Use ssh key without password to login Linux in Windows

在Windows下使用SSH Key免密碼直接登入Linux主機

已經在Windows下使用PuTTYgen產生ppk檔。現在設定PuTTY使用ppk檔免密碼直接登入Linux主機，紀錄設定過程。
PuTTY程式可以直接在官網單獨下載最新版本，也可以直接下載PuTTY程式完整安裝。
https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html

PuTTY.exe，現在使用0.81版本。

PuTTY 設定

1.設定連線主機Session

   選取「Session」>在Host Name (or IP address)設定新的連線主機。如果要修改已設定主機，先選取Saved Sessions的主機，再選取Load載入主機設定。

2.設定Public-key authentication

   選取「Connection」>「SSH」>「Auth」>「Credentials」中 Public-key authentication 的 Private key file for authentication Browe來指定檔案。

   選取相關的ppk檔。

  指定檔案完成。

3.設定Auto-login username

   選取「Connection」>「Data」中 Login details，在 Auto-login username 輸入登入使用者帳號。
  設定完成後，記得到「Session」，選取主機的Sessions，再選取Save儲存主機設定。

驗證結果

1.使用Linux生成SSH Key經PuTTYgen轉換的ppk檔，登入成功畫面。

2.在Windows使用PuTTYgen生成SSH Key匯出為Linux使用的檔案(bee02-publickey)。
    將bee02-publickey檔案放入遠端主機的使用者Home目錄下。再執行匯入指令，將公鑰匯入檔案。

      
  登入成功畫面。

投資-202405

 投資-202405

5/1
台股4月出現震盪，4/10創下歷史新高20883點，4/19低點19291，跌破2萬點，期間高低點達1592點。4/30收20396點，外資單月賣超1518億。
台積電4/12歷史新高826，但法說會後半導體產業前景疑慮，造成台美股科技大跌。。

4月美股整體表現不佳，道指下跌5%，創2022年9月以來最差月度表現。標普500指數下跌約4.2%，納斯達克指數下跌約4.4%。三大指數終結五個月的連漲走勢。NVDA跌破900， SMCI跌破1000，TSLA跌至14x，反彈至19x。

美國Q1經濟成長率放緩、通膨率持續反，聯準會將延後降息，或轉鷹派再次升息。

4月因台股大跌期間部分加碼且購買00937B。

總投入金額 125037

總市值 151174

配置

How to create an SSH key in Windows using PuTTYgen

如何使用PuTTYgen 在Windows建立SSH金鑰

在Linux設定SSH key 免密碼登入直接在主機生成金鑰就可以使用，如果要在windows下使用PuTTY設定SSH key 免密碼登入Linux主機，
要先使用PuTTYgen直接產生Windows使用的ppk檔，或將Linux生成的金鑰轉換為Windows使用ppk檔。

官網說明
PuTTYgen 是一個金鑰產生器。它產生要與 PuTTY、PSCP、PSFTP 和 Plink 以及 PuTTY 驗證代理 Pageant 一起使用的公鑰和私鑰對。PuTTYgen 產生 RSA、DSA、ECDSA 和 EdDSA 金鑰。
https://the.earth.li/~sgtatham/putty/0.81/htmldoc/Chapter8.html#pubkey-puttygen

可以直接在官網下載最新版本，也可以直接下載PuTTY程式完整安裝，就會包含PuTTYgen。
https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html

PuTTYgen Release 0.81

PuTTYgen產生金鑰

先選擇加密方式RSA 及 2048位元長度，再選取Generate a public/private key pair 的 「Generate」，就能開始建立SSH密鑰。

