GNOME Remote Desktop 证书问题排查记录

2026-06-13T14:00:00+08:00
GNOME Remote Desktop 证书问题排查记录</h1>

环境信息</h2>
项目</th> 值</th></tr></thead>
操作系统</td> Debian 13 (Trixie)</td></tr>
gnome-remote-desktop</td> 48.1-4</td></tr>
libfreerdp-server</td> 3.15.0+dfsg-2.1</td></tr>
运行模式</td> systemd user service (--user</code>)</td></tr>
证书目录</td> ~/.local/share/gnome-remote-desktop/certificates/</code></td></tr>
配置文件</td>
dconf/gsettings (
org.gnome.desktop.remote-desktop.rdp</code>)</td></tr>
</tbody></table>
故障现象</h2>
启动服务后日志报错，RDP 服务无法正常接受连接：</p>
[ERROR][com.freerdp.crypto] - [x509_utils_from_pem]: BIO_new failed for certificate
RDP server certificate is invalid
RDP TLS certificate and key not yet configured properly
</code></pre>
排查步骤</h2>
1. 检查证书文件是否存在</h3>
ls -la ~/.local/share/gnome-remote-desktop/certificates/
</code></pre>
证书文件 rdp-tls.crt</code> 和 rdp-tls.key</code> 存在。</p>
2. 用 OpenSSL 验证证书格式</h3>
openssl x509 -in rdp-tls.crt -text -noout
openssl rsa  -in rdp-tls.key -check -noout
</code></pre>
两者均通过验证，说明证书本身是合法 PEM 格式。</p>
3. 检查证书包含的 X509v3 扩展</h3>
openssl x509 -in rdp-tls.crt -text -noout | grep -E "Subject Alternative Name|Key Usage|Extended Key Usage"
</code></pre>
输出为空——旧证书缺少现代 TLS 必需的 SAN、Key Usage 等扩展字段。FreeRDP 3.x 对此要求严格。</p>
4. 检查 gsettings 配置的证书路径</h3>
gsettings get org.gnome.desktop.remote-desktop.rdp tls-cert
gsettings get org.gnome.desktop.remote-desktop.rdp tls-key
</code></pre>
输出：/home/peterxiao/...</code> — 指向错误的 home 目录</strong>（实际用户为 peter</code>，/home/peterxiao/</code> 不存在）。这是本次故障的直接原因。</p>
根因总结</h2>

路径不匹配</strong>：gsettings/dconf 中配置的证书路径指向不存在的目录（用户名拼写错误），daemon 无法读取证书文件。</li>
证书缺少扩展</strong>：即便路径正确，旧证书也缺少 subjectAltName</code>、Key Usage</code>、Extended Key Usage</code> 等 X509v3 扩展，FreeRDP 3.15 会拒绝加载。</li>
</ol>
修复步骤</h2>
步骤 1：停止服务</h3>
systemctl --user stop gnome-remote-desktop.service
</code></pre>
步骤 2：删除旧证书</h3>
rm ~/.local/share/gnome-remote-desktop/certificates/rdp-tls.crt
rm ~/.local/share/gnome-remote-desktop/certificates/rdp-tls.key
</code></pre>
步骤 3：重置 gsettings 路径</h3>
gsettings reset org.gnome.desktop.remote-desktop.rdp tls-cert
gsettings reset org.gnome.desktop.remote-desktop.rdp tls-key
</code></pre>
步骤 4：生成符合规范的证书</h3>
HOSTNAME=$(hostname)

openssl req -x509 -newkey rsa:4096 -sha384 -days 730 -nodes \
  -keyout ~/.local/share/gnome-remote-desktop/certificates/rdp-tls.key \
  -out    ~/.local/share/gnome-remote-desktop/certificates/rdp-tls.crt \
  -subj   "/CN=$HOSTNAME" \
  -addext "subjectAltName=DNS:$HOSTNAME" \
  -addext "keyUsage=digitalSignature,keyEncipherment" \
  -addext "extendedKeyUsage=serverAuth" \
  -addext "nsCertType=server"
</code></pre>
关键点：</p>

必须包含 subjectAltName</code>（FreeRDP 3.x 强制要求）</li>
extendedKeyUsage=serverAuth</code> 标识为 TLS 服务器证书</li>
使用 -sha384</code>（与 gnome-remote-desktop 默认一致）</li>
</ul>
步骤 5：验证证书与密钥匹配</h3>
openssl x509 -in ~/.local/share/gnome-remote-desktop/certificates/rdp-tls.crt -noout -modulus | md5sum
openssl rsa  -in ~/.local/share/gnome-remote-desktop/certificates/rdp-tls.key -noout -modulus | md5sum
# 两个 md5sum 应一致
</code></pre>
步骤 6：用 grdctl 配置证书路径</h3>
grdctl rdp set-tls-cert ~/.local/share/gnome-remote-desktop/certificates/rdp-tls.crt
grdctl rdp set-tls-key  ~/.local/share/gnome-remote-desktop/certificates/rdp-tls.key
</code></pre>
步骤 7：启动并验证</h3>
systemctl --user start gnome-remote-desktop.service

# 查看状态
systemctl --user status gnome-remote-desktop.service

# 应显示 "RDP server started"，无证书错误
grdctl status
</code></pre>
常用排查命令</h2>
# 查看实时日志
journalctl --user -u gnome-remote-desktop.service -f --no-pager

# 检查证书有效期
openssl x509 -in ~/.local/share/gnome-remote-desktop/certificates/rdp-tls.crt -noout -dates

# 查看证书完整信息
openssl x509 -in ~/.local/share/gnome-remote-desktop/certificates/rdp-tls.crt -text -noout

# 检查当前 gsettings 配置
gsettings list-recursively org.gnome.desktop.remote-desktop.rdp

# 检查 RDP 端口监听
ss -tlnp | grep 3389
</code></pre>
已知兼容性问题</h2>
组件</th> 版本</th> 要求</th></tr></thead>

FreeRDP</td> >= 3.x</td> 证书必须包含 subjectAltName</code> 扩展</td></tr>
GNOME Remote Desktop</td> 48.x</td> 使用 SHA-384 签名算法，RSA 4096 密钥</td></tr>
</tbody></table>
参考</h2>

证书路径由 grdctl rdp set-tls-cert/key</code> 写入 dconf，持久化在 ~/.config/dconf/user</code></li>
daemon 不会自动生成证书，必须手动创建或通过 GNOME Settings -> Sharing -> Remote Desktop 触发生成</li>
BIO_new failed</code> 通常意味着 FreeRDP 的 OpenSSL 后端无法解析 PEM 文件内容（路径不存在、格式损坏、或缺少必需扩展）</li>
</ul>


GNOME Remote Desktop (RDP) 完整排查与修复记录
2026-06-13T13:00:00+08:00
GNOME Remote Desktop (RDP) 完整排查与修复记录</h1>
环境信息</h2>
项目</th> 值</th></tr></thead>

操作系统</td> Debian 13.3 (Trixie)</td></tr>
内核</td> 6.12.73+deb13-amd64</td></tr>
gnome-remote-desktop</td> 48.1-4</td></tr>
libfreerdp-server</td> 3.15.0+dfsg-2.1</td></tr>
运行模式</td> systemd user service (--user</code>)</td></tr>
用户</td> peter (UID 1000)</td></tr>
主机名</td> xiao99</td></tr>
证书目录</td> ~/.local/share/gnome-remote-desktop/certificates/</code></td></tr>
凭据存储</td> GKeyFile (~/.local/share/gnome-remote-desktop/credentials.ini</code>)</td></tr>
配置文件</td> dconf/gsettings (org.gnome.desktop.remote-desktop.rdp</code>)</td></tr>
</tbody></table>

初始故障现象</h2>

RDP 服务可以连接（端口 3389 开放），但客户端输入用户名密码后立即断开</li>
日志显示 Credentials are not set, denying client</code></li>
配置好凭据后，连接时日志报 NTLM MIC 验证失败</li>
通过 NLA 认证后，会话创建被阻止，日志显示 Session creation inhibited</code></li>
</ol>

问题一：RDP 证书缺少 X509v3 扩展</h2>
排查</h3>
# 检查证书文件是否存在
ls -la ~/.local/share/gnome-remote-desktop/certificates/
# 结果：rdp-tls.crt 和 rdp-tls.key 存在

# 检查 gsettings 证书路径
gsettings get org.gnome.desktop.remote-desktop.rdp tls-cert
gsettings get org.gnome.desktop.remote-desktop.rdp tls-key
# 结果：路径正确，指向 /home/peter/...

# 检查证书包含的 X509v3 扩展
openssl x509 -in rdp-tls.crt -text -noout | grep -E "Subject Alternative Name|Key Usage|Extended Key Usage"
# 结果：无输出 —— 旧证书缺少现代 TLS 必需的 SAN、Key Usage 等扩展字段
</code></pre>
根因</h3>
FreeRDP 3.x 严格要求证书包含 subjectAltName</code> (SAN)、Key Usage</code>、Extended Key Usage</code> 等 X509v3 扩展。旧证书由 GNOME 早期版本自动生成，缺少这些扩展。</p>
修复</h3>
# 1. 停止服务
systemctl --user stop gnome-remote-desktop.service

# 2. 删除旧证书
rm ~/.local/share/gnome-remote-desktop/certificates/rdp-tls.crt
rm ~/.local/share/gnome-remote-desktop/certificates/rdp-tls.key

# 3. 重置 gsettings 路径
gsettings reset org.gnome.desktop.remote-desktop.rdp tls-cert
gsettings reset org.gnome.desktop.remote-desktop.rdp tls-key

# 4. 生成含正确扩展的证书
HOSTNAME=$(hostname)

openssl req -x509 -newkey rsa:4096 -sha384 -days 730 -nodes \
  -keyout ~/.local/share/gnome-remote-desktop/certificates/rdp-tls.key \
  -out    ~/.local/share/gnome-remote-desktop/certificates/rdp-tls.crt \
  -subj   "/CN=$HOSTNAME" \
  -addext "subjectAltName=DNS:$HOSTNAME" \
  -addext "keyUsage=digitalSignature,keyEncipherment" \
  -addext "extendedKeyUsage=serverAuth" \
  -addext "nsCertType=server"

# 5. 验证证书与密钥匹配
openssl x509 -in ~/.local/share/gnome-remote-desktop/certificates/rdp-tls.crt -noout -modulus | md5sum
openssl rsa  -in ~/.local/share/gnome-remote-desktop/certificates/rdp-tls.key -noout -modulus | md5sum
# 两个 md5sum 必须一致

# 6. 通过 gsettings 设置证书路径
gsettings set org.gnome.desktop.remote-desktop.rdp tls-cert "/home/peter/.local/share/gnome-remote-desktop/certificates/rdp-tls.crt"
gsettings set org.gnome.desktop.remote-desktop.rdp tls-key  "/home/peter/.local/share/gnome-remote-desktop/certificates/rdp-tls.key"
</code></pre>
踩坑：grdctl 设路径失败</h3>
grdctl rdp set-tls-cert</code> 通过 D-Bus 与 daemon 通信，若 daemon 未运行，D-Bus 激活会以无证书状态启动 daemon，导致 BIO_new failed for certificate</code> 错误。</p>
解决</strong>：改用 gsettings set</code> 直接写 dconf，避免触发 D-Bus 激活。</p>

问题二：RDP 凭据未设置</h2>
排查</h3>
grdctl status
# 输出：Username: (empty), Password: (empty)

journalctl --user -u gnome-remote-desktop.service -f
# 日志：[RDP] Credentials are not set, denying client
</code></pre>
根因</h3>
RDP 服务需要设置登录凭据（用户名 + 密码）才能接受客户端连接。</p>
修复</h3>
# 尝试标准方式 —— 失败（见问题三）
grdctl rdp set-credentials peter 2021smyl
# 错误：The '/org/freedesktop/secrets/collection/login' object does not exist

# 使用 headless 模式绕过 GNOME Keyring
grdctl --headless rdp set-credentials peter 2021smyl
# 输出：Init TPM credentials failed ... using GKeyFile as fallback.
</code></pre>

问题三：GNOME Keyring 缺少 login 密钥环</h2>
排查</h3>
# 检查是否存在密钥环集合
python3 -c "
import gi
gi.require_version('Secret', '1')
from gi.repository import Secret
service = Secret.Service.get_sync(Secret.ServiceFlags.OPEN_SESSION)
collections = service.get_collections()
for c in collections:
    print(f'{c.get_label()} ({c.get_object_path()})')
"
# 结果：No collections found

# 检查密钥环文件
ls ~/.local/share/keyrings/
# 结果：目录不存在

# 检查 D-Bus Secret Service
busctl --user call org.freedesktop.secrets /org/freedesktop/secrets \
  org.freedesktop.DBus.Properties Get ss \
  org.freedesktop.Secret.Service Collections
# 结果：只有一个 session 临时集合，无 login 密钥环
</code></pre>
根因</h3>
用户的 GNOME Keyring login</code> 密钥环从未被创建。通常由 GDM PAM 模块 (pam_gnome_keyring.so</code>) 在登录时自动创建并解锁。可能原因：</p>

用户通过 SSH 或 tty 登录而非 GDM</li>
PAM 配置未正确加载 gnome-keyring 模块</li>
</ul>
grdctl rdp set-credentials</code> 底层使用 libsecret，要求 login</code> 密钥环存在才能存储密码。</p>
修复</h3>
方案</strong>：使用 grdctl --headless</code> 模式，凭据存储到 GKeyFile 文件而非 GNOME Keyring。</p>
grdctl --headless rdp set-credentials peter 2021smyl
</code></pre>
凭据写入 ~/.local/share/gnome-remote-desktop/credentials.ini</code>：</p>
[RDP]
credentials={'username': <'peter'>, 'password': <'2021smyl'>}
</code></pre>
要点</strong>：daemon 也必须以 --headless</code> 模式运行才能读取 GKeyFile 中的凭据。</p>

问题四：systemd Type=dbus 与 --headless 不兼容</h2>
排查</h3>
systemctl --user status gnome-remote-desktop.service
# 状态：activating (start) —— 卡在启动中
# 90 秒后超时：Failed with result 'timeout'
</code></pre>
根因</h3>
daemon 默认以 Type=dbus</code> 运行，systemd 等待 daemon 注册 D-Bus 名称 org.gnome.RemoteDesktop.User</code>。但 --headless</code> 模式下，daemon 可能在注册 D-Bus 名称前需要额外初始化（如 TPM 尝试），导致超时。</p>
修复</h3>
创建 systemd 服务覆盖配置文件：</p>
~/.config/systemd/user/gnome-remote-desktop.service.d/headless.conf</code></strong></p>
[Service]
Type=simple
ExecStart=
ExecStart=/usr/libexec/gnome-remote-desktop-daemon --headless
</code></pre>
关键点：</p>

第一行 ExecStart=</code> 清空上游配置中的 ExecStart</li>
Type=simple</code> 替代 Type=dbus</code>，daemon 启动即视为就绪</li>
</ul>
systemctl --user daemon-reload
systemctl --user restart gnome-remote-desktop.service
</code></pre>

问题五：Session creation inhibited（锁屏阻止远程会话）</h2>
排查</h3>
# 检查屏幕锁状态
dbus-send --session --dest=org.gnome.ScreenSaver --print-reply \
  /org/gnome/ScreenSaver org.gnome.ScreenSaver.GetActive
# 结果：boolean true —— 屏幕已锁定

# 检查会话状态
loginctl show-session 2 | grep IdleHint
# 结果：IdleHint=yes —— 会话空闲

# 服务日志
journalctl --user -u gnome-remote-desktop.service
# 关键错误：
#   Failed to start remote desktop session:
#   GDBus.Error:org.freedesktop.DBus.Error.Failed: Session creation inhibited
</code></pre>
根因</h3>
gnome-remote-desktop 依赖活动且未锁定的 GNOME Shell 会话才能创建远程桌面会话。当屏幕锁定或会话休眠时，Mutter 会拒绝远程会话创建请求。这是 GNOME 安全策略 —— 防止在用户离开时通过远程桌面窥探屏幕。</p>
当前环境的主 GNOME 会话 (seat0, session 2) 已空闲 近 2 周</strong>。</p>
修复（临时）</h3>
# 解除屏幕锁
gdbus call --session --dest org.gnome.ScreenSaver \
  --object-path /org/gnome/ScreenSaver \
  --method org.gnome.ScreenSaver.SetActive false
</code></pre>
修复（永久）</h3>
关闭自动锁屏，防止长期无人使用时再次锁屏阻断 RDP：</p>
gsettings set org.gnome.desktop.screensaver lock-enabled false
gsettings set org.gnome.desktop.screensaver idle-activation-enabled false
</code></pre>
注意</strong>：这会彻底禁用锁屏，降低安全性。生产环境建议在 GNOME 设置中配置为"长时间不活动后锁屏"而非禁用。</p>

最终验证</h2>
服务状态</h3>
systemctl --user status gnome-remote-desktop.service
# Active: active (running) since ...

grdctl --headless status --show-credentials
# RDP:
#   Status: enabled
#   Port: 3389
#   TLS certificate: .../rdp-tls.crt
#   TLS fingerprint: 5a:00:fe:60:...
#   TLS key: .../rdp-tls.key
#   View-only: no
#   Username: peter
#   Password: 2021smyl
</code></pre>
端口监听</h3>
ss -tlnp | grep 3389
# LISTEN  *:3389  users:(("gnome-remote-de",pid=xxx,fd=xx))
</code></pre>
证书信息</h3>
openssl x509 -in ~/.local/share/gnome-remote-desktop/certificates/rdp-tls.crt -text -noout | grep -E "Subject Alternative Name|Key Usage|Extended Key Usage"
#             X509v3 Subject Alternative Name:
#                DNS:xiao99
#             X509v3 Key Usage:
#                Digital Signature, Key Encipherment
#             X509v3 Extended Key Usage:
#                TLS Web Server Authentication
</code></pre>

常用排查命令</h2>
# 查看实时日志
journalctl --user -u gnome-remote-desktop.service -f --no-pager

# 检查 RDP 配置
grdctl --headless status --show-credentials

# 检查 gsettings 完整配置
gsettings list-recursively org.gnome.desktop.remote-desktop.rdp

# 检查证书有效期
openssl x509 -in ~/.local/share/gnome-remote-desktop/certificates/rdp-tls.crt -noout -dates

# 检查证书完整信息
openssl x509 -in ~/.local/share/gnome-remote-desktop/certificates/rdp-tls.crt -text -noout

# 检查 RDP 端口监听
ss -tlnp | grep 3389

# 检查屏幕锁状态
dbus-send --session --dest=org.gnome.ScreenSaver --print-reply \
  /org/gnome/ScreenSaver org.gnome.ScreenSaver.GetActive

# 检查用户会话状态
loginctl list-sessions
loginctl show-session <session-id>
</code></pre>

修复汇总</h2>
#</th> 问题</th> 根因</th> 修复方式</th></tr></thead>

1</td> 证书无效</td> 缺少 X509v3 扩展 (SAN/KeyUsage/EKU)</td> 用 openssl 重新生成含扩展的证书</td></tr>
2</td> 凭据未设置</td> 从未配置 RDP 用户名密码</td> grdctl --headless rdp set-credentials</code></td></tr>
3</td> Keyring 不存在</td> login 密钥环未创建，grdctl 标准模式无法存储凭据</td> 使用 --headless</code> 模式写入 GKeyFile</td></tr>
4</td> 服务启动超时</td> Type=dbus</code> 与 --headless</code> 不兼容</td> 创建 systemd override，改用 Type=simple</code></td></tr>
5</td> 会话创建被阻止</td> GNOME 桌面锁屏/空闲</td> 解除锁屏 + 关闭自动锁屏</td></tr>
</tbody></table>
关键文件</h2>
文件</th> 用途</th></tr></thead>

~/.local/share/gnome-remote-desktop/certificates/rdp-tls.crt</code></td> TLS 证书</td></tr>
~/.local/share/gnome-remote-desktop/certificates/rdp-tls.key</code></td> TLS 私钥</td></tr>
~/.local/share/gnome-remote-desktop/credentials.ini</code></td> RDP 凭据 (headless 模式)</td></tr>
~/.config/systemd/user/gnome-remote-desktop.service.d/headless.conf</code></td> systemd 服务覆盖配置</td></tr>
~/.config/dconf/user</code></td> dconf 数据库 (gsettings 持久化)</td></tr>
</tbody></table>
已知限制</h2>

gnome-remote-desktop 需要活动、未锁定的 GNOME Shell 会话</li>
使用 headless + GKeyFile 模式，凭据以明文存储（TPM 不可用时）</li>
若重启系统后问题复现，检查：

屏幕是否再次锁定</li>
证书是否过期（有效期 730 天）</li>
daemon 日志中是否有新的证书或会话错误</li>
</ul>
</li>
</ol>


virtiofs ENFILE 问题排查手册
2026-06-13T12:00:00+08:00
virtiofs ENFILE 问题排查手册</h1>
问题现象</h2>
VM 内执行文件操作时报错：</p>
ls: 无法打开目录 '.': 系统中打开的文件过多
# 对应系统错误: ENFILE (Too many open files in system)
</code></pre>

排查步骤</h2>
1. 系统级文件句柄状态</h3>
cat /proc/sys/fs/file-nr
# 输出格式: <已分配数量> <空闲数量> <最大限制>
# 如果第 2 列 = 0 表示文件表已耗尽

cat /proc/sys/fs/file-max
cat /proc/sys/fs/nr_open
</code></pre>
2. 定位 virtiofsd 进程</h3>
pgrep -a virtiofsd

ps -o pid,ppid,user,etime,rss,args -p $(pgrep -d',' virtiofsd)
# rss: 内存占用  etime: 运行时长
</code></pre>
3. 检查 virtiofsd fd 数量</h3>
# 精确计数
sudo -A ls /proc/<PID>/fd | wc -l

# 间接估算（fd 目录字节数 ≈ 30×fd数）
stat /proc/<PID>/fd | grep Size
</code></pre>
4. 查看 fd 类型分布</h3>
sudo -A ls -la /proc/<PID>/fd/ | awk '{
  target=$NF
  if (target ~ /^socket:/)       type="socket"
  else if (target ~ /^pipe:/)    type="pipe"
  else if (target ~ /^anon_inode:/) type="anon_inode"
  else if (target ~ /\(deleted\)$/) type="deleted_file"
  else if (target ~ /^\//)       type="regular_file"
  else if (target ~ /^\/dev\//)  type="dev"
  else                           type="other"
  count[type]++
} END { for(t in count) print count[t], t }' | sort -rn
</code></pre>
5. 查看 fd 指向哪些目录</h3>
sudo -A ls -la /proc/<PID>/fd/ | awk '{print $NF}' | \
  sed 's|/home/peter/project||' | \
  awk -F'/' '{print $1"/"$2"/"$3"/"$4}' | \
  sort | uniq -c | sort -rn | head -30
</code></pre>
6. 采样查看 fd 具体内容</h3>
# 前 40 个
sudo -A ls -la /proc/<PID>/fd/ | head -40

# 中间段
sudo -A ls -la /proc/<PID>/fd/ | sed -n '5000,5020p'

# 末尾
sudo -A ls -la /proc/<PID>/fd/ | tail -20
</code></pre>
7. 检查 virtiofsd 内存和资源限制</h3>
for pid in <PID_LIST>; do
  echo "=== PID $pid ==="
  cat /proc/$pid/limits | grep -E "open files|processes"
  cat /proc/$pid/status | grep -E "VmRSS|VmSize|Threads"
done
</code></pre>
8. 检查 FUSE 连接参数</h3>
ls /sys/fs/fuse/connections/

for conn in /sys/fs/fuse/connections/*/; do
  echo "=== $(basename $conn) ==="
  cat "$conn/max_background" 2>/dev/null
  cat "$conn/congestion_threshold" 2>/dev/null
  cat "$conn/waiting" 2>/dev/null
done
# max_background 默认 12，congestion_threshold 默认 9
</code></pre>
9. 检查 QEMU 进程</h3>
ps aux | grep -E "qemu|libvirt" | grep -v grep

for pid in <QEMU_PID_LIST>; do
  stat /proc/$pid/fd | grep Size
done
</code></pre>
10. 全系统 fd 统计</h3>
total=0
for p in /proc/[0-9]*/fd/; do
  total=$((total + $(ls "$p" 2>/dev/null | wc -l)))
done
echo "用户可见: $total"
echo "系统分配: $(awk '{print $1}' /proc/sys/fs/file-nr)"
echo "差值(root): $(( $(awk '{print $1}' /proc/sys/fs/file-nr) - total ))"
</code></pre>
11. 查找 fd 最大的进程</h3>
for p in /proc/[0-9]*/fd/; do
  size=$(stat -c%s "$p" 2>/dev/null)
  [ "$size" -gt 1000 ] 2>/dev/null && \
    echo "Size=$size PID=$(basename $(dirname $(dirname $p))) Name=$(cat /proc/$(basename $(dirname $(dirname $p)))/comm 2>/dev/null)"
done | sort -t= -k2 -rn | head -10
</code></pre>

根因分析</h2>
debian13 VM 内某个进程 (IDE/编译器/文件搜索)
  → 遍历 /home/peter/project 下数十万文件
    → virtiofsd 为每个 open() 在宿主机分配一个真实 fd
      → 数小时内累积数十万 fd + 数 GB 内存
        → 宿主机 file-nr 耗尽 (allocated=1,015,480, free=0)
          → 其他 VM 尝试访问 virtiofs → ENFILE
</code></pre>
判断标准</h3>
症状</th> 结论</th></tr></thead>

file-nr</code> 第 2 列 ≈ 0</td> 文件表已饱和</td></tr>
virtiofsd fd 总数 > 10 万</td> 严重泄漏</td></tr>
fd 99% 为常规文件</td> VM 内进程遍历文件系统</td></tr>
fd 集中在 build/cache</code>、node_modules</code>、target/debug</code> 等</td> 构建工具或 IDE 扫描</td></tr>
virtiofsd RSS > 数 GB</td> 内存与 fd 同步泄漏</td></tr>
</tbody></table>

修复方案</h2>
临时：释放 fd</h3>
# 重启 virtiofsd（会短时断开 VM 内挂载）
sudo -A kill -HUP <virtiofsd_PID>
</code></pre>
VM 内：清理缓存</h3>
# 创建定时脚本
cat > /usr/local/bin/manage_virtiofs_cache.sh << 'EOF'
#!/bin/bash
CACHED_MB=$(free -m | awk '/^Mem:/ {print $6}')
if [ $CACHED_MB -gt 4096 ]; then
    sync
    echo 3 > /proc/sys/vm/drop_caches
fi
EOF
chmod +x /usr/local/bin/manage_virtiofs_cache.sh

# crontab: 每 30 分钟执行
# */30 * * * * /usr/local/bin/manage_virtiofs_cache.sh
</code></pre>
VM 内：调整内核参数</h3>
echo 1000 > /proc/sys/vm/vfs_cache_pressure
echo 1000 > /proc/sys/vm/dirty_writeback_centisecs

# 持久化
cat >> /etc/sysctl.conf << EOF
vm.vfs_cache_pressure=1000
vm.dirty_writeback_centisecs=1000
EOF
</code></pre>
永久：修改 libvirt 配置</h3>
<filesystem type='mount' accessmode='passthrough'>
  <driver type='virtiofs' queue='1024'/>
  <source dir='/home/peter/project'/>
  <target dir='project'/>
  <binary path='/usr/libexec/virtiofsd' xattr='on'>
    <cache size='8192'/>
  </binary>
</filesystem>
</code></pre>

核心排查逻辑</h2>
file-nr 异常高
  → ps 找 virtiofsd 进程
    → ls /proc/<pid>/fd | wc -l 数 fd
      → ls -la /proc/<pid>/fd/ 看类型
        → awk 按目录聚合 找来源
          → 定位 VM 内是什么进程在遍历文件
</code></pre>


QEMU 虚拟机无法访问网关/公网排查
2026-06-13T02:30:00+08:00
QEMU 虚拟机无法访问网关/公网 排查文档</h1>
现象</h2>
QEMU 虚拟机（libvirt）无法 ping 通网关 192.168.2.1</code>，也无法访问公网。宿主机网络正常。</p>
环境信息</h2>
项目</th> 值</th></tr></thead>

宿主机 IP</td> 192.168.2.100/24</code> (vmbr0)</td></tr>
网关</td> 192.168.2.1</code> (MAC: 74:45:2d:96:7f:cc</code>)</td></tr>
虚拟机 IP</td> 192.168.2.156</code> (MAC: 52:54:00:3c:13:73</code>)</td></tr>
物理网卡</td> eno1</code> (桥接到 vmbr0)</td></tr>
虚拟网桥</td> vmbr0</code> (含 eno1 + vnet0)</td></tr>
TAP 设备</td> vnet0</code> (VM 接口，桥接到 vmbr0)</td></tr>
虚拟化</td> QEMU/KVM (libvirt 管理)</td></tr>
</tbody></table>
排查步骤</h2>
1. 确认宿主机网络正常</h3>
ping -c 2 192.168.2.1
# 结果：正常，0% 丢包
</code></pre>
2. 确认网桥拓扑正确</h3>
brctl show vmbr0
# vmbr0:
#   eno1    (物理网卡)
#   vnet0   (虚拟机 TAP 接口)
</code></pre>
3. 在 vmbr0 上抓包 — 发现 VM 发出的 ICMP 请求</h3>
tcpdump -i vmbr0 -e -n icmp
</code></pre>
输出：</p>
22:28:13.582982 52:54:00:3c:13:73 > 74:45:2d:96:7f:cc, ethertype IPv4 (0x0800), length 98: 192.168.2.156 > 192.168.2.1: ICMP echo request, id 10485, seq 68, length 64
</code></pre>
结论：</strong> VM 发出的包到达了网桥 vmbr0，但没有收到任何 reply。</p>
4. 在物理网卡 eno1 上抓包 — 发现包没有到达物理接口</h3>
tcpdump -i eno1 -e -n icmp and host 192.168.2.156
# 结果：0 packets captured
</code></pre>
结论：</strong> VM 的 ICMP 请求在 vmbr0 到 eno1 之间被丢弃了。</p>
5. 检查 bridge netfilter 设置 — 发现关键问题</h3>
sysctl net.bridge.bridge-nf-call-iptables
# net.bridge.bridge-nf-call-iptables = 1
</code></pre>
关键发现：</strong> bridge-nf-call-iptables=1</code> 意味着桥接的 L2 流量也会经过 iptables 处理。</p>
虽然 /etc/sysctl.conf</code> 中配置的是 =0</code>，但 Docker 启动时会将其设为 1</code>（Docker 依赖此设置来实现容器网络隔离和端口映射）。</p>
6. 检查 iptables FORWARD 链 — 确认丢包点</h3>
iptables -L FORWARD -n -v
</code></pre>
Chain FORWARD (policy DROP 3727K packets, 1454M bytes)
 pkts bytes target     prot opt in     out     source               destination
  229 24446 ACCEPT     all  --  vmbr0  tun0    192.168.2.0/24       192.168.4.0/22
  477  513K ACCEPT     all  --  tun0   vmbr0   192.168.4.0/22       192.168.2.0/24
</code></pre>
根因确认：</strong></p>

FORWARD 链默认策略为 DROP</code></li>
仅有的两条涉及 vmbr0 的规则只允许 vmbr0 <-> tun0</code> 的 VPN 流量（192.168.2.0/24 <-> 192.168.4.0/22）</li>
没有规则允许 vmbr0 的普通桥接流量（如 VM -> 网关）</li>
因此 VM 发出的包在到达网桥后被 iptables DROP 掉，无法到达物理网卡 eno1</li>
</ul>
数据流示意</h3>
VM (192.168.2.156)
    │
    ▼ ICMP echo request
 vnet0 ─── vmbr0 ─── ✗ iptables FORWARD DROP ─── eno1 (物理网卡)
                       (无匹配规则)                │
                                                   ▼
                                             Gateway (192.168.2.1)
</code></pre>
修复方案</h2>
立即修复</h3>
添加规则允许桥接流量通过 iptables：</p>
iptables -I FORWARD -m physdev --physdev-is-bridged -j ACCEPT
</code></pre>

-m physdev --physdev-is-bridged</code> 精确匹配经过桥接转发的流量</li>
将该规则插入 FORWARD 链首部，优先于 Docker 的链</li>
</ul>
持久化</h3>
netfilter-persistent save
</code></pre>
该命令将当前 iptables 规则保存到 /etc/iptables/rules.v4</code>，重启后自动恢复。</p>
验证</h3>
iptables -L FORWARD -n -v
</code></pre>
Chain FORWARD (policy DROP)
 pkts bytes target     prot opt in     out     source               destination
  155 44480 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            PHYSDEV match --physdev-is-bridged
</code></pre>
tcpdump -i eno1 -e -n icmp
</code></pre>
22:30:08.217904 52:54:00:3c:13:73 > 74:45:2d:96:7f:cc: 192.168.2.156 > 192.168.2.1: ICMP echo request
22:30:08.218266 74:45:2d:96:7f:cc > 52:54:00:3c:13:73: 192.168.2.1 > 192.168.2.156: ICMP echo reply
</code></pre>
VM 的 ICMP 请求和网关的回复均已正常到达物理网卡，问题解决。</p>
备选方案</h2>
如果不想依赖 iptables 规则，也可以禁用 bridge netfilter：</p>
sysctl -w net.bridge.bridge-nf-call-iptables=0
</code></pre>
但此方案会导致 Docker 的端口映射和容器间隔离失效，不推荐</strong>在有 Docker 运行的环境中采用。</p>
关键命令速查</h2>
用途</th> 命令</th></tr></thead>

查看网桥成员</td> brctl show</code></td></tr>
查看 bridge netfilter 状态</td> sysctl net.bridge.bridge-nf-call-iptables</code></td></tr>
查看 iptables FORWARD 链</td> iptables -L FORWARD -n -v</code></td></tr>
网桥上抓包</td> tcpdump -i vmbr0 -e -n icmp</code></td></tr>
物理接口上抓包</td> tcpdump -i eno1 -e -n icmp</code></td></tr>
保存 iptables 规则</td> netfilter-persistent save</code></td></tr>
</tbody></table>


批量添加 GitHub 仓库协作者
2026-06-13T01:43:45+08:00
概述</h1>
使用 Playwright CLI 连接远程浏览器，批量为 peterlishihu</code> 用户下全部 29 个仓库添加 moxuetianya</code> 作为协作者。</p>
环境</h1>

本地机器</strong>: 通过 SSH 隧道转发远程 Chrome 调试端口</li>
远程浏览器</strong>: Chrome 149, 以 --remote-debugging-port=9222 --remote-debugging-address=0.0.0.0</code> 启动</li>
Playwright CLI</strong>: 通过 CDP 协议连接 http://127.0.0.1:9222</code></li>
</ul>
# 远程机器启动 Chrome
google-chrome --remote-debugging-port=9222 --remote-debugging-address=0.0.0.0 --user-data-dir=/tmp/chrome-debug

# 本地建立 SSH 隧道
ssh -L 9222:127.0.0.1:9222 user@192.168.2.100

# 连接远程浏览器
playwright-cli attach --cdp=http://127.0.0.1:9222
</code></pre>
操作流程</h1>
对每个仓库执行以下步骤：</p>

导航到仓库的 Collaborators 设置页 (/<owner>/<repo>/settings/access</code>)</li>
检查页面是否已包含 @moxuetianya</code>，若有则跳过</li>
点击 "Add people"</strong> 按钮</li>
在弹出的对话框中输入 moxuetianya</code> 搜索用户</li>
检查搜索结果是否已禁用（表示已邀请），若是则关闭对话框跳过</li>
选中 @moxuetianya</code> 选项</li>
点击 "Add moxuetianya"</strong> 确认添加</li>
</ol>
Playwright 脚本</h1>
async page => {
  const repos = ["proxy-shoes","learn-frontend","learn-architecture","his",/* ... 共29个 */];

  for (const repo of repos) {
    await page.goto(`https://github.com/peterlishihu/${repo}/settings/access`, { waitUntil: 'load' });
    await page.waitForTimeout(2500);

    // 检查是否已存在
    const text = await page.evaluate(() => document.body.innerText);
    if (text.includes('@moxuetianya')) continue;

    // 打开添加对话框
    await page.getByRole('button', { name: 'Add people' }).click();
    await page.waitForTimeout(1000);

    // 搜索用户
    await page.getByRole('combobox', { name: 'Find people' }).fill('moxuetianya');
    await page.waitForTimeout(2000);

    // 检查是否已禁用（已邀请）
    const disabled = await page.evaluate(() => {
      const opt = document.querySelector('[role="option"][aria-disabled="true"]');
      return opt && opt.textContent.includes('moxuetianya');
    });
    if (disabled) { await page.keyboard.press('Escape'); continue; }

    // 选中并确认
    await page.getByRole('option', { name: '@moxuetianya' }).click();
    await page.getByRole('button', { name: /Add moxuetianya/ }).click();
    await page.waitForTimeout(2000);
  }
};
</code></pre>
结果统计</h1>
状态</th> 数量</th> 仓库</th></tr></thead>

本次添加</td> 15</td> learn-frontend, his, learn-pipewire-bluetooth, mobile-smb, obsidian, trace-learn, learn-langchain, learn-protobuf, learn-tcpip, bt-learn, wifi-learn, zod-learn, p2p-learn, my-skills, Qwen3.5</td></tr>
已存在</td> 14</td> proxy-shoes, learn-architecture, learn-tpm-grub, learn-linux, linux-translate, linux-dlna, learn-opencode, juzhong, phone-access-card, claude-config, learn-vless, learn-ssh, learn-tls, learn-socks5</td></tr>
</tbody></table>
全部 29 个仓库均已完成。</strong></p>


deploy blog to github cloudflare vercel
2026-06-13T00:17:10+08:00
准备工作</h1>
先构建站点，确认 public/</code> 目录正常生成：</p>
zola build
ls public/
</code></pre>
GitHub Pages</h1>
创建仓库</h2>
创建 github.com/<你的用户名>/<你的用户名>.github.io</code> 仓库，这是 GitHub 的 user site，域名固定为 https://<用户名>.github.io</code>。</p>
git init
git remote add origin git@github.com:<用户名>/<用户名>.github.io.git
</code></pre>
GitHub Actions 自动部署</h2>
创建 .github/workflows/deploy.yml</code>：</p>
name: Deploy Zola Blog

on:
  push:
    branches: [master]

jobs:
  deploy:
    runs-on: ubuntu-latest
    permissions:
      contents: write
    steps:
      - uses: actions/checkout@v4
        with:
          submodules: recursive

      - name: Install Zola
        run: |
          ZOLA_VERSION=$(curl -s https://api.github.com/repos/getzola/zola/releases/latest | grep tag_name | cut -d '"' -f4)
          curl -sL "https://github.com/getzola/zola/releases/download/${ZOLA_VERSION}/zola-${ZOLA_VERSION}-x86_64-unknown-linux-gnu.tar.gz" | tar xz
          sudo mv zola /usr/local/bin/

      - name: Build
        run: zola build

      - name: Deploy
        uses: peaceiris/actions-gh-pages@v3
        with:
          github_token: ${{ secrets.GITHUB_TOKEN }}
          publish_dir: ./public
</code></pre>
推送后 GitHub Actions 自动构建并部署到 gh-pages</code> 分支。在仓库 Settings → Pages 中选择 gh-pages</code> 分支作为部署源。</p>
Cloudflare Pages</h1>
Cloudflare Pages 直接托管静态站点，支持自定义域名 juzhong.xyz</code> 或子域名如 blog.juzhong.xyz</code>。</p>
连接 GitHub 仓库</h2>
在 Cloudflare Dashboard → Workers & Pages → Pages → 创建项目，连接 GitHub 仓库。</p>
构建配置：</strong></p>
配置项</th> 值</th></tr></thead>

构建命令</td> zola build</code></td></tr>
输出目录</td> public</code></td></tr>
环境变量</td> ZOLA_VERSION=0.19.2</code></td></tr>
</tbody></table>
Cloudflare Pages 内置了 Zola 支持，会自动下载对应版本。</p>
自定义域名</h2>
Pages 项目 → 自定义域 → 添加 blog.juzhong.xyz</code>。</p>
需要在 juzhong.xyz</code> 的 DNS 中添加 CNAME 记录：</p>
blog.juzhong.xyz  CNAME  <项目名>.pages.dev
</code></pre>
Cloudflare 代理（橙色云朵）开启后自动提供 HTTPS。</p>
Vercel</h1>
Vercel 也支持 Zola 静态站点，但默认构建环境没有 Zola 版本太低，需要自定义构建命令。</p>
连接仓库与构建配置</h2>
访问 vercel.com/new</a> 导入 GitHub 仓库。</p>
Vercel 可能无法自动识别 Zola 项目，手动配置构建参数：</p>
配置项</th> 值</th></tr></thead>

Framework</td> Other</td></tr>
Build Command</td> 见下方自定义命令</em></td></tr>
Output Directory</td> public</code></td></tr>
</tbody></table>
自定义构建命令</strong>（下载指定版本 Zola 并构建）：</p>
curl -sL https://github.com/getzola/zola/releases/download/v0.19.2/zola-v0.19.2-x86_64-unknown-linux-gnu.tar.gz | tar -xzf - && ./zola build --base-url https://vercel.juzhong.xyz
</code></pre>
拆解说明：</p>

curl -sL ... | tar -xzf -</code> —— 下载 Zola v0.19.2 二进制包并解压到当前目录</li>
./zola build --base-url https://vercel.juzhong.xyz</code> —— 用本地 Zola 构建，--base-url</code> 指定站点根 URL，确保绝对路径（如 RSS、sitemap）正确</li>
</ul>

