Network Stealth Core

在 Linux 服务器上安装和运行 strongest-direct xray reality 的工具包。

русская версия • docs (en) • документация (ru)

## 项目范围 `network stealth core` 是一个 Bash 优先的自动化项目，用于管理 xray reality 节点。 其目标很简单： - 安装过程中几乎不进行任何询问 - 为 RF anti-DPI 用途选择最强且安全的默认配置 - 保持每个变更操作的事务性和可回滚性 - 导出真实的客户端产物，而非具有误导性的降级模板 ## 官方来源 仅使用官方仓库： - `https://github.com/neket371/network-stealth-core` ## 快速开始 ### 推荐安装 默认 `install` 是固定且最小化的。 它会自动选择 strongest-direct 配置： - `ru-auto` - `vless + reality + xhttp + vless encryption + xtls-rprx-vision` - `recommended`、`rescue` 和 `emergency` 客户端变体 ``` curl -fL https://raw.githubusercontent.com/neket371/network-stealth-core/ubuntu/xray-reality.sh -o /tmp/xray-reality.sh sudo bash /tmp/xray-reality.sh install ``` ### 完全无人值守安装 ``` curl -fL https://raw.githubusercontent.com/neket371/network-stealth-core/ubuntu/xray-reality.sh -o /tmp/xray-reality.sh sudo bash /tmp/xray-reality.sh install --non-interactive --yes ``` ### 按 Commit 锁定引导程序 ``` curl -fL https://raw.githubusercontent.com/neket371/network-stealth-core/ubuntu/xray-reality.sh -o /tmp/xray-reality.sh sudo XRAY_REPO_COMMIT= bash /tmp/xray-reality.sh install --non-interactive --yes ``` ### 仅在明确需要时进行手动提示 ``` sudo xray-reality.sh install --advanced ``` ## 命令映射 | 命令 | 描述 | |---|---| | `install` | 最小化 strongest-direct 安装 | | `migrate-stealth` | 将托管的传统版或 pre-v7 安装转换为 v7 strongest-direct 配置 | | `add-clients [n]` | 添加 `n` 个客户端配置 | | `add-keys [n]` | `add-clients [n]` 的别名 | | `update` | 更新 xray-core 并重建托管状态 | | `repair` | 协调服务、防火墙、策略和客户端产物 | | `status` | 运行时状态摘要 | | `logs [xray\|health\|all]` | 查看日志 | | `diagnose` | 收集诊断信息 | | `rollback [dir]` | 恢复备份会话 | | `uninstall` | 完全卸载 | | `check-update` | 检查上游版本 | ## strongest-direct 公共契约 - `install` = 最小化 strongest-direct 路径，正常路径中不询问传输或配置文件问题 - `install --advanced` = 为需要提示的操作员提供的显式手动兼容性流程 - `migrate-stealth` = 托管传统版 `grpc/http2` 安装和 pre-v7 xhttp 安装唯一支持的变更迁移桥接 - `update`、`repair`、`add-clients` 和 `add-keys` 在旧版托管契约上会被阻止，直到 `migrate-stealth` 成功执行 - `clients.json` = `schema_version: 3` - 每个配置导出三个变体： - `recommended` = `xhttp mode=auto` - `rescue` = `xhttp mode=packet-up` - `emergency` = `xhttp mode=stream-up + browser dialer` - `recommended` 和 `rescue` 通过操作后自检进行验证 - `emergency` 诚实地导出为原始 xray 格式，旨在用于实地测试，而非虚假链接模板 - `update --replan` 和 `repair` 可能会利用自检历史和保存的实地测量数据来提升更强的备用配置 ## 状态与产物层面 托管安装现在保持以下文件同步： - `/etc/xray-reality/policy.json` — strongest-direct 策略事实来源 - `data/domains/catalog.json` — 规划器使用的规范域名元数据 - `/etc/xray/private/keys/clients.txt` — 配置和变体的人类可读摘要 - `/etc/xray/private/keys/clients-links.txt` — 快速复制的 vless 链接，包含主要和回退顺序 - `/etc/xray/private/keys/clients.json` — schema v3 客户端清单 - `/etc/xray/private/keys/export/raw-xray/` — 每个变体的规范 xray 客户端 JSON - `/etc/xray/private/keys/export/canary/` — 用于 `recommended`、`rescue` 和 `emergency` 的实地测试包 - `/etc/xray/private/keys/export/capabilities.json` — 生成导出的真实能力矩阵 - `/var/lib/xray/self-check.json` — 上次操作后判定 - `/var/lib/xray/self-check-history.ndjson` — 最近的自检历史 - `/var/lib/xray/measurements/` — 