在設定過程，滑鼠在Key區塊內隨意移動，產生雜湊數據，讀取條才會增加。

等讀取條跑完就產出密鑰，點取「Save Public key」或「Save private key」，儲存為ppk檔。

選取「Conversions」>「Export OpenSSH key」。匯出為linux使用的檔案格式。再將密鑰匯入主機。

PuTTYgen轉換Linux 的金鑰

執行PuTTYgen.exe，選取「Conversions」>「Import key」。

選擇已有的金鑰檔案。

匯入後，選取「Save private key」。

輸入檔案名稱，存檔類型為Putty Private Key Files(.ppk)，副檔名為ppk。

後續在Windows 設定PuTTY、WinSCP 等軟體經由SSH使用密鑰方式登入Linux主機。

WinSCP 更新及設定

WinSCP 更新及設定

之前因為SSH Terrapin Prefix Truncation Weakness (CVE-2023-48795)問題，調整主機SSH，發現WinSCP連線有問題，發現版本過舊(5.15.5)，直接至官網更新版本。

安裝使用

官網下載免安裝版，解壓縮直接使用，現在是6.3.2。
https://winscp.net/eng/downloads.php

偏好設定

修改中文(繁體，台灣)介面

感謝 Mark Lin 和 Hong-Yi Chen 將正體中文100%翻譯完成。
中文檔下載https://winscp.net/translations/dll/6.3.2/ch.zip
解壓縮Traditional Chinese壓縮檔(ch.zip)，然後把語言檔(WinSCP.ch)放在與 WinSCP.exe相同的資料夾。

啟動WinSCP.exe，選取「工具」>「環境設定」>「語言」>選取「中文(繁體，台灣)」>「確定」。

顯示隱藏檔

WinSCP登入主機後，預設不會顯示隱藏檔。如果要設定部分功能，如公私鑰檔案。
啟動WinSCP.exe，選取「工具」>「偏好設定」>「窗格」>選取「顯示隱藏檔」>「確定」。

應用程式設定

因為使用免安裝版，部分程式未安裝，手動下載再進行設定。

PuTTY程式可以直接在官網單獨下載最新版本。

https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html

啟動WinSCP.exe，選取「工具」>「整合」>「應用程式」>選取「putty.exe的位置」>「確定」。

投資-202404

投資-202404

3/31
台股3月大漲7％，不僅站上2萬點，盤中新高20397.07點，3/29收盤新高20,294點。
統一台灣高息動能(00939)、元大臺灣價值高息(00940)二檔ETT募集2,283億元，全數在3月布局完成。
輝達GTC大會發表GB200，拉動AI相關產業，帶動台廠供應鏈，台積電新高796，鴻海站上150。

美聯準會將於今年開始降息，預期降息3碼。將調整定期金額。

總投入金額 104267

市值 132111

在 RedHat Linux 8/9 使用pam_pwquality設定密碼原則和複雜性

在 RHEL 8/9 中設定以下密碼原則和複雜性需求

參考;原廠資料1。有說明以下設定

1.強制 root 密碼複雜性。
2.密碼大小（新密碼可接受的最小長度）。
3.設定密碼的位數限制。
4.設定密碼中大寫字元的數量限制。
5.設定密碼中小寫字元的數量限制。
6.設定密碼中其他字元的數量限制。
7.設定密碼中所需類別的最小數量（數字、大寫字母、小寫字母、其他）。
8.設定密碼中允許的連續相同字元的最大數量。
9.設定密碼中允許的同一類連續字元的最大數量。
10.設定舊密碼中不得出現在新密碼中的字元數。
11.不應允許使用者在密碼中包含使用者名稱。
上述要求可以透過pam_pwquality達成。預設情況下，此模組在所有 SSSD 設定檔中啟用。

