[Open-source tool] 如何利用FreeIPA的Sudo Rule配置授權(Authorization)功能?

延續<[Open-source tool] 如何配置FreeIPA的使用者登入認證(Authentication)和存取控制(Host-Based Access Control, HBAC)?> 一文，本文進一步以cockpit服務管理為案例，說明如何配置使用者Bob的授權(Authorization)功能，達到精確掌握使用者Bob對cockpit服務權限的效果，如同本文封面影片所示。

一、硬體環境和架構

- FreeIPA Server 端：硬體為樹莓派5b/8g，Linux作業系統為AlmaLinux 10，並利用docker部署FreeIPA服務，IP為192.168.0.114，主機名為ipa.rpi.lab。

- Client 端：硬體為N100迷你主機配置的虛擬機，Linux作業系統為Ubuntu 22.04 LTS desktop, IP為192.168.0.113，主機名為ub-vm.rpi.lab。主要作為開發人員的測試平台(Dev Host)

- 使用者：Bob，所屬群組為 "dev_group"。

- 授權規則 (Authorization)：使用者Bob可以登入系統並執行基本操作，但其僅具備cockpit服務的查看權限，同時其被禁止"重啟"和"停止" cockpit服務。

[Open-source tool] 如何利用Docker將FileBrowser服務快速部署在樹莓派上?

農曆年前剛入手一台聯想平板，趁年假空檔來整理平板作業環境，該平板主要用於零碎時間方便閱讀電子書，但以實體線和藍芽一次傳輸多個檔案總覺得不太方便，包含還需要移動身體拿實體線、手動切換電腦和平板的藍芽開關，以及忍受藍芽較長的傳輸時間。若是用FTP傳輸檔案，則還需要額外安裝APP。因此請教Gemini是否有browser-based的私有雲，同時也可供家中其他成員共享檔案使用，結果還真有FileBrowser這類輕量型私有雲的開源軟體，用docker即可快速部署，簡單好用。(OS: 很慶幸活在這個AI資訊時代，只要有想像力和肯實作，解決需求的工具一直都有，無論是自己造輪子或找到合適的輪子)

[Open-source tool] 如何配置FreeIPA的使用者登入認證(Authentication)和存取控制(Host-Based Access Control, HBAC)?

 

FreeIPA是一套身分識別和存取管理的開源軟體，主要核心功能包含認證 (Authentication)、授權控管 (Authorization)、目錄服務 (Directory Service)和憑證管理 (PKI)，同時其主要應用於Linux作業系統平台，簡言之，其類似Linux作業系統的Microsoft Active Directory(AD)。對於預算有限但有資安需求的中小企業，可透過FreeIPA建立一套穩固和彈性的使用者控管中心系統，IT管理人員不再需要依序登入每台機器去新增特定帳號(如bob, tracy)。另外，當新進員工入職，僅需在FreeIPA控制介面設定，即可使全公司的特定主機能立即識別該使用者身分，相當適合中小企業提升運維效率。

本文主要著重在FreeIPA的認證 (Authentication)功能，其透過 Kerberos 協定實現單一登入(SSO)，讓使用者只需一組帳號密碼即可登入到對應的客戶端，如同本文封面影片所示。

[Linux]NTP時間服務套件(chrony)的配置安裝與測試

在網路服務時代，時間的準確性和同步性是所有分散式系統協同運作的基礎，無論是日誌分析、資料庫交易一致性和安全憑證驗證等等服務，精確的時間同步是基礎的必備條件。前陣子考量平替Window AD(Active Directory)權限管理等功能，嘗試安裝和測試的Freeipa服務就是一個需要時間同步的應用服務，因為在Freeipa的前置作業中，需先行確認伺服器端和各個客戶端的時間同步性，以確保Freeipa正常服務。

網路時間協定(NTP, Network Time Protocol)是實現該必備條件的標準化網路協定，其允許電腦主機或嵌入式開發板透過網路與時間伺服器達到時間同步的效果。NTP運作的核心在於其階層式(Stratum)架構。最頂層是Stratum 0(如原子鐘)，Stratum 1 直接從 Stratum 0 獲取時間，而 Stratum 2 則從 Stratum 1 同步，依此類推。傳統上，ntpd(NTP daemon)是主流選擇，其歷史悠久且功能強大，但在現代化系統中逐漸顯露其侷限性，特別是在啟動速度與應對時間波動方面的表現。隨著技術演進，兩個時間同步的解決方案(chrony和systemd-timesyncd)逐漸取代ntpd，相較於傳統 ntpd方案，這兩個套件提供更加精準可靠的時間同步服務，尤其是在虛擬化環境和網路不穩定的場景。

[IT Network]如何配置反向路徑過濾器(rp_filter)，以解決路由不對稱問題?

