效果

能在没有公网，仅拥有 NAT1 的情况下，做到无感 PLEX 外网访问

前提

• 确保路由器的 NAT 类型为 NAT1,并且要求 TCP 的 NAT 类型也为 NAT1
• 主路由场景下基本没什么大问题，如果在旁路由场景下可能需要为旁路由开启 DMZ，此外，OpenClash等科学插件也有影响
• 安装 Lucky，这里不多赘述，自行解决

相关链接

https://github.com/gdy666/lucky

• Python-plexapi

配置

脚本配置

• 以 Openwrt 为例，首先确保安装Python，随后安装下列库

pip3 install plexapi

• 根据其中需要修改的四行代码，修改为自己的实际参数，随后复制并建立一个.py文件，例如 modify_port.py，放置于任意位置，例如/root路径下

这是需要修改的内容

# Plex 账号信息
PLEX_USERNAME = "example@qq.com"
PLEX_PASSWORD = "password"

PLEX_SERVER_BASEURL = "http://192.168.3.6:32400"  # 替换为你的 Plex 服务器 URL

TOKEN_FILE = "/root/plex_token.json"  # 保存 PLEX Token 的路径

这是脚本代码

import os
import sys
import json
import requests
from plexapi.server import PlexServer

# Plex 账号信息
PLEX_USERNAME = "example@qq.com"
PLEX_PASSWORD = "password"

# Plex API URL
LOGIN_URL = "https://plex.tv/users/sign_in.json"
PLEX_SERVER_BASEURL = "http://192.168.3.6:32400"  # 替换为你的 Plex 服务器 URL

# 登录请求的头信息
HEADERS = {
    "Content-Type": "application/json",
    "Accept": "application/json",
    "X-Plex-Client-Identifier": "MyPlexApp"
}

# 获取新令牌的登录请求数据
data = {
    "user": {
        "login": PLEX_USERNAME,
        "password": PLEX_PASSWORD
    }
}

def get_plex_token():
    """
    通过向 Plex API 发送登录请求获取 Plex 认证令牌。
    """
    try:
        response = requests.post(LOGIN_URL, headers=HEADERS, data=json.dumps(data))
        if response.status_code == 201:  # 状态码 201 表示登录成功
            return response.json()['user']['authentication_token']
        else:
            print(f"获取令牌失败。状态码: {response.status_code}")
            return None
    except Exception as e:
        print(f"认证过程中发生错误: {str(e)}")
        return None

def read_token_from_file(token_file):
    """
    从指定的 JSON 文件中读取 Plex 令牌。
    """
    if os.path.exists(token_file):
        try:
            with open(token_file, 'r') as file:
                data = json.load(file)
                return data.get('token')
        except Exception as e:
            print(f"读取令牌文件时发生错误: {str(e)}")
            return None
    else:
        return None

def save_token_to_file(token_file, token):
    """
    将 Plex 令牌保存到指定的 JSON 文件中。
    """
    try:
        with open(token_file, 'w') as file:
            json.dump({"token": token}, file)
    except Exception as e:
        print(f"保存令牌到文件时发生错误: {str(e)}")

def check_token_validity(baseurl, token):
    """
    通过向服务器发送验证请求来检查 Plex 令牌的有效性。
    """
    try:
        check_url = f"{baseurl}/library/sections?X-Plex-Token={token}"
        response = requests.get(check_url)
        return response.status_code == 200
    except Exception as e:
        print(f"检查令牌有效性时发生错误: {str(e)}")
        return False

def modify_port(plex, new_port):
    """
    修改 Plex 服务器设置中的手动端口映射。
    """
    manual_port_setting = plex.settings.get('manualPortMappingPort')
  
    if manual_port_setting:
        try:
            manual_port_setting.set(new_port)
            plex.settings.save()
            print(f"手动端口映射已成功更改为: {new_port}")
        except Exception as e:
            print(f"修改端口或保存设置时发生错误: {str(e)}")
    else:
        print("无法找到手动端口映射设置。")

if __name__ == "__main__":
    # 第一步：解析命令行参数，获取新的端口号
    if len(sys.argv) < 2:
        print("用法: python3 modify.py <new_port>")
        sys.exit(1)

    try:
        NEW_PORT = int(sys.argv[1])  # 将提供的端口号转换为整数
    except ValueError:
        print("无效的端口号。请提供有效的整数。")
        sys.exit(1)