注意</strong>：将 vercel.juzhong.xyz</code> 替换为你的实际域名；如果没有自定义域名，使用 Vercel 分配的 xxx.vercel.app</code> 域名。</p>
</blockquote>
自定义域名配置（以 Cloudflare 为例）</h2>
下面以子域名 vercel.juzhong.xyz</code> 为例，DNS 解析由 Cloudflare 管理。</p>
第一阶段：Vercel 平台操作</h3>

进入项目仪表板，点击顶部 Settings</strong> → 左侧菜单 Domains</strong></li>
输入完整域名（例如 vercel.juzhong.xyz</code>），点击 Add</strong></li>
页面会提示 Invalid Configuration</em>（正常），点击域名旁边的 View</strong> 查看需要的 DNS 记录</li>
</ol>
Vercel 通常建议添加以下记录：</p>

A 记录</strong>：将根域名指向 76.76.21.21</code>（Vercel 的 IP）</li>
CNAME 记录</strong>：将子域名指向 cname.vercel-dns.com</code></li>
cname.vercel-dns.com — 全球通用</li>
cname-china.vercel-dns.com — 国内专用节点，中国大陆访问速度更快、更稳定</li>
由于你在国内使用，强烈推荐使用 cname-china.vercel-dns.com。</li>
</ul>

本项目使用子域名，只需 CNAME 记录即可。</p>
</blockquote>
第二阶段：Cloudflare DNS 操作</h3>

登录 Cloudflare 仪表板 → 选择域名 juzhong.xyz</code> → DNS</strong> → 记录</strong></li>
点击 添加记录</strong>，配置如下：</li>
</ol>
字段</th> 值</th></tr></thead>

类型</td> CNAME</code></td></tr>
名称</td> vercel</code></td></tr>
目标</td> cname.vercel-dns.com</code></td></tr>
代理状态</td> 仅 DNS</strong>（灰色云朵 ☁️）</td></tr>
</tbody></table>
关键</strong>：代理状态务必选择灰色云朵（仅 DNS），不要开启橙色云朵（代理）。</p>

为什么？</strong> Vercel 使用 Let's Encrypt 自动签发 SSL 证书，需要通过 ACME 协议验证域名所有权。Cloudflare 橙色代理会拦截 ACME 验证请求，导致证书签发失败、域名始终显示 Invalid Configuration</em>。</p>
</blockquote>
特殊情况：根域名配置</strong></p>
DNS 标准不允许根域名（@</code>）使用 CNAME 记录。Cloudflare 通过 CNAME Flattening</strong> 技术自动将根域名的 CNAME 转换为 A 记录，你只需正常添加 CNAME 记录，名称写 @</code> 即可。</p>
如果 Vercel 提示根域名需要 A 记录，则改为：</p>
字段</th> 值</th></tr></thead>

类型</td> A</code></td></tr>
名称</td> @</code></td></tr>
IPv4 地址</td> 76.76.21.21</code></td></tr>
</tbody></table>
第三阶段：验证与生效</h3>

DNS 记录全球生效通常需要几分钟到几十分钟</li>
回到 Vercel 项目 Domains</strong> 页面，状态从红色 Invalid Configuration</em> 变为绿色 Valid Configuration</em> 即表示成功</li>
SSL 证书自动签发，通常 1-3 分钟内完成</li>
访问 https://vercel.juzhong.xyz</code> 确认站点正常</li>
</ol>
额外配置：URL 重定向（可选）</h3>
在 Vercel 的 Domains 页面，点击域名旁边的 Edit</strong>，可设置：</p>

将 www.vercel.juzhong.xyz</code> 重定向到 vercel.juzhong.xyz</code>（或反之）</li>
如需同时使用 www 子域名，需在 Cloudflare 再添加一条名称 www.vercel</code> 的 CNAME 记录，并同样加入 Vercel 项目</li>
</ul>
常见问题排查</h3>
问题</th> 原因</th> 解决</th></tr></thead>

状态一直 Invalid</em></td> Cloudflare 代理未关闭（橙色云朵）</td> 将 DNS 记录的代理状态改为灰色（仅 DNS）</td></tr>
DNS 记录冲突</td> Cloudflare 中存在旧 A/AAAA 记录与 CNAME 冲突</td> 删除无关的解析记录，只保留 Vercel 所需的</td></tr>
www 子域名无法访问</td> Vercel 不会自动添加 www 子域名</td> 手动在 Vercel 中添加 www.vercel.juzhong.xyz</code>，并添加对应的 Cloudflare DNS 记录</td></tr>
SSL 证书续期失败</td> 后续开启了 Cloudflare 代理（橙色云朵），拦截了 ACME 验证</td> 在 Cloudflare Zero Trust 中为路径 /.well-known/acme-challenge/*</code> 设置 Bypass 策略；或在证书续期期间临时关闭代理</td></tr>
</tbody></table>
三平台对比</h1>
</th> GitHub Pages</th> Cloudflare Pages</th> Vercel</th></tr></thead>

免费额度</td> 无限</td> 无限</td> 100GB/月带宽</td></tr>
自定义域名</td> 支持</td> 支持</td> 支持</td></tr>
HTTPS</td> 自动</td> 自动</td> 自动</td></tr>
构建时间</td> 10min/次</td> 500次/月</td> 6000min/月</td></tr>
域名</td> xxx.github.io</code></td> xxx.pages.dev</code></td> xxx.vercel.app</code></td></tr>
适用场景</td> 简单托管</td> 需要自定义域名 + CDN</td> 开发预览</td></tr>
</tbody></table>
推荐方案</strong>：源码放 GitHub，用 Cloudflare Pages 部署到 blog.juzhong.xyz</code>。GitHub 负责版本管理，Cloudflare 提供全球 CDN 和免费 HTTPS。</p>


启动libvirt失败
2026-03-23T15:41:47+08:00
报错内容</h1>
sudo virsh start debian13
</code></pre>
error: 启动域 'debian13' 失败 
error: 内部错误：连接监控的过程中进程退出: 2026-03-23T03:21:25.801780Z qemu-system-x86_64: -blockdev {"driver":"file","filename":"/data/sharing/iso/debian13/debian-13.3.0-amd64-DVD-1.iso","node-name":"libvirt-1-storage","read-only":true}: Could not open '/data/sharing/iso/debian13/debian-13.3.0-amd64-DVD-1.iso': Permission denied
</code></pre>
排查过程</h1>
# 检查iso文件读权限
sudo -u libvirt-qemu test -r /data/sharing/iso/debian13/debian-13.3.0-amd64-DVD-1.iso && echo OK || echo FAIL

# 检查apparmor
sudo dmesg | grep -i apparmor | grep DENIED
sudo vim /etc/apparmor.d/local/usr.sbin.libvirtd
# /data/sharing/iso/ r,
# /data/sharing/iso/** rk,
# r: 代表读取权限。
# k: 代表文件锁定权限（虚拟机运行 ISO 有时需要）
sudo apparmor_parser -r /etc/apparmor.d/local/usr.sbin.libvirtd
</code></pre>


linux 网络不通网卡缺陷排查记录
2026-03-20T01:56:07+00:00
现象</h1>
查看ip route</code> ip link</code> ip -4 addr</code> bridge show</code> 等多个命令，没有发现明显问题
怀疑是linux网桥导致的问题，后面发现是物理网卡hung了</p>
查看dmesg</h1>
sudo dmesg -w</p>
[318451.739250] e1000e 0000:00:1f.6 enp0s31f6: Detected Hardware Unit Hang:
                  TDH                  <ed>
                  TDT                  <10>
                  next_to_use          <10>
                  next_to_clean        <ec>
                buffer_info[next_to_clean]:
                  time_stamp           <110b9fd62>
                  next_to_watch        <ed>
                  jiffies              <112f6a400>
                  next_to_watch.status <0>
                MAC Status             <40080083>
                PHY Status             <796d>
                PHY 1000BASE-T Status  <3800>
                PHY Extended Status    <3000>
                PCI Status             <10>