前陣子開始在樹莓派中安裝Rocky Linux OS，基於個人方便使用，一併部署Tailscale並建置Subnet Router，便於由外網連到樹莓派作業。經過一段時間使用，發現一個現象，當在同一個區域網路(LAN)內，電腦若啟動Tailscale往往無法透過內部區網IP直接SSH連線到樹莓派，同時也無法ping到內部區網IP。經查詢，才了解有一個反向路徑過濾(rp_filter)機制需要適當配置模式，Linux 核心才會依照模式處理封包和路徑。另外，Rocky Linux OS和Ubuntu的rp_filter預設值不同，所以之前ssh 連線到Ubuntu沒有發現該現象。

本文說明反向路徑過濾(rp_filter)的機制，以及如何透過調整Linux 核心的"反向路徑過濾(rp_filter)"配置，達到內部區網(不需啟動Tailscale)和外網(需啟動Tailscale)環境下，均能順利連線的效果。

[Linux]用瀏覽器就能管理伺服器_Cockpit套件

在雲端與邊緣運算盛行的今天，Linux 伺服器已成為企業 IT 架構與個人專案的核心。然而，對許多系統(新手)管理者來說，繁瑣的指令列操作、零碎的監控工具與分散的設定流程，往往讓伺服器管理變得複雜又耗時。

本文以 Ubuntu 與 Rocky Linux 搭配樹莓派5為實作環境，完整介紹一套免額外學習成本、直接用瀏覽器管理伺服器的工具_Cockpit套件， 包含功能、安裝方式與使用者操作介面，使新手管理者可藉由cockpit套件，快速掌握伺服器的運維狀態。

[IT Network]如何在cisco packet tracer建立ssh的連線?

 

SSH和Telnet的差異

1.ssh和telnet是CLI遠端常用的方式，主要利用網路(乙太網路線和wifi)作為傳輸介質。

2.相較於telnet，ssh是相對安全的連線方式。

事前工作：

1.假設交換譏為新設備，同時須準備一條console線(兩端接頭分別為USB和RJ45接頭)

2.將USB接頭接在PC端，將RJ45接頭接在cisco的console接孔。

3.以ssh連線需求，進行下列設定。

[Automation-tool]如何自建MCP server並串接到本地端的n8n工作流中?

 

在當今由大型語言模型（LLM）驅動知識和工具的時代，如何讓LLM能夠有效地結合外部工具和API溝通，成為了自動化流程中的關鍵一環。n8n作為一個強大的開源工作流自動化平台，提供了無限的可能性，只待創作者的創意和想像力了。有別於利用n8n中的MCP Server節點(MCP Server Trigger node )來串接應用服務，本文主要說明如何透過python搭配uv自建一個輕量級的MCP Server，使其串接和風天氣(qweather)應用服務，同時藉由n8n AI agent工作流中的MCP Client節點(MCP Client Tool node)來調用該自建的MCP Server，等同為本地端n8n開了外掛(Plugin)，賦予工作流中的AI Agent根據使用者提問自行判斷是否調用外部工具的能力，如本文影片所演示。

[Open-source tool] 如何利用 docker compose 安裝 Superset 並連接MySQL的Sakila資料庫?