    # 第二步：定义令牌存储文件
    TOKEN_FILE = "/root/plex_token.json"  # Token路径

    # 第三步：从文件中读取令牌或生成新令牌
    PLEX_TOKEN = read_token_from_file(TOKEN_FILE)

    # 第四步：如果文件中没有令牌，或者令牌无效，则生成新令牌
    if PLEX_TOKEN is None or not check_token_validity(PLEX_SERVER_BASEURL, PLEX_TOKEN):
        PLEX_TOKEN = get_plex_token()
        if PLEX_TOKEN:
            save_token_to_file(TOKEN_FILE, PLEX_TOKEN)
        else:
            print("获取有效令牌失败。")
            sys.exit(1)

    # 第五步：使用 plexapi 连接到 Plex 服务器并修改手动端口
    try:
        plex = PlexServer(PLEX_SERVER_BASEURL, PLEX_TOKEN)
        print("成功连接到 Plex 服务器！")
  
        # 修改手动端口映射（使用传入的端口号）
        modify_port(plex, NEW_PORT)
    except Exception as e:
        print(f"连接 Plex 服务器或修改设置时发生错误: {str(e)}")

Lucky 配置

创建一个 TCP 穿透规则，这里我指定了一个空闲端口为 13333，并且不使用 LUCKY 的内置端口转发。开启自定义脚本触发，代码如下：

python3 /root/modify_port.py ${port}

if [ $? -ne 0 ]; then
    echo "Python script execution failed with exit code $?."
fi

注意此处代码的 /root/modify_port.py 就是刚刚的python执行脚本的实际路径。

随后确认即可，规则创建关闭后稍时即可打洞成功。

端口转发

由于我们刚刚指定了端口，并且没有使用Lucky内置的端口转发，因此我们需要用防火墙配置手动端口转发

如果你是主路由，源区域应该是防火墙的“WAN”区域，我是旁路由，所以源区域为LAN

外部端口就是刚刚打洞绑定的端口，例如我刚刚在 LUCKY 配置了13333端口

目前区域即可 LAN，内部 IP 地址即为 PLEX 所在主机 IP，内部端口通常为 PLEX Server 默认端口32400

常见问题

• 在配置前可单独调试脚本，确保脚本正常运作，脚本调试命令为：

python3 modify_port.py <port>

• 旁路由的可能额外操作 LUCKY 位于旁路由，并且使用了 Openclash，即使配置了旁路由为 DMZ，但是 TCP 流量经过了 Openclash，因此导致了 TCP 的 NAT 类型不为 NAT1。

解决方案有下列几种：

1. 通过 Openclash 的仅允许常用端口流量功能，可以让打洞的流量不经过 Openclash，即不包含3478端口流量

2. 通过 Openclash 的黑白名单功能中的绕过核心的来源端口功能

   

设置几个打洞时绑定的预设端口，这些端口流量就不会经过 Openclash 了，但配置中也指出了，Fake ip模式下只能过滤纯 IP 类型请求。

其它请自行发挥，包括但不限于使用Openclash的开发者选项，或者修改防火墙来实现

前言

今天登录 VPS 时意外发现CPU占用 100%，察觉到意外的我立马检查了相关应用，最后定位到了 Docker 中的 PHP8 容器。容器占用了几乎所有的 CPU 资源和内存，随即我对此展开了调查。

