Lemon's Notes

在 Bitwarden 中使用 SSH Agent

Wed, 20 May 2026 00:00:00 GMT

简介#

Bitwarden 的 SSH Agent 可以将你的 SSH 私钥保存在加密的密码库中，通过桌面应用提供代理服务，使终端和工具（如 Git、ssh 客户端）直接使用这些密钥，而无需在本地磁盘存放未加密的私钥文件。密钥会随 Bitwarden 账户同步，实现多端一致性。

前置条件#

安装 Bitwarden 桌面应用（Windows、macOS 或 Linux 版本）。
已登录 Bitwarden 账户并解锁密码库。

创建新的 SSH 密钥#

在 Bitwarden 桌面应用中，点击新建，选择SSH 密钥类型。

新建 SSH 密钥
按提示填写名称、用户名、主机等信息，然后保存。密钥对会自动生成并存储在库中。

导入已有的 SSH 密钥#

同样新建一个SSH 密钥类型的条目，暂时输入名称信息，保存。
回到编辑器，打开刚刚创建的条目，将你的现有私钥完整粘贴到私钥字段中，补全公钥（如果可用）和其他信息，保存。

TIP

私钥内容包括以 -----BEGIN OPENSSH PRIVATE KEY----- 开头和 -----END OPENSSH PRIVATE KEY----- 结尾的完整文本。

配置 Bitwarden SSH Agent#

要让 SSH 客户端识别 Bitwarden 提供的代理，必须设置环境变量 SSH_AUTH_SOCK，指向相应的 Unix 套接字文件。以下按平台说明。

Windows 平台#

Windows 上需先禁用系统自带的 OpenSSH 代理服务，避免端口冲突。

打开“服务”（搜索 services.msc 或通过开始菜单查找），找到 OpenSSH Authentication Agent。

OpenSSH 服务
双击该服务，将启动类型改为禁用，点击应用后再点击确定。

禁用服务
这样 Bitwarden SSH Agent 就会自动接管，无需额外设置环境变量（Windows 版处理方式与 Unix 不同）。

macOS 平台#

根据安装方式确定套接字路径：

App Store 版本：

Terminal window

1
export SSH_AUTH_SOCK="/Users/<user>/Library/Containers/com.bitwarden.desktop/Data/.bitwarden-ssh-agent.sock"

.dmg 安装版本：

Terminal window

1
export SSH_AUTH_SOCK="/Users/<user>/.bitwarden-ssh-agent.sock"

TIP

若希望所有终端（包括 GUI 应用）都能使用该代理，可使用 launchctl setenv 设置：

Terminal window

1
launchctl setenv SSH_AUTH_SOCK "/Users/<user>/.bitwarden-ssh-agent.sock"

之后需重新登录或重启相关应用。

持久化：将上述 export 命令添加到 ~/.zshrc 或 ~/.bashrc 文件中，以便每次打开终端自动生效。

Linux 平台#

设置环境变量并指向用户目录下的套接字：

Terminal window

1
export SSH_AUTH_SOCK="/home/<user>/.bitwarden-ssh-agent.sock"

同样，建议将该行加入 ~/.bashrc 或 ~/.zshrc 实现持久化。

NOTE

务必使用正确的用户名替换 <user>，并且路径中的 home 前缀与实际家目录一致。

启用 Bitwarden SSH Agent#

配置好环境变量后，还需要在 Bitwarden 桌面应用中开启代理功能：

打开 Bitwarden 桌面应用，进入设置（Preferences/Options）。
勾选启用 SSH 代理（Enable SSH Agent）。
可以根据需要调整使用 SSH 代理时要求身份验证的策略：
- 始终：每次使用密钥都要求验证；
- 记住直到密码库锁定：解锁密码库后一段时间内不再询问；
- 从不：不单独验证（仅依赖密码库解锁状态）。

验证 SSH Agent#

保持 Bitwarden 桌面应用解锁状态，打开已配置好环境变量的终端，执行：

Terminal window

1
ssh-add -L

如果一切正常，应该列出你之前添加到 Bitwarden 中的所有公钥。现在可以直接使用 ssh 连接远程服务器，或通过 Git 等工具进行免密操作了。

Vaultwarden 搭建与自动备份

Wed, 20 May 2026 00:00:00 GMT

简介#

Vaultwarden 是一个用 Rust 编写的非官方 Bitwarden 服务器实现，完全兼容官方 Bitwarden 客户端，特别适合资源有限的自托管场景。

dani-garcia

vaultwarden

Waiting for api.github.com...