Apache Superset 是一款 Apache 基金會的開源資料視覺化與商業智慧（Business Intelligence, BI）平台。其設計目標是提供一個輕量級、可擴展、易於部署的資料探索與儀表板工具，讓使用者能透過簡單直觀的操作來分析與呈現各種數據。其核心是基於 Python 與 Flask Web 框架構建，並支援連接各種 SQL 資料庫，如 MySQL、PostgreSQL、Oracle、SQLite、Snowflake、BigQuery 等。前端則採用 React.js 與 Apache ECharts 進行互動式圖表與儀表板渲染，提供高度可自訂的視覺化能力。另外，其能與 Docker、Kubernetes 等容器化平台整合，具備水平擴展能力，方便企業在既有基礎架構中導入。

[Python]如何用uv套件建置python專案與虛擬環境?

認識到python的uv套件得由當初學習Cline的MCP服務端(server)配置說起。Cline是一款VSCode的插件，可視為MCP客戶端(client)，同時可讓開發者快速且方便地在VSCode環境中配置MCP server，並藉由與AI大語言模型搭配來訪問各款MCP server，以完成開發者的需求。若要體驗和進一步了解MCP的功效，Cline是一款快速上手的入門插件，使用方式可參考官網資料。

[Automation-tool]如何整合ngrok免費靜態網域和n8n工作流來建置AI LINE Bot?

延續<[Linux]申請一個Ngrok的免費網域作為webhook使用>文章，本文進一步整合ngrok，n8n和Line bot，主要是利用ngrok的免費靜態網域作為本地端n8n的webhook, 使其可監聽使用者的LINE輸入訊息，並使內建AI agent 模組的n8n工作流來回覆使用者的輸入訊息。換言之，Line 介面作為前端，n8n工作流作為後端，藉由webhook串接前後兩端，以達到AI Line bot問答機器人的功效，如上述影片所示。

[Linux]申請一個Ngrok的免費網域作為webhook使用

為了讓一些本地端服務可長期用於監聽事件(event)並觸發(trigger)相應工作，Ngrok隨機產生暫時性的webhook URL是不合適的，因經實際測試，隨機產生的webhook URL開啟超過24小時就失效了，僅僅只能用於開發簡單測試用，如該篇參考文章。

然而Ngrok針對免費用戶有提供一個固定網域的webhook，免費額度看來也相當充裕，使得上述的需求可以被滿足，配置環境和實作步驟如下。

[Linux]如何設置靜態IP位址?

自從將Ubuntu Server 24.04 LTS作業系統建置在VM上後，逐漸導入一些容器和微服務器並使可由其他Client端來連接使用，其中包含AIGC模型和自動化工作流等服務，例如Open-WebUI和n8n。然而，若VM重新開機或路由器因故斷電等等狀態，區網IP位址可能因DHCP機制而變動，進而導致上述容器和微服務器的連結位址也隨著變動，設置靜態IP位址應該是一勞永逸的方式。

[Raspberry Pi]如何將無頭虛擬顯示器服務(headless display)建置在樹莓派的Ubuntu桌面作業系統中?

 

在樹莓派，嵌入式系統以及IoT的應用中，為了減少對實體顯示裝置的依賴並降低硬體維護成本，無頭顯示(headless display)的需求相對重要，特別是在無頭(headless)環境下，卻需要運行作業系統的桌面應用時。解決無頭顯示的方案分為硬體和軟體方式，硬體方式是直接在被控端插入HDMI欺騙器，本文則著重於軟體方式，利用安裝和配置虛擬顯示器服務於被控端中，兩個方式的目的都是為了讓作業系統認為已連接實體顯示裝置，從而允許遠端訪問桌面應用。

[Linux]如何配置mailutils郵件服務?

在自動化運維工作中，利用工具主動發出事務處理結果的mail是一項必備工作，例如資料庫的自動備份工作是否已順利完成，某個微服務重新啟動原因的log日誌等等。而在配置郵件工具中，相較於之前使用的mailx，這次使用的mailutils較為完整，除了內建了完整的 POP3 和 IMAP收信功能，其也內建 SMTP 發信功能，包含自動配置Postfix(內建MTA)，配置過程簡化許多。(OS: 說到底就是解決一個重要症狀，"懶")

[Raspberry Pi]如何將看門狗(WatchDog)服務建置在樹莓派的Ubuntu作業系統中?