日志分析

[07-Jun-2024 15:02:57] NOTICE: fpm is running, pid 1
[07-Jun-2024 15:02:57] NOTICE: ready to handle connections
172.18.0.1 -  07/Jun/2024:15:03:23 +0800 "GET /index.php" 200
172.18.0.1 -  07/Jun/2024:15:04:57 +0800 "GET /index.php" 200
chattr: setting flags on /tmp/: Operation not permitted
chattr: setting flags on /var/tmp/: Operation not permitted
chattr: setting flags on /var/spool/cron: Operation not permitted
chattr: can't open '/var/spool/cron/crontabs': Symbolic link loop
chattr: can't stat '/etc/crontab': No such file or directory
sh: ufw: not found
sh: iptables: not found
sh: sudo: not found
sh: can't create /proc/sys/kernel/nmi_watchdog: Read-only file system
sh: can't create /etc/sysctl.conf: Permission denied
userdel: user 'akay' does not exist
userdel: user 'vfinder' does not exist
chattr: can't stat '/root/.ssh/': Permission denied
chattr: can't stat '/root/.ssh/authorized_keys': Permission denied
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
crontab: must be suid to work properly
crontab: must be suid to work properly
crontab: must be suid to work properly
crontab: must be suid to work properly
crontab: must be suid to work properly
crontab: must be suid to work properly
crontab: must be suid to work properly
crontab: must be suid to work properly
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
sed: /tmp/.X11-unix/01: No such file or directory
cat: can't open '/tmp/.X11-unix/01': No such file or directory
sed: /tmp/.X11-unix/11: No such file or directory
cat: can't open '/tmp/.X11-unix/11': No such file or directory
sed: /tmp/.X11-unix/22: No such file or directory
cat: can't open '/tmp/.X11-unix/22': No such file or directory
sed: /tmp/.systemd.1: No such file or directory
cat: can't open '/tmp/.systemd.1': No such file or directory
sed: /tmp/.systemd.2: No such file or directory
cat: can't open '/tmp/.systemd.2': No such file or directory
sed: /tmp/.systemd.3: No such file or directory
cat: can't open '/tmp/.systemd.3': No such file or directory
cat: can't open '/tmp/.systemd.1': No such file or directory
sh: you need to specify whom to kill
cat: can't open '/tmp/.systemd.2': No such file or directory
sh: you need to specify whom to kill
cat: can't open '/tmp/.systemd.3': No such file or directory
sh: you need to specify whom to kill
sed: /tmp/.pg_stat.0: No such file or directory
cat: can't open '/tmp/.pg_stat.0': No such file or directory
sed: /tmp/.pg_stat.1: No such file or directory
cat: can't open '/tmp/.pg_stat.1': No such file or directory
sed: /home/www-data/data/./oka.pid: No such file or directory
cat: can't open '/home/www-data/data/./oka.pid': No such file or directory
sed: /tmp/.ICE-unix/d: No such file or directory
cat: can't open '/tmp/.ICE-unix/d': No such file or directory
sed: /tmp/.ICE-unix/m: No such file or directory
cat: can't open '/tmp/.ICE-unix/m': No such file or directory
ps: unrecognized option: w
BusyBox v1.36.1 (2023-11-07 18:53:09 UTC) multi-call binary.
Usage: ps [-o COL1,COL2=HEADER] [-T]
Show list of processes
    -o COL1,COL2=HEADER    Select columns for display
    -T            Show threads
ps: unrecognized option: w
BusyBox v1.36.1 (2023-11-07 18:53:09 UTC) multi-call binary.
Usage: ps [-o COL1,COL2=HEADER] [-T]
Show list of processes
    -o COL1,COL2=HEADER    Select columns for display
    -T            Show threads
kill: invalid number 'USER'
grep: bad regex 'kworker -c\': Trailing backslash
kill: invalid number 'USER'
kill: invalid number 'www-data'
kill: invalid number 'www-data'
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
netstat: showing only processes with your user ID
sh: systemctl: not found
killall: log_rot: no process killed
chattr: can't stat '/etc/ld.so.preload': No such file or directory
rm: can't remove '/opt/atlassian/confluence/bin/1.sh': No such file or directory
rm: can't remove '/opt/atlassian/confluence/bin/1.sh.1': No such file or directory
rm: can't remove '/opt/atlassian/confluence/bin/1.sh.2': No such file or directory
rm: can't remove '/opt/atlassian/confluence/bin/1.sh.3': No such file or directory
rm: can't remove '/opt/atlassian/confluence/bin/3.sh': No such file or directory
rm: can't remove '/opt/atlassian/confluence/bin/3.sh.1': No such file or directory
rm: can't remove '/opt/atlassian/confluence/bin/3.sh.2': No such file or directory
rm: can't remove '/opt/atlassian/confluence/bin/3.sh.3': No such file or directory
rm: can't remove '/var/tmp/lib': No such file or directory
rm: can't remove '/var/tmp/.lib': No such file or directory
chattr: can't stat '/tmp/lok': No such file or directory
chmod: /tmp/lok: No such file or directory
sh: docker: not found
sh: docker: not found
sh: docker: not found
sh: setenforce: not found
sh: can't create /etc/selinux/config: nonexistent directory
sh: service: not found
sh: systemctl: not found
sh: service: not found
sh: systemctl: not found
/tmp/kinsing is b3039abf2ad5202f4a9363b418002351
crontab: must be suid to work properly
crontab: must be suid to work properly
144.202.29.195 -  07/Jun/2024:15:09:55 +0800 "POST /usr/local/lib/php/PEAR.php" 200