</code></pre>
诊断结果 核心诊断</h1>

硬件型号：Intel I219-LM (rev 11)。这是 Dell OptiPlex 7090 等商用机常见的板载网卡。</li>
内核版本：6.17.0-19-generic。这是一个非常新的内核（Ubuntu 24.04 的 HWE 边缘或开发版内核）。</li>
故障原因：新版内核中的 e1000e 驱动与 I219-LM (rev 11) 存在兼容性问题。</li>
Intel I219 系列网卡在 Linux 下以“挑剔”著称，经常在新内核中出现 Hardware Unit Hang。</li>
错误日志显示驱动检测到发送/接收队列死锁，这通常是因为新内核的电源管理策略（ASPM）或中断处理逻辑与该特定修订版（rev 11）的硬件不匹配导致的。</li>
</ul>
解决方案</h1>
临时测试（无需重启）： 运行以下命令关闭该网卡的 ASPM（主动状态电源管理）：</h2>
# 注意：需要 root 权限
sudo setpci -s 00:1f.6 0x50.B=0x00
# 如果命令提示找不到 setpci，请先安装：
sudo apt install pciutils
执行完上述命令后，重置网卡：
``` bash
sudo ip link set enp0s31f6 down
sudo ip link set enp0s31f6 up
</code></pre>
永久生效（修改 GRUB）：</h2>

如果临时测试有效，需要修改启动参数永久生效：</li>
sudo nano /etc/default/grub</li>
找到 GRUB_CMDLINE_LINUX_DEFAULT 这一行，在引号内添加 pcie_aspm=off。</li>
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash pcie_aspm=off"</li>
保存退出后，更新 GRUB 并重启：</li>
</ul>
sudo update-grub
sudo reboot
</code></pre>
禁用特定的网卡节能功能</h2>
如果方案一无效，尝试通过 ethtool 禁用网卡内部的节能选项。</p>
sudo apt install ethtool
sudo ethtool enp0s31f6 | grep -E "Wake-on|Energy"
# 关闭 Wake-on-LAN
sudo ethtool -s enp0s31f6 wol d

# 关闭 Energy Efficient Ethernet (EEE) - 这对 I219 很重要
sudo ethtool --set-eee enp0s31f6 eee off
# 注：如果 --set-eee 提示不支持，可以忽略该行。
# 为了让这些设置在重启后依然有效，你可以创建一个 systemd 服务或将其放入 /etc/network/interfaces (如果是旧版 networking) 或 Netplan 的配置中。
</code></pre>
快速临时测试脚本：</p>
sudo ip link set enp0s31f6 down
sudo ethtool -s enp0s31f6 wol d
sudo ethtool --set-eee enp0s31f6 eee off 2>/dev/null
sudo ip link set enp0s31f6 up
</code></pre>


sshd 安全加固
2026-03-02T14:21:16+08:00
安装fail2ban</h1>
sudo apt install fail2ban
sudo systemctl enable --now fail2ban
sudo fail2ban status sshd
</code></pre>
sshd 配置</h1>
# /etc/ssh/sshd_config

AllowUsers peter.home peter@192.168.2.*
AllowUsers peter@localhost peter@127.0.0.*

# ========== 全局安全策略 ==========
Port 22
Protocol 2
# 默认仅允许密钥登录（公网策略）
PasswordAuthentication no
PubkeyAuthentication yes
# 禁用不安全的认证方式
ChallengeResponseAuthentication no
KbdInteractiveAuthentication no
# 禁用 root 登录
PermitRootLogin no

# ========== 内网访问：允许密码登录 ==========
# 方案 A：基于服务器本地网卡地址
Match LocalAddress 192.168.* 10.* 172.16.* 172.17.*
    PasswordAuthentication yes
# 方案 B：基于客户端源地址（二选一，不要同时使用）
Match Address 192.168.0.0/16,10.0.0.0/8,172.16.0.0/12
    PasswordAuthentication yes
</code></pre>


性能分析工具
2026-01-27T13:36:21+08:00
性能分析工具</h1>

gprof：这是一个GNU的性能分析工具，主要用于分析程序的函数调用关系，以及每个函数的运行时间等。</li>
Valgrind：这是一个用于内存调试、内存泄漏检测以及性能分析的开源工具集。其中，Valgrind的Callgrind工具可以收集程序运行时的函数调用信息，用于性能分析。</li>
perf：这是Linux下的一个性能分析工具，可以收集CPU使用情况、缓存命中率、分支预测错误等多种性能数据。</li>
</ul>
gprof</h1>

gprof 通常作为 GNU Binutils 的一部分，在大多数 Linux 发行版中都是默认安装的。</li>
gprof 是一个GNU项目中的性能分析工具，用于分析C和C++程序的函数调用图和每个函数的CPU使用时间。它通过测量程序执行过程中的函数调用频率和运行时间来帮助你识别出那些占用了最多运行时间的函数，从而定位可能的性能瓶颈。</li>
使用 -pg 选项来告诉编译器包含 gprof 的分析代码</li>
gprof 会收集运行时信息，并将这些信息写入一个名为 gmon.out 的文件</li>
使用 gprof 工具来分析 gmon.out 文件中的数据</li>
</ul>
##编译代码
g++ -pg -o myprogram hello.cpp
## 执行代码,生成调用文件
./myprogram
## 分析日志
gprof myprogram gmon.out > analysis.txt
</code></pre>
perf</h1>

perf 工具通常已经预装在 kernel-tools 或 kernel-tools-libs 包中</li>
使用 perf record 命令来运行你的程序，并收集性能数据：CPU 使用情况、缓存命中、分支预测错误等性能数据</li>
使用 perf report 命令来查看收集到的性能数据报告
perf report 会展示一个交互式的文本界面，其中包含每个函数的 CPU 使用时间百分比、调用次数等信息。你可以使用箭头键来浏览不同的函数，按 Enter 键来深入查看特定函数的调用栈</li>
perf top：实时显示当前运行的程序的热点函数。</li>
perf annotate：显示特定函数的源代码注释，包括每个代码行的执行次数。</li>
perf stat：显示程序的总体性能统计信息，如指令数、缓存未命中次数等。</li>
</ul>
## 编译代码
g++ -O2 -o myprogram  hello.cpp
## 执行程序
perf record ./myprogram
## 分析结果
perf report
</code></pre>
valgrind</h1>

Valgrind 是一个用于内存调试、内存泄漏检测以及性能分析的开源工具。它可以在程序运行时检测多种问题，如内存泄漏、未初始化的内存、使用已释放的内存等</li>
</ul>
## 直接执行程序 进行检查（就是执行有点慢）
valgrind --tool=memcheck ./myprogram
## 检测内存泄漏
valgrind --leak-check=full ./hello
## callgrind 工具可以用来收集程序运行时的函数调用信息，这对于性能分析非常有用。使用 callgrind 运行程序, 生成callgrind.out.<pid>文件
valgrind --tool=callgrind ./myprogram
# 使用 kcachegrind 工具来查看和分析这些数据：
kcachegrind callgrind.out.<pid>
</code></pre>
内存泄漏检测</h2>
valgrind --leak-check=full ./your_program
</code></pre>

用途：检测程序在运行过程中分配但未被释放的内存，帮助发现内存泄漏。</li>
选项说明：--leak-check=full 会报告所有可能的内存泄漏，包括那些仍然可访问的。</li>
</ul>
堆栈跟踪</h2>
valgrind --tool=memcheck --trace-children=yes ./your_program
</code></pre>

用途：跟踪程序中函数的调用栈，可以帮助定位问题发生的源头。</li>
选项说明：--trace-children=yes 会跟踪由 your_program 创建的子进程的函数调用。</li>
</ul>
缓存模拟</h2>
valgrind --tool=cachegrind --I1=32k,2,8 --D1=32k,2,8 ./your_program
</code></pre>

用途：模拟 CPU 缓存的行为，以评估程序对缓存的利用率和可能的性能瓶颈。</li>
选项说明：--I1 和 --D1 分别设置一级指令缓存和一级数据缓存的大小、关联性和替换策略。</li>
</ul>
调用图分析</h2>
valgrind --tool=callgrind ./your_program
</code></pre>

运行完毕后，可以使用 kcachegrind 或其他工具查看生成的调用图数据：</li>
</ul>
kcachegrind callgrind.out.<pid>
</code></pre>

用途：收集程序运行时的函数调用信息，生成调用图，用于性能分析和优化。</li>
说明：callgrind.out. 是 callgrind 工具生成的数据文件，其中  是运行程序的进程ID。</li>
</ul>
数据竞争检测</h2>
valgrind --tool=drd ./your_program
</code></pre>

用途：检测多线程程序中的数据竞争问题，即多个线程同时访问和修改同一内存位置而没有适当的同步。</li>
说明：drd 工具可以帮助发现多线程编程中的潜在问题。</li>
这些只是 valgrind 提供的一些常用工具和选项的示例。valgrind 的功能非常强大，还包含其他工具，并且每个工具都有许多选项可以调整。为了充分利用 valgrind，建议查阅其官方文档或手册页（使用 man valgrind 命令）以获取更详细的信息和用法示例。</li>
</ul>


qemu启动pve qcow2虚拟机镜像排查
2026-01-25T13:28:12+08:00
修复qcow2文件目录</h1>
最后发现时rootfs中缺少了 /dev 和 /sys 两个目录，导致initrd中切换到systemd时缺少挂载点后panic了</p>
qemu-system-x86_64 --enable-kvm -smp 2 -m 4096  -hda vm-7044.qcow2 -snapshot -serial stdio
modprobe nbd
sudo modprobe nbd max_part=8
lsblk
qemu-nbd --help
qemu-nbd -c /dev/nbd0 vm-7044.qcow2
mkdir vm-7044 && cd vm-7044/
mkdir part{1,5}
mount /dev/nbd0p1 part1/
mount /dev/nbd0p5 part5
cd part5/boot/
file initrd.img
mkdir initrd && cd initrd/
cpio -idmv < ../initrd.img-5.15.0-139-generic
qemu-system-x86_64 -smp 2 -m 4096 -kernel vmlinuz-5.15.0-139-generic -initrd initrd.img-5.15.0-139-generic  -append "console=ttyS0"
cp initrd.img ../../
cp vmlinuz ../../
umount part1
umount part5
qemu-nbd -d /dev/nbd0
qemu-system-x86_64 --enable-kvm -smp 2 -m 4096 -kernel vmlinuz -initrd initrd.img  -append "console=ttyS0"
qemu-system-x86_64 --enable-kvm -smp 2 -m 4096  -hda ../vm-7044.qcow2
qemu-system-x86_64 --enable-kvm -smp 2 -m 4096 -kernel vmlinuz -initrd initrd.img  -append "console=ttyS0" -hda ../vm-7044.qcow2
qemu-system-x86_64 --enable-kvm -smp 2 -m 4096 -kernel vmlinuz -initrd initrd.img  -append "console=ttyS0 root=/dev/sda5" -hda ../vm-7044.qcow2

# 最后发现qcow2中的文件系统缺少/dev 和 /sys 两个目录（导致init启动时没有devfs/tmpfs的挂载点）
qemu-system-x86_64 --enable-kvm -smp 2 -m 4096 -hda vm-7044.qcow2
</code></pre>
qemu虚拟机启动后如何切换tty</h1>

tty1中的启动程序没有完全成功，导致卡死在启动过程，且没有shell供用户输入</li>
qemu GUI中使用monitor0, 可以发送命令,切换其他tty登录</li>
</ul>
(qemu) sendkey ctrl+alt+f3

# 登录系统后， 修改grub
sudo nano /etc/defautl/grub
# 注释掉hide和选项
# GRUB_TIMEOUT_STYLE=hide
GRUB_CMDLINE_LINUX_DEFAULT='loglevel=7'
GRUB_CMDLINE_LINUX="console=tty0 console=ttyS0,115200n8 earlyprintk=ttyS0,115200 systemd.show_status=1"

sudo update-grub
</code></pre>
grub shell常用命令</h1>

ls	列出设备、分区或目录内容	ls, ls (hd0,1)/boot</li>
set	查看或设置环境变量	set root=(hd0,gpt2)</li>
linux	加载内核文件	linux /vmlinuz root=/dev/sda5</li>
initrd	加载初始化 RAM 磁盘	initrd /initrd.img</li>
boot	启动已经加载好的内核	boot</li>
insmod	加载动态模块（如 normal, ext2）	insmod normal</li>
cat	查看文件内容（常用于检查 grub.cfg）	cat (hd0,1)/etc/default/grub</li>
</ul>
grub> configfile (hd0,msdos1)/boot/grub/grub.cfg
# 或尝试使用 search 命令自动查找
grub> search --file --set=root /boot/grub/grub.cfg
grub> configfile /boot/grub/grub.cfg

grub> ls (hd0,msdos5)/
# 如果显示了 vmlinuz, initrd.img 等文件，说明找对了

# 第二步：设置根分区
# 查看当前 root / prefix
grub> set
grub> set root=(hd0,msdos5)
grub> insmod normal
grub> insmod linux
grub> insmod ext2     # ext2/ext4 都是这个

# 第三步：加载内核 (关键步骤)
# 你需要指定内核文件，并手动告诉它根目录在哪里。在这里加上 nomodeset 来解决你之前的卡死问题。
# 注意：利用 Tab 键补全文件名，因为内核版本号很长
grub> linux /boot/vmlinuz-xxx-generic root=/dev/sda5 nomodeset

# 第四步：加载 initrd
grub> initrd /boot/initrd.img-xxx-generic
grub> boot
</code></pre>


linux 键盘按键频率统计
2026-01-05T12:05:46+08:00
按键频率（key frequency）</h1>
统计 Linux 下自己实际敲击的 按键频率（key frequency），从而为 键盘布局优化（如重映射高频键到更符合人体工学的位置）提供数据支持</p>
常用的监控按键的工具</h2>

wev(wayland)

通过wayland(libinput)读取eventX(evdev)</li>
</ul>
</li>
libinput list-devices

apt install libinput-tools</li>
</ul>
</li>
xev(x11)

通过x11(xkb)读取eventX</li>
</ul>
</li>
xinput(x11)</li>
evtest

apt install evtest</li>
直接读取eventX</li>
</ul>
</li>
showkey

通过内核tty系统读物eventX</li>
只能在 VT（Ctrl+Alt+Fx）</li>
看的是 内核 tty keycode / scancode</li>
</ul>
</li>
uinput

创建虚拟输入设备/dev/intput/eventY</li>
/dev/uinput（虚拟设备注入点）</li>
</ul>
</li>
/dev/input/eventX

内核输入子系统 (evdev)</li>
</ul>
</li>
键盘映射系统级修改：修改内核键码映射（setkeycodes）或控制台映射（loadkeys）</li>
</ul>
使用 evtest + 自定义脚本（推荐，安全、底层、不依赖 GUI）</h1>

所有数据仅保存在 ~/.local/share/keyfreq/，不记录键值内容（如不区分 a/A，只记录 KEY_A）。</li>
无法恢复原始文本，仅统计物理按键频率，不构成键盘记录器（keylogger）</li>
</ul>
sudo apt install evtest  # Debian/Ubuntu
sudo evtest

sudo apt install python3-pip
sudo usermod -aG input $USER
# 重新登录使组生效
pip3 install --user evdev
# 目录结构
# ~/.local/bin/keyfreqd
# ~/.config/systemd/user/keyfreqd.service
# ~/.local/share/keyfreq/  # 日志目录
</code></pre>
#!/usr/bin/env python3
import sys
import struct
import os
from collections import Counter

# 从 evtest 或 /usr/include/linux/input-event-codes.h 获取 keycode 映射
KEY_NAMES = {
    1: 'ESC', 2: '1', 3: '2', 4: '3', 5: '4', 6: '5', 7: '6', 8: '7', 9: '8', 10: '9', 11: '0',
    12: 'MINUS', 13: 'EQUAL', 14: 'BACKSPACE',
    15: 'TAB', 16: 'Q', 17: 'W', 18: 'E', 19: 'R', 20: 'T', 21: 'Y', 22: 'U', 23: 'I', 24: 'O', 25: 'P',
    26: 'LEFTBRACE', 27: 'RIGHTBRACE', 28: 'ENTER',
    29: 'LEFTCTRL', 30: 'A', 31: 'S', 32: 'D', 33: 'F', 34: 'G', 35: 'H', 36: 'J', 37: 'K', 38: 'L',
    39: 'SEMICOLON', 40: 'APOSTROPHE', 41: 'GRAVE',
    42: 'LEFTSHIFT', 43: 'BACKSLASH', 44: 'Z', 45: 'X', 46: 'C', 47: 'V', 48: 'B', 49: 'N', 50: 'M',
    51: 'COMMA', 52: 'DOT', 53: 'SLASH', 54: 'RIGHTSHIFT',
    56: 'LEFTALT', 57: 'SPACE', 58: 'CAPSLOCK',
    97: 'RIGHTCTRL', 100: 'RIGHTALT',
    # 方向键等
    103: 'UP', 105: 'LEFT', 106: 'RIGHT', 108: 'DOWN',
}

def main(device_path):
    counter = Counter()
    with open(device_path, 'rb') as f:
        while True:
            data = f.read(24)  # input_event 结构体大小
            if not data:
                break
            tv_sec, tv_usec, type_, code, value = struct.unpack('llHHi', data)
            if type_ == 1 and value == 1:  # EV_KEY 且按下（非释放）
                key_name = KEY_NAMES.get(code, f'KEY_{code}')
                counter[key_name] += 1
                print(f"\r{len(counter)} keys recorded...", end='', flush=True)
    return counter

if __name__ == '__main__':
    if len(sys.argv) != 2:
        print("Usage: sudo python3 keyfreq.py /dev/input/eventX")
        sys.exit(1)
    device = sys.argv[1]
    print(f"Recording key presses from {device} (Press Ctrl+C to stop)...")
    try:
        counter = main(device)
    except KeyboardInterrupt:
        print("\nStopped.")
    # 输出排序结果
    print("\n=== Key Frequency ===")
    for key, count in counter.most_common():
        print(f"{key:12} : {count}")
</code></pre>
#!/usr/bin/env python3
# ~/.local/bin/keyfreqd

import os
import json
import time
from datetime import datetime, date
from collections import defaultdict
from pathlib import Path

from evdev import InputDevice, categorize, ecodes, list_devices

# 配置
LOG_DIR = Path.home() / ".local/share/keyfreq"
LOG_DIR.mkdir(parents=True, exist_ok=True)

# 过滤出键盘设备（基于名称或 capability）
def is_keyboard(dev):
    if not dev.capabilities().get(ecodes.EV_KEY):
        return False
    name = dev.name.lower()
    # 常见键盘关键词
    keywords = ['keyboard', 'keypad', 'at keyboard', 'input device']
    return any(kw in name for kw in keywords) or 'kbd' in name

def main():
    # 获取所有输入设备
    devices = [InputDevice(fn) for fn in list_devices()]
    keyboards = [dev for dev in devices if is_keyboard(dev)]

    if not keyboards:
        print("No keyboard devices found. Check permissions (add user to 'input' group).", file=os.sys.stderr)
        return

    print(f"Monitoring {len(keyboards)} keyboard(s): {[d.name for d in keyboards]}")

    # 当天的计数器
    today = date.today()
    counter = defaultdict(int)

    try:
        while True:
            # 检查日期是否变更
            new_day = date.today()
            if new_day != today:
                # 保存旧数据
                save_day_log(today, counter)
                # 重置
                today = new_day
                counter = defaultdict(int)

            # 读取事件（非阻塞轮询）
            for dev in keyboards:
                try:
                    for event in dev.read():
                        if event.type == ecodes.EV_KEY:
                            key_event = categorize(event)
                            if hasattr(key_event, 'keycode'):
                                # 只记录按下（避免重复计数）
                                if event.value == 1:  # key press
                                    counter[key_event.keycode] += 1
                except BlockingIOError:
                    continue  # 无事件可读
                except OSError as e:
                    if e.errno == 19:  # 设备被拔出
                        keyboards = [d for d in keyboards if d != dev]
                        print(f"Device removed: {dev.name}", file=os.sys.stderr)
                    else:
                        raise

            time.sleep(0.01)  # 减少 CPU 占用

    except KeyboardInterrupt:
        save_day_log(today, counter)
        print("\nExiting and saving final log.")

def save_day_log(day: date, counter: dict):
    if not counter:
        return
    log_file = LOG_DIR / f"{day.isoformat()}.json"
    # 合并已有数据（以防重复运行）
    if log_file.exists():
        with open(log_file, 'r') as f:
            existing = json.load(f)
        for k, v in counter.items():
            existing[k] = existing.get(k, 0) + v
        counter = existing
    with open(log_file, 'w') as f:
        json.dump(dict(counter), f, indent=2, sort_keys=True)
    print(f"Saved {sum(counter.values())} keystrokes to {log_file}")

if __name__ == "__main__":
    main()
</code></pre>

systemd 用户服务</li>
</ul>
cat ~/.config/systemd/user/keyfreqd.service
systemctl --user daemon-reload
systemctl --user enable --now keyfreqd.service
</code></pre>
服务配置</p>
[Unit]
Description=Keyboard Key Frequency Logger
After=graphical-session.target

[Service]
ExecStart=%h/.local/bin/keyfreqd
Restart=always
RestartSec=5
StandardOutput=journal
StandardError=journal

[Install]
WantedBy=default.target
</code></pre>
分析脚本</h2>
#!/usr/bin/env python3
# ~/.local/bin/keyfreq-analyze

import json
import sys
from pathlib import Path
from collections import defaultdict

LOG_DIR = Path.home() / ".local/share/keyfreq"

def main(days=7):
    total = defaultdict(int)
    count = 0
    for log in sorted(LOG_DIR.glob("*.json"))[-days:]:
        with open(log) as f:
            data = json.load(f)
            for k, v in data.items():
                total[k] += v
        count += 1

    if not total:
        print("No data found.")
        return

    print(f"Top 30 keys in last {count} day(s):")
    print("-" * 40)
    for key, freq in sorted(total.items(), key=lambda x: -x[1])[:30]:
        print(f"{key:15} : {freq:>8}")

if __name__ == "__main__":
    days = int(sys.argv[1]) if len(sys.argv) > 1 else 7
    main(days)
</code></pre>


Super(Win)键失效无法开启gnome搜索功能
2026-01-01T23:08:03+08:00
桌面环境或窗口管理器未正确配置 Super 键行为</h1>
Super 键默认绑定到“显示活动概览”（Activities Overview），其中包含搜索框。
若该绑定被修改、禁用，或 GNOME Shell 未完全加载，Super 键可能无响应。
可通过以下命令检查绑定：</p>
gsettings get org.gnome.mutter overlay-key
gsettings reset org.gnome.mutter overlay-key
</code></pre>
输入法或键盘布局干扰</h2>
某些输入法框架（如 fcitx5、ibus）在特定状态下会“捕获”Super 键。
某些非标准键盘布局（如自定义 xkb 配置）可能重映射了 Super 键。
可通过以下命令临时测试原始键码：</p>
echo $XDG_SESSION_TYPE
xev  # 在 X11 下
xev | grep -A2 -B2 keycode
# 或
sudo evtest  # 在 Wayland 下（需 root）
sudo apt install wev
wev
# 在 TTY 中用 
showkey -s # 再次验证
</code></pre>
按下 Super 键，观察是否输出 Super_L 或 Super_R。如果没有，说明系统未识别该键。</p>


libvirt 优化windows11虚拟机配置
2025-12-30T11:45:03+08:00
虚拟机优化</h1>

使用spice协议, 优化本地访问</li>
配置ballooning, 优化内存使用

https://fedorapeople.org/groups/virt/virtio-win/direct-downloads/stable-virtio/virtio-win.iso</li>
</ul>
</li>
安装 SPICE Guest Tools, 优化鼠标

spice-vdagent：实现鼠标无缝、剪贴板共享、分辨率自动调整</li>
自动禁用 Guest 内鼠标指针（避免双鼠标）</li>
https://www.spice-space.org/download.html?spm=a2ty_o01.29997173.0.0.54145171JWAMq5</li>
</ul>
</li>
</ul>


linux 键盘映射xremap
2025-12-25T17:17:27+08:00
xremap</h1>

xremap is a key remapper for Linux. Unlike xmodmap, it supports app-specific remapping and Wayland.</li>
xremap 和 evdev 都是 Linux 下的键盘重映射工具，主要区别在于 xremap 专注于应用层，提供更灵活的组合键和上下文感知（如窗口特定、虚拟修饰键）功能，而 evdev（底层驱动）则更侧重硬件/驱动层面的低级事件捕获与重映射，xremap 可以基于 evdev 实现高级功能，两者常结合使用，xremap 更易用，evdev 性能更低延迟。</li>
</ul>
cargo install xremap --features gnome   # GNOME Wayland
</code></pre>
查看当前 uinput 设备（需要 root）</h2>
xremap 使用 /dev/uinput 创建虚拟输入设备。异常退出可能导致设备未释放。</p>
sudo cat /sys/class/misc/uinput/dev

# 查看 uinput 使用者（粗略判断是否被占用）
lsof /dev/uinput
# 或
fuser /dev/uinput
</code></pre>
Running xremap without sudo</h2>
To do so, your normal user should be able to use evdev and uinput without sudo. In Ubuntu, this can be configured by running the following commands and rebooting your machine.</p>
sudo gpasswd -a YOUR_USER input
echo 'KERNEL=="uinput", GROUP="input", TAG+="uaccess"' | sudo tee /etc/udev/rules.d/input.rules

lsmod | grep uinput
# If it shows up empty:
echo uinput | sudo tee /etc/modules-load.d/uinput.conf

Reboot the machine afterwards or try:

sudo modprobe uinput
sudo udevadm control --reload-rules && sudo udevadm trigger
</code></pre>
GNOME Wayland</h2>

Install xremap's GNOME Shell extension from this link, switching OFF to ON.</li>
If you use sudo to run xremap, also click here.</li>
Update /usr/share/dbus-1/session.conf as follows, and reboot your machine.</li>
</ul>
   <policy context="default">
+    <allow user="root"/>
     <!-- Allow everything to be sent -->
     <allow send_destination="*" eavesdrop="true"/>
     <!-- Allow everything to be received -->
</code></pre>
example</h2>
This allows a key to be held indefinitely without triggering its held state, which is ideal for keys that also serve as modifiers. For example, you can make the Space key act as Shift when held and combined with another key, but still type a regular Space when tapped.</p>
modmap:
  - name: Space as Shift
    remap:
      Space:
        held: Shift_L
        alone: Space
        free_hold: true # Optional, defaults to false.
</code></pre>
问题排查</h1>
# 普通用户执行要求
sudo usermod -aG input $USER

# 创建 udev 规则： 新建文件 /etc/udev/rules.d/99-input.rules，内容如下：
KERNEL=="uinput", GROUP="input", MODE="0660"

sudo udevadm control --reload-rules && sudo udevadm trigger

# 查找你的键盘设备 寻找 Name="...Keyboard..." 的条目，记下它的 Handlers（例如 event3）
cat /proc/bus/input/devices

/home/peter/.cargo/bin/xremap /home/peter/project/tools/dotfiles/keymap.yml --device /dev/input/event3
</code></pre>
错误举例</h2>

如果 xremap 以错误权限启动并崩溃，它可能已经打开了虚拟设备但没有正常关闭，导致 GNOME 认为有一个“死键”一直被按下。</li>
</ul>
xremap 会创建一个名为 xremap 的虚拟键盘。如果程序崩溃了但设备还在，GNOME 会继续尝试从这个“僵尸”设备读取输入</h3>
lsinput
# 或者使用更通用的命令
grep -E 'Name|Handlers' /proc/bus/input/devices
</code></pre>

寻找关键字： 在输出中找名称包含 "xremap" 的设备。</li>
判断异常： 如果 xremap 进程已经杀掉了，但 xremap 虚拟设备依然出现在列表中，说明设备未正常卸载，这通常就是导致 GNOME 异常的元凶。</li>
</ul>
使用 libinput 监控实时事件</h3>

你可以实时观察到底是哪个设备在“发疯”（比如不停发送 Ctrl 信号）。</li>
</ul>
sudo libinput debug-events
</code></pre>

观察输出： * 如果你没有按键，但屏幕滚动显示 KEY_LEFTCTRL 或 KEY_RIGHTALT 的 pressed 事件，说明存在“死键”。</li>
看输出条目左侧的设备名称。如果是来自 xremap 设备，说明是驱动层模拟出的问题；如果是来自你的物理键盘，说明物理设备可能被锁死在了按下状态</li>
</ul>
排查设备“锁死”（EVIOCGRAB）</h3>

xremap 运行时会“抓取”物理键盘。如果它崩溃时没有释放抓取权限，物理键盘的信号就无法到达 GNOME，导致你感觉键盘“失灵”。</li>
</ul>
ps aux | grep xremap
sudo killall -9 xremap
</code></pre>
通常进程结束后，内核会自动释放设备抓取。</p>
快速恢复手段</h2>

如果你正处于“环境异常”（键盘乱跳或没反应）中，尝试以下组合拳：</li>
拔插键盘： 如果是外接键盘，拔掉重插可以强制重置内核对该设备的输入状态。</li>
强制销毁虚拟设备： 如果 xremap 已经退出但设备还在，尝试移除 uinput 模块（慎用，仅在没反应时尝试）：</li>
</ul>
sudo modprobe -r uinput && sudo modprobe uinput
</code></pre>

重启 GNOME Shell：</li>
X11 环境： 按 Alt + F2，输入 r 然后回车。</li>
Wayland 环境： 只能通过登出（Log out）并重新登录来重置输入状态。</li>
</ul>
终极手段：重置 uinput 子系统</h2>
# 卸载并重载 uinput 模块（需 root，会断开所有虚拟输入设备）
sudo rmmod uinput
sudo modprobe uinput
# 此操作会使所有依赖 uinput 的程序（如 xremap、keyd、interception-tools）失效，需重启它们
</code></pre>
强制释放所有“卡住”的修饰键（最常用、最有效）</h2>
在 GNOME/X11 下，模拟释放所有修饰键即可快速恢复：</p>
# 方法 1：使用 xdotool（推荐）
xdotool keyup Shift_L Shift_R Control_L Control_R Alt_L Alt_R Super_L Super_R

# 方法 2：使用 xte（来自 xautomation 包）
xte 'keyup Shift_L' 'keyup Control_L' 'keyup Alt_L' 'keyup Super_L'

# 方法 3：重启输入法/IM 框架（有时 IBus/Rime 会缓存按键状态）
ibus restart
</code></pre>
在 GNOME Wayland 会话中，xdotool 可能失效（因非 X11 后端），此时：</h2>
Ctrl+Alt+F3 → 登录 → Ctrl+Alt+F1（或 F2）回到 GNOME
# 这会强制重置输入栈。

# 重启 GNOME Shell（不注销）：
# 在 GNOME 中按 Alt+F2，输入：
r
# 或终端执行
busctl --user call org.gnome.Shell /org/gnome/Shell org.gnome.Shell Eval s 'global.reexec_self()'
</code></pre>
事件监听</h1>
sudo apt install evtest
# 列出所有 X 输入设备
xinput list

# 查找类似 “xremap virtual keyboard” 的设备
xinput list --short | grep -i remap

# 若找到，检查其按键状态（需 evtest）
sudo evtest
# → 选择对应设备编号，观察是否有持续的 KEY_XXX (code xxx) DOWN 事件

# xremap 默认创建一个 uinput virtual device，名字可能为 xremap virtual keyboard 或类似。
</code></pre>
xremap 的实现原理</h1>
xremap</code> 的工作流程可以分为：拦截 (Grab) -></strong>  转换 (Remap) -></strong>  重发 (Emit)</strong> 。</p>
1. 拦截层 (evdev + EVIOCGRAB)</h2>

读取：</strong>  Linux 内核通过 /dev/input/event*</code> 暴露出原始的输入事件。xremap</code> 启动后，会打开你的物理键盘设备文件。</li>
独占锁：</strong>  这是关键。它会对物理键盘调用 ioctl(fd, EVIOCGRAB, 1)</code>。这会告诉内核：“除了我，谁也不要把这个键盘的事件发给别人”。</li>
结果：</strong>  此时你按下键盘，GNOME 或 X11 是接收不到任何信号的，信号全被 xremap</code> 截获了。</li>
</ul>
2. 逻辑转换层 (Logic)</h2>

xremap</code> 内部维护一个状态机。当你按下 $Alt\_R$ 时，它不会立即动作，而是根据你的配置文件（如 application</code> 过滤）检查当前活跃窗口。</li>
在 Wayland</strong> 下，它通过特定的合成器协议或 GNOME 扩展获取窗口信息；在 X11</strong> 下，它通过 Xlib 获取 _NET_ACTIVE_WINDOW</code>。</li>
</ul>
3. 重发层 (uinput)</h2>

虚拟设备：</strong>  xremap</code> 调用 /dev/uinput</code> 模块，在系统中注册一个全新的虚拟键盘</strong>（通常名字就叫 xremap</code>）。</li>
转换输出：</strong>  当它拦截到 $Alt\_R$ 并判断需要映射时，它会向 uinput</code> 设备写入 $Control\_L$ 的事件序列。</li>
接收：</strong>  GNOME 看到的是来自这个“虚拟键盘”的 $Control\_L$ 信号，从而执行相应的操作</li>
</ul>
类似工具</h1>

https://github.com/jtroo/kanata</li>
https://github.com/kmonad/kmonad</li>
</ul>
loadkeys（console keymap）</h2>

这是 Linux 控制台专用 的键盘映射。</li>
dumpkeys > keymap.map</li>
</ul>
# 编辑 keymap.map
sudo loadkeys keymap.map
</code></pre>

直接作用在 VT</li>
内核级</li>
稳定</li>
不支持复杂逻辑</li>
</ul>
kbd / console-setup</h2>
用于</p>

服务器</li>
rescue</li>
initramfs</li>
</ul>
sudo dpkg-reconfigure keyboard-configuration
</code></pre>
其他类似项目</h2>
项目</th> 架构</th> Wayland</th> 特点</th></tr></thead>

xremap</td> evdev + uinput</td> ⚠️</td> YAML，灵活</td></tr>
keyd</td> evdev + uinput</td> ✅</td> 稳定、简单</td></tr>
kmonad</td> evdev + uinput</td> ⚠️</td> Lisp DSL</td></tr>
interception-tools</td> evdev</td> ⚠️</td> 管道式</td></tr>
setxkbmap</td> XKB</td> ✅</td> 最稳</td></tr>
xmodmap</td> X11</td> ❌</td> 已过时</td></tr>
Karabiner (macOS)</td> HID</td> ✅</td> 架构标杆</td></tr>
</tbody></table>

路线 A：evdev + uinput（xremap 路线）

做系统级 remap</li>
不依赖 Wayland 应用识别</li>
能接受 input 权限</li>
</ul>
</li>
路线 B：XKB 层（最稳）

不抓设备</li>
改的是 键位语义</li>
compositor 原生支持</li>
</ul>
</li>
路线 C：Wayland Compositor 插件（最干净）

在 compositor 内部改键</li>
</ul>
</li>
</ul>


dbus 工具
2025-12-23T20:24:10+08:00
学习项目</h1>

zbus https://github.com/z-galaxy/zbus</li>
pydbus https://github.com/LEW21/pydbus</li>
python-dbus-next https://github.com/altdesktop/python-dbus-next</li>
pystemd https://github.com/systemd/pystemd</li>
bluez-test https://github.com/bluez/bluez/tree/master/test</li>
Ulauncher https://github.com/Ulauncher/Ulauncher</li>
busctl https://github.com/systemd/systemd/tree/main/src/busctl</li>
xdg-desktop-portal https://github.com/flatpak/xdg-desktop-portal</li>
</ul>
GitHub 实战项目（可直接运行/贡献）</h2>
system76-scheduler</th> 调度器 GUI，用 DBus 控制 systemd/CPU</th> Python + pydbus</th> org.freedesktop.systemd1, logind</th></tr></thead>

gnome-shell-screenshot</td> 类 Flameshot 工具</td> JS + DBus</td> portal.Screenshot, portal.Clipboard</td></tr>
blueman</td> 蓝牙管理器（Python）</td> pydbus + GTK</td> org.bluez, obex 协议</td></tr>
udisks2-wrapper</td> 磁盘挂载示例</td> pydbus</td> org.freedesktop.UDisks2</td></tr>
</tbody></table>
DBus 工具类</h2>
项目</th> 描述</th></tr></thead>

d-spy</td> GTK DBus Inspector（看接口/发请求） ✅ 强烈推荐安装</td></tr>
dbus-next</td> 纯 Python async DBus 实现（兼容性好）</td></tr>
xdg-desktop-portal</td> 官方测试用例（含 Python）→ 学 a{sv} 参数构造</td></tr>
portal-test</td> 专测 portal 接口的工具</td></tr>
</tbody></table>
快速上手：5 个常用服务实战代码</h1>

依赖：pip install pydbus（初学）或 pip install zbus（进阶）</li>
1️⃣ 发送桌面通知（org.freedesktop.Notifications）</li>
</ul>
# notify.py
from pydbus import SessionBus

bus = SessionBus()
notif = bus.get('.Notifications')

# 发送通知
notif.Notify(
    "MyApp",   # app_name
    0,         # replaces_id
    "",        # app_icon
    "标题",    # summary
    "消息内容", # body
    [],        # actions
    {"urgency": 1},  # hints (a{sv})
    5000       # timeout ms
)
</code></pre>
✅ 运行：python3 notify.py → 右上角弹出通知</p>

2️⃣ 控制蓝牙开关（org.bluez）</li>
</ul>
# bluetooth.py
from pydbus import SystemBus

bus = SystemBus()
# 获取默认适配器（如 hci0）
adapter = bus.get('org.bluez', '/org/bluez/hci0')

print("Powered:", adapter.Powered)
adapter.Powered = False  # 关闭蓝牙
# adapter.Powered = True  # 开启
</code></pre>
⚠️ 需权限：sudo usermod -aG bluetooth $USER + 重登</p>

3️⃣ 查询电池状态（org.freedesktop.UPower）</li>
</ul>
# battery.py
from pydbus import SystemBus

bus = SystemBus()
upower = bus.get('org.freedesktop.UPower', '/org/freedesktop/UPower')

for dev_path in upower.EnumerateDevices():
    dev = bus.get('org.freedesktop.UPower', dev_path)
    if dev.Type == 2:  # 2 = Battery
        print(f"电量: {dev.Percentage:.1f}% | 状态: {dev.State}")
</code></pre>

4️⃣ 调用截图 portal（解决你的 Flameshot 问题！）</li>
</ul>
# portal_screenshot.py
from pydbus import SessionBus
import time

bus = SessionBus()
portal = bus.get('org.freedesktop.portal.Desktop',
                 '/org/freedesktop/portal/desktop')

# 创建 Request 对象
request = bus.get('org.freedesktop.portal.Desktop',
                  portal.Request.CreateRequest('', '')[0])

# 触发截图（interactive 模式）
opts = {
    'modal': True,
    'interactive': True
}
portal.Screenshot(request, opts)

# 监听 Response（简化版）
def on_response(response, results):
    if response == 0:  # 0 = success
        print("截图保存路径:", results.get('uri'))
    else:
        print("用户取消或失败")

request.onResponse = on_response
time.sleep(10)  # 等待用户操作
</code></pre>
✅ 运行后弹出 GNOME 截图界面 → 标注后保存路径打印到终端</p>

5️⃣ 重启 systemd 用户服务（org.freedesktop.systemd1）</li>
</ul>
# restart_service.py
from pydbus import SessionBus

bus = SessionBus()
systemd = bus.get('.systemd1')

# 重启 flameshot 服务（若配置了 autostart）
systemd.RestartUnit('flameshot.service', 'replace')
print("Flameshot 服务已重启")
</code></pre>
调试技巧（结合你之前的环境）</h1>

快速定位 portal 问题：</li>
</ul>
# 1. 监控 portal 通信
busctl --session monitor --match="interface='org.freedesktop.portal.*'"

# 2. 检查 polkit 规则
pkaction --verbose --action-id org.freedesktop.portal.desktop.screenshot

# 3. 手动测试权限
gdbus call --session \
  --dest org.freedesktop.portal.Desktop \
  --object-path /org/freedesktop/portal/desktop \
</code></pre>


linux 桌面效率工具
2025-12-23T15:03:08+08:00
截图工具</h1>
flameshot</h2>
sudo apt install flameshot
# 配置系统快捷键: 直接配置快捷键命令"flameshot gui" 执行报错
sh -c "env QT_QPA_PLATFORM=wayland flameshot gui"
</code></pre>
Ksnip（Qt 编写，跨桌面友好）</h2>
# Debian/Ubuntu 推荐从 GitHub 下载 .deb
wget https://github.com/ksnip/ksnip/releases/latest/download/ksnip_*_amd64.deb
sudo apt install ./ksnip_*.deb
</code></pre>
Snipaste</h2>
gnome-screenshot</h2>

gnome-screenshot 本身较基础，但配合以下可大幅提升：</li>
GNOME Shell 扩展：Screenshot Tool</li>
添加标注、OCR、历史记录、多区域截图等功能，集成度高。</li>
快捷：Ctrl+Alt+Print 截全屏 + 自动进编辑器（GNOME 45+ 原生支持简易标注，但功能弱于 Flameshot）</li>
</ul>
便签</h1>

flatpak install flathub com.vixalien.sticky</li>
</ul>
远程桌面</h1>

remmina</li>
</ul>
屏幕标注</h1>
Gromit-MPX</h2>
sudo apt install gnome-software-plugin-flatpak
flatpak remote-add --if-not-exists flathub https://flathub.org/repo/flathub.flatpakrepo
flatpak install flathub net.christianbeier.Gromit-MPX
flatpak run net.christianbeier.Gromit-MPX
</code></pre>
字典、翻译工具</h1>
录屏工具</h1>

obs</li>
</ul>
播放工具</h1>
nautilus</h1>

sftp://192.168.7.99</li>
smb://192.168.7.99</li>
</ul>
开启热点工具wifihotspot</h1>
图片编辑GIMP</h1>
视频编辑shotcut</h1>


linux pipewire 蓝牙耳机无声
2025-12-22T20:23:01+08:00
解决方案</h1>
修改bluetooth策略</p>
sudo vim /etc/bluetooth/main.conf
[Policy]
AutoEnable=true
JustWorksRepairing=always
AutoConnect=true
#  end config

# 删除后重新配置
bluetoothctl devices
sudo cat /var/lib/bluetooth/88:D8:2E:2B:20:09/41:AA:00:56:F4:FC/info
bluetoothctl remove 41:AA:00:56:F4:FC

sudo systemctl restart bluetooth
</code></pre>
常用配置与调试工具汇总</h1>
工具</th> 用途</th> 示例命令</th></tr></thead>

bluetoothctl</td> 蓝牙配对/连接底层控制</td> info, connect, trust</td></tr>
pactl</td> PipeWire Pulse 兼容控制</td> list sinks/cards, set-card-profile</td></tr>
pw-cli</td> PipeWire 原生节点检查</td> list-objects, inspect </td></tr>
wireplumber 日志</td> 策略/自动路由分析</td> journalctl --user-unit=wireplumber -f</td></tr>
helvum (GUI)</td> PipeWire 节点连接可视化</td> helvum（需安装）</td></tr>
qpwgraph (GUI)</td> 类似 helvum，Qt 版</td> qpwgraph</td></tr>
btmon</td> 蓝牙 HCI 层抓包</td> sudo btmon</td></tr>
dmesg -w</td> 内核蓝牙错误</td> dmesg -w</td></tr>
</tbody></table>
# 1. 检查蓝牙服务是否运行
systemctl --user status pipewire wireplumber
# 必须都是 active (running)
systemctl --user restart wireplumber pipewire pipewire-pulse
sudo systemctl restart bluetooth

# 2. 确认蓝牙硬件启用
rfkill list bluetooth
# 若 soft/hard blocked，执行：
# rfkill unblock bluetooth

# 3. 检查内核模块
lsmod | grep -E 'btusb|bluetooth|snd_bt_sco'
# 应有 bluetooth、btusb、可能还有 snd_bt_sco（用于 HFP）

# 使用 speaker-test 向默认蓝牙设备发送测试音
# 可能需要先用 `aplay -L` 查找具体设备名
speaker-test -D bluez:<设备名> -t wav -c 2
</code></pre>
常用命令</h2>
wpctl status     # 最常用。控制WirePlumber会话管理器，查看/切换默认设备，调节音量。
wpctl set-mute [ID] 0      # 取消静音
wpctl set-volume [ID] 0.5   # 设置音量为 50%

pw-cli info all  # PipeWire的命令行接口，用于直接与服务器交互，进行低级操作。
pw-dump > dump.json  # 将所有PipeWire对象（节点、设备等）的状态以JSON格式导出，用于详细分析或提交Bug报告
pw-top               #  类似系统top命令，实时显示音频处理节点的性能数据（如延迟、X运行次数）
pw-play ./test.mp3   # 用于直接播放或录制音频文件，进行快速测试

pactl list cards

apt install helvum
helvum
</code></pre>
蓝牙</h2>
bluetoothctl
> list               # 查看适配器
> show               # 当前适配器详情
> devices            # 已知设备
> info <MAC>         # 查看耳机详情：是否 Connected: yes, Trusted: yes
> connect <MAC>      # 手动连接（有时 GUI 配对未真正连通音频）

# 实时监听 BlueZ D-Bus 消息（高级）
sudo busctl monitor org.bluez
# 或用 btmon（需 root）
sudo btmon
# 这里发现是配对认证失败: 密钥不匹配：你的耳机里可能保存了与这台电脑或其他设备配对的旧密钥: 或者系统升级后默认策略收紧
sudo cat /var/lib/bluetooth/11:11:2E:2B:20:09/22:22:00:56:F4:FC/info
# 这里保存了旧的协商密钥
# 删除耳机，重新配对后正常
bluetoothctl remove 41:AA:00:56:F4:FC
bluetoothctl
> scan on
</code></pre>
pipewire 调试</h2>
# 列出所有 sink（输出设备）
pactl list sinks short
# 更详细（关键！看 active port 和 profile）
pactl list sinks

# 列出所有 PipeWire 节点（比 pactl 更底层）
pw-cli list-objects | grep -A5 -B5 -i bluetooth
# 查看蓝牙设备节点属性
pw-cli inspect <node-id>  # 如 42

cp /usr/share/wireplumber/bluez-monitor.d/50-bluez-config.lua ~/.config/wireplumber/bluez-monitor.d/
cat > ~/.config/wireplumber/bluez-monitor.d/50-bluez-config.lua<<EOF
bluez_monitor.properties = {
  ["bluez5.auto-switch"] = true,
  ["bluez5.headset-voice"] = true,   -- ← 若你不需要通话，可设为 false
}
EOF

systemctl --user restart wireplumber

# PipeWire 层
pactl get-sink-volume @DEFAULT_SINK@
pactl get-sink-mute @DEFAULT_SINK@

# ALSA 层（有时 PipeWire 未接管）
alsamixer -D pipewire
# 或
alsamixer        # 按 F6 选蓝牙设备（若有）

sudo apt install helvum qpwgraph pavucontrol
# 用 pactl 指定 sink 播放测试音
pactl play-sample bell-window bluez_output.XX_XX_XX_XX_XX_XX.a2dp-sink
# 或用 pw-play（PipeWire 原生命令）
pw-play --target=bluez_output.XX_XX_XX_XX_XX_XX.a2dp-sink /usr/share/sounds/alsa/Front_Center.wav