00K

Waiting...

vaultwarden-backup 是一个专门为 Vaultwarden 设计的备份工具，可将数据加密后通过 Rclone 同步到多种远程存储（如阿里云 OSS、AWS S3 等）。

ttionya

vaultwarden-backup

Waiting for api.github.com...

00K

Waiting...

本文的重点是分别部署 Vaultwarden 和 vaultwarden-backup 服务，并实现自动备份。如果你希望一键快速体验，也可以直接使用项目自带的 docker-compose.yml 进行部署（具体参考官方仓库）。接下来我们将详细讲解手动部署的整个过程。

分别部署 Vaultwarden 与备份服务#

1. 部署 Vaultwarden#

创建一个工作目录，并在其中新建 compose.yml，内容如下：

1
services:
2
  vaultwarden:
3
    image: vaultwarden/server:latest
4
    container_name: vaultwarden
5
    restart: always
6
    environment:
7
      DOMAIN: "<domain name>"       # 替换为你的域名
8
      SIGNUPS_ALLOWED: "true"       # 初次启动时允许注册，稍后关闭
9
    volumes:
10
      - ./vw-data:/data             # 数据持久化目录
11
    ports:
12
      - 11001:80                    # 可根据需要修改宿主机端口

启动容器：

Terminal window

1
docker compose up -d

配置反向代理（以 Caddy 为例）#

在 Caddyfile 中添加如下站点配置（根据实际路径调整）：

1
<domain name> {
2
    log {
3
        level INFO
4
        output file /var/www/vaultwarden/access.log {
5
            roll_size 10MB
6
            roll_keep 10
7
        }
8
    }
9
    encode zstd gzip
10
    reverse_proxy localhost:11001 {
11
        header_up X-Real-IP {remote_host}
12
    }
13
}

重载 Caddy 使配置生效：

Terminal window

1
sudo caddy reload --config /etc/caddy/Caddyfile

Note

请确保日志目录（如 /var/www/vaultwarden）存在且有写入权限。

现在通过域名访问你的 Vaultwarden 实例，注册管理员账号并登录。

关闭公开注册#

注册完成后，停止容器，将 SIGNUPS_ALLOWED 改为 false，再重新启动，以防止他人注册。

Terminal window

1
docker compose down
2
# 编辑 compose.yml，将 SIGNUPS_ALLOWED 改为 "false"
3
docker compose up -d

2. 部署 vaultwarden-backup 并同步至阿里云 OSS#

2.1 创建对象存储 Bucket#

登录阿里云控制台，创建一个 OSS Bucket，并获取 AccessKey ID 和 AccessKey Secret。具体步骤可参考阿里云官方文档，此处不再赘述。

2.2 配置 Rclone#

运行以下命令进入 Rclone 交互式配置界面，挂载配置目录 vaultwarden-rclone-data：

Terminal window

1
docker run --rm -it \
2
  -v ./vaultwarden-rclone-data:/config \
3
  ttionya/vaultwarden-backup:latest \
4
  rclone config

Alibaba OSS官方配置文档

按照提示创建新远程（remote），建议将名称设置为 BitwardenBackup。配置过程会要求填写云服务商（选择 Amazon S3、Provider 选 Alibaba）、AccessKey、SecretKey、Endpoint（如 oss-cn-shenzhen.aliyuncs.com）等信息。

完成后，可通过以下命令验证配置是否正确：

Terminal window展开收起

1
docker run --rm -it \
2
  -v ./vaultwarden-rclone-data:/config \
3
  ttionya/vaultwarden-backup:latest \
4
  rclone config show
5

