用户真正在搜什么:无桌面的 Clash Meta Linux 部署

很多教程默认你从带图形界面的客户端起步:点几下导入订阅、勾选系统代理、打开 Dashboard。但在云服务器树莓派、或公司机房里那台「只有 SSH」的 Linux 上,这套流程用不上。搜索意图往往落在:Clash Meta Linux 无图形systemd 自启Mihomo 服务器部署——也就是把内核当长期驻留的守护进程跑起来,开机自动拉起,异常退出后自动重启,配置与日志路径一眼能找到。

本文面向无 GUI场景,以主流发行版(Debian / Ubuntu 系为主,其他 systemd 发行版思路相同)为例,给出可复制的目录约定、最小配置骨架、systemd 单元与验收命令。若你仍在桌面侧排障,可并行阅读《Windows 11 系统代理》《macOS 终端与 Homebrew 代理》;若你在 WSL2 与宿主机之间桥接,请看《WSL2 代理桥接》。这里专注裸 Linux 上的内核进程本身

第一步:目录与用户——让「配置路径清晰」先于写规则

无桌面环境最怕两件事:二进制散落在 /tmp、配置与日志混在 root 家目录里,三个月后你自己都认不出来。建议单独系统用户(可选但推荐)与固定目录,例如:

  • 运行用户:自建 clash 系统用户,主目录 /var/lib/clash-meta(名称可自定,全文保持一致即可)。
  • 配置:将 config.yaml 放在该目录下(与下文 mihomo -d 约定一致);若你更习惯 /etc/clash-meta/config.yaml,可改用 ExecStart-f 绝对路径,但不要与 -d 混用导致相对路径歧义。
  • 工作目录WorkingDirectory=-d 指向同一目录,便于存放 Country.mmdb、规则集缓存等运行时文件。

从上游获取的静态资源(GeoIP、规则集缓存)建议与配置同盘、权限收紧:chmod 600 对敏感订阅 URL 所在文件尤其重要。若你尚未整理订阅与规则文件结构,可先对照《订阅导入与基础配置》proxy-providersrule-providers 等块理顺,再回到本文做「服务化」封装。

ℹ️
命名说明:发行社区中「Clash Meta」与上游内核品牌「Mihomo」常被交替使用。下文以 mihomo 作为可执行文件名示例;若你下载的包名为 clash-meta,把单元文件里的路径与命令改成实际文件名即可。

第二步:安装内核二进制与权限

在 amd64 VPS 上,典型流程是:从官方 Release 下载对应架构的压缩包,解压得到单个静态链接二进制,放到 /usr/local/bin/mihomo 并赋予可执行位。安装后执行 mihomo -v 应打印版本信息。若使用 setcap 赋予低端口绑定能力,请确认你了解安全边界;多数场景下仅监听高端口(如 78909090)即可,减少特权需求。

若你通过包管理器安装(部分第三方仓库提供),仍需确认实际调用的二进制路径与 systemd 中一致。升级时覆盖二进制后执行 systemctl restart clash-meta.service 即可滚动到新版本;更稳妥的做法是先 systemctl stop,替换文件,再 start,避免替换瞬间正在运行的映射文件产生歧义(视文件系统行为而定)。版本差异与功能开关可参考《Clash Meta 升级指南》

第三步:最小 config.yaml 与 external-controller

无 GUI 不代表配置可以「空壳启动」。至少需要:端口mixed-port 或分拆的 port / socks-port)、模式(如 mode: rule)、以及能加载成功的 proxiesrules 段落。为便于排障,建议显式打开仅绑定本机的外部控制器,例如 external-controller: 127.0.0.1:9090,再用 SSH 端口转发访问 Dashboard,而不是把 0.0.0.0 暴露在公网。

# Minimal skeleton — replace secrets and proxy groups with your real config
port: 7890
mode: rule
log-level: info
external-controller: 127.0.0.1:9090

proxies: []
proxy-groups: []
rules:
  - MATCH,DIRECT

上面片段仅用于说明键位齐全、进程能启动;真实环境请替换为你的节点、策略组与规则。DNS 与 Fake-IP 若配置不当,会在无桌面场景下放大为「curl 全挂」——可对照《Fake-IP 与 DNS 泄漏》逐项核对 dns 段。若计划使用 TUN 接管系统流量,需额外内核模块与权限,复杂度高于纯端口代理,详见《TUN 模式详解》后再在服务器上启用。

第四步:编写 systemd 单元——开机自启与崩溃自动拉起

systemd 自启的核心是:[Install] WantedBy=multi-user.target 加上 systemctl enable。常驻与崩溃恢复依赖 Restart=on-failurealways,并配合 RestartSec= 避免退避风暴。下面是一份常见模板(注释为英文以便直接粘贴到服务器):