看門狗(WatchDog)服務常應用於連網的嵌入式邊緣設備等IOT裝置和實體伺服器，主要是若這些連網裝置分散在各個應用環境中執行對應任務，例如感測物理數據，監控影像數據或執行各式Docker服務，當連網裝置因故異常，同時又處於無人值守而無法手動重啟的狀態下，此時看門狗(WatchDog)服務可根據設定條件，協助連網裝置自動重啟並恢復到執行對應任務的狀態。

看門狗(WatchDog)的運作原理是一個計時器(timer)，若連網裝置的系統運行符合設定條件，即表示系統運行正常，守護程序則定期復位該計時器，使系統持續運作不重啟，俗稱"餵狗";反之，若系統運作不正常而超時，則系統重啟。另外，看門狗服務分為軟體式和硬體式，相較於軟體式看門狗，硬體式看門狗指的是有一個獨立硬體模組嵌入在裝置的晶片中，實現當系統完全死當時，也可自動重啟的功能。本文將利用樹莓派已具備看門狗硬體模組，在Ubuntu作業系統中設定和運行看門狗(WatchDog)服務。

[Python]如何利用Flask搭建一個Web服務器，並透過Ngrok訪問來實現LINE Bot功能?

 

Flask 是一個輕量級的Web框架，主要用於建立基於Python的Web應用和API。它可搭建webhook本地服務器，同時提供靈活的URL路由和HTTP請求處理方式，允許開發者快速啟動並測試應用功能。由於其結構簡單，開發者常用其作為建立和測試 MVP(最小可行性產品)，同時其也非常適合新手作為入門學習Web開發的工具之一。

本文利用樹莓派4B搭建Flask和Ngrok來實現簡易的LINE Bot功能，其中Ngrok的安裝和建置可參考此篇文章，本篇主要著重在Flask環境建置和程式碼的部分。

[Linux]如何利用docker運行Ngrok，並使本地服務可以由外網訪問?

Ngrok 是一款輕量、功能強大的反向代理工具，可快速且安全地將本機開發環境暴露於公網。它主要透過建立安全隧道(tunnel)，讓外部使用者或服務能夠存取本地的 HTTP、HTTPS 或 TCP 應用，而無需進行複雜的網路設定(如port映射設定，或防火牆規則設置)，因此其相當適合用於測試需要外網訪問剛開發好的本地端程式。兩個常見的使用情境如下:

[Linux]如何將腳本(shell script)轉換到系統管理服務器(systemd service)來運行?

在Linux中，shell腳本(shell script)常用於運行各種自動化的流程，包含API串接，設置和啟動應用服務等等，腳本語法也相對易學易讀，因此頗受大部分使用者的喜愛。但若需要讓shell腳本能長期穩定運行，則建議將shell腳本轉換到系統管理服務器(systemd service)來運行，將有下列幾個優點，使得該服務的運作可有效被systemd管理。

1.Linux系統啟動後，可自動啟動。
2.服務異常退出後，可自動重啟。
3.透過journalctl集中管理該服務的日誌(log)，可用於問題測試和偵錯。

上述影片即是一個實際案例，其利用shell腳本將樹莓派的溫度和電壓數值以固定週期傳到influxdb中，同時若溫度過高或電壓過低，則會藉由line notify發出提醒訊息，期望藉由該服務長期監控樹莓派的運作是否穩定，若有異常進程導致溫度過高或電壓過低，則可立刻查閱日誌並及時處理。話不多說，一起來看看如何將該shell腳本轉換到systemd service中。

[SQL]如何利用docker安裝SQLitebrowser，並解決中文數據亂碼問題?

SQLitebrowser是一個輕量級、嵌入式的SQL資料庫引擎，有別於MySQL等等中大型資料庫，其不需要一個獨立的伺服器程序或作業系統，而是可將所有資料、配置和索引都儲存在單一檔案(.sqlite)，易於嵌入到應用程式中使用，很適合在嵌入式裝置和移動應用程式中使用，通訊軟體 微信的資料庫即是使用SQLite。

近期因在ubuntu server中架設一些應用服務，其中有些應用服務採用SQLite作為資料庫，為了查看SQLite中的數據，除了可在終端機安裝sqlite3並直接以命令指令調閱數據之外，尚可利用瀏覽器來查看，其中利用docker安裝SQLitebrowser即是一個可利用瀏覽器查看數據的方式。