6
# 示例输出：
7
# [BitwardenBackup]
8
# type = s3
9
# provider = Alibaba
10
# access_key_id = <access_key_id>
11
# secret_access_key = <secret_access_key>
12
# endpoint = oss-cn-shenzhen.aliyuncs.com
13
# acl = private
14
# storage_class = STANDARD
15
# bucket_acl = private

展开收起

2.3 添加备份服务到 compose.yml#

在之前创建的 compose.yml 中添加 backup 服务，完整示例如下：

1
services:
2
  vaultwarden:
3
    image: vaultwarden/server:latest
4
    container_name: vaultwarden
5
    restart: always
6
    environment:
7
      DOMAIN: "<domain name>"
8
      SIGNUPS_ALLOWED: "false"   # 生产环境建议关闭注册
9
    volumes:
10
      - ./vw-data:/data
11
    ports:
12
      - 11001:80
13

14
  backup:
15
    image: ttionya/vaultwarden-backup:latest
16
    container_name: vaultwarden-backup
17
    restart: always
18
    environment:
19
      RCLONE_REMOTE_DIR: '/<bucket-name>/'     # 替换为你的 Bucket 名称
20
      CRON: '15 1 * * *'                       # 备份计划：每天 01:15 执行
21
      ZIP_ENABLE: 'TRUE'                       # 启用压缩加密
22
      ZIP_PASSWORD: '<password>'               # 设置加密密码，务必妥善保管
23
      ZIP_TYPE: 'zip'
24
      TIMEZONE: 'Asia/Shanghai'
25
      DATA_DIR: "/data"
26
    volumes:
27
      - ./vw-data:/data:ro                     # 以只读方式挂载数据目录
28
      - ./vaultwarden-rclone-data:/config      # Rclone 配置目录

展开收起

IMPORTANT

通过以上配置，备份工具将每天早上 01:15 自动将 /data 下的 Vaultwarden 数据打包为加密 ZIP 文件，然后通过 Rclone 上传到阿里云 OSS 的指定路径。更多高级选项（如邮件通知、健康检查等）请参阅官方文档。

启动全部服务：

Terminal window

1
docker compose up -d

EasyTier异地组网

Tue, 19 May 2026 00:00:00 GMT

简介#

EasyTier 是一款简单、安全、去中心化的异地组网工具，适用于远程办公、异地设备互访、游戏加速等场景。它无需公网 IP，无需复杂配置，即可在不同网络中的设备之间建立安全隧道。

本文将带你从零开始搭建 EasyTier 网络：先在服务器上部署自建节点并生成网络配置，再让桌面客户端和 OpenWrt 路由器加入组网。

下载#

官方下载页面

Linux 服务器：下载 CLI 压缩包
桌面系统：可直接下载图形客户端
OpenWrt：使用适配的 LuCI 插件：https://github.com/EasyTier/luci-app-easytier

服务器端部署自建节点#

本部分将在服务器上完成三项任务：获取 CLI 程序、通过临时 Web 控制台生成组网配置、将 EasyTier 安装为系统服务。

1. 下载并解压 CLI#

根据你的系统架构下载对应的 Linux CLI 压缩包，例如：

Terminal window

1
wget https://github.com/EasyTier/EasyTier/releases/download/vx.x.x/easytier-linux-x86_64-vx.x.x.zip

解压后进入目录：

Terminal window

1
cd easytier-linux-x86_64

2. 通过 Web 控制台生成网络配置#

借助 EasyTier 自带的 Web 控制台，可以可视化生成一份完整的网络配置文件，后续直接将这份配置交给服务端使用，免去手写配置的麻烦。

2.1 启动 Web 控制台#

在解压目录中运行：

Terminal window

1
./easytier-web-embed \
2
    --api-server-port 11211 \
3
    --api-host "http://127.0.0.1:11211" \
4
    --config-server-port 22020 \
5
    --config-server-protocol udp