可以看到，容器日志中有着很多权限错误，/tmp/kinsing is b3039abf2ad5202f4a9363b418002351 这一行中的kinsing是一个知名挖矿病毒 kdevtmpfsi的守护进程。

随即我使用 ssh登录服务器，使用 top命令检测系统占用，果不其然，挖矿进程正占用了系统的主要资源。

解决与反思

首先我尝试了停止 PHP 容器，随后检测发现 kdevtmpfsi的进程停止了，因此可以判断病毒仅存在于容器内。最后我重新构建了 PHP 容器，一切都得到解决，病毒进程也不在出现了。

我在网上查询相关的信息，发现有很多人都中过这个挖矿病毒，大多数人都是由于将 php-fpm 的9000端口暴露在了公网造成的，这是由于 Docker 在映射端口时需要指定127.0.0.1:9000->9000才是将端口映射在本地，如果映射到 0.0.0.0:9000 的话会绕过 ufw 直接暴露在公网。但问题是，我的服务器不仅有本地的防火墙，还有服务商那里的防火墙，因此不可能存在端口暴露在公网这种问题。此外，由于我服务器 SSH 登录方式采用密钥登录，也几乎排除了服务器被破解登录的可能性。

排除了所有的可能性之后，我只能认为是 Typecho 博客的的漏洞了，目前的解决措施是使用了 1panel 的 WAF 功能进行 XSS 防御和 SQL 注入防御。

前言

Docker 拥有 API 功能，可以通过 Portainer 远程连接进行可视化管理，但在没有加密的情况下比较危险，因此需要配置TLS 加密来保障 Docker API 通信的安全性。通过开启 TLS 防止未经许可的客户端访问服务端节点，保障其系统安全性。

开始

创建 TLS 证书

#!/bin/bash
# 
# -------------------------------------------------------------
# 自动创建 Docker TLS 证书
# -------------------------------------------------------------

# 以下是配置信息
# --[BEGIN]------------------------------

PASSWORD="your code"
COUNTRY="CN"
STATE="your state"
CITY="your city"
ORGANIZATION="your org"
ORGANIZATIONAL_UNIT="your org unit"
EMAIL="your email"

# --[END]--

CODE="docker_api"
IP=`curl ip.sb -4`
COMMON_NAME="$IP"

# Generate CA key
openssl genrsa -aes256 -passout "pass:$PASSWORD" -out "ca-key-$CODE.pem" 4096
# Generate CA
openssl req -new -x509 -days 365 -key "ca-key-$CODE.pem" -sha256 -out "ca-$CODE.pem" -passin "pass:$PASSWORD" -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORGANIZATIONAL_UNIT/CN=$COMMON_NAME/emailAddress=$EMAIL"
# Generate Server key
openssl genrsa -out "server-key-$CODE.pem" 4096