</code></pre>
排查记录</h1>
只有声音没有麦克风？</h2>

通常是因为蓝牙协议在“高音质播放”和“双向通话”之间切换失败，或者系统默认选择了错误的音频配置文件（Profile）</li>
蓝牙耳机通常有两种工作模式：

A2DP (High Fidelity Playback)：高音质立体声输出，麦克风不可用。</li>
HSP/HFP (Headset Head Unit)：低音质单声道/立体声，麦克风可用（用于通话）。</li>
</ul>
</li>
</ul>
解决方案</h3>

直接在系统配置中切换, 设置 (Settings) -> 声音 (Sound),将配置从 High Fidelity Playback (A2DP Sink) 改为 Headset Head Unit (HSP/HFP) 或 Handsfree Head Unit (HFP)</li>
系统自带设置找不到切换profile选项，使用pavucontrol (PulseAudio Volume Control) 是最有效的工具。即使你使用的是 PipeWire，它也兼容

最右侧的 配置 (Configuration) 选项卡</li>
配置文件 (Profile) 从 High Fidelity Playback (A2DP Sink) 修改为 Headset Head Unit (HSP/HFP)</li>
</ul>
</li>
</ul>


linux 打印机的使用
2025-12-22T13:55:04+08:00
配置样例</h1>
ippfind
avahi-resolve -n EPSON4DDFDF.local
getent hosts EPSON4DDFDF.local

ipptool -tv ipp://EPSON4DDFDF.local:631/ipp/print /usr/share/cups/ipptool/get-printer-attributes.test | grep -i device-id -C3

# 无驱动安装打印机（最简单、最稳定）
lpip=192.168.4.143  # ← 替换为你的打印机 IP
sudo lpadmin -p Epson_L4160_Driverless \
  -E \
  -v "ipp://$lpip:631/ipp/print" \
  -m everywhere

lpip=192.168.4.143  # ← 替换为你的打印机 IP
sudo apt update && sudo apt install printer-driver-escpr
lpinfo -m | grep -i "L4160"
sudo lpadmin -p Epson_L4160_Full \
  -E \
  -v "ipp://$lpip/ipp/print" \
  -m "epson-inkjet-printer-escpr/Epson-L4160_Series-epson-escpr-en.ppd"

# 删除打印机
sudo lpadmin -x Epson_L4160_Driverless Epson_L4160_Full

lpinfo -m | grep -i 'm329\|laserjet.pro.*mfp' | grep -v 'generic'

ip=192.168.1.100  # ← 替换为你的打印机 IP
sudo lpadmin -p M329 \
             -v "ipp://$ip:631/ipp/print" \
             -m postscript-hp:0/ppd/hplip/HP/hp-laserjet_pro_mfp_m329-ps.ppd \
             -E

# 设为默认打印机
sudo lpadmin -d M329
# 测试打印
echo "✅ M329 驱动配置成功" | lp
tail -f /var/log/cups/error_log

# 使用无驱动打印 这是最简单的方式，直接使用系统发现的驱动
# -m everywhere 参数告诉CUPS使用“无驱动”模式自动配置，这利用了你的打印机已经支持的 IPP Everywhere 标准
sudo lpadmin -p HP_LaserJet_Pro_M329 \
  -E \
  -v ipp://HP489EBD702C63.local:631/ipp/print \
  -m everywhere

echo "HP LaserJet Pro M329 测试页 - $(date)" | lpr -P HP_LaserJet_Pro_M329
</code></pre>
常用工具功能</h1>
工具</th> 包名</th> 用途</th></tr></thead>

cupsd</td> cups-daemon</td> CUPS 后台服务（调度器）</td></tr>
lp* 系列</td> cups-client</td> 打印作业控制（lp, lpstat, lpadmin, cancel）</td></tr>
ipptool</td> cups-ipp-utils</td> IPP 协议底层探测（诊断必备）</td></tr>
avahi-browse</td> avahi-utils</td> 浏览 DNS-SD 服务（发现打印机）</td></tr>
system-config-printer（CLI 调用）</td> system-config-printer</td> 文本界面配置（备选）</td></tr>
</tbody></table>
|对象|	命令|	含义
|-|	-|	-
|Scheduler|	cupsd|	打印调度器
|Printer|	lpadmin|	打印队列
|Job|	lp / lpr|	打印任务
|Options|	lpoptions|	打印参数</p>
常用命令行</h2>
lp file.pdf                   # 用默认打印机
lp -d M329 file.pdf           # 指定打印机
lp -o sides=two-sided-long-edge file.pdf  # 双面（长边翻转）
lp -o number-up=2 file.pdf    # 1页打2版（节省纸）
cancel M329-123               # 取消作业ID 123
cancel -a M329                # 取消M329所有作业

sudo tail -f /var/log/cups/error_log
</code></pre>
手动测试打印（绕过 CUPS 队列）</h2>
# 直接发 PDF 到 IPP 端点（需打印机支持 IPP Everywhere）
curl -X POST \
     -H "Content-Type: application/pdf" \
     --data-binary @/etc/issue \
     'ipp://192.168.1.100:631/ipp/print' \
     -o /tmp/ipp-response.bin
# 检查响应：若 200 OK 且打印机出纸 → 底层 IPP 正常，问题在 CUPS 配置
</code></pre>
关闭cups-browsed</h2>
默认发现的打印机器常是implicitclassj性能低？？</p>
sudo systemctl stop cups-browsed
sudo systemctl disable cups-browsed
</code></pre>
命令行使用打印机</h1>
# 第一步：发现打印机URI, 主动扫描局域网中所有支持 IPP 的设备（打印机、扫描仪、甚至 IPP 服务器）
ippfind  
# 第二步：测试连接
ipptool -tv 'ipp://EPSON4DDFDF.local:631/ipp/print' /usr/share/cups/ipptool/get-printer-attributes.test
# 第三步：添加到CUPS
sudo lpadmin -p EPSON_L4160 \
  -E \
  -v "ipp://EPSON4DDFDF.local:631/ipp/print" \
  -m everywhere

# 查看DNS-SD服务详细信息
avahi-browse -rpt _ipp._tcp

# 查看所有打印机 # 列出 CUPS 当前已注册并管理的打印机 及其内部表示的设备 URI
lpstat -p -d
# 输出示例：
# printer EPSON_L4160 is idle. enabled since Mon 2023-01-01 10:00:00 CST
# printer HP_LaserJet is idle. enabled since Mon 2023-01-01 10:00:00 CST
# system default destination: EPSON_L4160

# 查看详细打印机信息
lpstat -l -v

# 查看打印队列
lpq
# 输出示例：
# EPSON_L4160 is ready
# no entries

# 查看打印机选项
lpoptions -p <printer_name> -l# 查看所有打印机
lpstat -p -d
# 查看详细打印机信息
lpstat -l -v

# 列出所有可用驱动
lpinfo -m
</code></pre>
添加打印机</h2>
# 添加网络打印机（IPP协议）
sudo lpadmin -p EPSON_L4160 -E \
  -v "ipp://192.168.1.100/ipp/print" \
  -m "drv:///sample.drv/generic.ppd" \
  -L "办公室"

# 参数解释：
# -p：打印机名称
# -E：启用打印机
# -v：设备URI
# -m：PPD驱动文件
# -L：位置描述

# 添加USB打印机
sudo lpadmin -p HP_Deskjet -E \
  -v "usb://HP/Deskjet?serial=XYZ123" \
  -m "ppd/hp-deskjet.ppd"

# 添加SMB共享打印机
sudo lpadmin -p Network_Printer -E \
  -v "smb://workgroup/user:password@server/printer" \
  -m "everywhere" \
  -o auth-info-required=username,password

# 发现网络打印机
ippfind
# 输出示例：ipp://EPSON%20L4160._ipp._tcp.local/

# 获取驱动信息
lpinfo --make-and-model "EPSON L4160" -m
</code></pre>
配置打印机</h2>
# 设置默认打印机
sudo lpadmin -d EPSON_L4160

# 配置打印机选项
sudo lpadmin -p EPSON_L4160 \
  -o PageSize=A4 \
  -o Duplex=DuplexNoTumble \
  -o ColorModel=RGB \
  -o Resolution=600dpi

# 禁用/启用打印机
sudo cupsdisable EPSON_L4160
sudo cupsenable EPSON_L4160

# 拒绝/接受打印作业
cupsreject EPSON_L4160
cupsaccept EPSON_L4160
</code></pre>
基本打印</h2>
# 基本打印
lpr document.pdf

# 指定打印机
lpr -P EPSON_L4160 document.pdf

# 指定份数
lpr -# 3 document.pdf

# 指定打印范围
lpr -o page-ranges=1-5,8,11-13 document.pdf

# 双面打印
lpr -o sides=two-sided-long-edge document.pdf

# 打印选项组合
lpr -P HP_LaserJet -o media=A4 -o sides=two-sided-short-edge -# 2 report.pdf
</code></pre>
打印队列管理</h2>
# 查看所有打印作业
lpstat -o

# 输出示例：
# EPSON_L4160-101 user1 1024 Mon 10:00:00
# HP_LaserJet-102 user2 2048 Mon 10:01:00

# 查看特定打印机的作业
lpq -P EPSON_L4160

# 取消打印作业
lprm 101
# 或取消所有作业
lprm -

# 移动作业到另一台打印机
lpmove 101 HP_LaserJet

# 查看作业详情
lpq -l -P EPSON_L4160
</code></pre>
高级配置</h1>
# 主要配置文件
/etc/cups/cupsd.conf      # CUPS服务配置
/etc/cups/printers.conf   # 打印机定义
/etc/cups/ppd/            # PPD驱动文件目录
/var/spool/cups/          # 打印队列目录

# 查看CUPS错误日志
sudo tail -f /var/log/cups/error_log

# 查看访问日志
sudo tail -f /var/log/cups/access_log

# 设置日志级别
sudo cupsctl LogLevel=debug
</code></pre>
驱动方案对比（基于你的 CMD 列表）</h2>

</code></pre>
驱动方案</th> 是否支持 PCLXL</th> 是否支持 PDF</th> 是否支持 POSTSCRIPT</th> 状态反馈</th> 推荐度</th></tr></thead>

hpcups</td> ✅ 原生优化</td> ✅ 直接处理</td> ✅ Ghostscript 后端</td> ✅ 完整（墨量/卡纸）</td> ⭐⭐⭐⭐⭐</td></tr>
IPP Everywhere (everywhere)</td> ❌ 转 PDF</td> ✅ 原生</td> ❌ 无 PostScript</td> ⚠️ 仅基础状态</td> ⭐⭐⭐</td></tr>
Generic PostScript</td> ❌</td> ❌</td> ✅</td> ❌</td> ⭐</td></tr>
</tbody></table>
✅ 为什么 hpcups 更优？</h2>

你的打印机广播了 PCLXL（高效二进制语言），而 hpcups 会：</li>
直接生成 PCLXL → 比 PDF 转换快 20%+</li>
利用 CID:HPLJPDLV1 启用硬件级双面校准</li>
通过 PJL 查询 SN:CNDRP7P136 实现精确墨量监控</li>
</ul>


linux 中ntfs自动挂载
2025-12-09T13:49:17+08:00
自动挂载windows分区</h1>
sudo apt install ntfs-3g
sudo ntfslabel /dev/sda2 "Windows" 
sudo mount -a
sudo systemctl restart udisks2.service
ls /media/peter/
sudo udevadm control --reload-rules && sudo udevadm trigger
</code></pre>


制作iso启动镜像
2025-12-08T17:03:21+08:00
使用lb-build基于Debian上游制作你的Linux发行版</h1>
apt install live-build
mkdir TestOS
cd TestOS

# Ubuntu 系统的 live-build 会自动注入 Ubuntu 默认包： 使用debian环境构建
podman pull debian:bookworm
podman run --privileged -it --rm -v./:/build/ debian:bookworm bash

sudo sed -i 's/deb.debian.org/mirrors.ustc.edu.cn/g' /etc/apt/sources.list.d/debian.sources
apt update
apt install -y live-build debootstrap debian-archive-keyring
cd /build/

sudo lb clean --purge
sudo rm config chroot cache -rf
lb config \
  --distribution bookworm \
  --archive-areas "main contrib non-free non-free-firmware" \
  --mirror-bootstrap https://mirrors.ustc.edu.cn/debian/ \
  --mirror-chroot https://mirrors.ustc.edu.cn/debian/ \
  --mirror-chroot-security https://mirrors.ustc.edu.cn/debian-security/ \
  --mirror-binary-security https://mirrors.ustc.edu.cn/debian-security \
  --mirror-debian-installer https://mirrors.ustc.edu.cn/debian \
  --security true

sudo lb build

xorriso -as cdrecord -v dev=/dev/sr0 Blank=as_needed ./live-image-amd64.hybrid.iso
dd if=./live-image-amd64.hybrid.iso of=/dev/sdb bs=64M conv=fsync status=progress

aptitude search '~prequired|~pimportant'
</code></pre>
参考教程</a></p>
使用本地系统或debootstrap构建最小根文件系统</h1>
安装工具与准备环境</h2>
# 安装核心工具
sudo apt update
sudo apt install debootstrap squashfs-tools xorriso grub-pc-bin grub-efi-amd64-bin isolinux
# sudo apt install syslinux-utils mtools genisoimage rsync

# 创建工作目录
mkdir ~/debian-custom-iso && cd ~/debian-custom-iso
mkdir rootfs iso
</code></pre>
构建最小根文件系统</h2>
# 假设构建Debian 12 (Bookworm) 系统
sudo debootstrap --verbose --arch=amd64 bookworm ./rootfs http://deb.debian.org/debian
# 进入新系统进行基本配置
sudo mount -t proc proc rootfs/proc
sudo mount --rbind /sys rootfs/sys
sudo mount --rbind /dev rootfs/dev
sudo chroot ./rootfs /bin/bash
# 在chroot环境中执行以下命令
# 1. 安装一些最基础的软件和内核
apt update
apt install --no-install-recommends linux-image-amd64 systemd-sysv passwd
apt install live-boot live-config
# grub-pc-bin grub-efi-amd64 grub-efi-amd64-bin parted dosfstools openssh-server
# 2. 设置root密码（重要，否则可能无法登录）
echo custom-debian > /etc/hostname
echo "127.0.1.1 custom-debian" >> /etc/hosts
echo "root:root" | chpasswd
# 3. 配置网络（基础DHCP）
echo "auto eth0" >> /etc/network/interfaces.d/eth0
echo "iface eth0 inet dhcp" >> /etc/network/interfaces.d/eth0
# 4. 退出chroot环境
exit
sudo umount -l rootfs/{proc,sys,dev}
</code></pre>
制作 squashfs（作为 live 系统 root）</h2>
# sudo apt install live-boot live-config
chroot rootfs apt install live-boot live-config
chroot rootfs update-initramfs -u

mkdir -p iso/live
sudo mksquashfs rootfs iso/live/filesystem.squashfs -comp xz -wildcards
cp rootfs/boot/vmlinuz-* iso/live/vmlinuz
cp rootfs/boot/initrd.img-* iso/live/initrd.img
</code></pre>
配置清单</h2>
mkdir iso/isolinux/
cp /usr/lib/ISOLINUX/isolinux.bin iso/isolinux/
cp /usr/lib/syslinux/modules/bios/ldlinux.c32 iso/isolinux/

cat > iso/isolinux/isolinux.cfg <<EOF
DEFAULT install
TIMEOUT 3
PROMPT 1
LABEL install
  SAY Booting custom Debian live system...
  MENU LABEL ^Install Debian (text mode)
  KERNEL /live/vmlinuz
  APPEND vga=788 initrd=/live/initrd.img boot=live quiet rd.debug 
EOF
</code></pre>
UEFI引导(grub-efi)</h2>
mkdir -p iso/EFI/BOOT iso/boot/grub
cp /usr/lib/grub/x86_64-efi/monolithic/grubx64.efi iso/EFI/BOOT/BOOTX64.EFI


# 创建GRUB配置文件 (iso/boot/grub/grub.cfg)
cat > iso/boot/grub/grub.cfg << 'EOF'
set timeout=5
menuentry "Custom Debian Live" {
    linux /live/vmlinuz boot=live quiet
    initrd /live/initrd.img
}
EOF
</code></pre>
生成可启动ISO</h2>
# 注意！！！ 相对ISO 内路径是 /isolinux/isolinux.bin
# 注意！！！ 相对ISO 内路径是 /EFI/BOOT/BOOTX64.EFI
xorriso -as mkisofs \
  -o debian-custom.iso \
  -iso-level 3 \
  -full-iso9660-filenames \
  -volid "CUSTOM_DEBIAN" \
  -eltorito-boot isolinux/isolinux.bin \
  -eltorito-catalog isolinux/boot.cat \
  -no-emul-boot -boot-load-size 4 -boot-info-table \
  -eltorito-alt-boot \
  -e EFI/BOOT/BOOTX64.EFI \
  -no-emul-boot \
  iso/
</code></pre>
（可选）：加入你的“安装脚本”（自定义 installer）</h2>
# 你自己的安装脚本可以把 rootfs 安装进真实硬盘：
# 你就拥有了一个 完全自己定制的 Debian 安装 ISO。
cat > iso/install.sh <<EOF
mkfs.ext4 /dev/sda1
mount /dev/sda1 /mnt
unsquashfs -f -d /mnt /live/filesystem.squashfs
grub-install /dev/sda
update-grub
EOF

cat >> grub.cfg <<EOF
menuentry "Run installer" {
    linux /live/vmlinuz boot=live autoexec=/install.sh
    initrd /live/initrd.img
}
EOF
</code></pre>
测试验证</h2>
# bios
qemu-system-x86_64 -m 1024 -cdrom debian-custom.iso -boot d -enable-kvm

# uefi 启动
sudo apt install ovmf
qemu-system-x86_64 -m 1024 \
-bios /usr/share/OVMF/OVMF.fd \
-cdrom debian-custom.iso \
-boot d -enable-kvm

# 可 dd 到 U 盘
sudo dd if=debian-custom.iso of=/dev/sdX bs=4M status=progress
</code></pre>
调试排查</h1>
xorriso -indev debian-custom.iso -ls | grep -i 'initrd\|vmlinuz'
mkdir /tmp/iso
sudo mount -o loop debian-custom.iso /tmp/iso
find /tmp/iso -name "*initrd*" -o -name "*vmlinuz*" 2>/dev/null
sudo umount /tmp/iso
xorriso -indev debian-custom.iso -extract '/isolinux/isolinux.cfg' /tmp/isolinux.cfg 2>/dev/null || true
xorriso -indev debian-custom.iso -extract '/boot/grub/grub.cfg' /tmp/grub.cfg 2>/dev/null || true

cat /tmp/isolinux.cfg /tmp/grub.cfg 2>/dev/null | grep -A1 -B1 'initrd\|vmlinuz'

mkdir /tmp/initrd
cd /tmp/initrd
zcat /tmp/iso/live/initrd.img | cpio -idmv
</code></pre>
Debian 官方的 mini live 制作流程</h1>
# chroot 内安装 live-boot + rebuild initrd
chroot rootfs apt update
chroot rootfs apt install --no-install-recommends live-boot live-config systemd-sysv linux-image-amd64
chroot rootfs update-initramfs -u

# ISOLINUX 目录结构
mkdir -p iso/isolinux
cp /usr/lib/ISOLINUX/isolinux.bin iso/isolinux/
cp /usr/lib/syslinux/modules/bios/*.c32 iso/isolinux/

# 创建 UEFI FAT ESP
mkdir -p iso/efi-img
mkdir -p esp/EFI/BOOT
cp /usr/lib/grub/x86_64-efi/monolithic/grubx64.efi esp/EFI/BOOT/BOOTX64.EFI

# 制作 FAT 镜像
dd if=/dev/zero of=iso/efi.img bs=1M count=10
mkfs.vfat iso/efi.img
mcopy -i iso/efi.img -s esp/* ::/

# xorriso 构建正确的混合引导 ISO
xorriso -as mkisofs \
  -o debian-custom.iso \
  -iso-level 3 \
  -full-iso9660-filenames \
  -eltorito-boot isolinux/isolinux.bin \
    -eltorito-catalog isolinux/boot.cat \
    -no-emul-boot -boot-load-size 4 -boot-info-table \
  -eltorito-alt-boot \
    -e efi.img \
    -no-emul-boot \
  -append_partition 2 0xef iso/efi.img \
  iso/
</code></pre>


apt本地仓库
2025-12-08T13:35:58+08:00
配置本地Debian源仓库方案</h1>
sudo apt install reprepro apt-rdepends
sudo mkdir -p /srv/localrepo/{conf,packages}
sudo chmod -R 755 /srv/localrepo
sudo chown peter:peter /srv/localrepo

sudo tee /srv/localrepo/conf/distributions <<EOF
Origin: LocalRepo
Label: LocalRepo
Codename: bookworm
Architectures: amd64
Components: main
Description: Minimal local Debian repo
EOF

mkdir -p /tmp/debs
cd /tmp/debs
pkgs=("nginx" "curl")
for pkg in ${pkgs}; do
  apt-rdepends $pkg | grep -v "^ "
done > /tmp/pkglist
while read pkg; do
    apt download "$pkg"
done < /tmp/pkglist

cd /srv/localrepo
for deb in /tmp/debs/*.deb; do
    reprepro includedeb bookworm "$deb"
done

echo "deb [trusted=yes, arch=amd64] file:///srv/localrepo bookworm main" | sudo tee /etc/apt/sources.list.d/localrepo.list

# 每次新增包都要
reprepro export
</code></pre>
自动递归拉取包及依赖到本地仓库</h1>
# 你也可以让 reprepro 自动“抓取”远程仓库的包 + 所有依赖：
sudo tee /srv/localrepo/conf/updates<<EOF
Name: debian
Suite: bookworm
Components: main
Architectures: amd64
VerifyRelease: false
Method: http://deb.debian.org/debian
EOF

# 然后：
reprepro update
# ⚠️ 但 reprepro update 会拉 component 的所有包，不适合最小仓库，所以推荐手动 includedeb。
</code></pre>


配置ipv4 ipv6优先级
2025-12-06T09:18:31+08:00
linux系统中的ip选择</h1>
在 Linux 系统中，默认情况下，许多应用（尤其是使用 glibc 的 getaddrinfo() 的程序，如 curl、wget、ssh 等）会遵循 RFC 6724 的地址选择策略，优先选择 IPv6（若 AAAA 记录存在且网络支持），即使 IPv4 可用。</p>
要让系统/应用优先使用 IPv4，再回退到 IPv6，有以下几种常用方法（按推荐程度排序）：</p>
修改 gai.conf（全局、标准、推荐）</h2>
这是最标准、影响范围可控的方式，只影响使用 getaddrinfo() 的应用。</p>
sudo vim /etc/gai.conf
# 优先 IPv4（将 ::ffff:0:0/96 的优先级调高）
# precedence ::ffff:0:0/96  100
sudo sed -i 's/#precedence ::ffff:0:0\/96  10/precedence ::ffff:0:0\/96  100/' /etc/gai.conf
</code></pre>
原理：::ffff:0:0/96 是 IPv4-mapped IPv6 地址（如 ::ffff:192.0.2.1）。提高其优先级后，当域名同时有 A 和 AAAA 记录时，getaddrinfo() 会优先返回 IPv4 地址。</p>
# 无需重启，新进程立即生效。
getent ahostsv4 example.com | head -1   # 应返回 IPv4
getent ahostsv6 example.com | head -1   # 应返回 IPv6
# 测试解析顺序（注意顺序）：
python3 -c "import socket; print(socket.getaddrinfo('example.com', 80, socket.AF_UNSPEC, socket.SOCK_STREAM))"
</code></pre>
环境变量（用户级/临时）</h2>
适用于特定用户或会话，不影响系统全局：</p>
export GAI_CONF=/dev/null  # 禁用 gai.conf（回退到旧行为，常优先 IPv4）
# 或更精准：
export GAI_CONF=<(echo "precedence ::ffff:0:0/96 100")
</code></pre>
修改内核地址选择策略（推荐，行为最接近“IPv4 first”）</h2>
Linux 使用 RFC 3484 / RFC 6724 地址选择规则，可以通过 ip addrlabel 调整优先级，让 IPv4 地址的地址标签优先级更高。</p>

➤ 查看当前地址标签：</li>
</ul>
ip addrlabel list
# 通常看到：
# prefix ::ffff:0.0.0.0/96 label 4
# prefix ::/0                label 1
</code></pre>
其中 ::ffff:0.0.0.0/96 是 IPv4-mapped IPv6 地址。</p>

➤ 让 IPv4-mapped 更优先：</li>
</ul>
sudo ip addrlabel add prefix ::ffff:0.0.0.0/96 label 0
# 让它的 label 更小 → 优先级更高。
</code></pre>

➤ 或者反过来降低 IPv6 的优先级：</li>
</ul>
sudo ip addrlabel add prefix ::/0 label 10
</code></pre>
不推荐的方法（副作用大）</h2>

禁用 IPv6（如 sysctl net.ipv6.conf.all.disable_ipv6=1）：

虽可强制走 IPv4，但破坏 IPv6 功能，不符合现代网络趋势，且某些服务依赖 IPv6 localhost（如部分 Docker/LXC 配置），可能导致意外故障。</li>
</ul>
</li>
修改 /etc/hosts：

手动将域名映射到 IPv4 地址仅对特定主机名有效，不具普适性。</li>
</ul>
</li>
</ul>
addrlable.conf 和gai.conf 的区别</h1>
/etc/iproute2/addrlabel.conf 和 /etc/gai.conf 都涉及 IP 地址优先级/排序，但它们的工作层级、目标、机制截然不同。下面我们从原理、作用域、典型场景三方面对比：</p>
维度</th> /etc/gai.conf</th> /etc/iproute2/addrlabel.conf</th></tr></thead>

标准依据</td> RFC 6724</td> RFC 6724 §2.1 + Linux 内核实现</td></tr>
作用对象</td> ✅ 用户空间应用（通过 getaddrinfo()）：
curl, wget, ssh, python socket, systemd-resolved 等</td> ✅ 内核空间（net/ipv6/addrlabel.c）：
影响 内核生成的源地址标签（label），供 getaddrinfo() 读取参考</td></tr>
控制什么</td> 应用层 地址排序规则（getaddrinfo() 的输出顺序）</td> 内核为每个 IPv6 地址分配的 label 值（ip addrlabel list 可见），是 gai.conf 中 label 规则的数据源</td></tr>
是否必须配合使用</td> ❌ 可独立工作（可仅靠 precedence 规则）</td> ⚠️ 通常需配合 gai.conf 的 label 规则才生效；单独修改它不直接改变应用行为</td></tr>
典型配置项</td> precedence, label, scopev4</td> prefix label（如 ::1/128 0）</td></tr>
生效方式</td> 应用启动时读取（或按 GAI_CONF 环境变量）</td> ip addrlabel 加载；内核维护 label 表；getaddrinfo() 查询该表</td></tr>
</tbody></table>
/etc/gai.conf：用户空间的“决策引擎”</h2>


默认路由到旁路由
2025-12-05T00:04:27+08:00
直接修改默认路由</h1>
# 目标机器修改默认路由
sudo ip route replace default via 172.17.66.222 dev enp125s0f3

# 旁路由开启路由转发
sysctl -w net.ipv4.ip_forward=1
sysctl -w 'net.ipv4.ip_forward = 1'
sudo iptables -P FORWARD ACCPET
</code></pre>
配置策略路由</h1>
# echo "2000 tor" >> /etc/iproute2/rt_tables     # 添加了这个映射后，table可以使用tor名称指定
ip route add default via 192.168.10.10 table 2000 

# 匹配所有流量到main表，但是不包括前缀是0的路由（即不匹配main中的默认路由）
sudo ip rule add priority 5000 table main suppress_prefixlength 0
# 如果不加 not iif lo，本机产生的流量（如 curl localhost）也会查表 2000，可能导致无法访问 127.0.0.1??
# 测试添加了not iif lo 本机器产生的所有流量都不匹配这个流量了？？
sudo ip rule add priority 5001 from all lookup 2000
</code></pre>
配置dns</h1>
sudo tee -a /etc/systemd/resolved.conf<<EOF
DNS=223.5.5.5 8.8.8.8 8.8.4.4
FallbackDNS=1.1.1.1 1.0.0.1
# DNSStubListener=no
EOF

sudo systemctl restart systemd-resolved.service
</code></pre>


uefi 安装启动
2025-11-28T17:37:06+08:00
Secure Boot 的签名链（PK/KEK/DB） 中的各自的作用？</h1>
结合完整的 Secure Boot 启动链（shim → grub → kernel） 进行详细的解释</p>
信任链的根源 (OEM/固件)</h1>


首先，UEFI 安全启动的信任链始于固件（BIOS/UEFI）。固件中预先存储了三个关键的密钥数据库：</p>
</li>

平台密钥 (PK - Platform Key): 最高级的密钥，用于签署 KEK 的更新。由 PC 制造商 (OEM) 负责管理。</p>
</li>

密钥交换密钥 (KEK - Key Exchange Key): 用于签署签名数据库 (db) 和禁止签名数据库 (dbx) 的更新。</p>
</li>

签名数据库 (db - Signature Database): 包含了被允许执行的操作系统引导加载程序、驱动程序等组件的公钥或证书。</p>
</li>

初始状态下，这个 db 数据库中通常包含：</p>
</li>

OEM 自己的证书： 用于验证固件更新和 OEM 自己的工具。</p>
</li>

Microsoft Corporation UEFI CA 证书： 允许启动所有由微软签名的组件，包括 Windows 启动管理器以及由微软服务签名的第三方引导加载程序。</p>
</li>
</ul>
UEFI 固件内部存有四类关键数据库：</p>
名称</th> 类型</th> 主要作用</th> 由谁管理</th></tr></thead>

PK（Platform Key）</td> 公开证书 + 私钥在厂商手上</td> 管理平台最顶层权限（用来更新 KEK）</td> OEM（华硕、联想等）</td></tr>
KEK（Key Exchange Key）</td> 公开证书</td> 用来更新 DB / DBX</td> OEM、Microsoft</td></tr>
DB（Allowed Signatures）允许列表</td> 证书 + Hash</td> 允许启动的 EFI 程序的签名</td> Microsoft（多数 PC），OEM，用户</td></tr>
DBX（Forbidden Signatures）禁止列表</td> 证书 + Hash</td> 被吊销/恶意的 EFI 程序摘要</td> Microsoft</td></tr>
</tbody></table>
Secure Boot 的工作原则：UEFI 只允许 DB 中签名的文件启动，禁止 DBX 中的文件。</p>

UEFI 会从 DB/DBX 中取证书来验证 shim 的签名</li>
shim.efi 验证 grubx64.efi（第二级验证）

shim 内置了一个 shim-own certificate (MOK)

→ 是从 Linux 发行版（或用户）生成的</li>
→ 不需要微软参与</li>
</ul>
</li>
所以 shim 的验证过程：

shim 内的 MOK 列表（Machine Owner Keys）
↓ 验证 grub 是否被 MOK 签名
grub 才能启动</li>
</ul>
</li>
shim 的最大用途：让 Linux 自己管理信任链，而不依赖微软。</li>
用户也可以加入自己的 MOK（mokutil --import）这样用户可以签：

grub</li>
kernel</li>
initrd</li>
甚至自己写的 EFI 程序</li>
</ul>
</li>
</ul>
</li>
grubx64.efi 验证 Linux kernel（第三级验证）

使用 shim 提供的验证接口（shim_lock）

↓ 验证 kernel 是否被 MOK（DB）签名</li>
kernel 才能加载</li>
</ul>
</li>
</ul>
</li>
通常：

在 Ubuntu / Debian，kernel 已经用 Canonical 的私钥签名（内置在 shim MOK 内）</li>
在 Fedora，kernel 用 Red Hat 的私钥签名</li>
所以 grub加载内核时会调用 shim 的验证函数：</li>
verify_pe_signature()</li>
决定内核是否可信。</li>
</ul>
</li>
</ol>
微软的角色：商业公司的“代理签名”</h2>

微软确实在为其他商业公司签名方面扮演了核心角色，但不是直接负责。</li>
机制： 微软提供了一个 UEFI CA (Certificate Authority) 证书，这个证书被全球几乎所有 OEM 预装在了 UEFI 固件的 db 数据库中。</li>
服务： 许多第三方操作系统供应商或硬件/驱动程序制造商（如主流的 Linux 发行版，如 Canonical/Ubuntu、Red Hat 等）为了让他们的启动文件能在一台开启了安全启动的 Windows 电脑上运行，会向微软的 硬件仪表板（Hardware Dashboard） 提交他们的启动文件（例如 Linux 的 shim.efi）。</li>
签名： 微软使用自己的 Microsoft UEFI CA 证书的私钥，为这些第三方文件进行数字签名。</li>
结果： 固件检查启动文件时，发现它是由 Microsoft UEFI CA 签名的，而这个 CA 证书在 db 数据库中是被信任的，因此允许启动。</li>
</ul>
自己签名 Secure Boot 的实际流程（完整步骤）</h1>
下面是 Linux 下常见的方式（OpenSSL + sbsigntools）：</p>
① 生成三套密钥（PK/KEK/DB）</h2>
openssl req -new -x509 -newkey rsa:2048 -sha256 -keyout PK.key -out PK.crt -subj "/CN=Custom PK/" -days 3650
openssl req -new -x509 -newkey rsa:2048 -sha256 -keyout KEK.key -out KEK.crt -subj "/CN=Custom KEK/" -days 3650
openssl req -new -x509 -newkey rsa:2048 -sha256 -keyout DB.key -out DB.crt -subj "/CN=Custom DB/" -days 3650
</code></pre>
② 生成 UEFI 可识别的 .auth 文件</h2>
cert-to-efi-sig-list -g "$(uuidgen)" PK.crt PK.esl
sign-efi-sig-list -k PK.key -c PK.crt PK PK.esl PK.auth
</code></pre>
KEK/DB 同理。</p>
③ 进入 BIOS，切换到 Custom Secure Boot</h2>
大多数设备 BIOS 中选择：
Secure Boot → Custom Mode
然后可以导入你的 PK.auth, KEK.auth, DB.auth
</code></pre>
④ 使用你的 DB 私钥签名引导程序</h2>
例如对 GRUB2 EFI 文件签名：
sbsign --key DB.key --cert DB.crt --output grubx64.efi grubx64.efi
然后用这个签名过的 grubx64.efi 启动即可。
</code></pre>


为什么ssh长时间空闲后，终端就卡死了
2025-11-27T19:21:20+08:00
问题原因</h1>

SSH 连接在长时间空闲后“卡死”（表现为终端无响应、输入无回显、Ctrl+C 无效等），\</li>
通常不是 SSH 协议本身“卡”了，而是连接被中间网络设备（如 NAT 网关、防火墙）静默丢弃所致。</li>
</ul>
具体分析</h2>

TCP 连接超时被中间设备丢弃

多数 NAT 路由器或云服务商（如 AWS、阿里云）的防火墙/安全组默认 TCP 空闲超时时间为 5–15 分钟（例如 AWS 默认 350 秒）。</li>
若 SSH 会话长时间无数据包交换（即使你在终端看着 htop 不动也算“空闲”），中间设备会悄悄丢弃连接状态，但不向两端发送 RST/FIN。</li>
此时：

客户端仍以为连接 alive，输入无响应（包发出去但被丢，无 ACK）；</li>
服务端也无感知，直到尝试写数据才发现对端已不可达（但可能延迟很久）。</li>
</ul>
</li>
</ul>
</li>
服务端或客户端的 TCP keepalive 默认关闭或间隔太长

Linux 默认的 TCP keepalive 是 net.ipv4.tcp_keepalive_time = 7200 秒（2 小时），远晚于中间设备的超时。</li>
所以 keepalive 包来不及发送，连接已被丢弃。</li>
</ul>
</li>
终端控制字符阻塞（较少见）

如误按 Ctrl+S（XOFF 流控），导致终端本地“卡住”，但此情况可通过 Ctrl+Q 解除，且不影响 SSH 底层连接。</li>
</ul>
</li>
</ul>
解决方案（推荐组合使用）</h1>
启用 SSH 客户端保活（最常用）</h2>
在 客户端 的 ~/.ssh/config 中为对应主机配置：</p>
Host your-server  # 或 * 表示全局
    HostName example.com
    User peter
    ServerAliveInterval 60      # 每60秒客户端发一个空包探测
    ServerAliveCountMax 3       # 连续3次无响应则断开
    TCPKeepAlive yes            # 同时启用底层 TCP keepalive（可选）
</code></pre>
✅ 效果：每 60 秒发一次 SSH_MSG_CHANNEL_REQUEST "keepalive@openssh.com"，穿透 NAT 设备，防止被丢弃。</p>
服务端保活（需有服务器权限）</h2>
在服务端 /etc/ssh/sshd_config 中添加：</p>
ClientAliveInterval 60
ClientAliveCountMax 3
</code></pre>
重启 sshd：sudo systemctl restart sshd</p>
⚠️ 注意：若中间设备超时 < 60 秒（如某些企业防火墙为 30 秒），可设为 30。</p>
系统级 TCP keepalive 调优（全局生效）</h2>
临时调整（重启失效）：</p>
# Debian/Ubuntu
sudo sysctl -w net.ipv4.tcp_keepalive_time=300
sudo sysctl -w net.ipv4.tcp_keepalive_intvl=60
sudo sysctl -w net.ipv4.tcp_keepalive_probes=3
# 永久生效：写入 /etc/sysctl.d/99-tcp-keepalive.conf
</code></pre>
诊断技巧</h1>

检查是否真“卡”：另开终端 ping your-server。若 ping 通但 SSH 卡住 → 确认为 SSH 连接被丢弃。</li>
查看 SSH 日志（服务端）：journalctl -u ssh -f</li>
抓包验证：sudo tcpdump -i any host your-server and port 22，看是否有 keepalive 包。</li>
</ul>


为什么tcpdump抓包tcp校验和不对
2025-11-27T19:11:03+08:00
tcpdump 抓包tcp校验和错误 (checksum incorrect)</h1>
cksum 0x7f33 (incorrect -> 0x3a5e) 表示校验和计算错误</p>
这通常是 校验和卸载 (Checksum Offloading) 导致的</p>
网卡在硬件层面计算校验和，但抓包时数据包还在内核队列中，校验和尚未计算</p>
解决方案</h1>
禁用校验和卸载（推荐）</h2>
# 临时禁用 TX 校验和卸载
sudo ethtool -K enp0s31f6 tx off
# 临时禁用 RX 校验和卸载  
sudo ethtool -K enp0s31f6 rx off
</code></pre>
tcpdump 忽略校验和错误</h2>
sudo tcpdump -i enp0s31f6 -v -n not tcp port 22  # 忽略校验和警告
</code></pre>
永久禁用校验和卸载</h2>
ethtool -K enp0s31f6 tx off rx off
</code></pre>


sing-box旁路由配置
2025-11-26T22:14:25+08:00
旁路由</h1>
# 开启流量转发
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.d/90-override.conf

# 流量转发设备建议设置 default_qdisc 为 fq_codel，详细信息可以阅读：https://www.starduster.me/2020/03/02/linux-network-tuning-kernel-parameter/#netcoredefault_qdisc
echo "net.core.default_qdisc = fq_codel" >> /etc/sysctl.d/90-override.conf

# 用于控制反向路径过滤（Reverse Path Filtering）的一个内核参数，它决定了系统如何处理进入的数据包的源地址校验。
# 如果命令 sysctl -a | grep '\.rp_filter' 输出中你的网卡对应的值是 2 ，则需要重新覆盖设置为 0。
# 0：表示不开启源地址校验。系统不会检查进入的数据包的源地址，即使数据包的源地址不可达，也不会被系统丢弃。
# 1：表示开启严格的反向路径校验。系统会检查每个进入的数据包，确保其反向路径是最佳路径。如果不是，数据包将被丢弃。
# 2：表示开启松散的反向路径校验。系统会检查进入的数据包的源地址是否可达，即反向路径是否能通（通过任意网络接口）。如果反向路径不通，数据包将被丢弃。
echo "net.ipv4.conf.default.rp_filter = 0" >> /etc/sysctl.d/90-override.conf
echo "net.ipv4.conf.*.rp_filter = 0" >> /etc/sysctl.d/90-override.conf

# 使设置生效
sysctl --system
sysctl -p

sysctl -w net.ipv4.ip_forward=1
# iptables -t nat -A POSTROUTING -o <external_interface> -j MASQUERADE
</code></pre>
SNAT</h1>

MASQUERADE 是 SNAT 的一个特例，主要区别在于目标源IP地址的获取方式。</li>
SNAT 需要明确指定一个固定的IP地址或地址范围，而 MASQUERADE 则会自动从网卡上获取当前的IP地址。</li>
因此，MASQUERADE 特别适用于IP地址是动态分配（如PPPoE拨号或DHCP）的场景，因为它不需要每次IP地址变化后都手动修改规则。</li>
MASQUERADE 的效率稍低于 SNAT，因为它每次都需要查找可用的IP地址，而 SNAT 使用的IP地址是预先配置好的。</li>
但在大多数情况下，这种性能差异非常微小，不会造成明显影响。</li>
</ul>
主机配置</h1>
# lookup 是 table 的同义关键字（alias），源自早期 iproute2 的设计兼容性
# lookup 是历史遗留别名，虽可用，但新脚本建议统一用 table 避免歧义

# 使用main进行路由，且非main中默认路由的流量, 即直连网段的主机
sudo ip rule add priority 5000 from all table main suppress_prefixlength 0  
# main路由表未匹配的流量(main中原来需要走默认路由的流量), 即非直连网段的主机
sudo ip rule add priority 5001 from all table 5001
# 配置所有非直连网段的默认路由
sudo ip route add default via 192.168.66.1 dev enp3s0 proto static table 5001
</code></pre>


ssh配置
2025-11-26T11:16:39+08:00
配置一个jumper用户</h1>
sudo useradd -m peter.jumper
sudo passwd peter.jumper
# 禁止用户登录
# 使用usermod命令
sudo usermod -s /sbin/nologin username
# 或使用chsh命令
sudo chsh -s /sbin/nologin username
# 直接编辑/etc/passwd文件
sudo vipw
# 找到对应用户行，将shell改为/sbin/nologin
# 锁定用户（会在密码前加!使其失效）
sudo usermod -L username
sudo passwd -l username
# 解锁用户
sudo usermod -U username
sudo passwd -u username
# 立即使用户账户过期
sudo usermod -e 1 username
# 设置特定过期日期
sudo usermod -e 2024-12-31 username
# 查看账户过期信息
sudo chage -l username

# 公钥登录
sudo -u peter.jumper mkdir -p /home/peter.jumper/.ssh
sudo -u peter.jumper chmod 700 /home/peter.jumper/.ssh
echo "粘贴您的公钥内容到这里" | sudo -u peter.jumper tee -a /home/peter.jumper/.ssh/authorized_keys
sudo -u peter.jumper chmod 600 /home/peter.jumper/.ssh/authorized_keys
</code></pre>
sshd_config</h2>
AllowUsers peter.jumper peter@192.168.1.*
AllowUsers peter@localhost peter@127.0.0.*
</code></pre>
ssh-audit</h1>
pip3 install ssh-audit
ssh-audit server.com

sudo sshd -T
ssh -Q <Tab>
</code></pre>


常用网络工具
2025-11-25T18:52:43+08:00
常用网络工具</h1>

ping</li>
curl</li>
httpie</li>
wget</li>
tc</li>
dig/nslookup</li>
whois</li>
ssh/scp/rsync</li>
ngrep 抓包grep命令的网络版</li>
tcpdump/wireshark/tshark</li>
tcpflow 捕获和重组TCP连接中的数据流</li>
ifconfig/route</li>
ip/arp</li>
mitmproxy 中间人代理工具拦截修改观察流量</li>
nmap 网络探测和安全审核工具</li>
zenmap 图形界面管理和执行网络扫描任务</li>
p0f 被动操作系统指纹识别网络流量分析工具</li>
openvpn/wiregaurd</li>
nc/socat/telnet 数据传输和处理</li>
ftp/sftp</li>
nestat/ss/lsof</li>
iptables/nftables</li>
hping3 生成解析TCP/IP协议 数据包 也是安全审计、防火墙测试工具</li>
traceroute/mtr</li>
tcptraceroute 使用tcp协议进行路径跟踪</li>
ethtool 查看和修改网络设备的驱动参数和硬件设置</li>
iw/iwconfig 配置和管理无线网络接口</li>
sysctl 运行时配置内核参数</li>
openssl</li>
stunnel 开源跨平台进行通信加密</li>
iptraf/nethogs/iftop/ntop 网络流量监控</li>
ab/nload/iperf3 网络性能测试和监控</li>
python3 -m http.server</li>
ipcalc 简单的ip地址计算</li>
nsenter 进入指定进程命令空间下运行执行程序</li>
</ul>


qemu-user 启动失败排查
2025-11-25T14:24:49+08:00
fuzz模糊测试使用afl qemu trace 失败</h1>
怀疑是环境变量导致额的， 最后定位到环境变量</p>
...
"-E" "TMUX=/tmp/tmux-1000/default,18190,1" 
...
</code></pre>
实验发现，是环境变量中的值存在‘，’ 就会启动失败</p>
去掉','， 是可以正常启动的</p>
...
"-E" "TMUX=/tmp/tmux-1000/default" 
...

# 或者
unset TMUX
unset no_proxy
</code></pre>


apt 中的keyrings(gpg)
2025-11-25T10:59:41+08:00
apt gpg 作用</h1>
在 APT 的工作流程中，GPG 签名验证（signed-by= 指定的公钥）是在 “获取 Release 文件并校验其完整性与真实性” 阶段起作用的，具体发生在 apt update 的早期阶段，早于包列表下载和安装决策。</p>

解析 sources.list ，识别源 URL 和组件 ( bookworm , stable)</li>
下载 InRelease 或 Release + Release.gpg 文件： → https://download.docker.com/linux/debian/dists/bookworm/InRelease
或 → .../Release + .../Release.gpg 关键阶段</li>
用 /etc/apt/keyrings/docker.asc 中的公钥验证 InRelease/Release.gpg 签名 ️ GPG 认证生效点</li>
若验证失败 → 立即报错退出 （如 NO_PUBKEY , GPG error , signature invalid ）</li>
若验证成功 → 解析 Release 文件中的 SHA256 / SHA512 校验和 （哈希校验，非 GPG）</li>
下载 Packages.gz 等索引文件，并用 Release 中的哈希值校验完整性</li>
建立本地包数据库（ /var/lib/apt/lists/...  ）</li>
apt install 时仅校验 .deb 包哈希（来自 Packages ）， 不再 GPG 验证</li>
</ul>
# 1. 故意破坏签名验证（删掉 keyring）
sudo rm /etc/apt/keyrings/docker.asc
sudo apt update 2>&1 | grep -A2 -B2 "GPG\|NO_PUBKEY"
# → 报错：The following signatures couldn't be verified...
# 2. 或临时禁用验证（危险！仅测试）
sudo apt -o Acquire::Check-Valid-Until=false \
         -o Acquire::AllowInsecureRepositories=true \
         -o Acquire::AllowDowngradeToInsecureRepositories=true \
         update

# → 仍可能失败，因为 signed-by 指定了强制 key，除非改 sources.list 去掉 signed-by
</code></pre>
使用镜像源（mirror）的 APT 服务，还能正常 GPG 认证吗？</h1>

可以，只要镜像同步了完整的 dists/ 目录（含 InRelease / Release + Release.gpg）——绝大多数合规镜像都做到了。</li>
APT 的 GPG 校验不依赖源服务器域名/IP，只校验：
文件内容是否被篡改（哈希匹配）
Release 文件是否由可信私钥签名（GPG 签名校验）</li>
</ul>
验证实操（推荐）</h2>
# 1. 下载 InRelease（中科大镜像）
wget https://mirrors.ustc.edu.cn/docker-ce/linux/debian/dists/bookworm/InRelease

# 2. 用你本地的 docker.asc 公钥验证
gpg --keyring /etc/apt/keyrings/docker.asc \
    --verify InRelease
# 应输出：Good signature from "Docker Release (CE deb) ..."

# 3. 对比原始源（应完全一致）
diff InRelease \
  <(curl -s https://download.docker.com/linux/debian/dists/bookworm/InRelease)
# → 无输出（完全相同）
</code></pre>
报错排查</h2>
gpg: [don't know]: invalid packet (ctb=2d)
gpg: keydb_search failed: 无效的数据包
gpg: 无法检查签名：缺少公钥
</code></pre>

诊断依据
你从 https://download.docker.com/linux/debian/gpg 下载的 gpg 文件（3.7KB）是 ASCII-armored 公钥</li>
但 --keyring /path/to/file 默认期望的是 二进制格式的 keyring（或 GnuPG native keybox）</li>
当你直接把 ASCII-armored .asc 传给 --keyring，GPG 会把它当二进制解析 → 遇到 -----BEGIN 这种文本头 → 解析为“无效数据包”（ctb=2d 是 0x2d = '-' 字符）→ 失败 ❌</li>
</ul>
先 dearmor 成二进制，再验证（推荐）</h3>
# 1. 确保 docker.asc 是 ASCII-armored（检查开头）
head -n2 /etc/apt/keyrings/docker.asc
# 应输出：-----BEGIN PGP PUBLIC KEY BLOCK-----
# 2. 转成二进制格式（例如 docker.gpg）
sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg /etc/apt/keyrings/docker.asc
# 3. 用 .gpg（二进制）验证
gpg --keyring /etc/apt/keyrings/docker.gpg \
    --verify ./InRelease
# ✅ 此时应显示：Good signature from "Docker Release (CE deb)..."
</code></pre>
不指定 --keyring，而是先导入公钥到临时 keyring</h3>
# 创建临时 home
mkdir -p /tmp/gpghome && chmod 700 /tmp/gpghome
# 导入公钥（自动 dearmor）
gpg --homedir /tmp/gpghome --import /etc/apt/keyrings/docker.asc
# 用临时 keyring 验证
gpg --homedir /tmp/gpghome --verify ./InRelease
# 清理
rm -rf /tmp/gpghome
</code></pre>
为什么 apt 本身能工作？</h2>
因为 APT 内部 自动处理 dearmor！ 当你在 sources.list 写：</p>
deb [signed-by=/etc/apt/keyrings/docker.asc] ...
</code></pre>
APT 会： 检测 .asc 后缀或文件内容含 -----BEGIN → 自动 dearmor 后加载</p>
不依赖 gpg CLI 行为 → 所以 apt update 正常，但你手动用 gpg --keyring 却失败。</p>
# 查看二进制 keyring 内容
gpg --keyring /etc/apt/keyrings/docker.gpg --list-packets </dev/null
# 应显示 pub, sub 等 key packets，无 "invalid packet"

# 或直接看指纹（对比官网）
gpg --keyring /etc/apt/keyrings/docker.gpg --with-fingerprint --list-keys
# 应含：7EA0 A9C3 F273 FCD8 （即你日志中的 RSA 密钥 ID）
</code></pre>
总结：</h2>

.asc 是文本格式，不能直接作 --keyring；必须 --dearmor 转 .gpg 二进制。</li>
APT 能自动处理，但 gpg CLI 不会 —— 这是常见坑点</li>
</ul>


如何查看被mount --bind目录的内容
2025-11-25T10:28:51+08:00
mount --bind</h1>
当你用：</p>
mount -o bind /new-disk /var/lib
</code></pre>
绑定挂载后的 /var/lib 就被 新的分区内容覆盖</p>
原来真实的 /var/lib 内容仍然在磁盘上，但无法通过 /var/lib 直接访问</p>
想在 不 umount 的情况下 查看原来目录的内容，有几种经典做法：</p>
再把原始目录挂载到其他路径（最常用）</h2>
mkdir /mnt/origin_root
mount --bind / /mnt/origin_root    # 临时挂载根不推荐；下面是推荐方式
</code></pre>
直接通过 /proc/[pid]/root 访问（最常见最干净） 更推荐：</h2>