命令执行后若无报错，说明 Web 控制台已在后台运行，可通过 http://127.0.0.1:11211 访问。

参数说明（常用）：

--api-server-port：Web 前后端绑定的端口
--api-host：前端访问 API 后端的地址，这样前端无需手动指定后端
--config-server-port：配置下发端口，后续 easytier-core 会通过该端口获取配置
--config-server-protocol：配置下发所用协议（支持 tcp、udp、ws）
--web-server-port：额外监听 Web 前端的端口（不受 --no-web 影响）
--no-web：禁用 Web 前端，仅保留 API 功能

2.2 建立 SSH 隧道并登录控制台#

因为 Web 控制台只监听了 127.0.0.1，需要在本地计算机上通过 SSH 隧道转发端口。在本地终端执行（请替换 user 和 <your-server-ip> 为实际值）：

Terminal window

1
ssh -N -L 11211:127.0.0.1:11211 user@<your-server-ip>

然后在浏览器打开 http://127.0.0.1:11211，根据提示注册并登录账号。

2.3 临时运行 easytier-core 接入控制台#

为了让 Web 控制台能“看到”一台设备并基于它创建网络，需要临时启动一次 easytier-core 并连接到配置下发端口（用户名填在 Web 控制台创建的用户名）：

Terminal window

1
sudo ./easytier-core -w udp://127.0.0.1:22020/<你的用户名>

2.4 在 Web 界面创建网络#

刷新 Web 控制台，设备列表中应当出现刚才接入的客户端。点击其右侧的齿轮图标并选择“创建网络”。

依次进行如下设置：

取消 DHCP 勾选框（后续手动为该节点指定固定虚拟 IP）
输入虚拟 IPv4 地址，例如 10.10.10.1/24，这样该服务器节点将固定使用 10.10.10.1
填写 网络名称 和 网络密码，其他客户端加入网络时需要凭借此名称与密码
初始节点留空：当前节点作为网络起点，等待其他客户端通过其地址加入
高级设置：建议勾选 启用私用模式（勾选后仅明确指定了节点的设备才能加入，安全性更高；不勾选则网络可被公开发现，但连接仍需密码）
主机名：可按需修改
其他选项保持默认即可

完成设置后，点击 编辑为文件，即可看到生成的完整配置内容。将这段配置保存到本地文本文件（例如 default.conf），后续会使用。

2.5 停止临时服务#

配置文件到手后，可以安全停掉刚刚用于生成配置的 Web 控制台和 easytier-core 进程。

3. 安装为 systemd 服务#

现在将 EasyTier 部署为长期运行的服务，并使用刚才生成的配置文件。

创建安装目录并复制 CLI 程序：

Terminal window

1
sudo mkdir -p /opt/easytier
2
sudo cp easytier-* /opt/easytier

创建配置目录并放入配置文件：

Terminal window

1
sudo mkdir /opt/easytier/config
2
sudo touch /opt/easytier/config/default.conf

用编辑器打开 /opt/easytier/config/default.conf，将之前保存的配置内容完整粘贴进去，保存退出。

创建 systemd 服务单元文件 easytier@.service（注意服务名拼写为 easytier）：

Terminal window

1
sudo touch /etc/systemd/system/easytier@.service

写入以下内容：

1
[Unit]
2
Description=EasyTier Service
3
Wants=network.target
4
After=network.target syslog.target
5
StartLimitIntervalSec=0
6

7
[Service]
8
Type=simple
9
WorkingDirectory=/opt/easytier
10
ExecStart=/opt/easytier/easytier-core -c /opt/easytier/config/%i.conf
11
Restart=always
12
RestartSec=1
13
LimitNOFILE=infinity
14

15
[Install]
16
WantedBy=multi-user.target

展开收起

启用并启动服务：

Terminal window

1
sudo systemctl enable easytier@default
2
sudo systemctl start easytier@default

检查服务状态，确认运行正常：

Terminal window

1
systemctl status easytier@default

此后 EasyTier 服务将开机自启。如需停止服务，执行：

Terminal window

1
sudo systemctl stop easytier@default

TIP

默认情况下，EasyTier 会监听 TCP/UDP 的 11010 端口作为节点间通信端口。客户端接入时，可使用 tcp://<服务器公网IP>:11010 作为初始节点地址。如果配置文件中自定义了 listeners，以实际配置的地址为准。