設定說明

可以依據需求將以下設定加入/etc/security/pwquality.conf中。

1.強制 root 密碼複雜性。

enforce_for_root

2.密碼大小（新密碼可接受的最小長度）。

minlen = 9       
密碼最小長度為9個字元

3.密碼中包含數字的最大信用。

dcredit = -1
密碼必須包含數字的數量

4.密碼中包含大寫字元的最大信用。

ucredit = -1
密碼必須包含大寫字母的數量

5.密碼中包含小寫字元的最大信用。

lcredit = 1
密碼必須包含小寫字母的個數

6.密碼中包含特殊字元的最大信用。

ocredit = 1
密碼必須包含特殊字元的數量

7.密碼中所需字元類別的最小數量。

minclass = 1

8.密碼中允許的連續相同字元的最大數量。

maxrepeat = 2
最多只允許2個連續字元（如果是0，則停用該選項）

9.密碼中允許的同類連續字元的最大數量。

maxclassrepeat = 2
最多只允許2個連續字元（如果是0，則停用該選項）

10.設定舊密碼中不得出現在新密碼中的字元數。

difok = 5
新密碼最多可以有5個字元和舊密碼相同
此選項對root沒有作用，因為root不會被要求輸入舊密碼，因此不會執行比較新舊密碼的檢查

11.不應允許使用者在密碼中包含使用者名稱。

啟用pam_pwquality，預設強制執行這個條件。
可以檢查/etc/security/pwquality.conf
---
# Whether to check if it contains the user name in some form.
# The check is enabled if the value is not 0.
# usercheck = 1
#
# Length of substrings from the username to check for in the password
# The check is enabled if the value is greater than 0 and usercheck is enabled.
# usersubstr = 0
---

關於3.4.5.6選項設定使用信用(credit)，可根據要求以不同方式配置信用值。
信用值評估如下：
信用值 > 0：新密碼中包含對應字元的最大信用值。
信用值 < 0：新密碼中包含對應字元所需的最低強制信用值。
信用值 = 0：對於新密碼中的對應字元類別沒有強制要求。

另外以下參數在網路上查到參考使用
1.只限定本機帳號
local_users_only

2.密碼3次嘗誤後產生錯誤提示
retry=3

3.新密碼不能和最近用過的4次密碼相同
remember=4

4.使用sha512 加密方法加密
sha512

參考資料
Set Password Complexity/Policy with pam_pwquality in Red Hat Enterprise Linux 8, 9

在 RedHat Linux 8/9 使用pam_faillock鎖定使用者帳戶

在 RedHat Linux 8/9 使用pam_faillock鎖定使用者帳戶

在之前在Linux使用pam_faillock鎖定使用者帳戶，是在CentOS 7.9設定達成，在RHEL 8/9參考資料2進行設定。

設定配置

在RHEL 8/9不建議直接編輯/etc/pam.d/system-auth和/etc/pam.d/password-auth。
將使用authselect啟用/停用pam_faillock，在RHEL 7則是使用authconfig 進行配置。

要正確使用faillock.conf配置，請先更新至authselect-1.2.1-2.el8和pam-1.3.1-8.el8或更高版本。
# dnf upgrade authselect pam

啟用faillock

# authselect current                                          <--- 檢查現有設定 
# authselect check                                           <--- 檢查現有設定
# authselect enable-feature with-faillock           <--- 啟用faillock 
# authselect select sssd with-faillock                 <--- 使用設定檔並啟用faillock
# authselect select sssd with-faillock  --force    <--- 使用 --force 強制設定

停用faillock

# authselect disable-feature with-faillock

設定faillock限制

faillock限制設定檔/etc/security/faillock.conf
---
deny=3
unlock_time=600
silent
---
使用者3次失敗後鎖定使用者帳號10分鐘（600 秒）。

驗證檢查

使用faillock 重設/檢查失敗記錄。

顯示username認證失敗記錄：
# faillock --user username

重置username認證失敗記錄：
# faillock --user username --reset

特別設定

限制root

如果要特別限制root，在/etc/security/faillock.conf，增加even_deny_root。

變更鎖定重置持續時間

連續認證失敗時間間隔由fail_interval=n選項控制。預設值為 900（15 分鐘）。
若要將間隔變更為 10 分鐘，請在/etc/security/faillock.conf 修改。
---
fail_interval=600
---

排除特定用戶

如果要排除普通使用者在多次登入失敗後被鎖定，請將使用者新增至使用者群組（例如no_faillock_group），
在/etc/security/faillock.conf 新增以下設定。
---
admin_group=no_faillock_group
---