找到任意仍在主根下运行的进程，如 systemd ：</p>
ls -l /proc/1/root/var/lib
# 但最好再 bind 一层：
mkdir /mnt/original
mount --bind /proc/1/root/var/lib /mnt/original
ls /mnt/original
# 你就可以浏览原来 /var/lib 中的内容了。
# 不需要 umount，不需要停止业务，不影响现有 /var/lib。
</code></pre>
直接通过 /proc/[pid]/root 访问</h2>
# 任意 pid 都行，例如：
ls /proc/1/root/var/lib
# 就是没被覆盖的 /var/lib。
# 但这种方式只是临时查看，比 bind 挂载不方便操作。
</code></pre>
提前创建 “逃生入口”（经验技巧）</h2>
# 以后遇到类似场景：
mkdir /var/lib.real
mount --bind /var/lib /var/lib.real
mount --bind /newdisk /var/lib
# 这样以后变成：
# /var/lib → 新分区
# /var/lib.real → 原目录仍可访问
# 但必须在第一次 bind 前做。
</code></pre>
最推荐办法总结</h2>
mkdir /mnt/original
mount --bind /proc/1/root/var/lib /mnt/original
ls /mnt/original
</code></pre>


linux 多架构支持
2025-11-24T22:39:41+08:00
Debian 多架构（Multiarch） 与 跨架构模拟（QEMU + binfmt_misc）</h1>

dpkg --add-architecture + apt install -d 不依赖 QEMU/binfmt</li>
但若想 运行 vim:arm64，就必须用 QEMU/binfmt</li>
Multiarch 解决“如何下载/解压 arm64 包”</li>
QEMU/binfmt 解决“如何执行 arm64 二进制”</li>
</ul>
dpkg --print-architecture
dpkg --print-foreign-architectures

# 即使没装 qemu-user-static，也能下载
sudo apt purge qemu-user-static 2>/dev/null
sudo apt clean
sudo dpkg --add-architecture arm64
sudo apt update
sudo apt-get install -d vim:arm64  # ✅ 成功！
dpkg -x /var/cache/apt/archives/vim_*.deb ./vim-arm64
# 尝试运行
./vim-arm64/usr/bin/vim --version
# ❌ 报错：bash: ./vim-arm64/usr/bin/vim: cannot execute binary file: Exec format error
sudo apt install qemu-user-static
./vim-arm64/usr/bin/vim --version
# ✅ 成功
</code></pre>
目标</th> 所需技术</th> 命令示例</th></tr></thead>

下载 arm64 .deb</td> Multiarch</td> dpkg --add-architecture arm64 && apt install -d vim:arm64</td></tr>
解压 arm64 文件</td> Multiarch</td> dpkg -x vim_arm64.deb ./</td></tr>
运行 arm64 二进制</td> QEMU + binfmt</td> apt install qemu-user-static && ./vim</td></tr>
容器中跑 arm64</td> QEMU + binfmt + OCI</td> podman run --platform=linux/arm64 arm64v8/alpine</td></tr>
交叉编译 arm64</td> Multiarch + gcc</td> apt install gcc-aarch64-linux-gnu && aarch64-linux-gnu-gcc hello.c</td></tr>
</tbody></table>
常见问题</h1>
如果只做 ① 和 ②，会怎样？</h2>
dpkg --add-architecture arm64
apt install vim:arm64
# 然后运行：
/usr/bin/vim
# 可能得到：
# cannot execute binary file: Exec format error
# 因为：
# 系统能装包
# 但内核不知道如何执行 arm64 ELF
</code></pre>
如果有 QEMU 但没有 binfmt_misc？</h2>
# 你可以：
qemu-aarch64-static /usr/bin/vim
# 但不能直接：
/usr/bin/vim
# 因为：
# 内核不会自动调用 qemu
</code></pre>
如果有 binfmt_misc 但没有 QEMU？</h2>
# 那么执行会变成：
# No such file or directory
# 因为：
# 内核要调用 /usr/bin/qemu-aarch64-static
# 结果命令不存在
</code></pre>
binfmt_misc</h1>
内核机制：自动调用解释器运行异构二进制</p>
docker run --privileged --rm tonistiigi/binfmt --install all
docker run -it --rm --platform=linux/loong64 loongarch64/debian uname -a

# qemu-user-static    # 提供 /usr/bin/qemu-*-static 二进制
# binfmt-support      # Debian/Ubuntu 专用：管理 binfmt_misc 持久化
# binfmt-support 会在安装时：
# 将预定义的注册规则写入 /var/lib/binfmt-support/
# 创建 systemd 服务：systemd-binfmt.service
# 启用服务：systemctl enable systemd-binfmt
# 系统级预装 QEMU + binfmt # Debian/Ubuntu # Fedora/RHEL 
sudo apt install qemu-user-static binfmt-support 
sudo dnf install qemu-user-static 

# 用 rootful Podman（临时 sudo）
sudo podman run --privileged --rm tonistiigi/binfmt --install all
# 普通用户运行容器（rootless 安全！）
podman run -it --rm --platform=linux/loong64 loongarch64/debian uname -a

## 复杂、会话级有效、重启失效 —— 不如一句 sudo apt install qemu-user-static
# 1. 创建用户命名空间并挂载 binfmt_misc
unshare --user --map-root-user --mount sh -c '
  mount -t binfmt_misc binfmt_misc /proc/sys/fs/binfmt_misc
  podman run --rm -v /proc/sys/fs/binfmt_misc:/proc/sys/fs/binfmt_misc:rw tonistiigi/binfmt --install loong64
'
# 2. 保持命名空间 alive（后台）
unshare --user --map-root-user --mount --fork sleep infinity &
NS_PID=$!
# 3. 在该命名空间中运行容器
nsenter -U -m -t $NS_PID podman run --platform=linux/loong64 uname -a
</code></pre>


systemd-nspawn lxc podman 容器对比
2025-11-24T20:56:45+08:00
debootstrap 构建vm目录</h1>
sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1
sudo debootstrap --verbose --include=tmux,apt-transport-https,ca-certificates,dbus bookworm /var/lib/machines/debian https://mirrors.ustc.edu.cn/debian
sudo machinectl start debian
sudo machinectl shell debian
# sudo systemd-nspawn -D /var/lib/machines/debian -u root -- /bin/bash -c 'systemctl is-active dbus'
# sudo systemd-nspawn -D /var/lib/machines/debian

podman pull ubuntu:24.04
podman export ubuntu:24.04 > ubuntu.tar
mkdir /var/lib/machines/ubuntu
tar -xf ubuntu.tar -C /var/lib/machines/ubuntu

machinectl start ubuntu
systemd-nspawn -D /var/lib/machines/ubuntu
# 单次运行 / 调试 / 灵活参数控制
# 参数全由用户传递，例如：
# 挂载
# network
# capabilities
# user namespace 等
sudo systemd-nspawn -b -M debian --private-users
</code></pre>
配置machine的启动参数</h1>
cat <<EOF | sudo tee "/etc/systemd/nspawn/debian.nspawn" >/dev/null
# 安全执行环境
[Exec]
# 启用用户命名空间（关键！容器内 root ≠ 宿主 root）
PrivateUsers=yes
PrivateUsersChown=yes
# 降权：禁止提权，限制能力集
NoNewPrivileges=yes
CapabilityBoundingSet=CAP_NET_BIND_SERVICE CAP_CHOWN CAP_DAC_OVERRIDE CAP_SETGID CAP_SETUID
# 隔离内核模块/参数
PrivateMounts=yes
ProtectKernelTunables=yes
ProtectKernelModules=yes
ProtectControlGroups=yes
# 文件系统
[Files]
# 只读绑定宿主关键配置
BindReadOnly=/etc/resolv.conf
# 可选：绑定项目目录（取消注释并修改路径）
#Bind=/home/$USER/project:/mnt/project
# 网络（桥接模式）
[Network]
VirtualEthernet=yes
Bridge=$BRIDGE
# 若需MACVLAN（高性能），替换为：
#MACVLAN=$MAIN_IFACE
# 资源控制（cgroup v2）
[ResourceControl]
# CPU：最多 2 核，权重 500
CPUQuota=200%
AllowedCPUs=0 1
# 内存：硬限制 2GB，软限制 1.5GB
MemoryMax=2G
MemoryHigh=1500M
# 进程数上限
TasksMax=500
# IO 权重
IOWeight=500
# 设备安全（仅允许必要设备）
[Device]
# 清空默认允许列表
DeviceAllow=
# 允许终端/随机数
DeviceAllow=char-pts rw
DeviceAllow=char-urandom r
DeviceAllow=char-null r
# 禁止访问磁盘/USB/内核设备
#DeviceAllow=block-* r  # 取消注释可允许磁盘（危险！）
EOF
</code></pre>
长期、持久、完整 OS 的开发环境（如：编译内核、部署服务栈、测试系统级软件）</h1>

首选 systemd-nspawn</li>
优势：天然持久、systemd 原生、无缝 journal、machinectl 管理方便</li>
</ul>
# 创建 Ubuntu 开发机
sudo debootstrap jammy /var/lib/machines/dev-ubuntu
sudo systemd-nspawn -D /var/lib/machines/dev-ubuntu --boot
sudo machinectl enable dev-ubuntu
</code></pre>
虚拟机中配置网络</h2>
# ip route add  default via 192.168.2.1 dev host0
tee -a  /etc/resolv.conf<<EOF
nameserver 223.5.5.5
EOF
# 创建 networkd 配置，为 veth 接口（默认名是 host0）启用 DHCP
cat > /etc/systemd/network/20-wired.network <<'EOF'
[Match]
Name=host0
[Network]
DHCP=yes
# 可选：添加 DNS
# DNS=192.168.1.1
# Domains=lan
EOF
systemctl enable --now systemd-networkd
networkctl status

cat /etc/subuid
pid=$(machinectl show debian -p Leader --value)
cat /proc/$pid/uid_map

</code></pre>
使用iso构造rootfs</h1>
sudo mount -o loop /path/to/system.iso /mnt/iso
sudo unsquashfs -f -d /var/lib/machines/ubuntu /mnt/iso/casper/minimal.squashfs
sudo machinectl start ubuntu
sudo machinectl shell ubuntu
</code></pre>
需要 GUI + 安全 rootless + Docker 镜像生态</h1>

首选 Podman（rootless）</li>
优势：一行命令跑 GUI 应用、OCI 镜像丰富、与 Dockerfile 兼容、安全</li>
</ul>
podman run -d \
  --name devbox \
  --hostname devbox \
  --systemd=always \
  -e DISPLAY=$DISPLAY \
  -v /tmp/.X11-unix:/tmp/.X11-unix \
  -v ~/project:/home/user/project:z \
  -v dev-data:/var/lib/mysql \
  ghcr.io/linuxserver/code-server:latest

# 通过--rootfs运行：Podman可以直接使用这个解压后的目录来运行容器，这证实了该目录可以作为有效的根文件系统使用：
podman run --rootfs /path/to/lxc/rootfs
</code></pre>
需要快照、模板、传统虚拟化体验</h1>

选 LXC（或 LXD）</li>
优势：快照/迁移/备份成熟；适合运维人员管理多容器</li>
推荐搭配 lxd（LXC 的 daemon + REST API + CLI 增强版）：</li>
</ul>
lxc launch ubuntu:22.04 dev --profile default --profile gui  # 若配置了 GUI profile
</code></pre>


sing-box tun配置
2025-11-23T19:57:28+08:00
sing-box 配置tun的原理</h1>
# Routing Policy DataBase
sudo ip rule add priority 9000 from all to 172.20.0.0/30 table 2022  
sudo ip rule add priority 9003 not iif lo lookup 2022
# 9003: not from all iif lo lookup 2022  # 生成的结果中自动添加了from all

ip rule

0:    from all lookup local
9000: from all to 172.20.0.0/30 lookup 2022
# 不匹配路由前缀为0（不匹配缺省路由）
9001: from all lookup 2022 suppress_prefixlength 0
# 地址非53端口的所有流量
9002: not from all dport 53 lookup main suppress_prefixlength 0
9002: from all ipproto icmp goto 9010
9002: from all iif tun0 goto 9010
9003: not from all iif lo lookup 2022
9003: from 0.0.0.0 iif lo lookup 2022
9003: from 172.20.0.0/30 iif lo lookup 2022
9010: from all nop
32766: from all lookup main
32767: from all lookup default
</code></pre>
ip route show table 2022
default dev tun0

ip route show table main
default via 11.11.11.1 dev pppoe-wan proto static
11.11.11.1 dev pppoe-wan proto kernel scope link src 11.11.11.5
192.168.11.0/24 dev br-lan proto kernel scope link src 192.168.11.1
</code></pre>
创建路由名称 并使路由生效</h1>
echo 100 custom >> /etc/iproute2/rt_tables 
ip route add default via 192.168.1.100 dev eth1 table custom
ip rule add to 192.168.1.200 lookup custom
</code></pre>
fwmark</h1>
iptables -t mangle -A FORWARD -i eth3 -p tcp --dport 80 -j MARK --set-mark 1  
iptables -t mangle -A FORWARD -i eth3 -p tcp --dport 25 -j MARK --set-mark 2  
iptables -t mangle -A FORWARD -i eth3 -p tcp --dport 110 -j MARK --set-mark 2  
iptables -t mangle -A FORWARD -i eth3 -j MARK --set-mark 3  
ip rule add fwmark 1 table 1  
ip rule add fwmark 2 table 2  
ip rule add fwmark 3 table 3
</code></pre>
使用 ip rule 配置路由规则</h1>
内核需要根据规则，来为数据包选择要进行的操作或选择使用的路由表——当数据包能够匹配某些规则，则对该数据包执行该规则所对应的动作，比如查找一个路由表。Linux 的默认规则会让入向和出向的流量都 "lookup" 默认路由表。</p>
添加路由规则的 ip rule 用法如下：</h2>


ip rule add {prefix} {selector} {predicate}</p>
</li>

ip rule add 的意思很好理解，就是使用其后的参数，添加一个新的规则。prefix 表示该规则的应用范围——是入向流量还是出向流量。selector 表示需要使用的过滤条件。predicate 的意思是谓语，表示 selector 的对象或要执行的动作。</p>

prefix: from {addr} | to {addr}</li>
selector: to {addr} | priority <#> | fwmark  | iif  | oif  | tos </li>
predicate: {blackhole | prohibited | unreachable} | lookup </li>
</ul>
</li>

prefix 是源地址和/或目的地址，可以是单一 IP 地址或一个地址段。from 后接源地址/地址范围，to 后接目的地址/地址范围。也可以用 all 表示所有地址。这里的 from 和 to 会被用来对数据包进行匹配，能够匹配上的则会被应用该条规则；</p>
</li>

selector 可以对数据包进行进一步的过滤，同一条规则中可以使用多个 selector。常用的 selector 有下面几种：</p>

fwmark：数据包的标记值，在命令中填的 10 进制数字会被转成 16 进制存储和使用，如果要使用 16 进制表示，则需要在前面加个 x。需要注意的是，fwmark（FireWall MARK）只能由 iptables 添加；</li>
iif：入向接口名称；</li>
oif：出向接口名称；</li>
priority：本条规则的优先级，数字越小，优先级越高。该值必须是唯一的，即，不允许出现两条优先级相同的路由规则；</li>
tos：Type of Service，服务类型；</li>
ipproto：ip 层协议类型；</li>
sport、dport：源端口及目的端口，可以是特定端口或端口范围</li>
</ul>
</li>

predicate 表示当本条规则匹配成功时要执行的动作，包括：</p>

lookup：查找要使用的路由表；</li>
unreachable：设置该路由不可达，数据包会被丢弃，ICMP 会返回 host unreachable，发送代码会报错 EHOSTUNREACH ；</li>
blackhole（黑洞）：数据包会被无声丢弃（discarded silently），发送代码会报错 EINVAL ；</li>
prohabit（禁止）：数据包会被丢弃并给一个报错。ICMP 会返回 communication administratively prohibited。发送代码会报错 EACCES；</li>
需要注意的是，ip rule 并不能对数据包添加标记，而只能检查 fwmark 值，并根据该值确定如何处理数据包</li>
</ul>
</li>
</ul>
ip rule 优先级</h2>
这里的优先级指的是使用 ip rule 的 priority 选项设置的优先级。这个优先级实际上是最后才会发挥作用的——只有当多条规则的其他部分（from / to，过滤规则等）都完全相同时，系统才会根据该值选择真正要使用的规则。</p>
如果用命令设置规则的时候没有指定优先级，则系统会自动为该规则添加一个比【最近使用的规则的优先级高一级】的优先级值。比如最近用的一条路由规则的优先级为 100 ，则新添加的一条规则的优先级值就是 99。</p>
调试</h1>

用 TRACE 调试路由</li>
开启 debug：</li>
</ul>
echo 65535 > /proc/sys/net/ipv4/rt_trace_max_size
sysctl -w net.core.netdev_max_backlog=5000

rtmon rt filter
# 可以看到 RPDB 的逐条匹配过程。
</code></pre>


linux wifi网卡不工作
2025-11-23T18:50:42+08:00
现象</h1>
ip link
iw dev
# 这些命令 都看不到对应的无线网卡
# pci设备是可以看到wifi设别的
# lspci -v | grep -i wifi
</code></pre>
排查过程</h1>
sudo apt update
sudo apt install firmware-iwlwifi

lspci -v | grep -i wifi
sudo lspci -v -s 00:14.3

rfkill list all
nmcli radio wifi
nmcli radio wifi on

sudo lsmod | grep iwl
sudo dmesg | grep -i iwl

# 查看系统是否至少识别 Wi-Fi 为网络设备
sudo lshw -C network
# 如果无线网卡显示：
# UNCLAIMED
# 驱动没有绑定成功
ls /sys/class/net/
</code></pre>
重新加载内核模块后恢复了？</h1>
# 1. 清空当前的 dmesg 缓冲区，排除干扰
sudo dmesg -C
# 2. 卸载驱动模块
sudo modprobe -r iwlwifi
# 3. 重新加载驱动模块 (这一步会触发初始化)
sudo modprobe iwlwifi
# 4. 立即查看刚刚产生的日志 (这次肯定会有内容！)
sudo dmesg
</code></pre>


systemd-networkd-wait-online阻塞问题解决方案
2025-11-23T00:18:35+08:00
配置超时时间 和 指定等待接口</h1>
# sudo systemctl disable systemd-networkd-wait-online.service --now
sudo systemctl edit systemd-networkd-wait-online.service
[Service]
TimeoutStartSec=5
# 删除原来的 ExecStart 行
ExecStart=
# 添加新的 ExecStart 行，使用 --interface 明确指定等待的接口
ExecStart=/lib/systemd/systemd-networkd-wait-online --interface=eth0 --interface=eth1
# 排除名为 vpn0 的接口
# ExecStart=/lib/systemd/systemd-networkd-wait-online --exclude=vpn0

# 全局超时配置
sudo vim /etc/systemd/system.conf
DefaultTimeoutStartSec=10
DefaultTimeoutStopSec=10
ShutdownWatchdogSec=30
</code></pre>
诊断问题根源</h1>
如果问题是由于网络配置本身的错误导致接口无法上线，仅仅禁用等待服务只会隐藏问题。</p>
检查网络状态： 查看 systemd-networkd 对接口的看法：</p>
networkctl status
# 查找接口的 State 是否一直处于 configuring 或 degraded 状态。
</code></pre>


构造edid内核参数 创建虚拟显示器
2025-11-22T23:30:38+08:00
内核级虚拟显示器（推荐！无需硬件，永久生效）</h1>

选择一个没有物理显示器的接口(逻辑接口)</li>
使用 drm_kms_helper.edid_firmware + 自定义 EDID</li>
</ul>
for p in /sys/class/drm/*/status; do con=${p%/status}; echo -n "${con#*/card?-}: "; cat $p; done
</code></pre>
生成一个标准 EDID（例如 1920x1080）</h2>
# 安装 edid-decode（Debian/Ubuntu）
sudo apt install edid-decode
# 创建 1920x1080 EDID 文件（标准 60Hz）
cat > custom-edid.bin <<'EOF'
00ffffffffffff004c2dd707ffffffffff
141a0104a51e177802ee95a3544c9926
0f5054bfef80714f81c0810081809500
a9c0b300950f023a801871382d40582c
4500dd0c1100001e000000ff004c6170
746f702d303030300a20000000fc0044
656c6c205532343139480a20000000fd
00184c1e5111000a2020202020202020
000000ff004c6170746f702d30303030
0a200088
EOF

# 转为二进制（上述已是 hexdump -C 格式，需 decode）
xxd -r -p > edid.bin <<'EOF'
00ffffffffffff004c2dd707ffffffffff141a0104a51e177802ee95a3544c99260f5054bfef80714f81c0810081809500a9c0b300950f023a801871382d40582c4500dd0c1100001e000000ff004c6170746f702d303030300a20000000fc0044656c6c205532343139480a20000000fd00184c1e5111000a2020202020202020000000ff004c6170746f702d303030300a200088
EOF
</code></pre>
这是一个标准 Dell U2419H 的 EDID（1920x1080@60Hz），你可用在线工具</a>生成任意分辨率</p>
复制到固件目录</h2>
sudo mkdir -p /lib/firmware/edid/
sudo cp edid.bin /lib/firmware/edid/virtual-edid.bin
# 更新 initramfs（Ubuntu/Debian）
sudo update-initramfs -u 
# CentOS/RHEL/Fedora
sudo dracut --force
</code></pre>
添加内核启动参数（永久生效）</h2>
# 编辑 GRUB 配置
sudo nano /etc/default/grub
RUB_CMDLINE_LINUX="... drm_kms_helper.edid_firmware=edid/virtual-edid.bin video=Virtual-1:1920x1080@60"
# 更新 GRUB
sudo update-grub   # Debian/Ubuntu
sudo grub2-mkconfig -o /boot/grub2/grub.cfg  # RHEL
</code></pre>
直接使用dp物理显示器的edid</h1>
sudo cat /sys/class/drm/card0-DP-1/edid > /tmp/dp-edid.bin
# 验证内容（应看到显示器型号）
edid-decode /tmp/dp-edid.bin | grep -E "Manufacturer|Model|Name"
sudo mkdir -p /lib/firmware/edid/
# 复制 EDID（命名为 hdmi-edid.bin，清晰表明用途）
sudo cp /tmp/dp-edid.bin /lib/firmware/edid/hdmi-edid.bin
# 更新 initramfs（确保开机加载）
sudo update-initramfs -u   # Debian/Ubuntu
sudo dracut --force        # RHEL/Fedora

# 编辑 GRUB
sudo nano /etc/default/grub
GRUB_CMDLINE_LINUX="... drm_kms_helper.edid_firmware=HDMI-A-1:edid/hdmi-edid.bin video=HDMI-A-1:1920x1080@60"
# drm.edid_firmware=HDMI-A-1:edid/HDMI-A-1-dp-edid.bin,HDMI-A-2:edid/HDMI-A-1-dp-edid.bin
# HDMI-A-1：目标连接器名（必须与 /sys/class/drm/ 下的名称一致）
# edid/hdmi-edid.bin：相对于 /lib/firmware/ 的路径
# 💡 你有两个 HDMI（HDMI-A-1, HDMI-A-2），选一个未使用的（如 HDMI-A-2）避免冲突
sudo update-grub

dmesg | grep -E "edid|drm_kms_helper|HDMI-A-2"
lsinitramfs /boot/initrd.img-$(uname -r) | grep hdmi-edid.bin || true
sudo update-initramfs -u -k all
sudo update-initramfs -u -k $(uname -r)

# !!!!! 5.12 以上的内核，参数已经变为了drm.edid_firmware
drm.edid_firmware=HDMI-A-2:edid/hdmi-edid.bin video=HDMI-A-2:2560x1440@120e
</code></pre>
排查为什么分辨率达不到edid中的配置</h2>
# 安装工具
sudo apt install libdrm-tests
# 列出所有 connector 及 mode
sudo modetest -M i915 | grep -A 20 "HDMI-A-2"

# 你的 EDID 中 DTD 未设 preferred bit → GNOME 可能忽略它。
git clone https://github.com/akatrevorjay/edid-generator
cd edid-generator
# 关键：加 --preferred 和 --cvt-rb
./edid-generator.py \
  --name "VIRT-2K" \
  --width 2560 --height 1440 --refresh 120 \
  --timing "2560 2608 2640 2720 1440 1443 1448 1545 +hsync -vsync" \
  --cvt-rb \          # 使用 reduced blanking（更省带宽）
  --preferred \       # 设为 preferred timing！
  --output /lib/firmware/edid/hdmi-edid.bin
sudo update-initramfs -u
# --preferred 让 DRM/GNOME 优先选用该 mode
# --cvt-rb 降低 pixel clock（从 497.75 → ~399 MHz），提高兼容性
</code></pre>
fireware 没有被打包金initrd中</h3>
sudo tee /etc/initramfs-tools/hooks/zzz_edid_inject <<'EOF'
#!/bin/sh
PREREQ=""
prereqs() { echo "$PREREQ"; }
case "$1" in
    prereqs) prereqs; exit 0 ;;
esac
. /usr/share/initramfs-tools/hook-functions

# 创建 firmware 目录（initramfs 中路径是 lib/firmware/...）
mkdir -p "${DESTDIR}/lib/firmware/edid"
# 复制文件（必须用 copy_file，不是 cp！）
copy_file /lib/firmware/edid/hdmi-edid.bin /lib/firmware/edid/hdmi-edid.bin
EOF
# 赋予执行权限（必须！）
sudo chmod +x /etc/initramfs-tools/hooks/zzz_edid_inject

sudo update-initramfs -c -k $(uname -r)
lsinitramfs /boot/initrd.img-$(uname -r) | grep -i 'edid/hdmi-edid'

# 手动解压验证
mkdir /tmp/initrd && cd /tmp/initrd
zcat /boot/initrd.img-$(uname -r) | cpio -id 2>/dev/null
find . -name "*hdmi-edid*" -type f
</code></pre>
edid_firmware 和video 参数含义</h2>
这两个内核参数是独立的，并且用于不同的目的，但都与显示器的配置有关。</p>

drm_kms_helper.edid_firmware=...

欺骗内核：强制加载一个特定的 EDID 文件来定义显示器的功能（如支持的分辨率、色彩空间等）。</li>
独立于 video 参数。用于模拟硬件报告的功能。</li>
解决显示器 EDID 报告错误、模拟 4K 分辨率或模拟特定显示器功能。</li>
</ul>
</li>
video=...

强制输出：强制激活一个特定的连接器（Connector）并设置其模式（分辨率和刷新率）。</li>
独立于 edid_firmware 参数。用于强制使能输出。</li>
解决无头（headless）系统无法识别显示器、强制启用休眠后未恢复的接口。</li>
</ul>
</li>
它们是相互独立的。您可以单独使用其中一个，也可以同时使用。</li>
如果您只是想启动一个虚拟显示器： 仅使用 video=HDMI-A-2:1920x1080@60e 通常就足够了。</li>
如果您需要更复杂的显示器功能模拟： 您可能需要同时使用这两个参数。</li>
</ul>
参数名称</h3>


这里的 HDMI-A-2 必须与您的 Linux 系统在 /sys/class/drm/*/status 中报告的逻辑接口名称完全一致。</p>
</li>

逻辑名称 (HDMI-A-1, HDMI-A-2) 不一定对应您的显卡背后的物理插槽编号。它只是 GPU 驱动程序报告的内部通道名称。
民用主板一般不会将所有的逻辑接口都配置物理接口(成本考虑)</p>
</li>

如果目标是模拟一个虚拟显示器（无头模式）： 您应该选择一个 当前没有物理显示器连接 且 状态显示为 disconnected 的接口名称（例如 HDMI-A-2）。这样，内核就会认为您有一个显示器连接在 HDMI-A-2 上，并使用您指定的参数。</p>
</li>

如果目标是修复一个已连接的显示器的问题： 您应该选择该显示器实际连接的、状态显示为 connected 的那个接口名称（例如 HDMI-A-1）。</p>
</li>

video=HDMI-A-2:1920x1080@60e</p>

video=： 告诉内核加载视频模式。</li>
HDMI-A-2： 目标连接器名称。</li>
1920x1080： 要设置的分辨率。</li>
@60： 要设置的刷新率（60 Hz）。</li>
e (可选)： 重要，表示 强制启用 (enable)。当连接器处于 disconnected 状态时，添加 e 可以强制驱动程序尝试启用它，非常适合构造虚拟显示器。</li>
</ul>
</li>

drm_kms_helper.edid_firmware=HDMI-A-2:edid/1920x1080.bin</p>

drm_kms_helper.edid_firmware=： 告诉内核覆盖 EDID 报告。</li>
HDMI-A-2： 目标连接器名称。</li>
edid/1920x1080.bin： EDID 文件路径。您需要手动将一个有效的 EDID 二进制文件放置在 /lib/firmware/edid/ 目录下。例如，您可以从一台工作正常的显示器上获取 EDID，或者使用工具生成一个。</li>
</ul>
</li>
</ul>
依赖关系</h3>

drm_kms_helper.edid_firmware=HDMI-A-2:edid/xxx.bin

阶段1：连接器探测, 将指定 EDID,注入到连接器的 edid 文件中，使内核认为“此接口接了显示器”</li>
❌ 不依赖 video= ；即使没 video=，/sys/class/drm/card0-HDMI-A-2/status 也会变成 connected</li>
</ul>
</li>
video=HDMI-A-2:1920x1080@60

阶段2：模式设置,强制激活该连接器的特定显示模式,（即使 EDID 中没有此模式）</li>
✅ 依赖连接器 connected（否则无效）</li>
</ul>
</li>
</ul>
自定义 EDID 生成</h1>
方法：用 cvt + parse-edid + edid-generator</h2>
cvt 2540 1440 120
# 输出类似：
# Modeline "2540x1440_120.00"  852.75  2540 2728 2992 3472  1440 1443 1453 1538 -hsync +vsync
</code></pre>
用工具生成 EDID：
推荐工具：https://github.com/akatrevorjay/edid-generator</p>
git clone https://github.com/akatrevorjay/edid-generator
cd edid-generator
./edid-generator.py --name "VIRT-MON" --width 2540 --height 1440 --refresh 120 --timing "2540 2728 2992 3472 1440 1443 1453 1538 +hsync +vsync" --output hdmi-edid.bin

# 验证：
edid-decode hdmi-edid.bin | grep -A5 "Detailed"
</code></pre>


apparmor调试 启动虚拟机失败排查
2025-11-22T19:48:07+08:00
virsh 启动虚拟机报错</h1>
sudo virsh start 107-debian12
error: 启动域 '107-debian12' 失败
error: 内部错误：连接监控的过程中进程退出: 2025-11-22T11:42:17.483457Z qemu-system-x86_64: -blockdev {"driver":"file","filename":"/var/lib/libvirt/images/107/vm-107-disk-1.qcow2","node-name":"libvirt-2-storage","auto-read-only":true,"discard":"unmap"}: Could not open '/var/lib/libvirt/images/107/vm-107-disk-1.qcow2': Permission denied
</code></pre>
查看apparmor的配置和状态</h1>
# AppArmor 策略由 内核模块 (apparmor.ko) 强制执行
# apparmor.service 只负责加载/卸载 profile
# aa-teardown 或 apparmor_parser -R 才能移除策略
# 手动 systemctl stop apparmor 不 unload 内核模块 → 残留策略继续生效
sudo systemctl enable --now apparmor.service
sudo systemctl reload libvirtd

sudo dmesg | grep -i "apparmor\|denied" | tail -5
sudo journalctl -k --since "10 minutes ago" | grep -i denied

# 临时禁用 AppArmor（仅测试用）卸载所有 profile（立即解除限制）
sudo aa-teardown
# 禁用内核模块（彻底关闭）
sudo systemctl stop apparmor
sudo rmmod apparmor   # 若报 busy，先 aa-teardown

# 手动扩展 libvirt AppArmor 策略（精准修复）
# 编辑全局 libvirt 模板
sudo nano /etc/apparmor.d/abstractions/libvirt-qemu
# Allow access to custom image directories
/var/lib/libvirt/images/107/** rwk,
# rwk = 读+写+加锁（主磁盘需要）

# 重载策略
sudo apparmor_parser -r /etc/apparmor.d/abstractions/libvirt-*

# 确认 AppArmor 真正关闭（若选方案 2）
sudo aa-status | grep "apparmor module"
# 检查是否还有 DENIED
sudo dmesg -T | grep -i "denied.*qcow2"
# 临时解决方案：禁用特定配置文件
sudo aa-complain /etc/apparmor.d/libvirt-f681fad3-a70e-44c7-b91b-98a111906d5a
sudo aa-disable /etc/apparmor.d/libvirt-f681fad3-a70e-44c7-b91b-98a111906d5a
</code></pre>


qemu-img 管理虚拟机硬盘
2025-11-22T11:21:09+08:00
虚拟机快照链(snapshot chains)</h1>

虚拟机快照保存了虚拟机在某个指定时间点的状态(包括操作系统和所有的程序),</li>
利用快照,我们可以恢复虚拟机到某个以前的状态,比如测试软件的时候经常需要回滚系统。</li>
快照链就是多个快照组成的关系链,这些快照按照创建时间排列成链,</li>
像下面这样,本文章要解释的就是怎么创建这条链,链中快照的相互关系,缩短链,以及如何利用这条链回滚我们的虚拟机到某个状态</li>
</ul>
base-image<--guest1<--snap1<--snap2<--snap3<--snap4<--当前(active)
</code></pre>

如上,base-image是制作好的一个qcow2格式的磁盘镜像文件,它包含有完整的OS以及引导程序,</li>
现在以这个base-image为模板创建多个虚拟机,简单点方法,每创建一个虚拟机我们就把这个镜像完整复制一份,但这种做法效率底下,满足不了生产需要,</li>
这时就用到了qcow2镜像的特性copy-on-write</li>
qcow2(qemu copy-on-write)格式镜像支持快照,具有创建一个base-image,以及在base-image(backing file)基础上创建多个copy-on-write overlays镜像的能力,</li>
解释下backing file和overlay, 我们为base-image创建一个guest1,那么此时base-image就是guest1的backing file,guest1就是base-image的overlay</li>
同理,为guest1虚拟机创建了一个快照snap1,此时guest1就是snap1的backing file,snap1是guest1的overlay,backing files和overlays十分有用,可以快速的创建瘦装备实例,特别是在开发测试过程中可以快速回滚到之前某个状态</li>
</ul>
# 使用模板镜像centosbase(backing file)创建两个虚拟机(基于centosbase),20G不是必须的参数
qemu-img create -b centosbase.qcow2 -f qcow2 centos1.qcow2 20G
qemu-img create -b centosbase.qcow2 -f qcow2 centos2.qcow2 20G
# 现在创建出来的centos1和centos2都可以用来启动一个虚拟机,因为他们依赖于backing file,所以这两个磁盘只有几百个字节大小,只有新的文件才会被写入此磁盘
# 查看镜像信息,包括虚拟磁盘大小,实际占用空间,backing file
qemu-img info centos1.qcow2
</code></pre>
内置快照介绍（Internal Snapshots）</h1>
内置磁盘快照</h2>
单个qcow2镜像文件存储快照点的磁盘状态,没有新磁盘文件产生,虚拟机运行状态和关闭状态都可以创建,Libvirt 使用 'qemu-img' 命令创建关机状态的磁盘快照.</p>
内置系统还原点</h2>

使用virsh save/restore命令</li>
可以在虚机开机状态下（内存）保存内存状态，设备状态和磁盘状态到一个指定文件中,还原的时候虚机关机，然后restore回去</li>
多用于测试场景中，我们经常需要不断的将vm还原到某个起点，然后重新开始部署和测试。</li>
</ul>
#创建快照1(centos1运行时)
virsh snapshot-create-as centos1 centos1_sn1 centos1_sn1-desc
#创建快照2(centos1关闭)
virsh shutdown centos1
virsh snapshot-create-as centos1 centos1_sn2 centos1_sn2-desc
#查看所有快照
virsh snapshot-list centos1
#快照回滚
virsh snapshot-revert --domain centos1 centos1_sn1
virsh snapshot-revert --domain centos1 centos1_sn3
#内置磁盘快照可以随意回滚,比如先回滚到sn1,在回滚到sn3都是OK的
#注意一点是虚拟机开启状态下,不能回滚到State为running的快照点
#快照删除
virsh snapshot-delete centos1 centos1_sn2
或者
virsh snapshot-delete --domain centos1 --snapshotname centos1_sn2
</code></pre>
外置快照介绍（External Snapshots）</h1>
外置磁盘快照（External disk snapshot）</h2>
当一个快照被创建时，创建时当前的状态保存在当前使用的磁盘文件中，即成为一个backing file,此时一个新的overlay被创建出来保存以后写入的数据</p>
外置系统还原点（External system checkpoint）</h2>
虚拟机的磁盘状态将被保存到一个文件中，内存和设备的状态将被保存到另外一个新的文件中</p>
# 启动centos2虚拟机,查看当前所使用磁盘
virsh start centos2
virsh domblklist centos2

virsh snapshot-create-as --domain centos2 centos2_sn1 centos2_sn1-desc --disk-only --diskspec vda,snapshot=external,file=/data_lij/vhosts/centos2_sn1.qcow2 --atomic
#查看快照
virsh snapshot-list centos2
#查看centos2当前所使用磁盘
virsh domblklist centos2
#所使用磁盘已经更新到新创建的磁盘
</code></pre>
外置磁盘快照的合并</h1>

外置快照非常有用，但这里有一个问题就是如何合并快照文件来缩短链的长度，不能直接删除某个快照,因为每个快照都保存有相应的数据</li>
有两种方式实现

blockcommit: 从 top 合并数据到 base (即合并overlays至backing files)</li>
blockpull: 将backing file数据合并至overlay中.从 base 到 top</li>
</ul>
</li>
</ul>
blockcommit向下合并</h2>
# blockcommit可以让你将'top'镜像(在同一条backing file链中)合并至底层的'base'镜像,
# 一旦 blockcommit #执行完成，处于最上面的overlay链将被自动指向到底层的overlay或base, 后用来缩短链长度的时候十分有用.
# A qemu1.3以下版本不支持live blockcommit,
# B qemu2.0以下版本不支持合并'Active'层(最顶部的overlay,即当前使用磁盘)至backing_files
# 当前: [base] <- sn1 <- sn2 <- sn3 <- sn4(当前使用磁盘)
# 目标: [base] <- sn1 <--------------- sn4
# 我们需要做的是合并sn2,sn3到sn1中,并删除sn2,sn3快照,下面有两种方式
# (method-a):
virsh blockcommit --domain f17 vda --base /export/vmimages/sn1.qcow2 --top /export/vmimages/sn3.qcow2 --wait --verbose
# 或者 (method-b):
virsh blockcommit --domain centos2 vda --base centos2_sn2.qcow2 --top centos2_sn3.qcow2 --wait --verbose
virsh blockcommit --domain centos2 vda --base centos2_sn1.qcow2 --top centos2_sn2.qcow2 --wait --verbose
# 注: 如果手工执行*qemu-img*命令完成的话, 现在还只能用method-b. 我们还可以让centos2_sn4(active)直接指向centos2
</code></pre>
blockpull向上合并</h2>
# blockpull（qemu中也称作'block stream'）可以将backing合并至active，与blockcommit正好相反.
# 在qemu最新版本2.1.2上测试发现,当前只能将backing file合并至正在使用的active中
# centosbase <-- centos2 <-- centos2_sn1 <-- centos2_sn2 <-- centos2_sn3 <-- centos2_sn4(active)
# 在上面快照链中,可以合并sn1/sn2/sn3到sn4(active),但不能合并sn1/sn2到sn3,因为sn3非当前active磁盘
# 我们需要做的是合并sn1,sn2,sn3到sn4(active)中,并删除sn1,sn2,sn3快照,如下表示关系
# 当前: [base(centos2)] <- sn1 <- sn2 <- sn3 <- sn4(当前使用磁盘)
# 目标: [base(centos2)] <---------------------- sn4
virsh blockpull --domain centos_2 --path /data_lij/vhosts/centos2_sn4.qcow2 --base /data_lij/vhosts/centos2.qcow2 --wait --verbose
#清理掉不用的快照
virsh snapshot-delete --domain centos2 centos2_sn1 --metadata
virsh snapshot-delete --domain centos2 centos2_sn2 --metadata
virsh snapshot-delete --domain centos2 centos2_sn3 --metadata
#查看centos2的快照
virsh snapshot-list centos2
#查看centos2当前使用磁盘
virsh domblklist centos2
#查看快照sn4的backing file
qemu-img info centos2_sn4.qcow2
#如果要迁移虚拟机centos2,可能要将所有backing files合并至centos2_sn4(active),然后迁移centos2_sn4(active)至目的位置
#所有的backing files 都合并到centos2_sn4(active)
virsh blockpull --domain centos2 --path /data_lij/vhosts/centos2_sn4.qcow2 --wait --verbose
qemu-img info centos2_sn4.qcow2
#合并之后,centos2_sn4是一个完整的镜像,包括centosbase,sn1/2/3所有的数据,此时其不再需要backing files
</code></pre>
qemu-img 外置快照合并</h2>
qemu-img rebase -u -b centos2_sn1.qcow2 centos2_sn3.qcow2     #让sn3指向sn1
# 现在sn1中包含了之前的sn1/sn2中的数据,所以此时不再需要sn2中的数据,直接让sn3指向sn1即可,可以直接删除sn2
# 注意: -u代表'Unsafe mode' -- 此模式下仅仅修改了指向到的backing file名字(不复制数据)
qemu-img rebase -b centos2_sn1.qcow2 centos2_sn3.qcow2
#未使用-u模式的rebase将把数据也一并合并过去，即把sn2的数据写入到sn3并修改sn3指向sn1,此为默认模式

# 创建一个全新的、无 backing file 的镜像 (推荐)
sudo qemu-img convert -f qcow2 -O qcow2 \
  /var/lib/libvirt/images/107/vm-107-disk-0.qcow2 \
  /var/lib/libvirt/images/107/vm-107-disk-0-standalone.qcow2

# ❌ 危险！这是把当前层写回 backing file，会污染 base 镜像！
sudo qemu-img commit /var/lib/libvirt/images/107/vm-107-disk-0.qcow2

# 将backing file数据合并到当前镜像
sudo qemu-img rebase -b "" /var/lib/libvirt/images/107/vm-107-disk-0.qcow2

# 安装必要的工具（如果尚未安装）
sudo apt-get install libguestfs-tools  # Ubuntu/Debian
# 合并并优化镜像
sudo virt-sparsify --compress /var/lib/libvirt/images/107/vm-107-disk-0.qcow2 /var/lib/libvirt/images/107/vm-107-disk-0-merged.qcow2
</code></pre>
启动失败后修复</h1>
在宿主机上挂载新镜像，更新 fstab + 重建 initramfs</h2>
# 安装必要工具（如未安装）
sudo apt install libguestfs-tools   # Debian/Ubuntu
# 或 yum install libguestfs-tools   # RHEL/CentOS
# 使用 guestfish 挂载并检查/修复
sudo guestfish --rw -a /var/lib/libvirt/images/107/vm-107-disk-0-standalone.qcow2
> run
> list-filesystems
> mount /dev/sda1 /        # 假设 / 是 sda1（根据你的分区调整！）
> mount /dev/sdb1 /mnt     # 如果 /home 或其他在 sdb1，按需挂
# 查看当前 UUID（关键！）
> sh "blkid"
# ✅ 更新 fstab 中的 UUID 为新值
> sh "sed -i 's/old-xxxx-yyyy-zzzz/new-1111-2222-3333/g' /etc/fstab"
# —— 如果是 Debian/Ubuntu：
> sh "chroot / update-initramfs -u -k all"
# 退出
> exit
</code></pre>
临时绕过（仅用于诊断或紧急恢复） 在 GRUB 启动界面： e(edit)</h2>
添加启动参数  init=/bin/bash

mount -o remount,rw /
cat /etc/fstab
lsblk
blkid
mount -a

exec /sbin/init
systemctl set-default graphical
update-grub
reboot
</code></pre>
启动虚拟机的剪切板共享</h1>
sudo apt install spice-vdagent
sudo virsh dumpxml debian12 | grep graphics
sudo virsh domdisplay debian12
</code></pre>


pipewire 音频控制
2025-11-18T15:32:14+08:00
gnome音频问题排查</h1>
systemctl --user --now disable pulseaudio.socket pulseaudio.service
systemctl --user status pipewire pipewire-pulse wireplumber pulseaudio 2>/dev/null | grep -E "Active:|Loaded:"

# 列出 ALSA 识别的声卡
aplay -l

# 重新加载声卡模块（常见 Intel/Realtek）
sudo alsa force-reload

# 或手动加载（根据芯片选）：
sudo modprobe snd_hda_intel      # Intel HDA
sudo modprobe snd_hda_codec_realtek  # Realtek 编解码器常见问题补丁

# 检查内核是否屏蔽了声卡（罕见但致命）
grep -i "blacklist.*snd" /etc/modprobe.d/*
# 若有 → 注释掉相关行并 reboot

# 查看音频服务 sink（输出设备）
pactl info | grep "Default Sink"
pactl list short sinks

# 重置用户音频配置（安全！会重建 ~/.config/pipewire 等）
systemctl --user stop pipewire{,-pulse} wireplumber
rm -rf ~/.config/pipewire ~/.config/pulse
systemctl --user start pipewire{,-pulse} wireplumber

# 禁用“声音效果”干扰（某些主题/扩展冲突）
gsettings set org.gnome.desktop.sound event-sounds false
gsettings set org.gnome.desktop.sound input-feedback-sounds false

# PipeWire 日志（高亮关键错误）
journalctl --user-unit=pipewire --user-unit=wireplumber -f
# 或 PulseAudio（若仍在用）
pulseaudio -k; pulseaudio --start --log-level=debug
# 观察终端输出中的 ERROR/WARNING

# 播放测试音（设备 0,0 = 第一块声卡第一个设备）
speaker-test -D hw:0,0 -c 2 -t wav
# 若能听到“左…右…” → 硬件正常！问题在上层服务（Pulse/PipeWire/GNOME）
# 若无声 → 硬件/驱动层问题

sudo apt install pavucontrol   # Debian/Ubuntu
pavucontrol

sudo apt install linux-firmware  # Ubuntu/Debian

# 看 Codec 芯片型号
cat /proc/asound/cards
# 再看具体编解码器：
cat /proc/asound/card*/codec#*

# 用 lspci 确认硬件源头
lspci -v | grep -A 10 -i "audio\|multimedia"
# 只有 1 个 Audio device！证明是单物理声卡。

# HDMI 音频其实是 GPU 的一部分：
# HDMI 音频由 i915 显卡驱动 通过 snd_hda_intel 声卡驱动 输出（共享同一控制器）

# 如何「隐藏」不用的 HDMI 设备？（可选） 
sudo nano /etc/modprobe.d/disable-hdmi.conf
# 只启用 card 0 的 device 0（模拟输出），禁用其他 device
options snd_hda_intel index=0 enable=1
options snd_hda_intel index=1 enable=0  # 禁用 HDMI（若被识别为 card 1）
# 但你的 HDMI 和模拟在同一 card，需用 pin 配置 → 见前文 model= 方案

speaker-test -c 2 -D default    # 默认设备双声道测试
# 或指定设备：
speaker-test -c 2 -D hw:0,0      # hw:0,0 是 card 0, device 0
# 临时关闭 PulseAudio 再测（仅调试用）
# 退出 PulseAudio（--kill）
pulseaudio -k
# 立即测试（5秒内操作！否则 PulseAudio 会自动重启）
speaker-test -D hw:0,0 -c 2 -t wav -l 1
# 测完手动重启（或等它自启）
pulseaudio --start
# 播放一个测试音（走 PulseAudio）
echo "test" | festival --tts
# 或用 ALSA 的 plughw（允许混音，不冲突）
speaker-test -D plughw:0,0 -c 2 -t wav -l 1
aplay -D hw:0,3 /usr/share/sounds/alsa/Front_Left.wav

# HDMI设备参数 
aplay -D hw:0,3 --dump-hw-params
# 强制 ALSA 探测 HDMI 音频（加 probe_mask）
# 创建配置文件
echo "options snd_hda_intel probe_mask=0xfff" | sudo tee /etc/modprobe.d/99-hdmi-audio.conf
# 重启（必须！）
sudo reboot

amixer -c 0 scontents

pactl list sink-inputs short
# 强制把 Chrome 流切回内置声卡
# 先获取 Chrome 的 sink-input index（如上面的 42）
# 再获取目标 sink 名称（如 alsa_output.pci-0000_00_1f.3.analog-stereo）
pactl move-sink-input 42 alsa_output.pci-0000_00_1f.3.analog-stereo
# 0 表示 取消挂起
pactl suspend-sink alsa_output.pci-0000_00_1f.3.analog-stereo 0

lsof /dev/snd/*
fuser -v /dev/snd/*
</code></pre>


cloudflare 地址和端口范围
2025-11-14T00:45:38+08:00
cloudflare常用端口</p>
HTTP ports supported by Cloudflare</h2>

80 8080 8880 2052 2082 2086 2095</li>
</ul>
HTTPS ports supported by Cloudflare</h2>

443 2053 2083 2087 2096 8443</li>
</ul>
Ports supported by Cloudflare, but with caching disabled</h2>

2052 2053 2082 2083 2086 2087 2095 2096 8880 8443</li>
</ul>
https://developers.cloudflare.com/fundamentals/reference/network-ports/</p>
https://www.cloudflare-cn.com/ips/</p>


sing-box 手动配置(deb安装)
2025-11-12T23:10:15+08:00
安装sing-box(直接安装到系统目录)</h1>
sudo mkdir -p /etc/apt/keyrings &&
   sudo curl -fsSL https://sing-box.app/gpg.key -o /etc/apt/keyrings/sagernet.asc &&
   sudo chmod a+r /etc/apt/keyrings/sagernet.asc &&
   echo '
Types: deb
URIs: https://deb.sagernet.org/
Suites: *
Components: *
Enabled: yes
Signed-By: /etc/apt/keyrings/sagernet.asc
' | sudo tee /etc/apt/sources.list.d/sagernet.sources &&