来自 `scripts/measure-stealth.sh` 的已保存实地报告 - `/var/lib/xray/measurements/latest-summary.json` — 由 `status --verbose`、`diagnose`、`repair` 和 `update --replan` 使用的汇总实地判定 ## 测量与 Canary 工作流 本地测量使用与运行时自检相同的探测引擎： ``` sudo bash scripts/measure-stealth.sh run \ --save \ --network-tag home \ --provider rostelecom \ --region moscow \ --output /tmp/measure-home.json sudo bash scripts/measure-stealth.sh compare \ --dir /var/lib/xray/measurements \ --output /tmp/measure-compare.json sudo bash scripts/measure-stealth.sh import \ --dir ./remote-canary-reports \ --output /tmp/measure-import.json sudo bash scripts/measure-stealth.sh summarize \ --dir /var/lib/xray/measurements \ --output /tmp/measure-summary.json sudo bash scripts/measure-stealth.sh prune \ --keep-last 30 \ --output /tmp/measure-prune.json ``` 对于远程 RF 测试，发送来自 `export/canary/` 的生成 canary 包，并使用其中的原始 xray 配置。 当您有意测试 `emergency` 变体时，在客户端设置 `xray.browser.dialer`。 ## 维护者专用验证文档 面向普通用户的安装和操作说明到此为止。 如果您维护该仓库并需要独立的冒烟测试或繁忙主机生命周期验证，请使用： - [docs/en/MAINTAINER-LAB.md](docs/en/MAINTAINER-LAB.md) - [.github/CONTRIBUTING.md](.github/CONTRIBUTING.md) ## 关键标志 ``` --domain-profile ru|ru-auto|global-50|global-50-auto|custom --transport xhttp --advanced --replan --progress-mode auto|bar|plain|none --require-minisign --allow-no-systemd --num-configs n --start-port n --server-ip ipv4 --server-ip6 ipv6 --yes --non-interactive --verbose ``` 注意： - `--transport` 在 v7 中固定为 `xhttp`，仅作为支持值的兼容性空操作存在 - 正常的 strongest-default `install` 路径会自动选择配置数量；如果您想手动选择，请使用 `--num-configs n` 或 `install --advanced` - 传统别名 `global-ms10` 和 `global-ms10-auto` 仍然映射到 `global-50` 和 `global-50-auto` - 在 wrapper 模式下，`XRAY_DATA_DIR` 不是自由形式的可信代码源；仅对可信的非全局可写目录使用 `XRAY_ALLOW_CUSTOM_DATA_DIR=true` ## 文档地图 | 路径 | 用途 | |---|---| | `docs/en/INDEX.md` | 文档入口 | | `docs/en/ARCHITECTURE.md` | 运行时模型、状态划分和模块边界 | | `docs/en/OPERATIONS.md` | 安装、迁移、修复、测量和事件运维手册 | | `docs/en/FAQ.md` | 实用问题 | | `docs/en/MAINTAINER-LAB.md` | 维护者专用独立冒烟测试和 VM 实验流程 | | `docs/en/TROUBLESHOOTING.md` | 基于症状的故障排除 | | `docs/en/COMMUNITY.md` | 协作和支持指南 | | `docs/en/ROADMAP.md` | v7.1.0 后的方向 | | `docs/en/GLOSSARY.md` | 共享术语 | | `docs/en/CHANGELOG.md` | 发布历史 | | `.github/CONTRIBUTING.md` | 贡献规则 | | `.github/SECURITY.md` | 安全策略 | ## 安全模型 核心控制包括： - 对路径、域名、端口、地址、计划和探测 URL 进行严格的运行时验证 - 具有白名单主机的受控下载范围 - 可选的严格 minisign 验证和锚定信任锚 - 配置、服务或自检失败时的事务性写入与回滚 - 受限的 systemd 单元和非 root 运行时账户 - 以规范原始 xray 导出作为自检和实地测量的事实来源 完整策略请参见 [.github/SECURITY.md](.github/SECURITY.md)。 ## 支持的平台 主要且经 CI 验证的平台： - `ubuntu-24.04` (lts) ## 质量检查 ``` make lint make test make release-check make ci-fast make ci make ci-full ``` 有关繁忙主机上的维护者专用冒烟测试目标，请参见： - [docs/en/MAINTAINER-LAB.md](docs/en/MAINTAINER-LAB.md) - [.github/CONTRIBUTING.md](.github/CONTRIBUTING.md) Windows 助手： ``` pwsh ./scripts/markdownlint.ps1 pwsh ./scripts/windows/run-validation.ps1 ```

标签：DNS解析, DPI规避, Reality, V2Ray, VLESS, Xray, XTLS, 代理工具, 加密通信, 反审查, 应用安全, 开源项目, 抗检测, 特权提升, 系统加固, 网络安全, 网络安全, 自动化部署, 运维管理, 隐私保护, 隐私保护