客户端接入网络#

其他设备（如笔记本、PC）可以通过图形客户端加入刚才创建的网络。

打开 EasyTier 图形客户端，进行如下设置：

勾选 DHCP：自动从网络获取虚拟 IP，无需手动分配
填入 网络名称 和 网络密码：与服务器侧设置的一致
在“初始节点”中添加服务器节点地址：格式为 tcp://<服务器IP>:11010（若服务器端修改了监听端口，请相应调整）
点击运行，客户端即可加入组网

此时，你的设备已经拥有一个虚拟局域网 IP（如 10.10.10.x），可以与服务器节点互通。

OpenWrt 使用 EasyTier 并代理子网#

将 EasyTier 部署在 OpenWrt 路由器上，可以让路由器所在的整个局域网设备无需安装客户端即可直接访问虚拟网络中的资源。

1. 安装 LuCI 插件与 CLI 程序#

从 luci-app-easytier 仓库下载与你的 OpenWrt 版本匹配的插件包，并上传到路由器 /tmp 目录。

安装插件（根据软件包格式选择）：

Terminal window

1
# IPK 包（OpenWrt 22.03.x）
2
opkg install /tmp/luci-app-easytier_*.ipk
3

4
# APK 包（OpenWrt SNAPSHOT）
5
apk add --allow-untrusted /tmp/luci-app-easytier_*.apk

刷新 LuCI 界面，在“VPN”菜单下进入“EasyTier”。按照页面提示上传对应架构的 Linux CLI 二进制程序（需包含 easytier-core、easytier-cli 和 easytier-web-embed）。

2. 配置 EasyTier#

在“EasyTier 配置”页面的“基本配置”中：

启用：勾选
启动方式：选择默认
网络名称 / 网络密码：填入前面创建网络时使用的名称和密码
启用 DHCP：勾选
节点服务器：添加服务器节点地址，例如 tcp://<服务器IP>:11010
子网代理：填写需要代理的本地子网，例如 192.168.1.0/24

其余选项保持默认即可。

3. 高级访问控制#

进入“高级设置 - 访问控制”，勾选 “允许从局域网 lan 到虚拟网络 EasyTier 的流量”。这样，连接到该路由器的局域网设备（如手机、打印机）无需安装 EasyTier 即可直接访问虚拟网络中的设备。若不勾选，则只有加入 EasyTier 组网的设备能单向访问此路由器的局域网。

点击 保存并应用，OpenWrt 即加入组网，同时开始代理指定子网。

结语#

通过以上步骤，你已经完成了 EasyTier 从服务器部署、客户端接入到 OpenWrt 子网代理的全流程。此时，不同物理位置的设备仿佛处于同一个局域网，可以安全、便捷地互访。如果你希望进一步调整网络结构（如增加中继、调整 MTU 等），请参考 EasyTier 官方文档进行深入配置。

基于 Firefly 搭建博客并部署到服务器

Wed, 13 May 2026 00:00:00 GMT

Firefly 简介#

Firefly 是一款基于 Astro 框架和 Fuwari 模板开发的清新美观且现代化个人博客主题模板，专为技术爱好者和内容创作者设计。该主题融合了现代 Web 技术栈，提供了丰富的功能模块和高度可定制的界面，让您能够轻松打造出专业且美观的个人博客网站。

📝Firefly使用文档： https://docs-firefly.cuteleaf.cn

⭐Firefly开源地址：https://github.com/CuteLeaf/Firefly

准备工作#

开始之前，需要先准备好以下环境：

Node.js 22.0 或更高版本
pnpm 包管理器
Git
一台用于部署博客的服务器

下文的安装命令以 Debian 系统为例，Ubuntu 等 Debian 系发行版也可以参考。

安装运行环境#

安装 Node.js#

Debian / Ubuntu 官方仓库中的 Node.js 版本通常比较旧，因此不建议直接使用系统默认源安装。这里使用 NodeSource 提供的软件源。

在 NodeSource 页面中选择对应的系统版本和 Node.js 版本。下面以 Debian 12 和 Node.js 24 为例：

Terminal window

1
sudo apt-get install -y curl
2
curl -fsSL https://deb.nodesource.com/setup_24.x | sudo -E bash -
3
sudo apt-get install -y nodejs
4
node -v