   sudo apt-get update &&
   sudo apt-get install sing-box # or sing-box-beta

# manual install
curl -fsSL https://sing-box.app/install.sh | sh
curl -fsSL https://sing-box.app/install.sh | sh -s -- --version 1.12.12
sudo mkdir -p /var/lib/sing-box/ /etc/sing-box/
sudo systemctl start sing-box

# 使用233boy 脚本生成配置时遇到了systemd-unit冲突， 修改了233boy脚本中的unit位置为/etc/
/etc/sing-box/sh/src/systemd.sh
</code></pre>
anytls reality 配置</h1>
生成reality keypair</h2>
/usr/bin/sing-box generate reality-keypair | tee ~/.tmp/anytls-reality-keypair.txt
</code></pre>
anytls-reality server 配置</h2>
修改password private_key short_id</p>
cat <<EOF | sudo tee /etc/sing-box/anytls-reality.json 
{
    "inbounds": [
        {
            "type": "anytls",
            "listen": "::",
            "listen_port": 56443,
            "users": [
                {
                    "name": "user",
                    "password": "123456"
                }
            ],
            "padding_scheme": [
                "stop=8",
                "0=30-30",
                "1=100-400",
                "2=400-500,c,500-1000,c,500-1000,c,500-1000,c,500-1000",
                "3=9-9,500-1000",
                "4=500-1000",
                "5=500-1000",
                "6=500-1000",
                "7=500-1000"
            ],
            "tls": {
                "enabled": true,
                "server_name": "yahoo.com",
                "reality": {
                    "enabled": true,
                    "handshake": {
                        "server": "yahoo.com",
                        "server_port": 443
                    },
                    "private_key": "eO3B3EMGXrYfGOe87NkUVusaeUxtLB4vxiqjVXqb9GU",
                    "short_id": "0123456789abcdef"
                }
            }
        }
    ]
}
EOF
</code></pre>
anytls-reality client 配置</h2>
修改server password public_key short_id</p>
sudo tee /etc/sing-box/client-anytls-reality.json <<EOF
{
    "outbounds": [
        {
            "type": "anytls",
            "tag": "anytls-out",
            "server": "10.32.118.200",
            "server_port": 56443,
            "password": "123456",
            "idle_session_check_interval": "30s",
            "idle_session_timeout": "30s",
            "min_idle_session": 5,
            "tls": {
                "enabled": true,
                "disable_sni": false,
                "server_name": "yahoo.com",
                "insecure": false,
                "utls": {
                    "enabled": true,
                    "fingerprint": "chrome"
                },
                "reality": {
                    "enabled": true,
                    "public_key": "u4v3a_-uhIXPE2RoGaNy9_W5EK5UYV_hVN4Vpei75lM",
                    "short_id": "0123456789abcdef"
                }
            }
        }
    ]
}
EOF
</code></pre>
vless-reality 配置</h1>
/usr/bin/sing-box generate uuid
/usr/bin/sing-box generate reality-keypair | tee ~/.tmp/vless-reality-keypair.txt
</code></pre>
vless-reality server 配置</h2>
修改password private_key short_id</p>
cat <<EOF | sudo tee /etc/sing-box/vless-reality.json 
{
    "inbounds": [
    {
      "tag": "VLESS-REALITY-33584.json",
      "type": "vless",
      "listen": "::",
      "listen_port": 33584,
      "users": [
        {
          "flow": "xtls-rprx-vision",
          "uuid": "xxxxxxxx-cbef-4811-a3f0-d10733e669cd"
        }
      ],
      "tls": {
        "enabled": true,
        "server_name": "aws.amazon.com",
        "reality": {
          "enabled": true,
          "handshake": {
            "server": "aws.amazon.com",
            "server_port": 443
          },
          "private_key": "xxxxxxxx_GoOG9l7xvyT_zJuh4wyHyacXGdUWiuhJGg",
          "short_id": [
            ""
          ]
        }
      }
    }
  ]
}
EOF
</code></pre>
vless reality client 端基础配置</h2>
修改uuid public_key</p>
sudo tee /etc/sing-box/client-vless-reality.json <<EOF
{
    "outbounds": [
        {
            "type": "vless",
            "tag": "vless-out",
            "server": "10.50.228.53",
            "server_port": 13584,
            "uuid": "211d952d-cbef-4811-a3f0-xxxxxxxxxxxx",
            "flow": "xtls-rprx-vision",
            "network": "tcp",
            "tls": {
                "enabled": true,
                "disable_sni": false,
                "server_name": "aws.amazon.com",
                "utls": {
                "enabled": true,
                "fingerprint": "chrome"
                },
                "reality": {
                "enabled": true,
                "public_key": "xxxxxx-3J5ReO_EpOBSix7PYhFOzaor0r8xQtEUdjS8",
                "short_id": ""
                }
            }
        }
    ]
}
EOF
</code></pre>
vless-ws-tls 配置</h1>
anytls-ws-tls 配置</h1>
xhttp 配置</h1>
xhttp 服务端配置</h2>
sudo tee /etc/sing-box/client-xhttp-tls.json <<EOF
{
  "inbounds": [
    {
      "tag": "VLESS-HTTPUpgrade-TLS-box2.peter.com.json",
      "type": "vless",
      "listen": "0.0.0.0",
      "listen_port": 443,
      "users": [
        {
          "uuid": "a1b9a65d-e65a-409c-92e3-c038dd808642"
        }
      ],
      "transport": {
        "type": "httpupgrade",
        "path": "/xxxxxxxx-e65a-409c-92e3-c038dd808642",
        "headers": {
          "host": "box2.peter.com"
        }
      },
      "tls": {
        "enabled": true,
        "server_name": "box2.peter.com",
        "alpn": ["h2"]
      }
    }
  ]
}

EOF
</code></pre>
xhttp 客户端配置</h2>
sudo tee /etc/sing-box/client-xhttp-tls.json <<EOF
{
  "outbounds": [
    {
      "server": "www.visa.com",
      "server_port": 443,
      "uuid": "xxxxxxxx-e65a-409c-92e3-c038dd808642",
      "packet_encoding": "xudp",
      "type": "vless",
      "tag": "proxy",
      "tls": {
        "enabled": true,
        "server_name": "box2.peter.com",
        "insecure": false
      },
      "transport": {
        "type": "httpupgrade",
        "host": "box2.peter.com",
        "path": "/xxxxxxxx-e65a-409c-92e3-c038dd808642"
      }
    }
  ]
}
EOF
</code></pre>
hysteria2 配置</h1>
hysteria2 server 配置</h2>
{
  "inbounds": [
    {
      "tag": "Hysteria2-55003.json",
      "type": "hysteria2",
      "listen": "::",
      "listen_port": 55003,
      "users": [
        {
          "password": "xxxxxxxx-c295-4b16-a518-b721343e7d1c"
        }
      ],
      "tls": {
        "enabled": true,
        "alpn": [
          "h3"
        ],
        "key_path": "/etc/sing-box/bin/tls.key",
        "certificate_path": "/etc/sing-box/bin/tls.cer"
      }
    }
  ]
}
</code></pre>
hysteria2 client 配置</h2>
{
  "outbounds": [
    {
      "type": "hysteria2",
      "server": "10.50.228.53",
      "server_port": 55003,
      "up_mbps": 100,
      "down_mbps": 100,
      "password": "xxxxxxxx-c295-4b16-a518-b721343e7d1c",
      "tls": {
        "enabled": true,
        "insecure":true
      }
    }

  ]
}
</code></pre>
grpc 配置</h1>
client 基础配置</h1>
sudo tee /etc/sing-box/client-config.json <<EOF
{
  "log": {
    "disabled": false,
    "level": "debug",
    "output": "",
    "timestamp": true
  },
  "experimental": {
    "clash_api": {
      "external_controller": "127.0.0.1:10807",
      "external_ui": "ui",
      "external_ui_download_url": "https://github.com/MetaCubeX/metacubexd/archive/gh-pages.zip",
      "external_ui_download_detour": "vless-out",
      "default_mode": "rule",
      "access_control_allow_origin": [ "*" ],
      "access_control_allow_private_network": false
    },
    "cache_file": {
      "enabled": true,
      "path": "cache.db",
      "cache_id": "",
      "store_fakeip": true,
      "store_rdrc": true,
      "rdrc_timeout": "7d"
    }
  },
  "inbounds": [
    {
      "address": ["172.18.0.1/30", "fdfe:dcba:9876::1/126"],
      "route_address": ["0.0.0.0/1", "128.0.0.0/1", "::/1", "8000::/1"],
      "route_exclude_address": [
        "192.168.0.0/16",
        "10.0.0.0/8",
        "172.16.0.0/12",
        "fc00::/7"
      ],
      "auto_route": true,
      "strict_route": true,
      "type": "tun"
    },
    {
      "type": "mixed",
      "tag": "mixed-in",
      "listen": "127.0.0.1",
      "listen_port": 10806,
      "tcp_fast_open": false,
      "tcp_multi_path": false,
      "udp_fragment": false
    }
  ],
  "outbounds": [
    {
      "type": "selector",
      "tag": "🚀 Select",
      "interrupt_exist_connections": true,
      "outbounds": [
        "vless-out",
        "🎈 Auto"
      ]
    },
    {
      "type": "urltest",
      "tag": "🎈 Auto",
      "url": "https://www.gstatic.com/generate_204",
      "interval": "3m",
      "tolerance": 150,
      "interrupt_exist_connections": true,
      "outbounds": [
        "vless-out"
      ]
    },
    {
      "type": "direct",
      "tag": "🎯 Direct"
    },
    {
      "type": "selector",
      "tag": "🐟 Fallback",
      "interrupt_exist_connections": true,
      "outbounds": [
        "🚀 Select",
        "🎯 Direct"
      ]
    },
    {
      "type": "selector",
      "tag": "GLOBAL",
      "interrupt_exist_connections": true,
      "outbounds": [
        "🚀 Select",
        "🎈 Auto",
        "🎯 Direct",
        "🐟 Fallback"
      ]
    },
  ],
  "route": {
    "rules": [
      {
        "action": "hijack-dns",
        "protocol": "dns"
      },
      {
        "action": "route",
        "clash_mode": "direct",
        "outbound": "🎯 Direct"
      },
      {
        "action": "route",
        "clash_mode": "global",
        "outbound": "GLOBAL"
      },
      {
        "action": "route",
        "network": "icmp",
        "outbound": "🎯 Direct"
      },
      {
        "action": "reject",
        "protocol": "quic"
      },
      {
        "action": "reject",
        "rule_set": [
          "Category-Ads"
        ]
      },
      {
        "action": "route",
        "rule_set": [
          "GeoSite-Private"
        ],
        "outbound": "🎯 Direct"
      },
      {
        "action": "route",
        "rule_set": [
          "GeoSite-CN"
        ],
        "outbound": "🎯 Direct"
      },
      {
        "action": "route",
        "rule_set": [
          "GeoIP-Private"
        ],
        "outbound": "🎯 Direct"
      },
      {
        "action": "route",
        "rule_set": [
          "GeoIP-CN"
        ],
        "outbound": "🎯 Direct"
      },
      {
        "action": "route",
        "rule_set": [
          "GeoLocation-!CN"
        ],
        "outbound": "🚀 Select"
      }
    ],
    "rule_set": [
      {
        "tag": "Category-Ads",
        "type": "remote",
        "url": "https://testingcf.jsdelivr.net/gh/MetaCubeX/meta-rules-dat@sing/geo/geosite/category-ads-all.srs",
        "format": "binary",
        "download_detour": "🎯 Direct"
      },
      {
        "tag": "GeoIP-Private",
        "type": "remote",
        "url": "https://testingcf.jsdelivr.net/gh/MetaCubeX/meta-rules-dat@sing/geo/geoip/private.srs",
        "format": "binary",
        "download_detour": "🎯 Direct"
      },
      {
        "tag": "GeoSite-Private",
        "type": "remote",
        "url": "https://testingcf.jsdelivr.net/gh/MetaCubeX/meta-rules-dat@sing/geo/geosite/private.srs",
        "format": "binary",
        "download_detour": "🎯 Direct"
      },
      {
        "tag": "GeoIP-CN",
        "type": "remote",
        "url": "https://testingcf.jsdelivr.net/gh/MetaCubeX/meta-rules-dat@sing/geo/geoip/cn.srs",
        "format": "binary",
        "download_detour": "🎯 Direct"
      },
      {
        "tag": "GeoSite-CN",
        "type": "remote",
        "url": "https://testingcf.jsdelivr.net/gh/MetaCubeX/meta-rules-dat@sing/geo/geosite/cn.srs",
        "format": "binary",
        "download_detour": "🎯 Direct"
      },
      {
        "tag": "GeoLocation-!CN",
        "type": "remote",
        "url": "https://testingcf.jsdelivr.net/gh/MetaCubeX/meta-rules-dat@sing/geo/geosite/geolocation-!cn.srs",
        "format": "binary",
        "download_detour": "🎯 Direct"
      }
    ],
    "auto_detect_interface": true,
    "final": "🐟 Fallback",
    "default_domain_resolver": {
      "server": "Local-DNS"
    }
  },
  "dns": {
    "servers": [
      {
        "tag": "Local-DNS",
        "type": "https",
        "domain_resolver": "Local-DNS-Resolver",
        "server_port": 443,
        "server": "223.5.5.5",
        "path": "/dns-query"
      },
      {
        "tag": "Local-DNS-Resolver",
        "type": "udp",
        "server_port": 53,
        "server": "223.5.5.5"
      },
      {
        "tag": "Remote-DNS",
        "type": "tls",
        "detour": "🚀 Select",
        "domain_resolver": "Remote-DNS-Resolver",
        "server_port": 853,
        "server": "8.8.8.8"
      },
      {
        "tag": "Remote-DNS-Resolver",
        "type": "udp",
        "detour": "🚀 Select",
        "server_port": 53,
        "server": "8.8.8.8"
      }
    ],
    "rules": [
      {
        "action": "route",
        "clash_mode": "direct",
        "server": "Local-DNS"
      },
      {
        "action": "route",
        "clash_mode": "global",
        "server": "Remote-DNS"
      },
      {
        "action": "route",
        "rule_set": [
          "GeoSite-CN"
        ],
        "server": "Local-DNS"
      },
      {
        "action": "route",
        "rule_set": [
          "GeoLocation-!CN"
        ],
        "server": "Remote-DNS"
      }
    ],
    "disable_cache": false,
    "disable_expire": false,
    "independent_cache": false,
    "final": "Remote-DNS"
  }
}
EOF
</code></pre>
andriod 版本使用</h1>
/usr/bin/sing-box -C /etc/sing-box/ merge ~/.tmp/sing-box.merge.conf
</code></pre>


sunshine moonlight 配置linux第二屏幕
2025-11-10T21:14:35+08:00
安装sunshine和moonlight</p>
# 服务端安装sunshine(需要扩展屏幕主机)
# https://github.com/LizardByte/Sunshine/releases/tag/v2025.924.154138
sudo apt install ./sunshine-ubuntu-24.04-amd64.deb

# 客户端安装moonlight(作为第二屏幕的主机)
sudo flatpak install com.moonlight_stream.Moonlight
</code></pre>
虚拟显示器？</h1>
使用 Wayland + vkms + Weston headless</p>
modinfo vkms | grep filename
sudo modprobe vkms
ls /sys/class/drm | grep card

# /etc/modprobe.d/vkms.conf
# 示例：创建两个 vkms 虚拟显示器
options vkms nodes=2

sudo apt install libdrm-tests
modetest -M vkms | grep -i connect
sudo apt install wlroots-utils
</code></pre>
vainfo --display drm --device /dev/dri/renderD128
pactl info
sudo apt install -y x11-xserver-utils weston
# 主要是 modetest 检查 DRM 输出，Wayland 原生可以使用 wlr-randr 或 Weston 的虚拟输出测试
weston --backend=headless-backend.so --socket=wayland-headless-0
</code></pre>
sudo apt install edid-decode read-edid
sudo get-edid > /lib/firmware/edid/1080p.bin

sudo tee /etc/modprobe.d/vkms.conf <<'EOF'
options vkms enable_cursor=1 enable_overlay=1 edid_firmware=edid/1080p.bin
EOF

sudo modprobe -r vkms
sudo modprobe vkms

cat /sys/class/drm/card0-Virtual-1/edid | edid-decode

sudo cat /sys/kernel/debug/dri/0/state
modetest -M vkms -s 63@38:1920x1080

sudo udevadm trigger --subsystem-match=drm --action=change
sudo apt install drm-info
drm_info /dev/dri/card0
</code></pre>
debian13 中没有vkms?</h1>
特性</th> vkms</th> virtio-gpu</th> qxl</th> dummy X11</th></tr></thead>

驱动位置</td> 内核 DRM</td> 内核 DRM</td> 内核 DRM</td> 用户态 X11</td></tr>
显示输出</td> ✅ DRM 原生</td> ✅ DRM 原生</td> ✅ DRM 原生</td> ❌ 无 DRM 节点</td></tr>
硬件依赖</td> 无（纯虚拟）</td> 需虚拟化环境</td> 需 QEMU/SPICE</td> 无</td></tr>
性能</td> 软件模拟，较慢</td> 中等</td> 中等</td> 慢</td></tr>
Sunshine 兼容</td> ✅</td> ✅</td> ✅</td> ⚠️ 需 Xwayland</td></tr>
GNOME 可识别</td> ✅</td> ✅</td> ✅</td> ✅</td></tr>
</tbody></table>
配置KMS</h2>

在电脑上安装 Sunshine，平板上安装 Moonlight，确保能搜索到并能正常控制电脑；</li>
用下面的命令枚举所有设备接口的连接情况，选择一个未连接（disconnected）的 HDMI 接口（如 HDMI-A-1），记下它：</li>
</ul>
for p in /sys/class/drm/*/status; do con=${p%/status}; echo -n "${con#*/card?-}: "; cat $p; done 
</code></pre>

在 /usr/lib/firmware/ 下创建一个新的 edid 目录（如果没有），并将你的 edid 文件放在那里。例如 /usr/lib/firmware/edid/samsung-q800t-hdmi2.1；</li>
编辑内核参数，添加以下内容。其中 HDMI-A-1 是你选择的接口，edid/samsung-q800t-hdmi2.1 是你的 EDID 文件。注意不要漏了最后的 :e：</li>
drm.edid_firmware=HDMI-A-1:edid/samsung-q800t-hdmi2.1 video=HDMI-A-1:e</li>
重启电脑。如果一切正常，你的电脑会认为有一个新的 HDMI 显示器连接上了，而实际上它是一个虚拟显示器；</li>
在命令行中运行 sunshine，查看其输出的 KMS Monitor List，找到你的 HDMI 接口对应的编号，停止 Sunshine；</li>
在正常启动的 Sunshine 的设置中填入上一步的编号，应用设置，确定其投屏的来源是你的虚拟显示器。</li>
这样就完成了，你可以在 KDE 设置中像普通显示器那样配置该虚拟显示器的分辨率和空间位置，甚至可以在不用时禁用该显示器。</li>
</ul>
</code></pre>


linux 中的seat管理
2025-11-06T21:53:55+08:00
seat一般控制哪些设备</h1>


哪些设备属于一个 seat、由谁配置/控制，是掌握 Linux 图形会话、多用户、多终端安全模型的关键</p>
</li>

Seat 管理的设备主要包括：GPU（DRM/KMS）、输入设备（键盘/鼠标/触摸屏等）、声音设备（可选）和串口/智能卡读卡器（高级场景）</p>
</li>

这些设备的归属由 udev 规则标记，并由 systemd-logind 在运行时动态分配给活跃的图形会话（session）</p>
</li>

图形设备	/dev/dri/card0, /dev/dri/renderD128	GPU，用于显示输出和硬件加速</p>
</li>

输入设备	/dev/input/event*	键盘、鼠标、触摸板、触控屏、Tablet 等</p>
</li>

TTY 控制台	/dev/tty0, /dev/tty1 ...	虚拟终端（VT），seat 通常绑定到一个 VT</p>
</li>

音频设备（可选）	/dev/snd/*	某些系统将声卡绑定到 seat（非强制）</p>
</li>

其他外设（可选）	/dev/ttyS0, /dev/usb/hiddev*	如串口、智能卡读卡器（企业/嵌入式场景）</p>
</li>

⚠️ 注意：网络设备、存储设备（如 /dev/sda）不属于 seat，它们是全局共享的。</p>
</li>

如果未设置 ID_SEAT，设备默认属于 seat0（主 seat）</p>
</li>

/etc/udev/rules.d/99-seat1.rules</p>
</li>

将特定 USB 键鼠绑定到 seat1</p>
</li>

SUBSYSTEM=="input", ATTRS{idVendor}=="abcd", ATTRS{idProduct}=="1234", ENV{ID_SEAT}="seat1"</p>
</li>

将特定 GPU 绑定到 seat1</p>
</li>

SUBSYSTEM=="drm", KERNEL=="card1", ENV{ID_SEAT}="seat1"</p>
</li>
</ul>
# 列出所有 seats
loginctl list-seats
# 查看 seat0 的详细信息（含设备）
loginctl show-seat seat0 -p ActiveSession -p Devices

# 查看某个输入设备是否属于 seat0
udevadm info /dev/input/event4 | grep ID_SEAT
# 查看是否有 uaccess 标签
udevadm info /dev/dri/card0 | grep TAGS
# 输出应包含: :uaccess:

# 使用 loginctl 工具将一个设备永久地分配给一个特定的 Seat
loginctl attach [SEAT_ID] [DEVICE_SYSFS_PATH]
    [SEAT_ID]: 你想分配到的 Seat 名称，例如 seat1。
    [DEVICE_SYSFS_PATH]: 设备的 SysFS 路径，例如 /sys/devices/pci0000:00/.../drm/card1。
</code></pre>
多seat控制管理</h1>

假设你有一台机器，接了两套显示器+键鼠：

Seat0：主板 HDMI + 内置键盘 → 用户 A 登录 GNOME</li>
Seat1：PCIe 独立显卡 + USB 键鼠 → 用户 B 登录 Sway</li>
</ul>
</li>
你需要：

创建 udev 规则，将独显和 USB 设备标记为 ID_SEAT=seat1</li>
启动两个图形会话（分别绑定到不同 TTY）</li>
systemd-logind 自动为每个 session 授权对应设备</li>
</ul>
</li>
此时：

用户 A 无法看到用户 B 的屏幕内容；</li>
用户 B 的键盘不会影响用户 A；</li>
GPU 资源完全隔离。</li>
</ul>
</li>
</ul>


漏洞挖掘方法
2025-11-05T15:49:12+08:00
漏洞挖掘</h1>

软件成分分析

识别分析某一个软件中所使用的组件与第三方库的来源、版本、许可证信息的技术</li>
</ul>
</li>
已知漏洞(漏洞扫描)</li>
静态分析</li>
</ul>


浏览器指纹
2025-11-05T14:52:40+08:00
浏览器指纹</h1>

操作系统</li>
cpu架构</li>
系统支持的字体遍历</li>
窗口大小、显示器大小</li>
禁用 Canvas 图像提取</li>
集成 NoScript 以及第一方域名隔离</li>
利用字体、功能、行为特征等等（无论是否使用 JavaScript）</li>
tls 指纹</li>
</ul>


gcc 参数
2025-11-05T11:48:23+08:00
g++链接时，--start-group和--end-group的作用</h1>
在使用g++进行链接时，库之间的符号依赖可能导致链接失败</p>

例如，当库A依赖库B中的符号，而库B又需要库A中的符号时，传统的链接顺序无法满足这种循环依赖</li>
此时，--start-group</code>和--end-group</code>选项就显得尤为重要</li>
作用</strong>：它们告诉链接器在指定的组内反复扫描目标文件和库，直到不再有新的符号被解析为止，从而解决复杂的依赖问题</li>
正确用法</strong>：将相关的目标文件或库放置在--start-group</code>和--end-group</code>之间</li>
例如： bash g++ -o myapp --start-group libA.a libB.a --end-group </code> 此命令确保libA.a</code>和libB.a</code>之间的依赖关系被正确解析，即使存在循环依赖。</li>
忘记添加--end-group</code>，链接器可能报错或行为异常；滥用该选项可能导致链接时间增加</li>
</ul>


vocabulary 常用专业术语
2025-11-05T11:41:45+08:00
tls</h1>

KDF(Key derivation function) 密钥派生函数

可用于将密钥扩展到更长的密钥或获得所需格式的密钥</li>
非秘密参数被称为盐</li>
相比其他加密哈希算法，KDF 具有一个独特属性——计算速度很慢，而且从设计上就使其计算速度难以提升，所以 KDF 也被称作「慢哈希算法」</li>
</ul>
</li>
AEAD(Authenticated_Encrypted_with_associated_data)

chacha20poly1305</li>
aes-gcm aes-ccm</li>
在TLS1.3中，当使用如ChaCha20-Poly1305这样的AEAD加密套件时,已不再需要独立的 HMAC 运算</li>
TLS 1.3在设计上移除了"MAC-then-Encrypt"的组合方式，这种组合曾被曝出存在 BEAST、Lucky 13 等安全漏洞</li>
注意 AEAD 密码套件中的 HASH：

以TLS_CHACHA20_POLY1305_SHA256为例，其中的 SHA256不是用来对消息记录做HMAC认证的</li>
这个SHA256是用于TLS握手过程中的密钥派生函数,特别是HKDF-Extract和HKDF-Expand，用来从握手产生的秘密信息中派生出会话密钥、nonce 等加密参数</li>
</ul>
</li>
</ul>
</li>
HKDF（HMAC_based_key_derivation_function）</li>
ECDHE(Ephemeral Elliptic Curve Diffie-Hellman ephemeral)

curve25519 x25519 ed25519</li>
</ul>
</li>
</ul>
AI</h1>

RAG Retrieval-Augmented Generation</li>
LoRA Low-Rank Adaptation</li>
</ul>


从pve切换到libvirt 问题排查
2025-11-02T00:30:58+08:00
迁移虚拟机问题记录</h1>
# 因为apparmor的限制 libvirt 访问/var/lib/vz/images目录会遇到权限问题, 所有将虚拟机文件迁移到libvirt目录中
# 可能会遇到pve中的模板文件移动失败: 修改attr后再执行
sudo chattr -i /var/lib/vz/images/100/base-100-disk-0.qcow2
sudo lsattr /var/lib/vz/images/100/base-100-disk-0.qcow2
sudo mv /var/lib/vz/images/* /var/lib/libvirt/images/

sudo chown libvirt-qemu:libvirt-qemu /var/lib/libvirt/images/100/
sudo chmod 755 /var/lib/libvirt/images/100

# 直接使用宿主机中的vmbr0网桥, 虚拟机无网络, 需要开启宿主机转发功能
sudo iptables -P FORWARD ACCEPT
sudo sysctl -w net.ipv4.ip_forward=1
sudo sysctl net | grep ip_forward

sudo apt netfilter-persistent
sudo netfilter-persistent save
</code></pre>


rustc-wrapper(linker)解决cargo并行链接OOM问题
2025-10-31T09:52:15+08:00
包转linker的方式</h1>
ld_wrapper.sh
并没有验证通过ORZ?</p>
#!/bin/bash
# 通用链接器包装器 - ld_generic_wrapper.sh

PRESSURE_THRESHOLD="0.10"          # 内存压力阈值（10%）
MAX_WAIT_TIME=600                  # 最大等待时间（秒）
MIN_WAIT_TIME=5                    # 最小等待时间（秒） 
MAX_RETRIES=100                    # 最大重试次数
PRESSURE_FILE="/sys/fs/cgroup/user.slice/user-$(id -u).slice/memory.pressure"
REAL_LD="/usr/bin/ld"              # 真实链接器路径，可根据需要修改
LOG_FILE="/tmp/linker_wrapper.log" # 日志文件路径

# 检测真实链接器
detect_real_linker() {
    local wrapper_name=$(basename "$0")
    case "$wrapper_name" in
        *ld*)
            REAL_LD="/usr/bin/ld"
            ;;
        *lld*)
            REAL_LD="/usr/bin/lld"
            ;;
        *gold*)
            REAL_LD="/usr/bin/gold"
            ;;
        *)
            REAL_LD="/usr/bin/ld"
            ;;
    esac
    
    # 检查链接器是否存在
    if [[ ! -x "$REAL_LD" ]]; then
        # 尝试在PATH中查找
        REAL_LD=$(which "${wrapper_name#wrapper_}") || REAL_LD="/usr/bin/ld"
    fi
}

# 日志函数
log_message() {
    echo "$(date '+%Y-%m-%d %H:%M:%S') - $1" >> "$LOG_FILE"
}

# 其余函数与之前相同...
get_some_avg10() {
    local pressure_file=$1
    if [[ -f "$pressure_file" ]]; then
        local line=$(grep "^some" "$pressure_file")
        if [[ $line =~ avg10=([0-9.]+) ]]; then
            echo "${BASH_REMATCH[1]}"
            return 0
        fi
    fi
    echo "0.00"
}

wait_for_low_memory_pressure() {
    local retry_count=0
    local current_pressure
    
    while [[ $retry_count -lt $MAX_RETRIES ]]; do
        current_pressure=$(get_some_avg10 "$PRESSURE_FILE")
        
        # 使用bc进行浮点数比较
        if command -v bc >/dev/null 2>&1; then
            # 如果有bc，进行精确比较
            if (( $(echo "$current_pressure < $PRESSURE_THRESHOLD" | bc -l) )); then
                log_message "内存压力正常 ($current_pressure < $PRESSURE_THRESHOLD)，开始执行链接"
                return 0
            fi
        else
            # 如果没有bc，使用bash内置的数值比较（假设压力值小于10）
            if (( $(echo "${current_pressure} < ${PRESSURE_THRESHOLD}" | tr -d '.' | head -c3) < $(echo "${PRESSURE_THRESHOLD}" | tr -d '.' | head -c3) )); then
                log_message "内存压力正常 ($current_pressure < $PRESSURE_THRESHOLD)，开始执行链接"
                return 0
            fi
        fi
        
        # 计算随机等待时间
        local wait_time=$(( MIN_WAIT_TIME + RANDOM % (MAX_WAIT_TIME - MIN_WAIT_TIME + 1) ))
        
        log_message "内存压力过高: $current_pressure (阈值: $PRESSURE_THRESHOLD), 等待 ${wait_time}秒后重试 (尝试: $((retry_count + 1))/$MAX_RETRIES)"
        
        # 等待
        sleep $wait_time
        
        ((retry_count++))
    done
    
    log_message "错误: 达到最大重试次数 ($MAX_RETRIES)，内存压力仍过高: $current_pressure"
    return 1
}

main() {
    log_message "链接器包装器被调用，参数: $*"

    detect_real_linker
    log_message "$(date) - 链接器包装器调用: $REAL_LD, 参数: $*" >> "$LOG_FILE"
    
    if ! wait_for_low_memory_pressure; then
        log_message "错误: 内存压力持续过高" >&2
        return 1
    fi
    
    log_message "执行真实链接器: $REAL_LD $*"
    exec "$REAL_LD" "$@"
}

main "$@"
</code></pre>
修改cargo编译使用的链接器</p>
# 临时生效： 使脚本可执行
chmod +x /path/to/ld_wrapper.sh

# 配置RUSTFLAGS环境变量
export RUSTFLAGS="-C link-arg=-fuse-ld=/path/to/ld_wrapper.sh"
cargo build
# 或者配置
export CARGO_TARGET_X86_64_UNKNOWN_LINUX_GNU_LINKER=$(realpath /path/to/wrap-ld.sh)

# 创建符号链接
ln -s /path/to/ld_generic_wrapper.sh /path/to/wrapper_ld
ln -s /path/to/ld_generic_wrapper.sh /path/to/wrapper_lld
ln -s /path/to/ld_generic_wrapper.sh /path/to/wrapper_gold

# 在cargo配置中使用
[target.x86_64-unknown-linux-gnu]
linker = "/path/to/wrapper_ld"

# 实时查看日志
tail -f /tmp/ld_wrapper.log

# 监控内存压力变化
watch -n 1 'cat /sys/fs/cgroup/user.slice/user-$(id -u).slice/memory.pressure'

# 检查链接进程
ps aux | grep ld_wrapper
</code></pre>
包装rustc进行编译</h1>
使用rustc-wrapper.sh</p>
#!/bin/bash
RUSTC_BIN="$1"
shift

PRESSURE_THRESHOLD="0.10"
MAX_WAIT_TIME=60
MIN_WAIT_TIME=5
MAX_RETRIES=60
PRESSURE_FILE="/sys/fs/cgroup/user.slice/user-$(id -u).slice/memory.pressure"

get_some_avg10() {
    if [[ -f "$PRESSURE_FILE" ]]; then
        local line=$(grep "^some" "$PRESSURE_FILE")
        if [[ $line =~ avg10=([0-9.]+) ]]; then
            echo "${BASH_REMATCH[1]}"
            return 0
        fi
    fi
    # 默认返回 0.00，表示没有压力
    echo "0.00"
}

# 检查是否为链接阶段：包含 --crate-type=bin 或 cdylib，且不包含 --print（避免干扰 Cargo 查询）
if [[ "$*" == *"--crate-type bin"* || "$*" == *"--crate-type cdylib"* ]] && [[ "$*" != *"--print"* ]]; then
    echo '****************Linker stage ...****************'
    retry_count=0
    while [[ $retry_count -lt 100 ]]; do
        current_pressure=$(get_some_avg10 "$PRESSURE_FILE")
        # 使用bc进行浮点数比较
        if command -v bc >/dev/null 2>&1; then
            if (( $(echo "$current_pressure < $PRESSURE_THRESHOLD" | bc -l) )); then
                echo "****************内存压力正常 ($current_pressure < $PRESSURE_THRESHOLD)，开始执行 rustc****************"
		break
            fi
        else
                echo "****************必须安装bc工具计算浮点运算****************"
		exit 1
        fi

        # 计算随机等待时间
        wait_time=$(( MIN_WAIT_TIME + RANDOM % (MAX_WAIT_TIME - MIN_WAIT_TIME + 1) ))
        echo "****************内存压力过高: $current_pressure (阈值: $PRESSURE_THRESHOLD), 等待 ${wait_time}秒后重试 (尝试: $((retry_count + 1))/$MAX_RETRIES)****************"
        sleep $wait_time
        ((retry_count++))
    done
fi

exec "$RUSTC_BIN" "$@"
</code></pre>


wait-online when any-interface ready
2025-10-30T20:54:56+08:00
sudo tee /etc/systemd/system/systemd-networkd-wait-online.service.d/wait-for-only-one-interface.conf <<EOF
[Service]
ExecStart=
ExecStart=/usr/lib/systemd/systemd-networkd-wait-online --any
EOF

sudo systemctl daemon-reload
sudo systemctl cat systemd-networkd-wait-online.service
</code></pre>


libvirt 虚拟机内存管理
2025-10-29T10:51:16+08:00
libvirt windows虚拟机内存占用过高</h1>
虚拟机内存策略</h2>

QEMU 在虚拟机启动时，一次性分配固定的内存。
这部分内存被 预留并映射到宿主机进程（qemu-system-x86_64）。
从宿主机的角度看，这些内存都是“被占用的”。
即使 Windows 内部只使用很少，也不会被宿主机回收。</li>
💡 换句话说：
没有 balloon 驱动 = 没有动态回收机制。
QEMU 不知道 Windows 里面的内存使用情况，它只能把所有内存都“留给”虚拟机进程。</li>
Windows 内存管理的特性加剧了现象
Windows 客户机即便空闲，也会：
启动缓存与系统文件预取；
启动 SuperFetch / SysMain；
各种服务预分配内存池；
内核会尽量“占用”空闲内存以提高 I/O 性能（File Cache）。
因此在任务管理器中看似“使用很多内存”，其实很多是 可释放缓存（Standby Memory）。
但宿主机（Linux + libvirt）看不到“哪些是可回收的”，于是整块都算“已用内存”。</li>
</ul>
Ballooning 如何解决这个问题？</h2>
Ballooning 的作用是 建立 Guest 与 Host 之间的内存使用反馈通道：</p>


Guest 内 balloon 驱动 作为一个“伪设备”，可以向 Windows 内存管理器 申请分配内存（就像一个普通程序申请内存一样）；</p>
</li>

Windows 会从其空闲内存池中分配给 balloon 驱动；</p>
</li>

但 balloon 驱动 不会真正使用这些内存，只是“持有”它；</p>
</li>

由于这部分内存被 balloon 占用，QEMU 就知道：Guest 实际可用内存减少了，可以将对应物理页从宿主机释放；</p>
</li>

宿主机内存压力大时，libvirt 可通过 virsh setmem 命令 增大 balloon 大小，从而“回收”虚拟机内存。</p>
</li>

Linux 虚拟机也一样：没有 balloon 驱动（如 virtio_balloon 模块未加载），同样会高占内存；</p>
</li>

现代替代方案：virtio-mem（动态内存插拔）比 balloon 更灵活，但 Windows 支持有限，balloon 仍是主流；</p>
</li>

内存共享（KSM）不能替代 balloon：KSM 只能合并完全相同的内存页（如多个 Win10 虚拟机的系统 DLL），对私有数据无效。</p>
</li>
</ul>
libvirt/QEMU 支持 Windows 虚拟机的内存 ballooning（动态内存管理）</h2>
需要在 宿主机与客户机两边都正确配置</p>

windows 虚拟机上安装 virtio-win-xxx.iso 中的ballooning(其他的可以不安装，容易引起问题)</li>
配置虚拟机配置</li>
</ul>
<memballoon model='virtio'>
  <stats period='10'/>
</memballoon>
</code></pre>


gnome-remote-desktop headless 模式
2025-10-28T20:10:27+08:00
全流程配置</h1>
sudo apt install -y gnome-remote-desktop winpr-utils


# 为 RDP 服务生成自签名 TLS 证书：
mkdir -p ~/.local/share/gnome-remote-desktop
winpr-makecert -silent -rdp -path ~/.local/share/gnome-remote-desktop rdp-tls
# 使用 RDP 配置 GNOME 远程桌面：
grdctl --headless rdp set-tls-key ~/.local/share/gnome-remote-desktop/rdp-tls.key
grdctl --headless rdp set-tls-cert ~/.local/share/gnome-remote-desktop/rdp-tls.crt
grdctl --headless rdp enable
grdctl --headless rdp disable-view-only
grdctl --headless rdp set-credentials peter Strong@pssword
# 如果keyring密钥环也没有TPM模块， 认证信息会保存在文件中
cat ~/.local/share/gnome-remote-desktop/credentials.ini
# 为单用户服务启用无头服务器：
# systemctl --user enable --now gnome-remote-desktop-headless.service
/usr/libexec/gnome-remote-desktop-daemon --headless --

# 以 root 用户身份为单个用户永久启动无头 GNOME 会话：
# sudo systemctl enable --now gnome-headless-session@peter.service
</code></pre>
# 客户端连接
xfreerdp /v:192.168.7.99:3389 /u:peter /p:Strong@password +clipboard /dynamic-resolution /sound:sys:pulse /microphone:sys:pulse /cert-ignore +sec-rdp
</code></pre>
配置gnome-headless-session</p>
sudo tee /etc/systemd/system/gnome-headless-session@.service <<EOF
[Unit]
# %i is the instance name (e.g., 'peter' in gnome-headless-session@peter.service)
Description=GNOME Headless Desktop Session for User %i
Documentation=https://wiki.gnome.org/Projects/Mutter/RemoteDesktop
After=systemd-user-sessions.service
After=network.target remote-fs.target
# After=graphical.target
Wants=graphical.target
# 依赖于用户会话的挂载点和 D-Bus
# Requires=user@%i.service
# BindsTo=user@%i.service
# 确保在用户退出时停止
KillMode=mixed
# 在停止时发送 SIGTERM，等待 9 秒后发送 SIGKILL
TimeoutStopSec=9

[Service]
# Type=simple 适用于 ExecStart 是主进程的情况。
Type=simple
User=%i
Group=%i
PAMName=login
Environment=XDG_SESSION_TYPE=wayland
Environment=XDG_RUNTIME_DIR=/run/user/%U
Environment=DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/%U/bus
# Environment=DBUS_SESSION_BUS_ADDRESS=unix:path=%E/bus
ExecStartPre=/usr/bin/dbus-update-activation-environment --systemd DISPLAY WAYLAND_DISPLAY XDG_SESSION_TYPE XDG_CURRENT_DESKTOP
ExecStartPre=-/bin/sh -c 'XDG_RUNTIME_DIR=/run/user/$(id -u %i) /usr/bin/loginctl enable-linger %i'
ExecStart=/usr/libexec/gnome-remote-desktop-daemon --headless
Restart=on-failure
RestartSec=9

[Install]
WantedBy=multi-user.target
EOF
</code></pre>
使能 grd headless模式</p>
sudo systemctl enable --now gnome-headless-session@peter.service
</code></pre>


gist使用
2025-10-26T10:42:58+08:00
https://gist.githubusercontent.com/peter/0d54d265365eea6cc485eff0e27a6095/raw/306d43e59dda68c9bbda73568bc35938afec147b/file.txt
https://gist.githubusercontent.com/peter/4ebf871274bd089d8c4b8af375628f36/raw/b8f2bb5646f257fca28b1203c8ecd8e26ccffc3c/box.txt
https://gist.githubusercontent.com/peter/1fec0a47ca8e5288046d3a6eb2203b80/raw/caf1ae6e96feb5459c8bc662d853198e4660bc2f/ray.txt

https://gist.githubusercontent.com/peter/1fec0a47ca8e5288046d3a6eb2203b80/raw/3ed0e0085da9f8cf8194eec13f5db440fbbf471f/ray.txt#upgradeCDN
https://gist.githubusercontent.com/peter/4ebf871274bd089d8c4b8af375628f36/raw/1215bf211050906ef59bda09bcf798656105fd67/box.txt#fixSNI

https://gist.githubusercontent.com/peter/84d2840ea060606c25b8c37faace7c68/raw/9224a25c124dc9636165ee8bf07ad3a76e97c134/box-systemd-nspawn.txt
</code></pre>


openvpn 配置
2025-10-26T10:30:40+08:00
安装和配置</h1>
apt install openvpn
# 覆盖默认配置， 探测192.168.2.1可达
sudo tee /etc/systemd/system/openvpn-client@work.service <<EOF
[Unit]
Description=OpenVPN tunnel for %I after IP 192.168.2.1 to be reachable
After=network-online.target
Wants=network-online.target
[Service]
Type=notify
PrivateTmp=true
WorkingDirectory=/etc/openvpn/client
ExecStartPre=/bin/bash -c 'until ping -c 1 -W 5 192.168.2.1; do sleep 1; done
ExecStart=/usr/sbin/openvpn --suppress-timestamps --nobind --config %i.conf