持續帳戶鎖定

pam_faillock 使用的預設目錄通常會在系統啟動時清除，因此系統重新啟動後也將重新啟用存取。
如果希望持續帳戶鎖定，請在/etc/security/faillock.conf 增加dir=選項。
---
dir=/var/log/faillock
---
請確認目錄已創建，系統重新啟動後帳戶將保持鎖定狀態。
mkdir /var/log/faillock -p

如果指定/var/log/faillock目錄但無效，請確認系統是否啟用SELinux。
SELinux 執行有針對性的策略，將要求任何非預設計數目錄的安全性權限與預設目錄的安全性權限相符。如果不更新安全性權限，pam_faillock 模組無法將失敗的登入紀錄嘗試寫入非預設計數目錄。

使用以下指令檢查非預設計數目錄的安全性權限
# ls -Zd /var/log/faillock
unconfined_u:object_r:var_log_t:s0 /var/log/faillock

如果非預設計數目錄的安全性權限不是faillog_t，
使用以下指令更新安全性權限為faillog_t
# semanage fcontext -a -t faillog_t "/var/log/faillock(/.*)?"

使用以下指令更新非預設故障鎖定目錄/子目錄和檔案正確權限。
# restorecon -R -v /var/log/faillock

參考資料
How to use pam_faillock in Red Hat Enterprise Linux 6 & 7 to lockout users due to successive failed login attempts
What is pam_faillock and how to use it in Red Hat Enterprise Linux 8 & 9?

在Linux 使用pam_faillock鎖定使用者帳戶

在Linux使用pam_faillock鎖定使用者帳戶

為了增加主機安全性，將限定使用者帳號登入密碼錯誤次數後鎖定使用者帳戶。
現有主機OS為CentOS7.9，參考RedHat官網資料1，資料2，資料3。
發現在Red Hat Enterprise Linux 7可以使用pam_faillock和pam_tally 2種方式。
將使用pam_faillock來設定使用者3次失敗後鎖定使用者帳號10分鐘（600 秒）的功能。

設定

在RHEL 7.x 參考資料1，有2個方法。

第一個直接修改PAM設定檔

直接將以下設定加入/etc/pam.d/system-auth和/etc/pam.d/password-auth，2個檔案都要。
要照順序加入3行設定，才會生效。
---
auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent audit deny=3 unlock_time=600      # 增加設定
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_faillock.so authfail audit deny=3 unlock_time=600            # 增加設定
auth        required      pam_deny.so
account     required      pam_faillock.so                                                  # 增加設定
account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so
---

第二個是使authconfig 進行配置
要注意 authconfig-6.2.8-19 及更高版本支援 pam_faillock，才不會出現錯誤。
啟用
authconfig --enablefaillock --faillockargs="deny=5 unlock_time=1200" --update
停用
authconfig --disablefaillock --update

功能驗證

使用faillock 指令，可以查看/重設身份驗證失敗記錄
顯示使用者認證失敗記錄：
# faillock --user username
重置使用者認證失敗記錄：
# faillock --user username --reset

特別設定

變更鎖定重置持續時間

當連續認證失敗重覆發生的鎖定時間，其間隔可以由fail_interval=n 選項控制。
預設值為 900（15 分鐘）。若要將間隔變更為 10 分鐘，可以新增選項，
---
auth        required      pam_faillock.so preauth silent audit fail_interval=600 deny=3 unlock_time=600      # 增加 fail_interval
---

指定root用戶不同設定

如果要設定root用戶和普通用戶不同設定，增加even_deny_root設定
---
auth    required    pam_faillock.so preauth silent audit deny=3 even_deny_root unlock_time=1200 root_unlock_time=600
---

排除特定用戶不鎖定

如要排除使用者在多次登入失敗後鎖定，請將以下行新增至pam_faillock並將user1 、 user2等替換為實際使用者名稱：
---
auth [success=1 default=ignore] pam_succeed_if.so user in user1:user2:user3                       #增加設定，排除特定使用者
auth        required      pam_faillock.so authfail audit deny=3 unlock_time=600
---

sshd服務配置調整

如果pam_faillock.so沒有正常運作，請檢查sshd服務的配置。

檢查sshd設定檔/etc/ssh/sshd_config，請確認ChallengeResponseAuthentication和PasswordAuthentication設定正確。
---
ChallengeResponseAuthentication yes
PasswordAuthentication no
---
重新啟動sshd服務，使配置變更生效。
#systemctl restart sshd

