一、裸机安装 Ubuntu 24.04

1.1 制作启动盘

下载 Ubuntu Server 24.04 LTS
wget https://releases.ubuntu.com/noble/ubuntu-24.04.1-live-server-amd64.iso
写入 U 盘 (Linux)
sudo dd if=ubuntu-24.04.1-live-server-amd64.iso of=/dev/sdX bs=4M status=progress

1.2 安装步骤

1.3 数据盘处理

安装时 **不要格式化 /dev/sda1**。安装后在 `/etc/fstab` 添加：

UUID=589aaf75-3b7a-42b3-abdf-de9a85543374 /mnt/sda ext4 defaults,noatime 0 0

二、安装后初始化

1. 基础更新
sudo apt update && sudo apt full-upgrade -y
2. 必要工具
sudo apt install -y curl wget git python3-pip tmux htop btop rsync
3. NVIDIA 驱动
sudo apt install -y nvidia-driver-570
sudo apt install -y nvidia-cuda-toolkit
4. Docker
curl -fsSL https://get.docker.com | sudo sh
sudo usermod -aG docker WGR
5. Node.js (OpenClaw 需要)
curl -fsSL https://deb.nodesource.com/setup_22.x | sudo -E bash -
sudo apt install -y nodejs
sudo npm install -g openclaw
6. Python 包（恢复关键依赖）
pip3 install flask flask-login flask-wtf bcrypt qrcode Pillow gunicorn chromadb sentence-transformers --break-system-packages

三、安全加固

防火墙
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 22/tcp
sudo ufw allow 9527/tcp      # 阿赫通道
sudo ufw allow 6001/tcp      # LiteLLM
sudo ufw enable
SSH 加固 (/etc/ssh/sshd_config)
PermitRootLogin no
PasswordAuthentication no
AllowUsers WGR
sudo systemctl reload sshd
入侵防护
sudo apt install -y fail2ban
sudo systemctl enable --now fail2ban
Rootkit 检测
sudo apt install -y rkhunter chkrootkit
sudo rkhunter --update
sudo rkhunter --propupd   # 建立基线
文件完整性
sudo apt install -y aide aide-common
sudo aideinit   # 初始化基线
杀毒（可选，工作站环境病毒风险低）
sudo apt install -y clamav clamav-daemon
sudo freshclam
sudo systemctl enable --now clamav-daemon

四、系统恢复

4.1 确认数据盘

ls /mnt/sda/work/   # 应该能看到所有文件

4.2 运行恢复脚本

bash /mnt/sda/work/claude-home/restore.sh

这会重建 `/home/WGR/` 所有软链接，指向 `/mnt/sda/`。

4.3 恢复 cron 任务

家目录软链接恢复后，cron 任务需要重新注册：

必需任务
echo "0 8 * * * bash /mnt/sda/work/claude-home/daily-check.sh >> /tmp/daily-check.log 2>&1" | crontab -
echo "7 4 * * 0 python3 /mnt/sda/work/claude-home/backup-nas.py weekly >> /tmp/backup-nas.log 2>&1" | crontab -
echo "7 4 1 * * python3 /mnt/sda/work/claude-home/backup-nas.py monthly >> /tmp/backup-nas.log 2>&1" | crontab -
echo "*/5 * * * * bash /mnt/sda/work/claude-home/gpu-temp-log.sh" | crontab -
echo "@reboot cd /mnt/sda/work/web && python3 -m http.server 8089 --bind 0.0.0.0 &>/tmp/web-server.log &" | crontab -

4.4 恢复 systemd 服务

systemctl --user daemon-reload
systemctl --user enable --now qr-system
systemctl --user enable --now openclaw-gateway

4.5 恢复 WireGuard

WireGuard 配置在系统盘 `/etc/wireguard/`，重装会被格掉。需从 NAS 备份或重新生成：

重新安装
sudo apt install -y wireguard-tools
配置 /etc/wireguard/wg0.conf（从 NAS 或阿赫获取）
sudo systemctl enable --now wg-quick@wg0

4.6 恢复 frp 隧道

frpc 系统服务已在 /etc/systemd/system/frpc.service
sudo systemctl enable --now frpc
补充 8089 端口转发
frpc -c /tmp/frpc-8089.toml &>/tmp/frpc-8089.log &

4.7 验证

python3 ~/vault_cli.py list    # 密码库正常
ls ~/.claude/settings.json     # Claude 配置正常
curl -s http://127.0.0.1:8089/ | head -1  # QR 系统正常

五、快速参考：重装后按顺序执行

1. `sudo apt update && sudo apt full-upgrade -y`

2. 按第三章装安全工具

3. 按第四章 4.2 运行 restore.sh

4. 按第四章 4.3 恢复 cron

5. 按第四章 4.4 恢复 systemd 服务

6. 按第四章 4.5 恢复 WireGuard

7. 按第四章 4.6 恢复 frp

8. 按第四章 4.7 验证

**全流程约 30 分钟（不含系统安装时间）**