CapabilityBoundingSet=CAP_IPC_LOCK CAP_NET_ADMIN CAP_NET_RAW CAP_SETGID CAP_SETUID CAP_SETPCAP CAP_SYS_CHROOT CAP_DAC_OVERRIDE
LimitNPROC=10
DeviceAllow=/dev/null rw
DeviceAllow=/dev/net/tun rw
ProtectSystem=true
ProtectHome=true
KillMode=process
[Install]
WantedBy=multi-user.target
EOF

cat <<EOF | sudo tee /etc/openvpn/client/work.conf
client
dev tun
proto tcp
remote <ip> <port>
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo no

auth-user-pass
# openvpn3 客户端支持账户认证, openvpn2 好像支持环境变量热证
# <auth-user-pass>
# VPN_USERNAME_HERE
# VPN_PASSWORD_HERE
# </auth-user-pass>
remote-cert-tls server

data-ciphers AES-256-GCM:AES-256-CBC
data-ciphers-fallback AES-256-CBC
verb 3
<ca>
-----BEGIN CERTIFICATE-----
XXX base 64
-----END CERTIFICATE-----
</ca>
EOF
sudo systemctl start openvpn-client@work.service
# 可以手动调节metric 防止影响局域网路由
sudo ip route change default via 10.8.0.1 dev tun0 metric 300
</code></pre>
服务端配置</h1>
可以参考ldap账户认证</p>
配置路由</h1>
ip route
# 192.168.5.0/24 dev eno1 proto kernel scope link src 192.168.5.23 metric 100 
# 192.168.4.0/22 via 10.8.0.9 dev tun0 
# 192.168.4.0/22 via 10.8.0.9 dev tun0 metric 10
ip route get 192.168.5.244
# 192.168.5.244 dev eno1 src 192.168.5.23 uid 1000
#     cache

# 为什么经过dev tun0 的路由地址metric优先级(10)更高, 但是路由却走了直连的路由？？？
</code></pre>
原因</h2>

Metric 只在“相同目标前缀”的多条路由之间比较时才生效。

例如：两条都是 192.168.5.0/24，一个 metric 10，一个 metric 100 → 选 metric 10。</li>
但你的 metric 10 路由是 192.168.4.0/22，和 192.168.5.0/24 不是相同前缀！</li>
</ul>
</li>
前缀长度优先于 metric

目标地址 192.168.5.244 属于 192.168.5.0/24 网段。</li>
Linux 路由查找时会做 最长前缀匹配（Longest Prefix Match），而：</li>
192.168.5.0/24 是 /24 前缀</li>
192.168.4.0/22 虽然也包含 192.168.5.244（因为 /22 覆盖 192.168.4.0 ~ 192.168.7.255），但它是 更短的前缀（/22 < /24）</li>
✅ 所以系统 优先选择更具体的 /24 路由</li>
</ul>
</li>
</ul>
如果你真的想让 192.168.5.244 走 tun0 怎么办？</h2>
这是个非常规需求（因为 192.168.5.244 和你本机在同一个局域网），但技术上可以做到：</p>
添加更具体的 /32 路由（推荐）</h3>
sudo ip route add 192.168.5.244 via 10.8.0.9 dev tun0 metric 5
</code></pre>
使用策略路由（高级）</h3>
通过 ip rule + 自定义路由表，对特定用户/进程/防火墙标记的流量使用不同路由。</p>
sudo ip rule add to 192.168.5.244/24 lookup 100
sudo ip route add default via 10.8.0.9 dev tun0 table 100
</code></pre>


gnome-remote-desktop 配置
2025-10-25T21:43:52+08:00
命令行查看配置</h1>
gsettings list-recursively | grep remote-desktop
systemctl --user stop gnome-remote-desktop

# 但是我尝试了多种方法最后生成的都是openssh格式的私钥key？？？！！！
# 生成新的密钥（确保是PEM格式）
openssl genrsa -out ~/.local/share/gnome-remote-desktop/rdp-tls.key 2048
# 使用 openssl 明确生成 PEM 格式 
openssl genpkey -algorithm RSA -out ~/.local/share/gnome-remote-desktop/rdp-tls.key -pkeyopt rsa_keygen_bits:2048
# 生成证书
openssl req -new -x509 -key ~/.local/share/gnome-remote-desktop/rdp-tls.key -out ~/.local/share/gnome-remote-desktop/rdp-tls.crt -days 3650 -subj "/C=CN/ST=State/L=City/O=Organization/CN=$(hostname)"

# 设置密钥和证书（如果证书已经设置过，可以不用再设置，但为了确保，可以重新设置一次）
grdctl set-tls-key ~/.local/share/gnome-remote-desktop/rdp-tls.key
grdctl set-tls-cert ~/.local/share/gnome-remote-desktop/rdp-tls.crt
grdctl status
grdctl --help
systemctl --user start gnome-remote-desktop

# 如果反复遇到 RDP 证书问题，最省时省力的方式是关闭 RDP，启用 VNC：
gsettings set org.gnome.desktop.remote-desktop.rdp enabled false
gsettings set org.gnome.desktop.remote-desktop.vnc enabled true
echo -n 'yourpassword' | gsettings set org.gnome.desktop.remote-desktop.vnc password "$(base64 -w 0)"
systemctl --user restart gnome-remote-desktop


# 禁用屏幕自动锁定
gsettings set org.gnome.desktop.screensaver lock-enabled false
# 设置屏幕空白时间为从不
gsettings set org.gnome.desktop.session idle-delay 0
gsettings set org.gnome.desktop.screensaver idle-activation-enabled false
# 禁用自动挂起
gsettings set org.gnome.settings-daemon.plugins.power sleep-inactive-ac-type 'nothing'
gsettings set org.gnome.settings-daemon.plugins.power sleep-inactive-battery-type 'nothing'

# GNOME 45+ 的 gnome-remote-desktop 在 RDP 模式下不会主动防止系统挂起。 因此你还需要告诉 logind 保持唤醒状态：
# 这可以防止合盖（或外接显示器断开）时触发挂起。
sudo sed -i 's/^#\?HandleLidSwitch=.*/HandleLidSwitch=ignore/' /etc/systemd/logind.conf
sudo sed -i 's/^#\?HandleLidSwitchDocked=.*/HandleLidSwitchDocked=ignore/' /etc/systemd/logind.conf
sudo systemctl restart systemd-logind
</code></pre>
其他资料的补充</h2>
# 以目标用户身份设置 GNOME 配置（关键！） # 切换到你的桌面用户（例如 peter）
sudo -u peter dbus-run-session -- bash
# dbus-run-session 确保 D-Bus 会话可用，否则 gsettings 可能失效。 

# 禁用自动锁屏
gsettings set org.gnome.desktop.screensaver lock-enabled false

# 禁用屏幕休眠（设为 0 表示永不）
gsettings set org.gnome.desktop.session idle-delay 0

# 禁用显示器自动关闭（设为 0 表示永不）
gsettings set org.gnome.settings-daemon.plugins.power sleep-inactive-ac-type 'nothing'
gsettings set org.gnome.settings-daemon.plugins.power sleep-inactive-battery-type 'nothing'

# 禁用屏幕变黑（DPMS）
gsettings set org.gnome.desktop.session idle-delay 0
gsettings set org.gnome.settings-daemon.plugins.power idle-dim false

sudo tee /etc/systemd/logind.conf.d/90-disable-suspend.conf <<EOF
[Login]
HandleLidSwitch=ignore
HandleLidSwitchExternalPower=ignore
HandleLidSwitchDocked=ignore
IdleAction=ignore
IdleActionSec=0
EOF
sudo systemctl restart systemd-logind

# GNOME 会检测是否有“活跃会话”。如果你使用的是 GNOME 内置远程桌面（gnome-remote-desktop），它默认应被视为活跃。但为保险起见： 允许远程会话阻止空闲
gsettings set org.gnome.mutter idle-monitor false

# 系统级别的阻止系统挂起: 遇到过问题 sleep.target 会刷大量warning日志
sudo systemctl mask sleep.target suspend.target hibernate.target hybrid-sleep.target
# 程序运行时临时阻止系统挂起
systemd-inhibit --what=idle:sleep:shutdown --who="Reason" --why="Explanation" /path/to/command 
systemd-inhibit --what=idle:sleep:shutdown --who="Keep up" --why="Preventing sleep" /usr/bin/htop
systemd-inhibit --list
</code></pre>
ssh登录后的全流程配置</h1>
USERNAME=peter
UID=$(id -u $USERNAME)
export XDG_RUNTIME_DIR=/run/user/$UID
export DBUS_SESSION_BUS_ADDRESS=unix:path=$XDG_RUNTIME_DIR/bus

# 安装（Ubuntu/Debian）
sudo apt update
sudo apt install -y gnome-remote-desktop winpr-utils

# 生成证书并配置
sudo -u $USERNAME -- sh -c 'mkdir -p ~/.local/share/gnome-remote-desktop && \
  winpr-makecert -silent -rdp -path ~/.local/share/gnome-remote-desktop rdp-tls'

sudo -u $USERNAME -- bash -c '
  grdctl rdp set-tls-key ~/.local/share/gnome-remote-desktop/rdp-tls.key
  grdctl rdp set-tls-cert ~/.local/share/gnome-remote-desktop/rdp-tls.crt
  grdctl rdp set-credentials '"'"$USERNAME"'"' '"'"'StrongP@ssw0rd'"'"'
  grdctl rdp enable
  grdctl rdp disable-view-only
  systemctl --user enable --now gnome-remote-desktop.service
'
</code></pre>
修复密钥环解锁失败</h2>

GNOME Remote Desktop（以及 grdctl）会把 RDP/VNC 凭据、TLS 证书路径 等信息加密保存到 GNOME Keyring 中。</li>
Keyring 是由 gnome-keyring-daemon 管理的一个加密存储，默认有一个叫 “login” 的 keyring 文件：</li>
位于：~/.local/share/keyrings/login.keyring</li>
加密口令：最初创建用户时的密码</li>
平常在 GUI 登录时由 gnome-keyring-daemon 自动解锁。</li>
但当你通过 SSH / 无图形登录时，这个 daemon 没有运行，也无法自动解锁。</li>
</ul>
删除/重建 login 密钥环（最直接）</h3>
如果你不在意旧的保存内容，可以直接删除密钥环并重新生成：</p>
mv ~/.local/share/keyrings/login.keyring ~/.local/share/keyrings.bak
</code></pre>
同步密码（如果你知道旧密码）</h3>
如果你确定旧密码是 “OldPass”，新密码是 “NewPass”，
可以用 GNOME Keyring 工具同步（需要临时图形环境）：</p>
seahorse
</code></pre>
然后右键 “登录” → “更改密码”，输入旧密码 + 新密码同步。
之后 CLI 方式的 grdctl 输入新密码就能正确验证。</p>
手动启动 gnome-keyring-daemon（SSH 环境）</h3>
eval $(gnome-keyring-daemon --start --components=secrets,pkcs11,ssh,gpg)
export GNOME_KEYRING_CONTROL
export GNOME_KEYRING_PID
export SSH_AUTH_SOCK
</code></pre>
完全跳过 keyring（临时、测试用）</h3>
GNOME Remote Desktop 没有官方参数能跳过 keyring保存，但可以用一种“hack”方式：</p>
# 仅限测试环境！！
export GNOME_KEYRING_CONTROL=/tmp/fake-keyring
mkdir -p $GNOME_KEYRING_CONTROL
grdctl rdp set-credentials <user> <password>
</code></pre>
这会创建一个临时未加密 keyring 存储（适合容器或测试机），
重启后失效，但能避免“解锁密钥环”弹窗。</p>


常用软件列表
2025-10-24T10:32:13+08:00
软件列表</h1>


mkcert</p>
</li>

openssl</p>
</li>

openvpn
easyrsa
self-service-password</p>
</li>

gpg</p>
</li>

cargo install xremap --features gnome</p>
</li>

nginx</p>
</li>

pingora:
pingap</p>
</li>

ddns-go</p>
</li>

dns-sd(dns service discovery) mDNS</p>
</li>

vlc</p>
</li>

ffmpeg</p>
</li>

qbttorrent</p>
</li>

excalidraw.com</p>
</li>

penpot.app</p>
</li>
</ul>
video</h2>

apt install shotcut      # 视频处理</li>
sudo apt install kooha   # 录屏工具</li>
vlc                      # 视频播放， rtsp流媒体</li>
obs</li>
</ul>
开发</h2>

aws s3</li>
minio rustfs</li>
bind9 hickory-dns</li>
hyper axum tokio tonic tower clap serde tokio-smoltcp rustls zola tracing</li>
podman llvm clang rust-analyzer</li>
asan afl++ syzkaller</li>
cloudflared/worker</li>
vscode/chrome 插件</li>
qemu</li>
mimalloc</li>
systemfd --no-pid -s http::5000 -- cargo watch -x run</li>
shoes sing-box xray</li>
dbus</li>
</ul>
learn</h2>

架构设计 https://github.com/Admol/SystemDesign.git</li>
</ul>
AI helper</h2>

ollma RAGflow</li>
</ul>
字典</h2>

golddict dialect pot-desktop</li>
</ul>
项目管理</h2>

jira</li>
NocoBase</li>
Plane</li>
Planka</li>
</ul>


apt download下载离线安装包
2025-10-23T13:29:40+08:00
方案一：yum / apt 下载离线包（推荐新手）</h1>
CentOS / RHEL（下载 rpm 包）</h2>
# 首先安装 yum-plugin-downloadonly 插件
yum install yum-plugin-downloadonly -y
# 使用下面命令下载指定的包及其依赖项
yum install --downloadonly 软件包名
# 例如：下载nginx
yum install --downloadonly nginx
# 默认下载路径
ll /var/cache/yum/x86_64/7/base/packages
ll /var/cache/yum/x86_64/7/epel/packages
# 指定下载路径（推荐）
yum install --downloadonly --downloaddir=/data/pkgs/nginx/ nginx
# 参数解释
--downloadonly                          # 只下载包不安装
--downloaddir=/your/custom/path/        # 指定下载路径
# 查看下载后的包
ls /data/pkgs/nginx/
# centos-indexhtml-7-9.el7.centos.noarch.rpm
# gperftools-libs-2.6.1-1.el7.x86_64.rpm
# nginx-1.20.1-10.el7.x86_64.rpm
# nginx-filesystem-1.20.1-10.el7.noarch.rpm
# openssl11-libs-1.1.1k-7.el7.x86_64.rpm
# 打包传输到内网
cd /data/pkgs/
tar -czf nginx-offline.tar.gz nginx/
</code></pre>
========== 内网机器安装 ==========</h2>
# 解压后进入目录
tar -xzf nginx-offline.tar.gz
cd nginx/
# 方法1：使用rpm命令
rpm -ivh *.rpm
# 方法2：使用yum localinstall（推荐，自动处理依赖）
yum localinstall -y *.rpm
</code></pre>
Ubuntu / Debian（下载 deb 包）</h2>
# 下载deb包
apt --download-only install 软件包名
# 例如：下载nginx
apt --download-only install nginx
# 默认下载路径
ll /var/cache/apt/archives/
# 指定下载路径
mkdir -p /data/pkgs/nginx
apt -o dir::cache::archives="/data/pkgs/nginx" install --download-only nginx
# 参数解释
--download-only                                    # 只下载包不安装
-o dir::cache::archives="/your/custom/path"       # 指定下载路径
# 打包传输
cd /data/pkgs/
tar -czf nginx-offline.tar.gz nginx/
</code></pre>
========== 内网机器安装 ==========</h2>
tar -xzf nginx-offline.tar.gz
cd nginx/
# 安装所有deb包
dpkg -i *.deb
# 如果遇到依赖问题，执行
apt install -f
</code></pre>
openSUSE / SUSE（下载 rpm 包）</h2>
# 下载包及依赖
zypper install --download-only 软件包名
# 例如：下载nginx
zypper install --download-only nginx
# 默认下载路径
ll /var/cache/zypp/packages/
# 指定下载目录
zypper --pkg-cache-dir=/data/pkgs/nginx install --download-only nginx
</code></pre>
========== 内网机器安装 ==========</h2>
cd /data/pkgs/nginx/
rpm -ivh *.rpm
# 或
zypper install --no-refresh *.rpm
</code></pre>
Alpine Linux（下载 apk 包）</h2>
# 下载包到指定目录
apk fetch --recursive --output /data/pkgs/nginx/ nginx
# 参数解释
--recursive    # 下载所有依赖
--output       # 指定输出目录
</code></pre>
========== 内网机器安装 ==========</h2>
cd /data/pkgs/nginx/
apk add --allow-untrusted *.apk
</code></pre>
方案二：同步完整仓库（适合大规模内网环境）</h1>
如果内网机器很多，每次都手动下载包太麻烦。可以搭建本地 yum/apt 仓库。</p>
CentOS 使用 reposync 同步仓库</h2>
# 安装同步工具
yum install yum-utils createrepo -y
# 同步base仓库（根据需要选择仓库）
reposync -r base -p /data/local-repo/
# 同步epel仓库
reposync -r epel -p /data/local-repo/
# 创建仓库元数据
createrepo /data/local-repo/base/
createrepo /data/local-repo/epel/
# 打包传输到内网
cd /data/
tar -czf local-repo.tar.gz local-repo/
</code></pre>
========== 内网机器配置本地仓库 ==========</h2>
# 解压仓库文件
tar -xzf local-repo.tar.gz -C /data/
# 配置yum源
cat > /etc/yum.repos.d/local.repo <<EOF
[local-base]
name=Local Base Repository
baseurl=file:///data/local-repo/base
enabled=1
gpgcheck=0

[local-epel]
name=Local EPEL Repository
baseurl=file:///data/local-repo/epel
enabled=1
gpgcheck=0
EOF

# 清理缓存并测试
yum clean all
yum makecache
yum repolist
</code></pre>
Ubuntu 使用 apt-mirror 同步仓库</h2>
# 安装同步工具
apt install apt-mirror -y

# 编辑配置文件
vim /etc/apt/mirror.list
# 修改内容如下：
set base_path    /data/apt-mirror
deb http://mirrors.aliyun.com/ubuntu focal main restricted universe multiverse
deb http://mirrors.aliyun.com/ubuntu focal-updates main restricted universe multiverse

# 开始同步（注意：完整同步需要很大空间，100GB+）
apt-mirror

# 打包核心部分传输到内网
cd /data/apt-mirror/mirror/mirrors.aliyun.com/
tar -czf ubuntu-repo.tar.gz ubuntu/
</code></pre>
========== 内网机器配置本地源 ==========</h2>
# 配置本地源
cat > /etc/apt/sources.list <<EOF
deb [trusted=yes] file:///data/ubuntu-repo focal main restricted universe multiverse
deb [trusted=yes] file:///data/ubuntu-repo focal-updates main restricted universe multiverse
EOF

# 更新并测试
apt update
</code></pre>
方案三：容器镜像离线导入（适合容器化应用）</h1>
========== 联网机器操作 ==========</h2>
# 拉取镜像
docker pull nginx:latest
docker pull mysql:8.0

# 导出镜像为tar文件
docker save nginx:latest -o nginx-latest.tar
docker save mysql:8.0 -o mysql-8.0.tar

# 或批量导出
docker save $(docker images -q) -o all-images.tar
</code></pre>
========== 内网机器操作 ==========</h2>
# 导入镜像
docker load -i nginx-latest.tar
docker load -i mysql-8.0.tar

# 查看导入的镜像
docker images

# 使用镜像
docker run -d -p 80:80 nginx:latest
</code></pre>
常见问题排查</h1>
问题1：依赖包版本冲突</h2>

症状：安装时提示依赖版本不匹配</li>
解决：强制安装或降级</li>
</ul>
rpm -ivh --force --nodeps xxx.rpm  # 不推荐，可能导致系统问题
# 更好的办法：在联网机器上模拟内网环境再下载
yum --installroot=/data/test-env install nginx
</code></pre>
问题2：内网机器系统版本和联网机器不一致</h2>

症状：下载的包在内网无法安装</li>
解决：确保两边系统版本一致</li>
</ul>
cat /etc/os-release  # 查看系统版本
# 或者使用Docker容器模拟相同环境下载
docker run -it --rm -v /data/pkgs:/pkgs centos:7 bash
yum install --downloadonly --downloaddir=/pkgs/nginx nginx
</code></pre>
问题3：下载的包不全，安装时还是提示缺依赖</h2>

原因：可能是内网机器已安装的包版本和下载的依赖不匹配</li>
解决：使用 yumdownloader 下载所有依赖</li>
</ul>
yum install yum-utils -y
yumdownloader --resolve --destdir=/data/pkgs/nginx nginx

# 参数解释
--resolve    # 解析并下载所有依赖
--destdir    # 指定下载目录
</code></pre>
实用技巧总结</h1>

模拟内网环境下载</li>
</ol>

在联网机器上创建和内网相同的干净环境</li>
</ul>
docker run -it --rm -v /data:/data centos:7 bash
</code></pre>

在容器内下载，确保依赖准确</li>
</ul>

批量下载多个软件</li>
</ol>

创建软件列表</li>
</ul>
cat > software-list.txt <<EOF
nginx
mysql-server
git
vim
EOF
</code></pre>

批量下载</li>
</ul>
while read pkg; do
  yum install --downloadonly --downloaddir=/data/pkgs/$pkg $pkg
done < software-list.txt
</code></pre>

检查下载是否完整</li>
</ol>

列出所有rpm包及依赖关系</li>
</ul>
rpm -qpR /data/pkgs/nginx/*.rpm
</code></pre>
转载地址</a></p>


linux bios刷新工具fwupd
2025-10-22T23:39:05+08:00
Linux 固件刷新工具</h1>
fwupd： 这是一个 Linux 上的通用固件更新守护进程。如果您的电脑硬件制造商支持 fwupd，您可以在 Debian 系统上安装并使用它来检查和安装固件更新。</p>
sudo apt update
sudo apt install fwupd
sudo fwupdmgr refresh
sudo fwupdmgr get-updates
sudo fwupdmgr update
</code></pre>


免U盘安装debian系统
2025-10-22T22:33:33+08:00
使用 debootstrap 构建一个原生 Debian 系统并引导启动（推荐）</h1>
这是最干净、最安全、完全不需要U盘的方法。
你会在 Ubuntu 里“手工安装”一个 Debian，然后让 grub 启动它。</p>
如果没有空闲分区， 缩小 Ubuntu 的根分区，腾出 20GB 以上空间，创建一个 ext4 分区。</p>
lsblk
sudo apt update
sudo apt install debootstrap grub2 systemd-container
# debootstrap 安装 Debian（例如 Debian 13 Trixie）
sudo debootstrap trixie /mnt/debian http://deb.debian.org/debian
</code></pre>
这一步会自动在 /mnt/debian 下生成一个完整的 Debian 根文件系统。</p>
# 挂载关键目录并进入 Debian 环境
mount /dev/nvme0n1p3/ /mnt/debian/
mount --bind /dev /mnt/debian/dev
mount --bind /dev/pts /mnt/debian/dev/pts
mount --bind /proc /mnt/debian/proc
mount --bind /sys /mnt/debian/sys
mount --bind /run /mnt/debian/run
mount /dev/nvme0n1p1 /mnt/debian/boot/efi   # 替换为你的 ESP 分区

sudo chroot /mnt/debian

# 在 chroot 中配置系统（此时你“已经在 Debian 中”）
# 设置主机名
echo debian > /etc/hostname
# 配置 apt 源
cat > /etc/apt/sources.list.d/debian.sources <<EOF
Types: deb
URIs: http://mirrors.ustc.edu.cn/debian
Suites: trixie trixie-updates
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

Types: deb
URIs: http://mirrors.ustc.edu.cn/debian-security
Suites: trixie-security
Components: main contrib non-free non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
EOF
apt update
apt install -y linux-image-amd64 locales sudo vim network-manager
apt install -y grub-efi-amd64-bin grub-efi-amd64-signed grub-efi-amd64
apt install -y systemd vim wget curl tmux openssh-server iproute2 net-tools ifupdown systemd-resolved
apt install -y firmware-linux firmware-realtek firmware-iwlwifi
apt install -y iw wpasupplicant wireless-tools
apt install firmware-sof-signed # firmware-intel-sound
apt install -y tasksel
tasksel install standard --new-install
# 这会安装约 300MB 的常用包，包括完整网络支持、man 手册、日志工具等。
</code></pre>
配置网络和efi启动项</h2>
mkdir -p /etc/wpa_supplicant
# 可选： 使用 wpa_passphrase 工具生成加密的配置，而不是明文密码
# wpa_passphrase YOUR_SSID YOUR_PASSWORD > /etc/wpa_supplicant/wpa_supplicant.conf
cat<<EOF > /etc/wpa_supplicant/wpa_supplicant-wlp0s20f3.conf
ctrl_interface=/run/wpa_supplicant
update_config=1
network={
    ssid="wifi ssid"
    psk="wifi passwd"
}
EOF
cat >/etc/systemd/network/20-wifi.network <<'EOF'
[Match]
Name=wlp0s20f3
[Network]
DHCP=yes
EOF
chmod 600 /etc/wpa_supplicant/wpa_supplicant-wlp0s20f3.conf
systemctl enable systemd-networkd
systemctl enable systemd-resolved
systemctl enable wpa_supplicant@wlp0s20f3

# 这会在 wpa_supplicant 连接 Wi-Fi 成功后自动获取 IP

# 使用更现代的 iwd（更简单）
apt install -y iwd
systemctl enable iwd
# 连接 Wi-Fi（交互式）：
iwctl
# [iwd]# device list
# [iwd]# station wlp2s0 scan
# [iwd]# station wlp2s0 get-networks
# [iwd]# station wlp2s0 connect 你的WiFi名称
# [iwd]# exit
# 一旦连上，systemd-networkd 会自动分配 IP 并联网。
# iwd 会自动保存密码，下次开机自动连接。

adduser peter
adduser peter sudo
blkid  # 查看新分区 UUID
cat<<EOF >> /etc/fstab
UUID=你的新分区UUID / ext4 defaults 0 1
EOF
# 安装 grub 到磁盘并更新菜单
# grub-install /dev/nvme0n1
grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=DEBIAN --force

update-grub
# 它会检测到你的 Ubuntu + Debian 双系统。
# 重启后你会在 GRUB 菜单里看到 “Debian GNU/Linux”。
sudo reboot

sudo efibootmgr --create --disk /dev/nvme0n1 --part 1 --label "Debian" --loader '\EFI\debian\grubx64.efi'
# /dev/nvme0n1 和 --part 1 要替换为你的实际 EFI 分区所在磁盘与分区号。
# 可用 lsblk -f 或 findmnt /boot/efi 查看。
# 如果你的路径是 /boot/efi/EFI/debian/grubx64.efi，那 loader 路径就对了。
sudo efibootmgr --bootnum 0001 --bootorder 0001,0000,0002
sudo efibootmgr -v
# 重启后使用F12 可以选择efi的条目
</code></pre>
登录debian中安装</h2>
# apt install locales
# dpkg-reconfigure locales
sudo vim /etc/locale.gen
# 在文件中找到包含 zh_CN.UTF-8 的那一行，并取消注释（即删除行首的 # 符号）。
#zh_CN.GBK GBK
zh_CN.UTF-8 UTF-8   <-- 确保这一行没有 #
#zh_HK.UTF-8 UTF-8

# 设置系统默认 locale（可选）：
sudo update-locale LANG=zh_CN.UTF-8
# 或者保留英文界面但支持中文显示：
sudo update-locale LANG=en_US.UTF-8 LANGUAGE=zh_CN:en
# 安装简体中文语言支持包
sudo apt-get install language-pack-zh-hans
# sudo localedef -i zh_CN -f UTF-8 zh_CN.UTF-8
# 较完整，适合新硬件，推荐主流使用：
sudo apt install task-gnome-desktop -y
sudo apt install -y network-manager-gnome

sudo systemctl disable wpa_supplicant@wlp0s20f3
sudo systemctl enable NetworkManager
sudo systemctl start NetworkManager
</code></pre>
使用 systemd-nspawn 启动完整 Debian 容器系统</h1>
如果你暂时不想重启，可以直接在 Ubuntu 下运行“原生 Debian 系统容器”：</p>
sudo debootstrap trixie /srv/debian http://deb.debian.org/debian
sudo systemd-nspawn -D /srv/debian
# 这会直接进入一个 Debian 容器（有独立的 /etc、/usr、apt、systemd），
# 就像一个轻量虚拟机，非常适合测试迁移。
</code></pre>
使用 grub 引导 ISO 镜像直接安装 Debian（无U盘安装）</h1>
可以让 grub 直接从 Debian ISO 启动：</p>
wget https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/debian-13.0.0-amd64-netinst.iso -O /boot/debian.iso
cat <<EOF | sudo tee -a /etc/grub.d/40_custom
menuentry "Install Debian 13 (from ISO)" {
    set isofile="/boot/debian.iso"
    loopback loop (hd0,3)$isofile
    linux (loop)/install.amd/vmlinuz boot=install iso-scan/filename=$isofile
    initrd (loop)/install.amd/initrd.gz
}
EOF
sudo update-grub
# 重启，选择 “Install Debian 13 (from ISO)”
# 安装时选择 保留 /home 分区，即可实现无U盘切换系统。
</code></pre>
EOF</p>
网络启动（PXE）或 iPXE（高级）</h1>
若你的笔记本支持 PXE 网络启动，可通过局域网加载 Debian 安装器。
需另一台电脑作为 TFTP/DHCP 服务器，配置复杂，一般用户不推荐。</p>
创建虚拟磁盘作为临时“Live 环境”（极不推荐）</h1>
理论上可用 kexec 加载新内核 + initrd 实现“内存中切换”，但操作复杂、风险极高，且仍需处理分区缩小问题。</p>


linux电源管理
2025-10-18T15:08:53+08:00
查看suspend休眠配置模式</h1>
cat /sys/power/mem_sleep
echo deep | sudo tee /sys/power/mem_sleep
</code></pre>
配置hibernate休眠</h1>
cat /etc/fstab
swapon --show
sudo swapoff -a
sudo dd if=/dev/zero of=/swapfile bs=1G count=17
sudo swapon /swapfile

# 获取swap文件的offset
sudo filefrag -v /swapfile | awk '{if($1=="0:") print $4}'
# 查看根分区 UUID
findmnt -no UUID -T /

sudo vim /etc/default/grub
# GRUB_CMDLINE_LINUX_DEFAULT="quiet splash mem_sleep_default=deep resume=UUID=<磁盘分区UUID> resume_offset=<swap文件偏移量>"
sudo update-grub
</code></pre>
配置电源管理</h1>
cat <<EOF > /etc/systemd/sleep.conf.d/enable-sleep.conf
AllowSuspend=yes
AllowHibernation=yes
HibernateMode=platform shutdown
HibernateState=disk
AllowSuspendThenHibernate=yes
AllowHybridSleep=yes
SuspendState=mem standby freeze
EOF

sudo mkdir /etc/systemd/logind.conf.d
cat <<EOF | sudo tee /etc/systemd/logind.conf.d/override.conf
[Login]
HandlePowerKey=suspend-then-hibernate
HandleRebootKey=reboot
HandleRebootKeyLongPress=poweroff
HandleSuspendKey=suspend
HandleSuspendKeyLongPress=hibernate
IdleAction=suspend-then-hibernate
IdleActionSec=30min
EOF

systemd-analyze cat-config systemd/sleep.conf
systemd-analyze cat-config systemd/logind.conf
</code></pre>


rdp等连接linuxGUI的工具使用
2025-10-17T11:25:34+08:00
常用工具</h1>

xrdp： 主要适配x11 xorg后端</li>
</ul>
sudo apt install xrdp
sudo apt install xfce4
echo xfce4-session > ~/.xsession
sudo systemctl restart xrdp
</code></pre>

gnome remote desktop： gnome桌面环境自带， 支持wayland</li>
FreeRDP3： freerdp-shadow 组件据说支持 Wayland,这可能是未来 XRDP 自身支持 Wayland 的技术基础</li>
Sunshine + Moonlight: Sunshine（服务端） + Moonlight（客户端）组合提供高性能的远程游戏串流，对 Wayland 支持较好</li>
RustDesk: ustDesk 是另一个值得关注的跨平台远程桌面替代品</li>
</ul>
远程键盘鼠标</h1>

x2x：这是一款经典的、专为Unix/Linux系统设计的工具
它可以通过网络将一台电脑的键盘和鼠标共享给另一台，从而实现跨机器的屏幕扩展，让你的鼠标可以从一台电脑的屏幕边缘“移动”到另一台电脑的屏幕上。</li>
Barrier：它是知名软件Synergy的开源分支，同样可以实现跨计算机共享一套键鼠
功能与x2x类似，配置界面可能更为友好一些。</li>
</ul>
vkms</h1>
sudo modprobe vkms
步骤 1：安装 linux-image-amd64-unsigned（含 vkms）</p>
# Debian 13 默认内核无 vkms，需 unsigned 版
sudo apt update
sudo apt install linux-image-amd64-unsigned linux-headers-amd64-unsigned
sudo reboot
# 重启后选新内核（GRUB → Advanced options）
步骤 2：启用 vkms 虚拟屏（注入 EDID）
# 加载 vkms
sudo modprobe vkms
</code></pre>
# 生成 EDID（1920x1080）
sudo apt install edid-generator -y
edid-generator --name "Sunshine_Virtual" --width 1920 --height 1080 > /tmp/vkms.edid
# 注入 EDID（假设 vkms 创建 card1）
sudo sh -c 'cat /tmp/vkms.edid > /sys/kernel/debug/dri/1/virtual_edid'
echo "edid" | sudo tee /sys/class/drm/card1-VIRTUAL-1/status
# 通知 GNOME 启用
# 安装 wlroots-tools（用于唤醒输出）
sudo apt install wlroots-tools
# 强制启用（即使 GNOME 暂未发现）
wlr-randr --output VIRTUAL-1 --on --mode 1920x1080@60
# 触发 GNOME 重扫描
busctl --user call org.gnome.Mutter.DisplayConfig /org/gnome/Mutter/DisplayConfig \
  org.gnome.Mutter.DisplayConfig ApplyMonitorsConfig 2 su a(ua{sv}) 2 1 1 0 0 ""
# 图形界面启用（按 Alt 键！）
# 打开 Settings → Displays
# 按住 Alt 键
# 点击 ⋮ → Display arrangement
# 启用新出现的 "Unknown Display"
# Apply
# wlr-randr 显示 VIRTUAL-1 enabled
# Sunshine 可选为第二屏
# Apps 可拖入
</code></pre>
# 查看是否生效
ls /sys/class/drm/          # 应出现 card1-VIRTUAL-1 等
cat /sys/kernel/debug/dri/1/name  # 显示 "vkms"

# pipewire
pw-cli ls Node
</code></pre>
查看显示器</h1>
sudo apt install read-edid hwinfo
sudo hwinfo --monitor
cat /sys/class/drm/card0*/edid | parse-edid
sudo apt install lshw
sudo lshw -C display
sudo apt install edid-decode
edid-decode /sys/class/drm/card1-DP-1/edid
</code></pre>


问题排查记录表
2025-10-13T11:54:42+08:00
vm ubuntu24.04 虚拟机关机界面卡住</h1>
通过添加启动内核的参数， 在virt-view界面直接看到关机流程被阻塞在ntopng.service上</p>
sudo vim /etc/default/grub
# GRUB_CMDLINE_LINUX_DEFAULT="quiet splash"
# GRUB_CMDLINE_LINUX_DEFAULT=""
# loglevel=7 会显示全部内核消息。
GRUB_CMDLINE_LINUX_DEFAULT="loglevel=7"
sudo update-grub

sudo systemctl edit ntopng.service
# TimeoutStopSec=3s
</code></pre>
base64反序列化文件内容失败</h1>

使用serde_json 序列化一个对象， 并base64编码后打印出来</li>
复制打印的base64字符串， 并保存到文件 /tmp/file</li>
程序中读取/tmp/file内容，base64解码并使用serde_json反序列化， 会报错</li>
</ol>
原因</h2>
通过排查发现，手动复制到文件/tmp/file的内容结尾多了一个换行符\n</p>
解决</h2>
删除结尾的\n字符即可</p>
truncate -s -1 /tmp/file
</code></pre>


serde_json bigfix反序列化文件内容失败
2025-10-10T17:45:35+08:00
现象</h1>

使用serde_json 序列化一个对象， 并base64编码后打印出来</li>
复制打印的base64字符串， 并保存到文件 /tmp/file</li>
程序中读取/tmp/file内容，base64解码并使用serde_json反序列化， 会报错</li>
</ol>
原因</h1>
通过排查发现，手动复制到文件/tmp/file的内容结尾多了一个换行符\n</p>
解决</h1>
删除结尾的\n字符即可</p>
truncate -s -1 /tmp/file
</code></pre>


cockpit管理qemu虚拟机
2025-10-09T20:04:52+08:00
高效登录虚拟机GUI</h1>
使用virt-viewer客户端spice协议登录</p>
apt install virt-viewer
virt-viewer --reconnect win11
virt-viewer --wait win11
virsh domdisplay win11
</code></pre>
连接局域网的虚拟机</h1>
#1. 如果远程宿主机也在跑 libvirtd 并允许远程连接，你还可以直接用：
# 这样 virt-viewer 会先通过 libvirt 查询到 SPICE 端口，然后自动帮你连上去（不用手动写端口）。
# 通常推荐这种方式，安全性更好（走 SSH）
virt-viewer -c qemu+ssh://user@<宿主机IP>/system <VM名称或UUID>
virt-viewer -c qemu+ssh://peter@192.168.7.99/system win11

#2. 开放spice监听外部地址
# 修改listen='0.0.0.0' 表示允许外部访问（默认可能是 127.0.0.1，那就只能本机连）。
# port 可以固定（如 5901）或自动分配
sudo virsh list
sudo virsh dominfo win11
sudo grep -C 0 --group-separator="======" listen /etc/libvirt/qemu/win11.xml
sudo sed -i'' 's/127.0.0.1/0.0.0.0/' /etc/libvirt/qemu/win11.xml
# 一般需要配置密码，否则太不安全
## <graphics type='spice' port='5901' listen='0.0.0.0'>
##   <passwd>123</passwd>
## </graphics>
virt-viewer --spice-uri spice://192.168.7.99:5901 --spice-password 123

cat <<EOF > win11.vv
[virt-viewer]
type=spice
host=192.168.7.99
port=5901
password=123
delete-this-file=1
fullscreen=0
EOF
remote-viewer vm.vv
# 或者直接双击执行

# 可能的问题
# 音频/USB 不工作 SPICE 的辅助通道（如 5902）可能被防火墙阻断，需开放连续端口范围
</code></pre>
启动问题排查</h1>

从debian12 升级到debian13系统后， cockpit的web页面登录失败</li>
</li>
</ul>
sudo systemctl status cockpit.service
# 2月 03 14:00:57 xiao99 cockpit-tls[2028483]: cockpit-tls: gnutls_handshake failed: A TLS fatal alert has been received.
# 2月 03 14:01:06 xiao99 cockpit-tls[2028483]: cockpit-tls: gnutls_handshake failed: A TLS fatal alert has been received.

# 另外网页会自动刷行页面，后续的cockpit.socket 会崩溃，出现另一个报错信息, 这个应该不是根因
# Dependency failed for cockpit.service - Cockpit Web Service.

gnutls-cli --insecure -p 9090 localhost
# Processed 0 CA certificate(s).
# Resolving 'localhost:9090'...
# Connecting to '127.0.0.1:9090'...
# *** Fatal error: Error in the pull function.

echo -e "GET / HTTP/1.0\r\n\r\n" | socat - OPENSSL:127.0.0.1:9090,verify=0
# 2026/02/03 14:18:00 socat[2106042] W refusing to set empty SNI host name
# 2026/02/03 14:18:00 socat[2106042] W SSL_connect(): Connection reset by peer
</code></pre>
证书问题解决</h2>
sudo systemd-run \
  --unit=cockpit-cert-debug \
  --pty \
  -p RuntimeDirectory=cockpit/tls \
  -p WorkingDirectory=/ \
  /usr/lib/cockpit/cockpit-certificate-ensure --for-cockpit-tls
</code></pre>
sudo systemctl reset-failed cockpit-debug.service
sudo systemd-run \
  --unit=cockpit-debug \
  --pty \
  -p WorkingDirectory=/run \
  -p RuntimeDirectory=cockpit/tls \
  -p DynamicUser=yes \
  -p User=cockpit-systemd-service \
  -p Group=cockpit-wsinstance-socket \
  -p NoNewPrivileges=yes \
  -p ProtectSystem=strict \
  -p PrivateDevices=yes \
  -p ProtectKernelTunables=yes \
  -p MemoryDenyWriteExecute=yes \
  -p PrivateIPC=yes \
  -p PrivateNetwork=yes \
  /usr/lib/cockpit/cockpit-tls

</code></pre>
sudo systemctl enable --now \
  cockpit.socket \
  cockpit-wsinstance-http.socket \
  cockpit-wsinstance-https-factory.socket
</code></pre>


rust关于生命周期: Mutex Fn
2025-10-09T16:23:32+08:00
遇到的问题</h1>
let mut b = SslConnector::builder(SslMethod::tls_client()).map_err(|e|e.to_string())?;
b.set_verify(SslVerifyMode::NONE);
if let Some(file) = &config.sshkeylogfile {
    let file = OpenOptions::new()
        .create(true)
        .append(true)
        .open(file)
        .map_err(|e|e.to_string())?;
    let file = Mutex::new(file);

    // 重点这里： 
    // 1. 即需要move将file的生命周期延长
    // 2. 又需要file.lock().unwrap() 这样使用捕获的变量， 这样才能多次调用
    // 可以理解为 struct Fn { file: TFile }, Fn 结构通过move保存了值类型file， 同时使用Mutex保证了内部可变性？？？
    b.set_keylog_callback(move |_ssl, str| {
        // let file = file; // 这样调用一次就消耗了file,不能多次调用这个回调
        let mut file = file.lock().unwrap();
        let _ = file.write_all(str.as_bytes());
        let _ = file.write_all(b"\n");
    });
}
</code></pre>


linux 录屏并视频剪辑进行标注
2025-10-09T14:14:57+08:00
截屏、录屏工具</h1>
录屏软件使用ubuntu gnome自带的截屏工具</p>

直接PriSc 键即可开启</li>
选择区域</li>
开始录屏即可</li>
</ol>
视频剪辑</h1>
使用开源的shotcut进行简单的视频剪辑</p>
apt install shotcut
</code></pre>

打开shotcut后可以直接拖拽视频文件到软件中
可能会遇到视频需要预处理的情况， 根据情况正常处理即可
</li>
从播放列表中拖拽视频到[时间线]轨道
注意视频在时间线上是可以左右拖动的， 如果没有顶格左边， 则会在开始插入黑屏？！
</li>
复制一条轨道V2， 并复制视频放置到轨道V2上
现在两条轨道的视频一样
</li>
轨道V1在下层， 轨道V2在上层， 并分别添加滤镜

V1：添加【棕褐色调】
V2：添加【蒙板：简易形状】, 操作为： 减去</li>
观看效果， 导出视频即可</li>
</ol>


feat: 编程 术语-Terminology
2025-10-08T17:36:54+08:00
terminology</h1>

良构</li>
硬编码 => 变量</li>
魔术</li>
PKI 公钥基础设施（Public Key Infrastructure）</li>
PKCS (Public-Key Cryptography Standards，公钥密码学标准)</li>
key_forward</li>
key_backward</li>
digest_forward</li>
digest_backward</li>
</ul>
链接</h1>


cloudflare代理的常用网站
2025-10-08T16:49:27+08:00
常用网站</h1>
alejandracaiccedo.com
cdn.anycast.eu.org
download.yunzhongzhuan.com
fbi.gov
gur.gov.ua
icook.hk
icook.tw
iplocation.io
ip.sb
japan.com
log.bpminecraft.com
malaysia.com
russia.com
shopify.com
singapore.com
skk.moe
time.cloudflare.com
time.is
whatismyipaddress.com
www.4chan.org
www.csgo.com
www.d-555.com
www.digitalocean.com
www.gco.gov.qa
www.glassdoor.com
www.gov.se
www.gov.ua
www.hugedomains.com
www.iakeys.com
www.ipaddress.my
www.ipchicken.com
www.ipget.net
www.iplocation.net
www.okcupid.com
www.pcmag.com
www.sean-now.com
www.shopify.com
www.udacity.com
www.udemy.com
www.visa.co.jp
www.visa.com
www.visa.com.hk
www.visa.com.sg
www.visa.com.tw
www.visakorea.com
www.whatismyip.com
www.whoer.net
www.who.int
www.wto.org
www.zsu.gov.ua
</code></pre>
cloudflare 开放的端口</h1>
HTTP ports supported by Cloudflare</h2>

HTTP支持端口：80，8080，8880，2052，2082，2086，2095；</li>
</ul>
HTTPS ports supported by Cloudflare</h2>

HTTPS支持端口：443，2053，2083，2087，2096，8443;</li>
</ul>
Ports supported by Cloudflare, but with caching disabled</h2>

2052 2053 2082 2083 2086 2087 2095 2096 8880 8443</li>
</ul>
https://developers.cloudflare.com/fundamentals/reference/network-ports/</p>
cloudflare 地址范围</h1>
173.245.48.0/20
103.21.244.0/22
103.22.200.0/22
103.31.4.0/22
141.101.64.0/18
108.162.192.0/18
190.93.240.0/20
188.114.96.0/20
197.234.240.0/22
198.41.128.0/17
162.158.0.0/15
104.16.0.0/13
104.24.0.0/14
172.64.0.0/13
131.0.72.0/22

2400:cb00::/32
2606:4700::/32
2803:f800::/32
2405:b500::/32
2405:8100::/32
2a06:98c0::/29
2c0f:f248::/32
</code></pre>
https://www.cloudflare-cn.com/ips/</p>
参考</h1>
优选域名</a>
cloudflare-ips</a>
cloudflare-speedtest</a></p>


clash verge 与 233boy sing-box 配合使用
2025-10-06T16:44:12+08:00
sing-box 服务端配置</h1>
在vps 上配置一个代理节点</p>
bash <(wget -qO- -o- https://github.com/233boy/sing-box/raw/main/install.sh)
sing-box
</code></pre>
安装clash verge 客户端</h1>

wget https://github.com/clash-verge-rev/clash-verge-rev/releases/download/v2.4.2/Clash.Verge_2.4.2_amd64.deb
sudo apt install ./Clash.Verge_2.4.2_amd64.deb
</code></pre>
配置clash verge 添加自建节点</h1>


在clash的订阅页面新建一个local本地配置,文件可以置空
</p>
</li>

右击编译本地配置文件
配置模板</a>
</p>
</li>

右击编辑本地节点
将服务端的配置复制进来即可
复制【链接（RUL）】</p>
</li>
</ol>
# 查看服务端配置
sb info
</code></pre>

</p>


233boy 代理脚本使用
2025-10-06T14:02:52+08:00
命令行管理和安装sing-box 或 xray</h1>
bash <(wget -qO- -o- https://github.com/233boy/sing-box/raw/main/install.sh)
sing-box
sb

bash <(wget -qO- -o- https://github.com/233boy/xray/raw/main/install.sh)
xray
</code></pre>
web ui 面板</h1>
# https://github.com/vaxilu/x-ui.git
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)
x-ui   # tui config
# https://github.com/alireza0/s-ui.git
bash <(curl -Ls https://raw.githubusercontent.com/alireza0/s-ui/master/install.sh)
s-ui
</code></pre>


sing-box手动配置
2025-10-05T22:28:01+08:00
安装sing-box</h1>
sudo mkdir -p /etc/apt/keyrings &&