# /etc/systemd/system/clash-meta.service
[Unit]
Description=Mihomo (Clash Meta) proxy daemon
After=network-online.target
Wants=network-online.target

[Service]
Type=simple
User=clash
Group=clash
WorkingDirectory=/var/lib/clash-meta
ExecStart=/usr/local/bin/mihomo -d /var/lib/clash-meta
Restart=on-failure
RestartSec=5s
LimitNOFILE=1048576

# Hardening (optional; tune if something breaks)
NoNewPrivileges=true
PrivateTmp=true

[Install]
WantedBy=multi-user.target

要点说明:-d 指定配置目录,内核会在该目录下读取默认的 config.yaml 并写入缓存类文件;若需显式指定其他路径的配置文件,可用 -f(以 mihomo -h 为准)。Restart=on-failure 在配置语法错误导致进程立即退出时也会触发重启——因此上线前务必先用前台命令跑通一次,再交给 systemd。

⚠️
安全:勿将 external-controller 绑到公网接口;若必须远程管理,请用 SSH 隧道或 VPN 后再访问。混合端口若对 0.0.0.0 开放,相当于在 VPS 上提供代理入口,需配合防火墙与认证策略。

第五步:daemon-reload、启用、启动与验收

sudo systemctl daemon-reload
sudo systemctl enable --now clash-meta.service
systemctl status clash-meta.service --no-pager

status 应显示 active (running)。随后在同一台机器上测试本地入站(按你的端口修改):

curl -I --proxy http://127.0.0.1:7890 --connect-timeout 10 https://www.example.com

若返回头正常或符合节点地区策略,说明进程与入站已就绪。若超时,先看配置是否要求 TUN 或 DNS 特殊环境,再用下一节日志定位。

第六步:日志在哪里——journalctl 与文件日志

无桌面时,systemd 会把标准输出/错误收集到 journal。常用命令:

journalctl -u clash-meta.service -e --no-pager
journalctl -u clash-meta.service -f

若在 config.yaml 里配置了 log-level 与文件类日志输出(视内核选项而定),请确认路径对运行用户可写。排障顺序建议:journal 中的启动报错YAML 缩进与编码DNS出站节点连通性。这与桌面客户端里点「日志」按钮本质相同,只是换到终端视角。

第七步:验证「开机自启」与异常恢复

开机自启在 VPS 上可用重启验证:sudo reboot 后重新 SSH 登录,执行 systemctl is-enabled clash-metasystemctl is-active clash-meta,均应为肯定状态。异常恢复可在测试环境故意写入一段会触发运行期错误的配置,观察是否在 RestartSec 间隔后重新拉起;上线环境请勿故意破坏配置。

若你希望「网络完全就绪后再启动」,已在上文 After=network-online.target 中体现;仍遇到启动阶段 DNS 未就绪,可考虑在单元中增加 ExecStartPre=/bin/sleep 3 等权宜之计(会拖慢开机,谨慎使用)。

和「桌面客户端」路线如何分工

桌面客户端的价值是:图形化编辑规则、一键切换节点、集成更新通道。服务器侧则强调稳定、可观测、可回滚。常见组合是:本地用客户端维护一份「母配置」,经 CI 或 scp 同步到 VPS 上 mihomo -d 所指向目录中的 config.yaml,再由 systemd 重载。本站面向普通用户的安装包与图形客户端指引集中在下载页;你在 VPS 上跑的是同一套内核能力的不同交付形态。

排查清单(简版)

  • systemctl statusactive,且 journalctl 无持续重复报错。
  • ExecStart 中的二进制路径、-d(及按需使用的 -f)与实际文件一致,权限属主正确。
  • external-controller 仅监听 127.0.0.1,或已套防火墙与隧道。
  • 本机 curl --proxy 走混合端口可访问外网;DNS 异常时对照 Fake-IP 文档。
  • systemctl is-enabled 为 enabled,重启后服务自动出现。

写在最后

Linux 无桌面场景下,用户要的不是「少点几下鼠标」,而是进程生命周期可预测systemd 常驻把启动、停止、崩溃恢复变成声明式配置;路径与日志约定把三个月后的自己从地狱里救出来。把本文与订阅、DNS、TUN、升级类文章连起来读,你就凑齐了从「能跑」到「敢在生产 VPS 上跑」的闭环。

若你尚未完成基础安装与规则梳理,建议先通读安装与配置教程,再回到本文做 systemd 化。需要带界面、开箱即用的客户端,可从本站下载页获取与 Mihomo 内核兼容的主流版本;相比在论坛碎片里拼命令,把桌面与服务器两条路径分开文档化,长期维护成本更低。→ 立即免费下载 Clash,开启流畅上网新体验