參考資料
How to use pam_faillock in Red Hat Enterprise Linux 6 & 7 to lockout users due to successive failed login attempts
https://access.redhat.com/solutions/7002274
What is pam_faillock and how to use it in Red Hat Enterprise Linux 8 & 9?
https://access.redhat.com/solutions/62949
Difference in the behavior of unlock_time in pam_faillock and pam_tally modules
https://access.redhat.com/solutions/649663

SSH 使用公鑰無法登入問題：Not a RSA1 key file

SSH使用公鑰登入時遇到的問題：Not a RSA1 key file

之前是一般使用者建立ssh金鑰免密碼登入，後來有需求是root使用一般使用者登入主機，發生無法登入狀況。

建立過程

使用root 建立金鑰
[root@MGM01 .ssh]# ssh-keygen
使用root 經由使用者安裝金鑰成功無錯誤
[root@MGM01 .ssh]# ssh-copy-id -i ~/.ssh/id_rsa.pub mysql@192.168.203.101

[root@MGM01 .ssh]# ssh mysql@192.168.203.101
但無法登入成功。

問題檢查過程

1.檔案目錄權限
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_key

2.ssh 啟用debug登入檢查
2-1.修改遠端遠機/etc/ssh/sshd_config文件，新增 LogLevel Debug 
或
2-2.[root@MGM01 .ssh]# ssh -vvv mysql@192.168.203.101
訊息出現 Not a RSA1 key file 的問題

3.遠端主機另外建立ssh 測試，也都無法正常連線。
/usr/sbin/sshd -d -p 2222
ssh -vv localhost -p 2222

4.確認遠端系統為舊板本Suse Linux 10, 本機為CentOS 7.X。遠端主機沒有selinux.
查到資料1，資料2，資料3就只能參考。

紀錄一下。
確認目錄權限
ls -laZ .ssh目錄
重設權限
restorecon -r -w /home
restorecon -FRvv ~/.ssh
chcon -Rv -t ssh_home_t ~/.ssh

結論
網路有人遇到同樣的問題，但沒有標準的解決辦法。
都提到可能是key檔案權限問題，ssh_config,sshd_config設定問題。
檢查過後都沒有異常，也重新建立金鑰，都無法成功，之後連一般使用者登入都出現問題，最後只有用傳說大法(reboot)，重開機就正常。

SSH Terrapin Prefix Truncation Weakness (CVE-2023-48795)

SSH Terrapin Prefix Truncation Weakness (CVE-2023-48795)問題解決

主機被發現有SSH Terrapin Prefix Truncation Weakness (CVE-2023-48795)問題，作業系統為CentOS7.9。
查詢後Redhat原廠有說明發生原因及解決方法。

https://access.redhat.com/security/cve/cve-2023-48795

問題說明：
SSH 通道完整性中發現缺陷。透過在握手期間操縱序號，攻擊者可以刪除安全通道上的初始訊息，而不會導致 MAC 故障。
例如，攻擊者可以停用 ping 擴展，從而停用 OpenSSH 9.5 中針對擊鍵計時攻擊的新對策。

對於 RHEL-7：
在 RHEL7 上的檔案 /etc/ssh/ssh_config 和 /etc/ssh/sshd_config 中使用嚴格的 MAC 和密碼。
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com
MACs umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512

參考說明直接在 /etc/ssh/sshd_config 增加設定。

重新啟動ssh server。

發現無法登入，檢查過後，才發現PuTTY版本(0.6x)過舊，更新到0.73後就正常連線。

How to setup SSH Key passwordless login in Linux

在 Linux 中設定 SSH Key 免密碼登入

為了某些目的，登入遠端主機時不需要輸入密碼，先在使用者主機生成一組key，
包含公鑰（Public Key）與私鑰（Private Key），再將公鑰傳送至遠端主機，達成登入免輸入密碼。
現在環境使用Centos 7，參考RedHat 原廠文件進行設定。參考資料1