# Generate Server Certs.
openssl req -subj "/CN=$COMMON_NAME" -sha256 -new -key "server-key-$CODE.pem" -out server.csr

echo "subjectAltName = IP:$IP,IP:127.0.0.1" >> extfile.cnf
echo "extendedKeyUsage = serverAuth" >> extfile.cnf

openssl x509 -req -days 365 -sha256 -in server.csr -passin "pass:$PASSWORD" -CA "ca-$CODE.pem" -CAkey "ca-key-$CODE.pem" -CAcreateserial -out "server-cert-$CODE.pem" -extfile extfile.cnf


# Generate Client Certs.
rm -f extfile.cnf

openssl genrsa -out "key-$CODE.pem" 4096
openssl req -subj '/CN=client' -new -key "key-$CODE.pem" -out client.csr
echo extendedKeyUsage = clientAuth >> extfile.cnf
openssl x509 -req -days 365 -sha256 -in client.csr -passin "pass:$PASSWORD" -CA "ca-$CODE.pem" -CAkey "ca-key-$CODE.pem" -CAcreateserial -out "cert-$CODE.pem" -extfile extfile.cnf

rm -vf client.csr server.csr

chmod -v 0400 "ca-key-$CODE.pem" "key-$CODE.pem" "server-key-$CODE.pem"
chmod -v 0444 "ca-$CODE.pem" "server-cert-$CODE.pem" "cert-$CODE.pem"

# 打包客户端证书
mkdir -p "tls-client-certs-$CODE"
cp -f "ca-$CODE.pem" "cert-$CODE.pem" "key-$CODE.pem" "tls-client-certs-$CODE/"
cd "tls-client-certs-$CODE"
tar zcf "tls-client-certs-$CODE.tar.gz" *
mv "tls-client-certs-$CODE.tar.gz" ../
cd ..
rm -rf "tls-client-certs-$CODE"

# 拷贝服务端证书
mkdir -p /srv/certs.d
cp "ca-$CODE.pem" "server-cert-$CODE.pem" "server-key-$CODE.pem" "tls-client-certs-$CODE.tar.gz" /srv/certs.d/

修改上面的配置信息，将上述脚本保存为一个 .sh 文件，并在命令行执行 bash xxx.sh 以运行该脚本。运行后将在 /srv/certs.d 目录下生成证书，其中包括 tls-client-certs-docker_api.tar.gz ，该文件保存着客户端访问 Docker API 所需的证书，请下载下来并安全和妥善地保存。

开启 Docker API

首先打开终端并执行以下命令：

vim /lib/systemd/system/docker.service

在打开的 Docker 服务文件中查找 ExecStart 行

在 ExecStart 行的后面添加以下选项：

-H=tcp://0.0.0.0:2376 --tlsverify --tlscacert=/srv/certs.d/ca-docker_api.pem --tlscert=/srv/certs.d/server-cert-docker_api.pem --tlskey=/srv/certs.d/server-key-docker_api.pem

最后，执行以下命令重新加载服务并重启 Docker：

systemctl daemon-reload && service docker restart

验证

此时，我们需要验证 Docker API 是否能够访问，且是否只能通过加密访问。

首先执行 docker -H=127.0.0.1:2376 info，一般来说会返回：

Client:
Context:    default
Debug Mode: false
Plugins:
app: Docker App (Docker Inc., v0.9.1-beta3)
buildx: Docker Buildx (Docker Inc., v0.9.1-docker)
Server:
ERROR: Error response from daemon: Client sent an HTTP request to an HTTPS server.
errors pretty printing info

这是因为没有通过 tls 去访问，此时改用 docker -H=127.0.0.1:2376 --tlsverify info，会出现下面的错误：

unable to resolve docker endpoint: open /root/.docker/ca.pem: no such file or directory

这是由于目前没有在对应的用户文件夹下配置证书，我们可以执行以下命令：

mkdir ~/.docker && \
tar -zxvf /srv/certs.d/tls-client-certs-docker_api.tar.gz -C ~/.docker && \
mv ~/.docker/ca-docker_api.pem ~/.docker/ca.pem && \
mv ~/.docker/cert-docker_api.pem ~/.docker/cert.pem && \
mv ~/.docker/key-docker_api.pem ~/.docker/key.pem

