useradd -m -s /bin/bash deploy

# 建立一个名为 `deploy` 的受限账户，专门负责搬运文件，即便密钥泄露也拿不到系统 `root` 权限。
# 为了更安全可禁止 root SSH 远程登录，修改 `/etc/ssh/sshd_config` -> `PermitRootLogin no`，重新启动 systemctl restart sshd

# 生成密钥
ssh-keygen -t rsa -b 4096 -f ~/.ssh/github_actions

# 配置权限：
mkdir -p /home/deploy/.ssh
cp ~/.ssh/authorized_keys /home/deploy/.ssh/  # 复制已有的公钥授权
chown -R deploy:deploy /home/deploy/.ssh      # 修正所有权
chmod 700 /home/deploy/.ssh                   # 设置目录权限
chmod 600 /home/deploy/.ssh/authorized_keys   # 设置文件权限

chown -R deploy:deploy /www/wwwroot/blog
chmod -R 755 /www/wwwroot/blog
# 作用：让 `deploy` 用户有权读写该网站目录，否则 `rsync` 会报错。

yum install -y rsync --disablerepo=docker-ce-stable # 安装依赖：确保系统有同步工具

cat ~/.ssh/github_actions

# 完整复制从 `-----BEGIN RSA PRIVATE KEY-----` 到结尾的所有字符。

SERVER_IP # 服务器公网IP
SERVER_SSH_KEY #粘贴刚才的私钥内容
REMOTE_PATH #静态文件在服务器的根目录（如 `/www/wwwroot/blog`）

name: Githubblog

on:
  workflow_dispatch:  # 支持手动运行
  push:
    branches:
      - main  # 监听 main 分支推送

jobs:
  deploy:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout Code
        uses: actions/checkout@v4
        with:
          submodules: true
          fetch-depth: 0

      - name: Setup Hugo
        uses: peaceiris/actions-hugo@v3
        with:
          hugo-version: 'latest'
          extended: true

      - name: Build
        run: hugo --minify  # hugo 编译静态文件 HTML

      # 1. 发布到本仓库的 gh-pages 分支
      - name: Deploy to GitHub Pages
        uses: peaceiris/actions-gh-pages@v3
        with:
          github_token: ${{ secrets.GITHUB_TOKEN }}
          publish_dir: ./public
          publish_branch: gh-pages

      # 2. 通过 rsync 同步到宝塔
      - name: Deploy to BT Panel via rsync
        uses: burnett01/rsync-deployments@v8
        with:
          switches: -avz --delete
          path: public/
          remote_path: ${{ secrets.REMOTE_PATH }}
          remote_host: ${{ secrets.SERVER_IP }}
          remote_user: deploy  
          remote_key: ${{ secrets.SERVER_SSH_KEY }}