本机系统
Ubuntu 24.04
kernel 6.17 oracle · root 45%
本机运行服务
59
nginx / Hermes / reports / sub / cards / yungen 等 active
远端 VPS
13/14
SSH 可达;AR 清单项不可达
Xray active
10
边缘/非 Xray 节点另计
核心结论
整体运行面稳定:本机关键服务 active,Nginx 配置测试通过,远端主要 Xray 节点 active 且无 failed unit。需要优先处理的是本机 631/CUPS 非预期监听、统一记忆 freshness FAIL、AR 清单不可达、以及少量 644 状态库权限偏松。
本轮受统一状态限制,仅做只读审计,没有改配置、没有重启服务、没有清理 Hermes inbox。
风险与建议
| 等级 | 问题 | 证据/影响 | 建议 |
|---|---|---|---|
| 高 | 统一记忆 freshness-check 为 FAIL,只允许只读审计 | 存在 high/critical handoff、secret rotation、changelog 新于 canonical 等未处理项。本轮未执行写入、重启或远端修复。 | 先由主控确认是否处理 handoff/密钥轮换,再恢复高风险操作权限。 |
| 高 | CUPS 监听 0.0.0.0:631 与 [::]:631 | snap cups.cupsd/cups-browsed active;在 UFW inactive、INPUT ACCEPT 的前提下,若云防火墙未挡 631,会形成非预期公网面。 | 若不需要打印服务,停止/禁用 cups;若需要,仅绑定 localhost 或用云防火墙阻断 631。 |
| 中 | 本机 UFW inactive,主机侧 INPUT 默认 ACCEPT | 公网端口实际包含 22/80/443/631;安全主要依赖云防火墙、Nginx allowlist 和各服务本地绑定。 | 保留云防火墙同时补一层本机防火墙策略,至少限制 631 和非必要入口。 |
| 中 | 本机 failed unit: wg-quick@wg-landing.service | WireGuard landing 单元失败,可能是旧链路残留或配置失效。 | 确认该链路是否仍需要;不用则 disable/reset-failed,需要则修复配置。 |
| 中 | AR 清单项 SSH 不可达 | inventory 中 AR=129.146.59.53 使用 local key 记录,当前 SSH 返回 publickey 失败。 | 确认 AR 是否已退役、改为本机、或清单 auth 字段错误。 |
| 中 | 部分敏感状态库仍为 644 | Antigravity 会话库、memory vectors、Hermes 快照、daily-stock/image-browser DB 有 644 项;主业务 DB/Hermes active DB 多数为 600。 | 对含会话/记忆/业务数据的活跃库和历史快照统一收紧到 600/640。 |
| 低 | Nginx 存在 ssl protocol options redefined warning | nginx -t 通过,但多个 vhost 重复定义协议选项。 | 后续维护窗口清理重复 ssl_protocols,降低配置噪音。 |
| 低 | 第三方包存在更新 | Docker CE、Google Cloud CLI、nodejs、snapd、apparmor、cloud-init 等有候选更新。 | 安排维护窗口升级,优先 Docker CE/snapd/cloud-init。 |
| 低 | JPA/JPB Xray 配置目录备份文件偏多 | raycontrol 多次备份残留在 conf 目录;服务仍 active。 | 保留最近可回滚快照,其余迁移到归档目录。 |
本机项目与服务
| 类别 | 状态 | 说明 |
|---|---|---|
| Web/Nginx | 通过 | nginx -t OK;TLSv1.2/1.3;存在 protocol options redefined warning |
| Hermes | 运行 | gateway master/sub/news/stock/worker/network/health 等 active;统一记忆 freshness FAIL 限制本轮操作 |
| Report Center | 运行 | report-center active,/reports 站点存在 |
| Sub/Cards | 运行 | sub-api、cards-api active;数据库权限主要为 600 |
| Yungen/Home/Image/NewsNow | 运行 | yungen、home-cms、image-browser active;NewsNow Docker active |
| Docker | 运行 | komari、newsnow、dsa-long、prompts-chat、sealcut 均 loopback 绑定 |
| Fail2ban | 运行 | sshd jail active;当前封禁 2 个 IP,本轮统计 total banned 30 |
| 系统更新 | 待维护 |
本机网络面
公开监听重点:22/80/443/631。多数应用服务绑定 127.0.0.1,由 Nginx 代理和 allowlist 控制。
tcp LISTEN 0 8192 0.0.0.0:631 0.0.0.0:* users:(("cupsd",pid=1017509,fd=9))