完成后再执行一遍 docker -H=127.0.0.1:2376 --tlsverify info 即可获取信息了，至此验证完成。

配置 Portainer

打开 Portainer，进入 Environments：

点击右上角的 Add environment 添加节点，并在随后的向导中选择 API。

将环境 URL 或者 Docker API URL 中的端口从 2375 改为 2376。然后将 TLS 的 Switch 打开，即可看到相关的 TLS 配置项，我们在第一步的时候下载了一份文件，解压后根据对应关系上传即可。

Moon是什么，为什么需要Moon？

ZeroTier 通过自己的多个根服务器帮助我们建立虚拟的局域网，让虚拟局域网内的各台设备可以打洞直连。这些根服务器的功能有些类似于通过域名查询找到服务器地址的 DNS 服务器，它们被称为 Planet. 然而这里存在一个非常严重的问题，就是 Zerotier 的官方行星服务器都部署在国外，从国内访问的时候延迟很大，甚至在网络高峰期的时候都没法访问，这也会导致我们的虚拟局域网变得极不稳定，经常掉链子。

为了应对网络链接的延迟和不稳定，提高虚拟局域网的速度和可靠性，Zerotier 允许我们建立自己的 moon 卫星中转服务器。

搭建流程(省略服务器购买相关基础说明)

配置 ZEROTIER

• 安装

curl -s https://install.zerotier.com/ | sudo bash

显示 Success 后安装成功

• 启动

zerotier-one -d

• 加入

sudo zerotier-cli join xxxxxxxxxxxxxxxx

xxxxxxxxxxxxx为 zerotier 官网创建的网络id

加入成功后显示 200 join ok 之后前往 ZEROTIER 官网授权客户端

配置 MOON 节点

• 生成一个 moon 文件

cd /var/lib/zerotier-one
zerotier-idtool initmoon identity.public > moon.json

• 编辑moon.json文件 使用 vim 或 nano 以及宝塔图形化等编辑器编辑 moon.json 文件

如图，在stableEndpoints后的方括号内输入"你的服务器公网ip"/9993 包括英文双引号，随后保存该文件。并执行以下命令：

zerotier-idtool genmoon moon.json

会显示一行 wrote 开头的代码，包括一串 xxxxxxxxxxxxxxxxxxx.moon文本，其中xxxxxxxxxxxxxxx为生成的随机 id。

• 创建moons.d目录

在该目录下创建 moons.d 目录

sudo mkdir moons.d

• 移动配置文件

sudo mv xxxxxxxxxxxxxx.moon moons.d/

xxxxxxxxxxxxxx为上文生成的id。

• 重启 ZEROTIER 服务端

sudo systemctl restart zerotier-one

客户端配置

Windows 客户端

在 Zerotier 默认安装路径C:\ProgramData\ZeroTier\One下新建 moons.d 文件夹，并将服务端得到的.moon后缀文件放入，随后在 windows 任务管理器中重新启动ZeroTierOneService服务进程。

随后在CMD中运行 zerotier-cli listpeers命令

若显示公网ip/9993的 MOON 节点则代表正确。

LINUX客户端

Linux 客户端需要在var/lib/zerotier路径下新建 moos.d 文件夹，和 windows 一样将 .moon 后缀的文件放到里面，随后使用和 windows 相同的命令 zerotier-cli listpeers检查是否生效。

前言

TeamSpeak 是全球流行的团队语音通讯工具软件，常用于游戏、会议团队语音沟通，并提供文字聊天、文件共享功能，所有数据加密传输。 由于 YY语音 有很多广告，Discord 由于服务器在国外延迟比较高，因此转而使用 Teamspeak 通讯获得更好的通讯体验。

NOTE

本文将演示如何在 Centos7 系统下搭建 Teamspeak3 服务端。

普通搭建

更新系统

• 更新系统

  yum update -y
  

• 安装必要组件

  yum install vim wget perl tar net-tools bzip2 -y
  

开始部署

::: banner {error} 为保证安全，官方建议不要使用 root 账号搭建 :::