1.在使用者主機使用想要遠端登入的帳號執行ssh-keygen生成金鑰SSH-Key

在預設執行ssh-keygen 會產生2048位元的RSA金鑰。
在生成過程當提示輸入密碼時，如果需要完全無密碼登錄，請使用空白密碼。

如果想要用長度更長的 key 如 3,072 或 4,096 bits，可使用 -b 3072 或 -b 4096。
也可以使用不同加密方式如ssh-keygen -t ecdsa或ssh-keygen -t ed25519，產生密鑰。
 不同加密方式產生的檔案名稱會有不同，RSA是id_rsa，ECDSA是id_ecdsa。

2. 將公鑰安裝到遠端主機的使用者帳戶
選擇以下任一方法將公鑰安裝到遠端主機中的使用者帳戶。
2.a.使用ssh-copy-id
可以使用ssh-copy-id指令將產生的身份驗證金鑰的公鑰部分安裝到遠端主機使用者的主目錄中
ssh-copy-id -i ~/.ssh/id_rsa.pub user@ssh-server.example.com

出現提示時，提供遠端使用者的密碼。 
ssh-copy-id會自動將使用者資訊附加到遠端主機上指定使用者的檔案~/.ssh/authorized_keys。
ssh-copy-id是包含在openssh-clients中，如要使用此方法請先確認是否安裝openssh-clients。
安裝過程請確認公鑰檔案。

2.b.使用ssh和cat
可以 ssh 登入遠端主機，但是openssh-clients 未安裝，使用以下命令有助於將公鑰複製到伺服器：
cat ~/.ssh/id_rsa.pub | ssh user@ssh-server.example.com "cat >> ~/.ssh/authorized_keys"

2.c.直接編輯遠端主機主機~/.ssh/authorized_keys
可以 ssh 登入遠端主機，直接將使用者公鑰內容編輯寫入遠端主機~/.ssh/authorized_keys中

3.檢查檔案權限
.ssh目錄及authorized_keys 不能具有寫入權限。
如果檔案模式不正確，使用以下命令修復：
chmod 600 ~/.ssh/authorized_keys
chmod 700 ~/.ssh/

4.停用密碼認證，只允許金鑰認證登入，避免網路亂猜密碼的攻擊。

在主機的 /etc/ssh/sshd_config 修改以下的設定

---

PasswordAuthentication no

PubkeyAuthentication yes

---

修改完成後，請重新啟動sshd。

5.關於加密方法的選擇，依據參考資料2
如果連線舊的作業系統，選用 RSA，並指定至少 3,072 bits 長度。
如果連線比較新的系統，選用 ED25519 。GitHub 和 GitLab 都能支援設定 ED25519。

參考資料：
1.如何在 Red Hat Enterprise Linux 中設定 SSH Key 免密碼登入
2.選擇 SSH key 的加密演算法

Debian install Xrdp+XFCE4

Debian install Xrdp+XFCE4

使用Debian 12 server，作為管理主機，安裝xrdp+xfce4遠端登入使用，進行日常管理應用，紀錄安裝過程及步驟。

安裝環境
Debian Linux 12 (bookworm)

安裝Xrdp+xorgxrdp

apt --no-install-recommends --no-install-suggests install xrdp xorgxrdp

只安裝xrdp，登入時會無法顯示，後面增加xorgxrdp就可以正常登入。

安裝XFCE4

apt --no-install-recommends --no-install-suggests install xfce4 task-xfce-desktop

安裝xfce4+task-xfce-desktop只有基本環境及設定工具，沒有應用程式。 

安裝firefox+中文

apt --no-install-recommends --no-install-suggests install firefox-esr  fonts-arphic-ukai

