览器中访问监控控制面板（http://主机ip）。

4. 然后就可以在路由器上配置端口映射了（有些路由器的菜单项为“NAT 服务”）。

5. 一般配置 554（RTSP 端口）和 8000（服务端口）就可以了，80（HTTP 端口）和 443（HTTPS 端口）用于通过浏览器管理监控系统，不需要在外网配置的话不需要映射，暴露在公网有安全风险。另外 9010（平台命令端口）和 9020（平台数据端口）作用未知，可不映射。

6. 当然，为了防止端口冲突或提高安全性，映射的外部端口和内部端口可以不相同。
   

以下列出本人所遇到的情况及处理方法，肯定不全，但都有用。

1. 使用系统自带清理工具进行清理

   Windows 7 / 8 / 8.1 / 10：在 C 盘上点击右键属性 - 磁盘清理 - 清理系统文件 - 视情况勾选 - 确定

   Windows 11：在 C 盘上点击右键属性 - 详细信息 - 临时文件 - 视情况勾选 - 确定

2. 关闭“传递优化”

   设置 - Windowx 更新 - 高级选项 - 传递优化，关闭“允许从其他设备下载”

   其实前面说到的清理临时文件中已经包含了“传递优化文件”，所以这里按个人喜好选择是否关闭。

3. 更改虚拟内存路径

   可以将虚拟内存路径更改为非系统盘，但建议是固态硬盘。
   

4. 关闭系统还原

   当遇到系统问题时，如果你喜欢重装系统，而不是系统还原，那么可以关闭它。

5. 更改桌面、文档、下载等用户文件夹的位置

   将这些目录路径更改到非系统，但仍然建议是固态硬盘。以 Windows 11 的桌面目录为例：

   打开资源管理器 - 主文件夹，右键点击“桌面”属性，切换到“位置”，移动。
   

6. 将软件安装到其它盘

   有些电脑管理软件有软件迁移功能，但我还是建议先卸载软件，再安装到其它盘符。

7. 将软件文档路径更改到其它盘

   如果不想把软件安装到其它盘（譬如只有C盘是固态硬盘），那么可以将文档路径更改到其它盘，譬如：

   微信：☰ - 设置 - 文件管理 - 更改

   QQ：☰ - 设置 - 存储管理 - 更改存储路径（注意是聊天消息那个）

   企业微信：头像 - 设置 - 存储管理

   钉钉：头像 - 设置与隐私 - 通用 - 缓存目录

   千牛：设置 - 数据存储文件夹

8. 清理浏览器缓存

   Chrome：┇ - 设置 - 隐私与安全 - 删除浏览数据

   Edge：… - 设置 - 隐私、搜索和服务 - 删除浏览记录 - 选择要清除的内容

   Firefox：☰ - 设置 - 隐私与安全 - 历史记录 - 清除历史记录
   

9. VMware 虚拟机

   在已安装的镜像上点击右键 - 管理 - 清理磁盘

   把已安装的镜像复制到其它磁盘，再添加到 VMware 中，删除原镜像文件。

10. 更改 Navicat 数据库备份目录

    如果你的 Navicat 启用了自动运行的备份任务，那么可以更改备份路径。

    在连接上点击右键编辑连接，切换到高级，更改设置位置。

11. SQL Server 数据库文件瘦身

    若 SQL Server 数据目录（C:\Program Files\Microsoft SQL Server\MSSQL16.MSSQLSERVER\MSSQL\DATA）中有很多较大的数据库日志文件（.ldf），可以按需采取以下措施：

    使用 SSMS 连接到你的 SQL Server 实例；数据库恢复模式设置为“简单”；右键点击要压缩的数据库，选择“任务”->“收缩”->“文件”，选择“日志”，在“释放未使用的空间前重新组织页”一项中设置为 0MB，然后点击“确定”按钮。

最后推荐一款免费软件 TreeSize Free，可以查看磁盘中各目录和文件占用空间大小，小白不要乱删文件哦，删错了可就得重装系统了。

1. 国家智慧教育公共服务平台 https://gjzwfw.www.gov.cn/

2. 中国裁判文书网 https://wenshu.court.gov.cn/

3. 国家企业信用信息公示系统 https://gs.gsxt.gov.cn/

4. 国家社会保险服务平台 https://si.12333.gov.cn/

5. 天地图 https://www.tianditu.gov.cn/

6. 国家统计局 https://www.stats.gov.cn/

7. 中国商标网 https://sbj.cnipa.gov.cn/sbj/

8. 国家法律法规数据库 https://flk.npc.gov.cn/

9. 中国专利公布公告网 http://epub.cnipa.gov.cn/

10. 国家标准全文公开系统 https://openstd.samr.gov.cn/bzgk/gb/

11. 国家药品监督管理局 https://www.nmpa.gov.cn/datasearch/

12. 食品安全抽检公布结果查询系统 https://spcjsac.gsxt.gov.cn/

13. 发票查验平台 http://inv-veri.chinatax.gov.cn/

14. 中国关键词 http://keywords.china.org.cn/

15. 工信部申诉受理中心 https://ythzxfw.miit.gov.cn/

16. 合同示范文本库 https://htsfwb.samr.gov.cn/

17. 中国法律服务网 https://www.12348.gov.cn/

18. 中国庭审公开网 https://tingshen.court.gov.cn/

非 gov 网站

1. 终身教育平台 https://le.ouchn.cn/

2. 国家数字图书馆 https://www.nlc.cn/

3. 国家哲学社会科学文献 https://www.ncpssd.cn/

4. 国家高等教育智慧教育平台 https://www.chinaooc.com.cn/

5. 职业教育专业教学资源库 https://zyk.icve.com.cn/

http {
    ...