安装 pnpm#

Terminal window

1
sudo npm install -g pnpm

安装 Git#

Terminal window

1
sudo apt update -y && sudo apt install git -y

搭建 Firefly 博客#

克隆项目#

Terminal window

1
git clone https://github.com/CuteLeaf/Firefly.git
2
cd Firefly

安装依赖#

Terminal window

1
pnpm install

启动开发服务器#

Terminal window

1
pnpm dev

该命令适合在发布前本地预览。开发服务器启动后，修改文件时页面会自动刷新，方便实时查看效果。

构建生产版本#

Terminal window

1
pnpm build

构建完成后，静态网页文件会生成在 dist 目录中。

预览构建结果#

Terminal window

1
pnpm preview

配置站点与编写文章#

修改站点配置#

站点名称、作者信息、导航栏、社交链接等配置可以参考官方文档中的站点配置。

编写文章#

文章默认存放在 src/content/posts 目录中，支持直接放置 .md / .mdx 文件。也可以创建子目录，用于组织文章和相关资源。

如果希望通过命令创建文章，可以使用：

Terminal window

1
pnpm new-post <filename>

更多写作方式可以参考官方文档中的文章写作指南。

部署到服务器#

这里使用 Caddy 作为静态文件服务器。Caddy 配置简单，并且可以自动申请和续期 HTTPS 证书，适合个人博客部署。

安装 Caddy#

官方安装文档可以参考：https://caddyserver.com/docs/install

本文以 Debian 安装 Stable releases 版本为例：

Terminal window

1
sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https curl
2
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg
3
curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' | sudo tee /etc/apt/sources.list.d/caddy-stable.list
4
sudo chmod o+r /usr/share/keyrings/caddy-stable-archive-keyring.gpg
5
sudo chmod o+r /etc/apt/sources.list.d/caddy-stable.list
6
sudo apt update
7
sudo apt install caddy

配置 Caddy#

编辑 Caddy 配置文件：

Terminal window

1
sudo nano /etc/caddy/Caddyfile

删除或注释掉默认配置，然后写入以下内容：

1
<your-domain-name> {
2
    root * <site-path>
3
    file_server
4
}

其中：

<your-domain-name> 是你的域名，例如 example.com
<site-path> 是站点部署目录，例如 /var/www/blog

如果同一个站点需要绑定多个域名，可以写成：

1
<your-domain-name-1>, <your-domain-name-2> {
2
    root * <site-path>
3
    file_server
4
}

验证并重启 Caddy#

Terminal window

1
sudo caddy validate -c /etc/caddy/Caddyfile
2
sudo systemctl restart caddy

同步静态资源#

部署的核心步骤是：先构建出静态网页，再将构建产物同步到 Caddy 指向的站点目录。

如果在服务器或本地机器上构建，静态资源目录通常是：

1
<blog-path>/dist

如果服务器性能较弱，导致无法在服务器上完成构建，也可以先将代码推送到 GitHub。当前项目会通过 GitHub Actions 进行构建，并将构建结果推送到 pages 分支。这种情况下，可以使用 pages 分支中的内容作为静态资源。

下文使用以下占位符：

<static-resources-path>：静态资源目录。本地构建时通常是 <blog-path>/dist；使用 pages 分支时通常是仓库根目录。
<site-path>：服务器上的站点目录，例如 /var/www/blog。

使用 rsync 同步静态资源：

Terminal window

1
sudo rsync -av --delete <static-resources-path>/ <site-path>/

参数说明：

-a：归档模式，保留目录结构、权限和时间等信息。
-v：显示详细输出。
--delete：删除目标目录中源目录已经不存在的文件，保证两边内容一致。
末尾的 / 不能省略。带 / 表示同步目录中的文件；不带 / 则会把整个目录同步到目标目录下。

完成以上步骤后，就可以通过配置好的域名访问博客了。