安裝firefox-esr 及 fonts-arphic-ukai 文鼎楷書體。

安裝成果

後續會再安裝其它軟體，方便進行管理主機應用。

投資-202403

投資-202403

3/2

台股龍年開紅盤，台積電ADR大漲帶動創709新高，帶動台股突破萬九。在2月期間搭配美股上漲，台股上漲1077.21點，創下19023.01歷史高點。美股科技股創高，Nvidia站上800，美超微.AMD等AI相關大漲。聯準會降息時程再延後。APPLE預計停止開發電動車，投入AI發展。

台股站上萬九會調整定期金額。

總投入金額 101350

市值 120047

3月份除息ETF

00929 配息0.13元，3/19除息，4/16領息。

00919 配息0.61元，3/18除息，4/15領息。

投資-202402

投資-202402

2/5
台積電1月法說會優於預期，外資大買站上625，帶動台股突破萬八，舊曆年18096高點封關。美股持續向上，聯準會不會於3月降息。
台股站上萬八會調整市值型和高股息定期比例。

總投入金額 99479

市值 112527

2月份除息ETF

00929 配息0.13元，2/29除息，3/26領息。

00850 配息0.43元，2/27除息，3/25領息。

00878 配息0.40元，2/27除息，3/25領息。

Debian 12 install Proxmox VE 8.x

之前使用Debian 11 安裝 Proxmox VE 7.x，重新使用Debian 12 安裝 Proxmox VE 8.x。
參考原廠官網安裝介紹
https://pve.proxmox.com/wiki/Install_Proxmox_VE_on_Debian_12_Bookworm

整個安裝請使用root 或 sudo 權限執行

1.檢查主機名稱及DNS

確認/etc/hosts設定，移除127.0.0.1 主機名稱 

cat /etc/hosts

hostname --ip-address

確認/etc/resolv.conf，DNS設定

cat /etc/resolv.conf

2.新增 Proxmox VE repository

增加 Proxmox VE repository

echo "deb [arch=amd64] http://download.proxmox.com/debian/pve bookworm pve-no-subscription" > /etc/apt/sources.list.d/pve-install-repo.list

增加 Proxmox VE repository key

wget https://enterprise.proxmox.com/debian/proxmox-release-bookworm.gpg -O /etc/apt/trusted.gpg.d/proxmox-release-bookworm.gpg 

使用sha512sum驗證gpg 

sha512sum /etc/apt/trusted.gpg.d/proxmox-release-bookworm.gpg 

7da6fe34168adc6e479327ba517796d4702fa2f8b4f0a9833f5ea6e6b48f6507a6da403a274fe201595edc86a84463d50383d07f64bdde2e3658108db7d6dc87 

3.更新系統及Proxmox VE repository

apt update && apt full-upgrade

4.安裝 Proxmox VE Kernel及重新啟動

apt install proxmox-default-kernel

systemctl reboot

5.安裝 Proxmox VE 及相關套件

apt install proxmox-ve postfix open-iscsi chrony

相關套件可以依需求自行安裝調整

postfix-Proxmox VE 各項mail通知

open-iscsi-Proxmox VE 連接iscsi設備

chrony-主機校時系統

6.移除 Debian Kernel

apt remove linux-image-amd64 'linux-image-6.1*'

update-grub

系統沒有使用多重開機，新官網建議移除os-prober，相關說明參考官網連結

apt remove os-prober

7.連接 Proxmox VE web 介面 

https://your-ip-address:8006，輸入帳號/密碼，語言依個人需求

8.Network設定，建立 Linux Bridge

   建立vmbr0，設定IP及Gateway，指定主機實體網卡(enp5s0)

   如果規劃多網段架構，分別建立Linux Bridge。

9.確認主機DNS

投資-202401

投資-202401

1/1
定期投資持續累計進入第3年。今年預期加大投入，將以市值型ETF為主，高股息ETF為輔。

重新調整為每月統計，方便自已紀錄投資過程。

總投入金額 97559元
市值 11076元

1月份除息ETF

00929 配息0.13元，1/18除息，2/22領息。