    lua_shared_dict cpu_cache 1m;  # 定义共享字典用于缓存 CPU 使用率
    access_by_lua_block {
        local cpu_cache = ngx.shared.cpu_cache
        local cache_time = cpu_cache:get("cache_time") or 0
        local current_time = ngx.now()

        if current_time - cache_time > 5 then  -- 每 5 秒更新一次
            local cpu_info = io.popen("top -bn1 | grep 'Cpu(s)'"):read("*all")
            local cpu_usage = cpu_info:match("(%d+%.%d+) id")  -- 获取空闲 CPU 百分比
            local cpu_used = 100 - tonumber(cpu_usage)  -- 计算使用率

            cpu_cache:set("cpu_usage", cpu_used)
            cpu_cache:set("cache_time", current_time)
        end

        local cpu_usage = cpu_cache:get("cpu_usage")
        ngx.log(ngx.INFO, "CPU 使用率: " .. cpu_usage .. "%")
        -- 将 cpu_usage 发送到远程鉴权接口，可根据服务器压力来决定是否拒绝一些不重要的请求
    }
}

代码解析：

共享字典：使用 lua_shared_dict 定义一个共享字典 cpu_cache，用于存储 CPU 使用率和缓存时间。

获取 CPU 使用率：在 access_by_lua_block 中，检查缓存时间，如果超过 5 秒，则重新获取 CPU 使用率，并更新共享字典。

记录日志：使用 ngx.log 将 CPU 使用率记录到 Nginx 日志中。

注意事项：

确保 Nginx 配置中已经加载了 Lua 模块（如 ngx_http_lua_module）。

根据实际需求调整缓存时间，以平衡性能和数据的实时性。

尝试过使用 ifconfig 或 ip 命令获取网卡流量，在宝塔面板中失败了，怀疑是权限问题，有空再研究。临时方案是鉴权接口定时调用宝塔面板 API 或阿里云控制台 API 来获取 ECS 的 CPU 和带宽使用率。

如何配置 nginx 远程鉴权

要在 Alibaba Cloud Linux 3 上设置开机启动 ossftp，你可以通过创建一个系统服务来实现。以下是具体步骤：

安装 ossftp：

按照阿里云官方文档安装 ossftp。

创建服务文件：

首先，你需要创建一个服务文件。使用以下命令创建一个新的服务文件：

sudo nano /etc/systemd/system/ossftp.service

编辑服务文件：

在打开的编辑器中，添加以下内容：

[Unit]
Description=OSS FTP Service
After=network.target

[Service]
ExecStart=/bin/bash /root/ossftp-1.2.0-linux-mac/start.sh
Restart=always
User=root

[Install]
WantedBy=multi-user.target

这里的 ExecStart 指向你的 start.sh 脚本的路径。

保存并退出。

重新加载系统服务：

运行以下命令以重新加载系统服务，使新创建的服务生效：

sudo systemctl daemon-reload

启用服务开机启动：

使用以下命令启用服务，使其在系统启动时自动运行：

sudo systemctl enable ossftp.service

启动服务：

你可以立即启动服务以测试其是否正常工作：

sudo systemctl start ossftp.service

检查服务状态：

使用以下命令检查服务的状态，确保它正在运行：

sudo systemctl status ossftp.service

如果一切设置正确，ossftp 应该会在每次系统启动时自动运行。

如果在你的系统上没有安装 nano 编辑器，你可以使用其他文本编辑器，比如 vi 或 vim。

如果你需要安装 nano，可以使用以下命令：

sudo yum install nano

今天早上同事反映论坛某管理账号无法登录，于是我尝试用创始人账号登录，也不行，第一反应就是中招了。

于是进阿里云控制台，发现云安全中心有许多安全警告，类型是网站后门，幸好 nginx 中设置了仅部分文件可执行 PHP，这些后门文件无法被执行。

尝试在 config_global_default.php 文件中添加创始人，但账号必须是副站长等管理账号才能成为创始人。

于是借用一个小号，从表 pre_ucenter_members 中将这个小号的 password 和 salt 复制到创始人账号中，这样创始人账号就可以用这个小号的密码登录了。

进入论坛后台，在 工具-运行记录-系统记录-后台访问 中查看入侵时间段的记录（操作、时间、IP 等），可搜索。

发现基本上在操作模板管理和专题管理。

对比时间，发现进入后台操作在先，上传后门在后。

查询 web 访问日志，通过访问文件路径或 IP 查询，在进入论坛后台之间，他进入了 UCenter 的后台，但是再往前就没有记录了。

因此基本可以确定：

黑客从 UCenter 修改了某管理员账号的密码（可能是利用漏洞），然后登录论坛后台修改了创始人的密码（可能也是用 UCenter 改的），通过模板管理和专题管理功能的上传功能上传了后门文件。

索性他没有对数据进行破坏性处理，也没有挂马，只是发现后门文件无法执行就放弃了。