tcp LISTEN 0 511 0.0.0.0:443 0.0.0.0:* users:(("nginx",pid=2434532,fd=23),("nginx",pid=2434531,fd=23),("nginx",pid=2434530,fd=23),("nginx",pid=2434529,fd=23),("nginx",pid=2434527,fd=23))
tcp LISTEN 0 511 0.0.0.0:80 0.0.0.0:* users:(("nginx",pid=2434532,fd=20),("nginx",pid=2434531,fd=20),("nginx",pid=2434530,fd=20),("nginx",pid=2434529,fd=20),("nginx",pid=2434527,fd=20))
tcp LISTEN 0 8192 0.0.0.0:22 0.0.0.0:* users:(("sshd",pid=2433629,fd=3),("systemd",pid=1,fd=408))
tcp LISTEN 0 8192 [::]:631 [::]:* users:(("cupsd",pid=1017509,fd=10))
tcp LISTEN 0 511 [::]:443 [::]:* users:(("nginx",pid=2434532,fd=22),("nginx",pid=2434531,fd=22),("nginx",pid=2434530,fd=22),("nginx",pid=2434529,fd=22),("nginx",pid=2434527,fd=22))
tcp LISTEN 0 511 [::]:80 [::]:* users:(("nginx",pid=2434532,fd=21),("nginx",pid=2434531,fd=21),("nginx",pid=2434530,fd=21),("nginx",pid=2434529,fd=21),("nginx",pid=2434527,fd=21))
tcp LISTEN 0 8192 [::]:22 [::]:* users:(("sshd",pid=2433629,fd=4),("systemd",pid=1,fd=409))远端 VPS / Xray 状态
| 节点 | IP/域名 | OS / 资源 | Xray | Nginx | Fail2ban | 失败单元 | 监听端口 |
|---|---|---|---|---|---|---|---|
| JP | 64.118.144.182 jpp.88665577.xyz | Ubuntu 24.04.4 LTS up 4 weeks, 20 hours, 29 minutes · ext4 9.8G 4.7G 4.7G 51% / · 849Mi 371Mi 200Mi 410Mi 477Mi | loaded/active/running | loaded/active/running | loaded/active/running | 无 | 22, 53, 80, 443, 8081, 10443, 11704, 27262, 45987 |
| JPA | 13.112.210.201 jpa.88665577.xyz | Ubuntu 24.04.4 LTS up 5 days, 18 hours, 0 minutes · ext4 38G 7.5G 31G 20% / · 911Mi 434Mi 235Mi 415Mi 476Mi | loaded/active/running | not-found/inactive/dead | loaded/active/running | 无 | 22, 53, 443, 45987 |
| KR | 131.186.27.212 krr.88665577.xyz | Ubuntu 24.04.4 LTS up 6 days, 20 hours, 12 minutes · ext4 48G 5.4G 42G 12% / · 954Mi 443Mi 128Mi 553Mi 510Mi | loaded/active/running | loaded/active/running | loaded/active/running | 无 | 22, 53, 80, 443, 8081, 8443, 10443, 16492, 28229, 45987 |
| USB | 161.153.95.69 uss.88665577.xyz | Ubuntu 24.04.4 LTS up 5 days, 17 hours, 56 minutes · ext4 48G 6.8G 41G 15% / · 954Mi 434Mi 120Mi 564Mi 519Mi | loaded/active/running | loaded/active/running | loaded/active/running | 无 | 22, 53, 80, 443, 8081, 8443, 10443, 13679, 23430, 45987 |
| DE | 47.254.140.158 www.88665577.xyz | Ubuntu 24.04.4 LTS up 6 days, 20 hours, 13 minutes · ext4 40G 25G 13G 66% / · 1.6Gi 550Mi 157Mi 1.1Gi 1.0Gi | loaded/active/running | loaded/active/running | loaded/active/running | 无 | 22, 53, 80, 443, 8000, 17473, 45987 |
| AR | 129.146.59.53 loveason.com | 不可达 - · - · - | 不可达 | 不可达 | 不可达 | SSH失败 | - |