• 首先新建一个用户，名为 teamspeak

  useradd teamspeak
  passwd teamspeak
  

• 进入 opt 目录

  cd /opt
  

• 获取最新服务端 (目前最新版本为 3.13.7) 官网服务端下载

  wget https://files.teamspeak-services.com/releases/server/3.13.7/teamspeak3-server_linux_amd64-3.13.7.tar.bz2
  

• 解压最新服务端软件包并删除压缩包

  tar -xjvf teamspeak3-server_linux_amd64-3.13.7.tar.bz2 && rm teamspeak3-server_linux_amd64-3.13.7.tar.bz2
  

• 赋予普通用户 teamspeak 权限，并进入该目录

  chown -R teamspeak:teamspeak teamspeak3-server_linux_amd64 && cd /opt/teamspeak3-server_linux_amd64 && su teamspeak
  

配置与运行

• 同意 TeamSpeak 许可条款

  touch .ts3server_license_accepted
  

• 自动配置数据库并启动 TeamSpeak 服务器

  ./ts3server_startscript.sh start
  

• 屏幕上会出现两条 IMPORTANT 的信息，请注意保管并记牢！

  • serveradmin 为服务端查询管理账号，password 即为服务端查询登录密码
  • Token 是激活服务器管理员的重要凭证！

• 

放行防火墙

NOTE

管理面板放行端口较为简单这里不再提及，演示使用 Centos7 防火墙放行端口

• 首先切换到管理员用户

  su root
  

• 找到 default zone

  firewall-cmd --get-default-zone
  

• 打开与 TeamSpeak 服务相关的端口

  firewall-cmd --zone=public --permanent --add-port=9987/udp
  firewall-cmd --zone=public --permanent --add-port=10011/tcp
  firewall-cmd --zone=public --permanent --add-port=30033/tcp
  

  9987/udp for Voice. 30033/tcp for Filetransfer. 10011/tcp for ServerQuery.

• 重载 firewalld 以使其生效

  firewall-cmd --reload
  

自启动配置

• 编辑服务项配置文件

  vi /lib/systemd/system/teamspeak.service
  

• 在该文件中写入如下内容：（按 i 进入编辑模式，编辑完成后按 ESC 退出编辑模式，接着输入 :wq 保存并退出 vi 编辑器）

  [Unit]
  Description=Teamspeak, The most superior online voice communication solution.
  After=network.target
  
  [Service]
  User=teamspeak
  Group=teamspeak
  WorkingDirectory=/opt/teamspeak3-server_linux_amd64/
  ExecStart=/opt/teamspeak3-server_linux_amd64/ts3server_startscript.sh start
  ExecStop=/opt/teamspeak3-server_linux_amd64/ts3server_startscript.sh stop
  PIDFile=/opt/teamspeak3-server_linux_amd64/ts3server.pid
  Type=forking
  RestartSec=15
  Restart=always
  
  [Install]
  WantedBy=multi-user.target
  

• 重新加载 systemd

  systemctl daemon-reload
  

• 开启服务自启动

  systemctl enable teamspeak.service
  

管理命令

systemctl start teamspeak.service   # 启动 TeamSpeak
systemctl stop teamspeak.service    # 停止 TeamSpeak
systemctl restart teamspeak.service # 重启 TeamSpeak

Docker-Compose 一键部署 (推荐)

version: '3.1'
services:
  teamspeak:
    image: teamspeak:3.13.7
    restart: always
    ports:
      - 9987:9987/udp
      - 10011:10011
      - 30033:30033
    volumes:
      - ./data:/var/ts3server
    environment:
      TS3SERVER_DB_USER: root
      TS3SERVER_DB_PASSWORD: password
      TS3SERVER_DB_NAME: teamspeak
      TS3SERVER_DB_WAITUNTILREADY: 30
      TS3SERVER_LICENSE: accept

客户端使用

初次进入将会要求输入管理员密钥，即上文 TOKEN

随后即可获得管理员权限，在客户端管理 Teamspeak