| KRB | 161.118.130.5 krb.88665577.xyz | Ubuntu 24.04.4 LTS up 6 days, 20 hours, 11 minutes · ext4 45G 3.8G 41G 9% / · 954Mi 422Mi 153Mi 537Mi 531Mi | not-found/inactive/dead | loaded/active/running | loaded/active/running | 无 | 22, 53, 80, 443, 8081, 8443 |
| US | 186.241.84.19 usa.88665577.xyz | Ubuntu 24.04.4 LTS up 1 week, 1 day, 17 hours, 30 minutes · ext4 29G 13G 17G 43% / · 3.8Gi 802Mi 1.9Gi 1.4Gi 3.0Gi | not-found/inactive/dead | loaded/active/running | loaded/active/running | 无 | 22, 53, 80, 443, 2058, 8317, 44503 |
| HKA | 38.76.188.244 hka.88665577.xyz | Ubuntu 24.04.4 LTS up 4 days, 22 hours, 33 minutes · ext4 29G 13G 17G 44% / · 3.8Gi 685Mi 2.0Gi 1.4Gi 3.2Gi | not-found/inactive/dead | loaded/active/running | loaded/active/running | 无 | 22, 53, 80, 443, 8443, 42939 |
| HKY | 185.155.235.171 | Ubuntu 22.04.5 LTS up 6 days, 18 hours, 41 minutes · ext4 9.8G 3.0G 6.4G 32% / · 957Mi 166Mi 167Mi 624Mi 637Mi | loaded/active/running | not-found/inactive/dead | loaded/active/running | 无 | 22, 53, 443, 45987 |
| SG | 52.220.159.135 sgp.88665577.xyz | Ubuntu 24.04.4 LTS up 6 days, 20 hours, 11 minutes · ext4 58G 7.6G 50G 14% / · 1.9Gi 662Mi 620Mi 831Mi 1.2Gi | loaded/active/running | not-found/inactive/dead | loaded/active/running | 无 | 22, 53, 443 |
| UK | 167.71.140.103 | Ubuntu 24.04.4 LTS up 6 days, 20 hours, 10 minutes · ext4 8.7G 4.7G 4.0G 55% / · 458Mi 176Mi 28Mi 277Mi 281Mi | loaded/active/running | not-found/inactive/dead | loaded/active/running | 无 | 22, 53, 443 |
| AU | 134.199.173.24 | Ubuntu 24.04.4 LTS up 6 days, 20 hours, 10 minutes · ext4 8.7G 4.7G 4.0G 55% / · 458Mi 195Mi 102Mi 184Mi 262Mi | loaded/active/running | not-found/inactive/dead | loaded/active/running | 无 | 22, 53, 443 |
| JPB | 13.112.231.185 | Ubuntu 24.04.4 LTS up 5 days, 17 hours, 59 minutes · ext4 38G 2.6G 36G 7% / · 911Mi 430Mi 245Mi 415Mi 481Mi | loaded/active/running | not-found/inactive/dead | loaded/active/running | 无 | 22, 53, 443 |
权限核查摘要
Hermes active 环境文件和主要状态库多为 600;Cards/Sub/Yungen 主库为 600。仍建议收紧以下类别:Antigravity conversation DB、memory-tencentdb vectors DB、Hermes state-snapshot、daily-stock/image-browser 数据库。Go module、系统包缓存、示例文件中的 444/644 不作为业务风险计入。
下一步顺序
| 顺序 | 动作 | 说明 |
|---|---|---|
| 1 | 处理统一记忆 freshness FAIL | 确认 critical handoff 与 secret rotation,恢复可写操作前置条件。 |
| 2 | 处理 CUPS 631 暴露 | 确认是否需要打印服务;不需要则禁用,需要则限制绑定/防火墙。 |
| 3 | 修复或归档 wg-quick@wg-landing | 消除本机 failed unit,避免误判链路状态。 |
| 4 | 校正 AR inventory | 确认 AR 是否本机化、退役、换 key 或换 IP。 |
| 5 | 收紧 644 状态库权限 | 对会话、记忆、业务状态库统一 600/640。 |
| 6 | 维护窗口升级第三方包 | Docker CE、nodejs、snapd、cloud-init、gcloud 等。 |
| 7 | 清理 Xray 配置备份残留 | JPA/JPB raycontrol 备份文件移入归档目录,保留最近回滚点。 |