   sudo curl -fsSL https://sing-box.app/gpg.key -o /etc/apt/keyrings/sagernet.asc &&
   sudo chmod a+r /etc/apt/keyrings/sagernet.asc &&
   echo '
Types: deb
URIs: https://deb.sagernet.org/
Suites: *
Components: *
Enabled: yes
Signed-By: /etc/apt/keyrings/sagernet.asc
' | sudo tee /etc/apt/sources.list.d/sagernet.sources &&
   sudo apt-get update &&
   sudo apt-get install sing-box # or sing-box-beta

# manual install
curl -fsSL https://sing-box.app/install.sh | sh
curl -fsSL https://sing-box.app/install.sh | sh -s -- --version <version>
# 从github下载安装
sudo mkdir -p /opt/sing-box/conf
wget https://github.com/SagerNet/sing-box/releases/download/v1.12.9/sing-box-1.12.9-linux-amd64.tar.gz 
sudo tar xvzf sing-box-1.12.9-linux-amd64.tar.gz -C /opt/sing-box/
sudo cp /opt/sing-box/sing-box-1.12.9-linux-amd64/sing-box /opt/sing-box/sing-box

mkdir -p ~/.proxy/conf
wget https://github.com/SagerNet/sing-box/releases/download/v1.12.9/sing-box-1.12.9-linux-amd64.tar.gz 
tar xvzf sing-box-1.12.9-linux-amd64.tar.gz -C ~/.proxy/
cp ~/.proxy/sing-box-1.12.9-linux-amd64/sing-box ~/.proxy/
</code></pre>
any-reality原理</h1>

其实我们可以把处理需要代理的数据分成三个部分:</li>
</ul>

最上层的第一个部分就是我们熟知的各种代理协议，比如ss、vmess、vless、trojan、socks、anytls等等</li>
第二部分是传输方式，也就是上层经过代理协议处理的数据用什么方式传输，比如raw原始状态、ws、kcp、grpc、xhttp、httpupgrade、meek等等
我们熟悉的vmess+ws，就是将上层vmess处理后的数据通过ws传输，这层一般不对数据进行加密，要么是在第一层就通过代理协议加密了，要么是交给第三层的传输安全来处理</li>
最底层也就是我们熟知的tls以及reality</li>
</ol>
配置组合</h2>
</p>

通过这个图我们就可以实现任意协议组合任意传输，比如我可以搭建普通的vmess节点，也可以搭建ss+ws的节点，或者ss+grpc+reality</li>
还可以将原本的协议组合打乱，比如trojan协议默认情况下就是套了tls，我们可以给她换成reality或者直接脱掉tls让她裸奔</li>
anytls也是类似，协议默认设计成了套tls，但我们可以给他套上reality，也就变成了anyreality了</li>
</ul>
配置any-reality</h1>
sudo loginctl enable-linger peter
sudo loginctl show-user peter
</code></pre>
如果您希望为所有用户启用linger，可以编辑 /etc/systemd/logind.conf 文件，并将 LingerDefault 选项设置为 yes，然后重启 systemd-logind</p>
生成reality keypair</h2>
sing-box generate reality-keypair
</code></pre>
anytls-reality server 配置</h2>
sudo mkdir -p /opt/sing-box/conf
cat <<EOF |sudo tee /etc/systemd/system/sing-box-manual.service
[Unit]
Description=sing-box Service
Documentation=https://sing-box.sagernet.org/
After=network.target nss-lookup.target
[Service]
User=peter
ExecStart=/opt/sing-box/sing-box run -c /opt/sing-box/config.json -C /opt/sing-box/conf
Restart=on-failure
RestartPreventExitStatus=23
RestartSec=10s
LimitNPROC=10000
LimitNOFILE=1048576
PrivateTmp=true
ProtectSystem=full
#CapabilityBoundingSet=CAP_NET_ADMIN CAP_NET_BIND_SERVICE
#AmbientCapabilities=CAP_NET_ADMIN CAP_NET_BIND_SERVICE
[Install]
WantedBy=multi-user.target
EOF
</code></pre>
# 后续需要添加新的outbounds可以直接添加在/opt/sing-box/conf/中， sing-box 会自动merge
# 主配置在config.json中
cat <<EOF | sudo tee /opt/sing-box/config.json 
{
    "inbounds": [
        {
            "type": "anytls",
            "listen": "::",
            "listen_port": 6443,
            "users": [
                {
                    "name": "user",
                    "password": "123456"
                }
            ],
            "padding_scheme": [
                "stop=8",
                "0=30-30",
                "1=100-400",
                "2=400-500,c,500-1000,c,500-1000,c,500-1000,c,500-1000",
                "3=9-9,500-1000",
                "4=500-1000",
                "5=500-1000",
                "6=500-1000",
                "7=500-1000"
            ],
            "tls": {
                "enabled": true,
                "server_name": "yahoo.com",
                "reality": {
                    "enabled": true,
                    "handshake": {
                        "server": "yahoo.com",
                        "server_port": 443
                    },
                    "private_key": "eO3B3EMGXrYfGOe87NkUVusaeUxtLB4vxiqjVXqb9GU",
                    "short_id": "0123456789abcdef"
                }
            }
        }
    ],
    "outbounds": [
        {
            "type": "direct",
            "tag": "public_key_u4v3a_-uhIXPE2RoGaNy9_W5EK5UYV_hVN4Vpei75lM"
        }
    ]
}
EOF
</code></pre>
anytls-reality client 配置</h2>
mkdir -p ~/.proxy/conf
cat <<EOF > ~/.config/systemd/user/sing-box-manual.service
[Unit]
Description=sing-box Service
Documentation=https://sing-box.sagernet.org/
After=network.target nss-lookup.target
[Service]
ExecStart=/home/peter/.proxy/sing-box run -c /home/peter/.proxy/config.json -C /home/peter/.proxy/conf
Restart=on-failure
RestartSec=10s
[Install]
WantedBy=default.target
EOF

systemctl --user daemon-reload
systemctl --user start sing-box-manual.service
systemctl --user show-environment
journalctl --user -ex -u sing-box-manual.service 
</code></pre>
cat <<EOF > /home/peter/.proxy/conf/anytls-reality.json
{
    "outbounds": [
        {
            "type": "anytls",
            "tag": "anytls-out",
            "server": "10.32.118.200",
            "server_port": 6443,
            "password": "123456",
            "idle_session_check_interval": "30s",
            "idle_session_timeout": "30s",
            "min_idle_session": 5,
            "tls": {
                "enabled": true,
                "disable_sni": false,
                "server_name": "yahoo.com",
                "insecure": false,
                "utls": {
                    "enabled": true,
                    "fingerprint": "chrome"
                },
                "reality": {
                    "enabled": true,
                    "public_key": "u4v3a_-uhIXPE2RoGaNy9_W5EK5UYV_hVN4Vpei75lM",
                    "short_id": "0123456789abcdef"
                }
            }
        },
        {
            "type": "direct",
            "tag": "direct"
        }
    ]
}
EOF
</code></pre>
基础配置</p>
cat <<EOF > /home/peter/.proxy/config.json
{
  "log": {
    "disabled": false,
    "level": "debug",
    "output": "",
    "timestamp": true
  },
  "experimental": {
    "clash_api": {
      "external_controller": "127.0.0.1:10807",
      "external_ui": "ui",
      "external_ui_download_url": "https://github.com/MetaCubeX/metacubexd/archive/gh-pages.zip",
      "external_ui_download_detour": "vless-out",
      "default_mode": "rule",
      "access_control_allow_origin": [ "*" ],
      "access_control_allow_private_network": false
    },
    "cache_file": {
      "enabled": true,
      "path": "cache.db",
      "cache_id": "",
      "store_fakeip": true,
      "store_rdrc": true,
      "rdrc_timeout": "7d"
    }
  },
  "inbounds": [
    {
      "address": ["172.18.0.1/30", "fdfe:dcba:9876::1/126"],
      "route_address": ["0.0.0.0/1", "128.0.0.0/1", "::/1", "8000::/1"],
      "route_exclude_address": [
        "192.168.0.0/16",
        "10.0.0.0/8",
        "172.16.0.0/12",
        "fc00::/7"
      ],
      "auto_route": true,
      "strict_route": true,
      "type": "tun"
    },
    {
      "type": "mixed",
      "tag": "mixed-in",
      "listen": "127.0.0.1",
      "listen_port": 10806,
      "tcp_fast_open": false,
      "tcp_multi_path": false,
      "udp_fragment": false
    }
  ],
  "outbounds": [
    {
      "type": "vless",
      "tag": "vless-out",
      "server": "10.50.228.53",
      "server_port": 13584,
      "uuid": "211d952d-cbef-4811-a3f0-xxxxxxxxxxxx",
      "flow": "xtls-rprx-vision",
      "network": "tcp",
      "tls": {
          "enabled": true,
          "disable_sni": false,
          "server_name": "aws.amazon.com",
          "utls": {
          "enabled": true,
          "fingerprint": "chrome"
          },
          "reality": {
          "enabled": true,
          "public_key": "xxxxxx-3J5ReO_EpOBSix7PYhFOzaor0r8xQtEUdjS8",
          "short_id": ""
          }
      }
    },
    {
      "type": "selector",
      "tag": "🚀 Select",
      "interrupt_exist_connections": true,
      "outbounds": [
        "vless-out",
        "🎈 Auto"
      ]
    },
    {
      "type": "urltest",
      "tag": "🎈 Auto",
      "url": "https://www.gstatic.com/generate_204",
      "interval": "3m",
      "tolerance": 150,
      "interrupt_exist_connections": true,
      "outbounds": [
        "vless-out"
      ]
    },
    {
      "type": "direct",
      "tag": "🎯 Direct"
    },
    {
      "type": "selector",
      "tag": "🐟 Fallback",
      "interrupt_exist_connections": true,
      "outbounds": [
        "🚀 Select",
        "🎯 Direct"
      ]
    },
    {
      "type": "selector",
      "tag": "GLOBAL",
      "interrupt_exist_connections": true,
      "outbounds": [
        "🚀 Select",
        "🎈 Auto",
        "🎯 Direct",
        "🐟 Fallback"
      ]
    },
  ],
  "route": {
    "rules": [
      {
        "action": "hijack-dns",
        "protocol": "dns"
      },
      {
        "action": "route",
        "clash_mode": "direct",
        "outbound": "🎯 Direct"
      },
      {
        "action": "route",
        "clash_mode": "global",
        "outbound": "GLOBAL"
      },
      {
        "action": "route",
        "network": "icmp",
        "outbound": "🎯 Direct"
      },
      {
        "action": "reject",
        "protocol": "quic"
      },
      {
        "action": "reject",
        "rule_set": [
          "Category-Ads"
        ]
      },
      {
        "action": "route",
        "rule_set": [
          "GeoSite-Private"
        ],
        "outbound": "🎯 Direct"
      },
      {
        "action": "route",
        "rule_set": [
          "GeoSite-CN"
        ],
        "outbound": "🎯 Direct"
      },
      {
        "action": "route",
        "rule_set": [
          "GeoIP-Private"
        ],
        "outbound": "🎯 Direct"
      },
      {
        "action": "route",
        "rule_set": [
          "GeoIP-CN"
        ],
        "outbound": "🎯 Direct"
      },
      {
        "action": "route",
        "rule_set": [
          "GeoLocation-!CN"
        ],
        "outbound": "🚀 Select"
      }
    ],
    "rule_set": [
      {
        "tag": "Category-Ads",
        "type": "remote",
        "url": "https://testingcf.jsdelivr.net/gh/MetaCubeX/meta-rules-dat@sing/geo/geosite/category-ads-all.srs",
        "format": "binary",
        "download_detour": "🎯 Direct"
      },
      {
        "tag": "GeoIP-Private",
        "type": "remote",
        "url": "https://testingcf.jsdelivr.net/gh/MetaCubeX/meta-rules-dat@sing/geo/geoip/private.srs",
        "format": "binary",
        "download_detour": "🎯 Direct"
      },
      {
        "tag": "GeoSite-Private",
        "type": "remote",
        "url": "https://testingcf.jsdelivr.net/gh/MetaCubeX/meta-rules-dat@sing/geo/geosite/private.srs",
        "format": "binary",
        "download_detour": "🎯 Direct"
      },
      {
        "tag": "GeoIP-CN",
        "type": "remote",
        "url": "https://testingcf.jsdelivr.net/gh/MetaCubeX/meta-rules-dat@sing/geo/geoip/cn.srs",
        "format": "binary",
        "download_detour": "🎯 Direct"
      },
      {
        "tag": "GeoSite-CN",
        "type": "remote",
        "url": "https://testingcf.jsdelivr.net/gh/MetaCubeX/meta-rules-dat@sing/geo/geosite/cn.srs",
        "format": "binary",
        "download_detour": "🎯 Direct"
      },
      {
        "tag": "GeoLocation-!CN",
        "type": "remote",
        "url": "https://testingcf.jsdelivr.net/gh/MetaCubeX/meta-rules-dat@sing/geo/geosite/geolocation-!cn.srs",
        "format": "binary",
        "download_detour": "🎯 Direct"
      }
    ],
    "auto_detect_interface": true,
    "final": "🐟 Fallback",
    "default_domain_resolver": {
      "server": "Local-DNS"
    }
  },
  "dns": {
    "servers": [
      {
        "tag": "Local-DNS",
        "type": "https",
        "domain_resolver": "Local-DNS-Resolver",
        "server_port": 443,
        "server": "223.5.5.5",
        "path": "/dns-query"
      },
      {
        "tag": "Local-DNS-Resolver",
        "type": "udp",
        "server_port": 53,
        "server": "223.5.5.5"
      },
      {
        "tag": "Remote-DNS",
        "type": "tls",
        "detour": "🚀 Select",
        "domain_resolver": "Remote-DNS-Resolver",
        "server_port": 853,
        "server": "8.8.8.8"
      },
      {
        "tag": "Remote-DNS-Resolver",
        "type": "udp",
        "detour": "🚀 Select",
        "server_port": 53,
        "server": "8.8.8.8"
      }
    ],
    "rules": [
      {
        "action": "route",
        "clash_mode": "direct",
        "server": "Local-DNS"
      },
      {
        "action": "route",
        "clash_mode": "global",
        "server": "Remote-DNS"
      },
      {
        "action": "route",
        "rule_set": [
          "GeoSite-CN"
        ],
        "server": "Local-DNS"
      },
      {
        "action": "route",
        "rule_set": [
          "GeoLocation-!CN"
        ],
        "server": "Remote-DNS"
      }
    ],
    "disable_cache": false,
    "disable_expire": false,
    "independent_cache": false,
    "final": "Remote-DNS"
  }
}
EOF
</code></pre>
andriod 版本使用</h1>
{
  "log": {
    "disabled": false,
    "level": "debug",
    "output": "",
    "timestamp": true
  },
  "inbounds": [
    {
      "type": "tun",
      "address": ["172.19.0.1/30"],
      "auto_route": true,
      // "auto_redirect": true, // On linux
      "strict_route": true
    }
  ],
  "outbounds": [
    {
      "type": "selector",
      "tag": "🚀 Select",
      "interrupt_exist_connections": true,
      "outbounds": [
        "vless-out",
        "🎈 Auto"
      ]
    },
    {
      "type": "urltest",
      "tag": "🎈 Auto",
      "url": "https://www.gstatic.com/generate_204",
      "interval": "3m",
      "tolerance": 150,
      "interrupt_exist_connections": true,
      "outbounds": [
        "vless-out"
      ]
    },
    {
      "type": "direct",
      "tag": "🎯 Direct"
    },
    {
      "type": "selector",
      "tag": "🐟 Fallback",
      "interrupt_exist_connections": true,
      "outbounds": [
        "🚀 Select",
        "🎯 Direct"
      ]
    },
    {
      "type": "selector",
      "tag": "GLOBAL",
      "interrupt_exist_connections": true,
      "outbounds": [
        "🚀 Select",
        "🎈 Auto",
        "🎯 Direct",
        "🐟 Fallback"
      ]
    },
    {
      "type": "vless",
      "tag": "vless-out",
      "server": "10.50.228.53",
      "server_port": 13584,
      "uuid": "211d952d-cbef-4811-a3f0-xxxxxxxxxxxx",
      "flow": "xtls-rprx-vision",
      "network": "tcp",
      "tls": {
        "enabled": true,
        "disable_sni": false,
        "server_name": "aws.amazon.com",
        "utls": {
          "enabled": true,
          "fingerprint": "chrome"
        },
        "reality": {
          "enabled": true,
          "public_key": "Uqr4g5-3J5ReO_EpOBSix7PYhxxxxxxxxxxxxxxxxxx",
          "short_id": ""
        }
      }
    }
  ],
  "route": {
    "rules": [
      {
        "action": "hijack-dns",
        "protocol": "dns"
      },
      {
        "action": "route",
        "clash_mode": "direct",
        "outbound": "🎯 Direct"
      },
      {
        "action": "route",
        "clash_mode": "global",
        "outbound": "GLOBAL"
      },
      {
        "action": "route",
        "network": "icmp",
        "outbound": "🎯 Direct"
      },
      {
        "action": "reject",
        "protocol": "quic"
      },
      {
        "action": "reject",
        "rule_set": [
          "Category-Ads"
        ]
      },
      {
        "action": "route",
        "rule_set": [
          "GeoSite-Private"
        ],
        "outbound": "🎯 Direct"
      },
      {
        "action": "route",
        "rule_set": [
          "GeoSite-CN"
        ],
        "outbound": "🎯 Direct"
      },
      {
        "action": "route",
        "rule_set": [
          "GeoIP-Private"
        ],
        "outbound": "🎯 Direct"
      },
      {
        "action": "route",
        "rule_set": [
          "GeoIP-CN"
        ],
        "outbound": "🎯 Direct"
      },
      {
        "action": "route",
        "rule_set": [
          "GeoLocation-!CN"
        ],
        "outbound": "🚀 Select"
      }
    ],
    "rule_set": [
      {
        "tag": "Category-Ads",
        "type": "remote",
        "url": "https://testingcf.jsdelivr.net/gh/MetaCubeX/meta-rules-dat@sing/geo/geosite/category-ads-all.srs",
        "format": "binary",
        "download_detour": "🎯 Direct"
      },
      {
        "tag": "GeoIP-Private",
        "type": "remote",
        "url": "https://testingcf.jsdelivr.net/gh/MetaCubeX/meta-rules-dat@sing/geo/geoip/private.srs",
        "format": "binary",
        "download_detour": "🎯 Direct"
      },
      {
        "tag": "GeoSite-Private",
        "type": "remote",
        "url": "https://testingcf.jsdelivr.net/gh/MetaCubeX/meta-rules-dat@sing/geo/geosite/private.srs",
        "format": "binary",
        "download_detour": "🎯 Direct"
      },
      {
        "tag": "GeoIP-CN",
        "type": "remote",
        "url": "https://testingcf.jsdelivr.net/gh/MetaCubeX/meta-rules-dat@sing/geo/geoip/cn.srs",
        "format": "binary",
        "download_detour": "🎯 Direct"
      },
      {
        "tag": "GeoSite-CN",
        "type": "remote",
        "url": "https://testingcf.jsdelivr.net/gh/MetaCubeX/meta-rules-dat@sing/geo/geosite/cn.srs",
        "format": "binary",
        "download_detour": "🎯 Direct"
      },
      {
        "tag": "GeoLocation-!CN",
        "type": "remote",
        "url": "https://testingcf.jsdelivr.net/gh/MetaCubeX/meta-rules-dat@sing/geo/geosite/geolocation-!cn.srs",
        "format": "binary",
        "download_detour": "🎯 Direct"
      }
    ],
    "auto_detect_interface": true,
    "final": "🐟 Fallback",
    "default_domain_resolver": {
      "server": "Local-DNS"
    }
  },
  "dns": {
    "servers": [
      {
        "tag": "Local-DNS",
        "type": "https",
        "domain_resolver": "Local-DNS-Resolver",
        "server_port": 443,
        "server": "223.5.5.5",
        "path": "/dns-query"
      },
      {
        "tag": "Local-DNS-Resolver",
        "type": "udp",
        "server_port": 53,
        "server": "223.5.5.5"
      },
      {
        "tag": "Remote-DNS",
        "type": "tls",
        "detour": "🚀 Select",
        "domain_resolver": "Remote-DNS-Resolver",
        "server_port": 853,
        "server": "8.8.8.8"
      },
      {
        "tag": "Remote-DNS-Resolver",
        "type": "udp",
        "detour": "🚀 Select",
        "server_port": 53,
        "server": "8.8.8.8"
      }
    ],
    "rules": [
      {
        "action": "route",
        "clash_mode": "direct",
        "server": "Local-DNS"
      },
      {
        "action": "route",
        "clash_mode": "global",
        "server": "Remote-DNS"
      },
      {
        "action": "route",
        "rule_set": [
          "GeoSite-CN"
        ],
        "server": "Local-DNS"
      },
      {
        "action": "route",
        "rule_set": [
          "GeoLocation-!CN"
        ],
        "server": "Remote-DNS"
      }
    ],
    "disable_cache": false,
    "disable_expire": false,
    "independent_cache": false,
    "final": "Remote-DNS"
  }
}
</code></pre>


pve kernel切换debian kernel
2025-10-05T14:54:48+08:00
PVE 使用的是 pve-kernel，它基于 Debian 的 linux-image，但额外包含：</h1>
pve kernel 和普通的debian内核比较做了部分特殊优化：</p>

ZFS on Linux 官方支持（关键！）</li>
PVE 官方内核预编译了 ZFS 模块</li>
与 zfsutils-linux 包完美兼容</li>
Ceph/RBD 优化</li>
KVM/QEMU 虚拟化相关补丁</li>
长期稳定 + 安全更新由 Proxmox 团队维护</li>
</ul>
如果不使用这些特性可以切换为正常的debian内核</p>
切换debian普通内核</h1>
# 检查是否有 ZFS 池
zpool status
# 检查根文件系统是否在 ZFS 上
df / 
# 如果显示类似 zfs 或 rpool/ROOT，说明根在 ZFS 上 → ❌ 不要继续！
# 检查 PVE 存储配置
pvesm status
# 确保所有存储类型是 ext4、lvm、nfs、ceph 等，**不是 zfspool 或 zfs**

# 安装普通内核
apt install linux-image-amd64 linux-headers-amd64
# 更新 grub（确保新内核在启动项中）
update-grub
# 安装固件包: 这个安装时失败了， 说让彻底删除pve， 先不安装了
apt install firmware-linux firmware-realtek firmware-intel-sound
# 查看已安装的内核
dpkg -l | grep linux-image
</code></pre>
配置grub 启动debian内核</h1>
sudo grep -En "\b(menuentry|submenu)\b" /boot/grub/grub.cfg
# 设置永久默认项（通过编号）
sudo grub-set-default 0
# 验证设置
sudo grub-editenv list
# Debian/Ubuntu 图形化配置
sudo apt install grub-customizer
# 然后运行：grub-customizer

# GRUB 2.00+ 版本将不同内核版本放入了 "Advanced options" 子菜单中，所以完整的菜单路径:
sudo grub-reboot "Advanced options for Proxmox VE GNU/Linux>Proxmox VE GNU/Linux, with Linux 6.1.0-40-amd64"
# 已切换到 Debian 内核且不用 ZFS，可以禁用这个无用的脚本避免未来干扰
sudo mv /etc/kernel/postinst.d/zz-proxmox-boot /etc/kernel/postinst.d/zz-proxmox-boot.disabled
</code></pre>
修复切换内核后虚拟机网络失效</h1>
lsmod | grep virtio
modprobe virtio-net
update-initramfs -u -k $(uname -r)

echo virtio-net | sudo tee -a /etc/modules-load.d/virtio.conf
echo virtio-blk | sudo tee -a /etc/modules-load.d/virtio.conf

# 显卡固件
wget https://git.kernel.org/pub/scm/linux/kernel/git/firmware/linux-firmware.git/plain/i915/dg2_dmc_ver2_07.bin
sudo mkdir -p /lib/firmware/i915/
sudo cp dg2_dmc_ver2_07.bin /lib/firmware/i915/
sudo update-initramfs -u -k $(uname -r)

cat /etc/network/interfaces
cat /etc/pve/qemu-server/100.conf

iptables -L -n  # 检查是否有阻止流量的规则
ip route        # 检查默认路由是否正确o

# 如果策略是 DROP，需要放行桥接流量
sudo iptables -I FORWARD -i vmbr0 -s 192.168.2.0/24 -j ACCEPT
sudo iptables -I FORWARD -o vmbr0 -d 192.168.2.0/24 -j ACCEPT
systemctl enable netfilter-persistent
netfilter-persistent save
# sudo apt install iptables-persistent
</code></pre>


waydroid 安装
2025-10-03T22:00:34+08:00
sudo apt install curl ca-certificates -y
curl -s https://repo.waydro.id | sudo bash
sudo apt install waydroid -y
</code></pre>
参考</h1>
waydro.id</a></p>


linux 安全认证框架
2025-10-02T20:23:46+08:00

NSS / SSSD / systemd-homed → 负责用户 身份信息来源与存储</li>
PAM → 负责 认证（确认身份）</li>
Polkit → 负责 授权（能不能做某件事，需要不要再认证）</li>
SELinux / AppArmor → 负责 强制控制（内核级别，防止越权访问）</li>
LSM / seccomp / capabilities / namespaces → 提供内核安全机制</li>
</ul>


systemd服务配置ssh反向端口转发
2025-09-30T17:12:55+08:00
# sudo systemctl daemon-reexec
sudo systemctl daemon-reload
sudo systemctl enable --now ssh-reverse-tunnel.service
sudo systemctl start ssh-reverse-tunnel.service
sudo useradd -M -s /bin/bash ssh-tunnel
sudo mkdir -p /home/ssh-tunnel/.ssh
sudo chmod -R 700 /home/ssh-tunnel/
sudo cp /home/peter/.ssh/id_rsa /home/ssh-tunnel/.ssh/id_rsa
sudo chmod 600 /home/ssh-tunnel/.ssh/id_rsa
sudo chown -R ssh-tunnel:ssh-tunnel /home/ssh-tunnel

ssh-keyscan aliyun.mydomain.com | sort -u - ~/.ssh/known_hosts > ~/.ssh/known_hosts.new
# mv ~/.ssh/known_hosts.new ~/.ssh/known_hosts
sudo chsh -s /sbin/nologin ssh-tunnel
</code></pre>
cat <<EOF | sudo tee /etc/systemd/system/ssh-reverse-tunnel.service
[Unit]
Description=SSH Reverse Tunnel to Aliyun
After=network.target

[Service]
# User 变量影响id_rsa密钥的选择：~/.ssh/id_rsa 和用户有关
User=ssh-tunnel
ExecStart=/usr/bin/autossh -M 0 -N -o ServerAliveInterval=30 -o ServerAliveCountMax=3 -o ExitOnForwardFailure=yes -R 6022:localhost:22 -i /home/ssh-tunnel/.ssh/id_rsa root@aliyun.mydomain.com
Restart=always
RestartSec=10
StandardOutput=syslog
StandardError=syslog
SyslogIdentifier=autossh-tunnel

[Install]
WantedBy=multi-user.target
EOF
</code></pre>


gdb如何在函数返回处下断点
2025-09-29T20:46:39+08:00
使用finish命令</h1>
先进入目标函数内部（通过step命令），然后执行finish命令，程序会运行至当前函数返回前暂停。该方法适用于已进入函数内部的情况</p>
使用 until 命令</h1>
until 命令会让程序运行到当前行之后的某一行或当前循环体之外。</p>
如果你在函数的某一行，想让它运行到函数末尾（假设末尾是 }），可以：
gdb
编辑
(gdb) until
或者指定大括号所在的行号：
gdb
编辑
(gdb) until 90  # 假设 } 在第90行</p>
程序启动后直接暂停</h1>
use std::env;
use std::process;
use std::ffi::CString;

fn wait_for_gdb() {
    unsafe {
        // 打印 PID，方便 attach
        let pid = libc::getpid();
        println!("PID: {} waiting for gdb...", pid);

        // 主动给自己发 SIGSTOP
        libc::raise(libc::SIGSTOP);
    }
}

fn main() {
    // 可选：通过环境变量控制，只有在需要调试时才挂起
    if env::var("WAIT_GDB").is_ok() {
        wait_for_gdb();
    }

    println!("Program resumed!");
    // 你的正常逻辑
    for i in 0..5 {
        println!("i = {}", i);
        std::thread::sleep(std::time::Duration::from_secs(1));
    }
}
</code></pre>
使用gdb record 查看退出原因</h1>
# 1. 启动 GDB
gdb target/debug/your_program

# 2. 设置环境变量（可选但推荐）
(gdb) set environment RUST_BACKTRACE=1
(gdb) set environment RUST_LOG=debug  # 如果使用日志
# 如果程序运行时间很长，设置缓冲区大小
(gdb) set record full stop-at-limit on
(gdb) set record full insn-number-max 1000000
# 3. 开始录制
(gdb) record
# 4. 运行程序
(gdb) run

# 查看程序是如何退出的
(gdb) info program
# 查看最后的信号信息
(gdb) info signals
# 查看当前堆栈
(gdb) bt
# 查看退出前的最后几个函数调用
(gdb) reverse-finish
(gdb) reverse-finish
(gdb) reverse-finish
# 或者逐步回退
(gdb) reverse-step
(gdb) reverse-step
# 查看寄存器状态（可能显示段错误原因）
(gdb) info registers
# 查看内存映射
(gdb) info proc mappings
</code></pre>
rust 程序调试</h2>
# 安装 rust-gdb（如果可用）
rust-gdb target/debug/your_program
# 或者在普通 gdb 中设置
(gdb) break core::panicking::panic
(gdb) break std::sys_common::backtrace::__rust_end_short_backtrace
(gdb) break std::process::exit
# 查看字符串内容（Rust 的 String 和 &str）
(gdb) print your_string_variable
# 查看 Vec 内容
(gdb) print *your_vec_pointer@your_vec_pointer.len
# 查看 Option/Result
(gdb) print your_option.Some
</code></pre>
使用 rr 工具回放（推荐替代方案）</h1>
# 安装 rr (Ubuntu/Debian)
sudo apt install rr
# 录制程序执行
rr record target/debug/your_program
# 回放并调试
rr replay
# 在 replay 模式下，可以使用所有 reverse debugging 命令
(rr) reverse-continue
(rr) reverse-step
(rr) bt
</code></pre>


knock端口敲门
2025-09-29T17:23:02+08:00
Knock服务</h1>

即端口敲门（Port Knocking），是一种利用一系列预设的端口序列来“敲门”，从而动态地打开防火墙上的目标服务端口以实现访问控制的安全技术。</li>
其核心原理是服务器上的端口默认是隐藏的，只有客户端按照事先约定好的顺序依次尝试访问一系列“秘密”的端口，服务器端的knockd服务才会识别出这个“暗号”，并暂时打开关键服务端口（如SSH的22端口），允许合法用户连接。</li>
当服务使用完毕后，服务器会停止开放端口，进一步提升了系统的安全性，降低了被端口扫描和暴力破解的风险。</li>
</ul>
安装</h1>
apt install knockd
echo <<EOF > /etc/knockd.conf
[options]
        # UseSyslog
        Interface = eth0
        LogFile = /var/log/knockd.log
[openSSH]
        # sequence    = 1357:tcp, 1234:tcp, 6789:tcp
        sequence    = 1357, 1234, 6789
        seq_timeout = 20
        command     = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
        tcpflags    = syn
        # start_command = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
        # cmd_timeout = 60
        # stop_command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
[closeSSH]
        sequence    = 6789, 1234, 1357
        seq_timeout = 5
        command     = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
        tcpflags    = syn
<<EOF
</code></pre>
测试</h1>
nmap -A -p 22 192.168.7.7 -oA output
# 开门
knock -v 192.168.7.7 1356 1234 6789
nmap -A -p 22 192.168.7.7 -oA output
iptalbes -nvL | grep 22
# 关门
knock -v 192.168.7.7 6789 1234 1357

# 破解端口敲门序列
target=192.168.7.7
# 查看开放的端口
nmap -p- 192.168.7.7
nmap -p- -sU 192.168.7.7
# 分别向12001-12005端口都发送设置了 FIN/URG/RST/SYN 标志的 TCP 数据包
for port in 12001 12002 12003 12004 12005; do
        for flag in F U R S; do
                hping3 -c 5 -$flag -p $port $target
        done
done
</code></pre>
工作原理</h1>

预设序列：管理员定义一个端口序列（例如，7000, 8000, 9000）作为“敲门暗号”。</li>
客户端“敲门”：客户端按照约定的顺序，依次向服务器的这些端口发送连接请求。</li>
服务器监听与识别：服务器上的knockd守护进程会监听这些端口的访问，并验证收到的端口序列是否与预设的匹配。</li>
动态开启服务：如果敲门序列正确，knockd服务会动态修改防火墙（如iptables）规则，临时开放预期的目标服务端口（如SSH的22端口），允许客户端进行连接。</li>
定时关闭：服务端口开放一段时间后，敲门服务会自动关闭该端口，恢复初始的防火墙规则，继续隐藏服务。</li>
</ul>
主要优点</h1>

提高安全性：通过隐藏服务端口，有效防止了未经授权的端口扫描和暴力破解攻击。</li>
降低攻击面：重要的服务端口不直接暴露在外，减少了潜在的攻击点。</li>
动态访问控制：允许在需要时进行访问，而不是一直开放服务端口，更安全。</li>
</ul>
应用场景</h1>

隐藏SSH服务：防止SSH服务被频繁扫描，保护服务器免受暴力破解攻击。</li>
保护其他敏感服务：用于对公共网络开放的其他重要服务，如数据库端口等。</li>
</ul>


ubuntu docker 安装
2025-09-28T16:03:40+08:00
安装依赖包</p>
sudo apt-get install \
    apt-transport-https \
    ca-certificates \
    curl \
    gnupg-agent \
    software-properties-common
</code></pre>
添加docker GPG密钥</p>
curl -fsSL https://mirrors.ustc.edu.cn/docker-ce/linux/ubuntu/gpg | sudo tee /etc/apt/keyrings/docker.asc
echo \
  "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] https://mirrors.ustc.edu.cn/docker-ce/linux/ubuntu/ \
 $(. /etc/os-release && echo "$VERSION_CODENAME") stable" | \
  sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
sudo apt-get update
</code></pre>
安装社区版本docker</p>
sudo apt-get update
# 安装最新版本的 Docker Engine-Community 和 containerd ，或者转到下一步安装特定版本：
sudo apt-get install docker-ce docker-ce-cli containerd.io
</code></pre>


ibus-rime简体输入法配置
2025-09-04T19:09:32+08:00
安装ibus-rime</h1>
sudo apt update
sudo apt install ibus-rime
sudo apt install rime-data-pinyin-simp
ibus restart
</code></pre>

打开 系统设置 → 键盘 → 输入源</li>
点击 添加输入源 → 搜索 Chinese (Rime) → 添加</li>
切换输入法快捷键通常是 Super+Space 或 Ctrl+Space</li>
此时你应该能切换到 Rime 了，默认是 朙月拼音（繁体输出）。</li>
</ul>
配置简体拼音</h1>
# 快捷键Ctrl+Shift+4切换简体模式
# vim ~/.config/ibus/rime/default.custom.yaml
patch:
  schema_list:
    - schema: luna_pinyin_simp
  menu:
    page_size: 9
  # /usr/share/rime-data/default.yaml
  switcher:
    hotkeys:
      - Control+Shift+grave
      - F4
  ascii_composer/switch_key:
    Shift_L: commit_code
  key_binder/bindings:
    # 当有候选框时，Esc 关闭候选框
    - { when: has_menu, accept: Escape, send: Escape }
    # 当正在输入拼音（composing）时，Esc 清空并切出
    - { when: composing, accept: Escape, send: Escape, commit: "" }
    - { when: always, accept: Escape, toggle: ascii_mode }

# vim ~/.config/ibus/rime/ibus_rime.custom.yaml
patch:
  style:
    horizontal: true
</code></pre>
部署生效排查</h1>

修改配置后需通过系统托盘选择"部署"或执行ibus restart</li>
若遇IBus未启动，可运行ibus-daemon -drx并添加至.bashrc</li>
对于GNOME桌面用户，可安装ibus-tweaker插件优化界面显示效</li>
</ul>
ibus restart
rime_deployer --compile ~/.config/ibus/rime/
~/.config/ibus/rime/installer.sh --build
ibus list-engine
ibus read-cache
</code></pre>
安装扩展词库</h1>
# 安装 Plum
curl -fsSL https://raw.githubusercontent.com/rime/plum/master/rime-install | bash
# 使用 Plum 安装扩展词库，例如雾凇拼音（参考其文档）或 emoji 支持
bash rime-install emoji
bash rime-install emoji:customize:schema=luna_pinyin_simp
</code></pre>
自定义词汇和短语</h1>
你可以通过编辑用户词典文件（如 luna_pinyin_simp.user.dict.yaml）来添加个人常用词条。文件格式通常如下：</p>
# ~/.config/ibus/rime/luna_pinyin_simp.user.dict.yaml
name: luna_pinyin_simp.user
version: "2025.09.04"
sort: by_weight
use_preset_vocabulary: true
...
# 在此处添加你的自定义词条
import_tables:
  - luna_pinyin_simp
# 可以引入其他词库表
</code></pre>
另一种简体配置</h1>
# vim luna_pinyin.custom.yaml
patch:
  switches:
    - name: ascii_mode
      reset: 0
      states: [ 中文, 西文 ]
    - name: full_shape
      reset: 0
      states: [ 半角, 全角 ]
    - name: simplification
      reset: 1        # 默认简体
      states: [ 繁體, 简体 ]

  engine/filters:
    - simplifier
    - uniquifier
# 关键是 reset: 1，这样启动时就是 简体字
</code></pre>


dns泄漏检测
2025-09-02T10:11:54+08:00
DNS泄露</h1>
DNS泄露测试是每个关注在线隐私和安全的人必不可少的工具。当您使用 VPN服务来隐藏您的互联网活动时，确保您的DNS请求也得到保护是至关重要的。DNS泄露可能会暴露这些请求，将您访问的网站透露给您的互联网服务提供商（ISP）或任何监控您连接的窃听者。进行DNS泄露测试是一个简单的过程。通过运行DNS泄露测试，您可以确保您的在线活动不会通过DNS查询泄露出去。</p>
检测网站</h1>

https://www.browserscan.net/zh/dns-leak</li>
https://nordvpn.com/zh-tw/dns-leak-test/</li>
https://dnsleaktest.com/</li>
</ul>
Chrome 的 DNS 机制</h1>

Chrome 在 "系统代理" 或者 "手动代理" 模式下，不会自己先去查 DNS，而是直接把域名字符串交给代理（SOCKS5 支持 domain 模式）。</li>
所以域名解析是在代理端完成的，而不是在本地操作系统。</li>
在 Linux 上，如果 Chrome 检测到使用 SOCKS5 代理，会把域名直接交给代理（默认 SOCKS5 remote DNS）。</li>
在使用 HTTP 代理 时，也会把完整的 Host 字段交给代理，代理负责解析目标 IP。</li>
只有在 直连 或 代理不支持域名转发 时，Chrome 才会调用 glibc 的 getaddrinfo()，触发系统 DNS 配置（/etc/resolv.conf, systemd-resolved 等）。</li>
</ul>


win11 虚拟机安装
2025-08-26T15:31:20+08:00
虚拟机安装</h1>
安装一个win11专业版本</p>
账户配置</h1>

登录foo@outlook.com账户， 可选修改在线账户密码</li>
在设置中开启rdp(需要win11 专业版)</li>
创建本地账户 , 并配置为administrator权限</li>
xfreerdp /v:192.168.122.79:3389 /u:peter.l +clipboard /dynamic-resolution 就可以正常远程登录了</li>
</ol>
配置office</h1>
https://github.com/OdysseusYuan/Mocreak
</code></pre>


kitty终端快捷键
2025-08-14T15:08:33+08:00
kitty 终端模拟器有许多快捷键，主要用于导航、窗口管理、文本操作和配置等。以下是一些常用的快捷键：
基本导航:</p>

Ctrl+Shift+Enter: 新建标签页</li>
Ctrl+Shift+W: 关闭标签页</li>
Ctrl+Shift+PageUp / Ctrl+Shift+PageDown: 切换标签页</li>
Ctrl+Shift+左箭头 / Ctrl+Shift+右箭头: 切换窗口</li>
Ctrl+Shift+方向键: 在当前窗口中移动光标</li>
Ctrl+Shift+T: 在当前窗口中打开一个新的标签页</li>
Ctrl+Shift+Q: 关闭当前窗口</li>
Ctrl+Shift+R: 重新加载配置文件</li>
</ul>
文本操作:</p>

Ctrl+Shift+C: 复制选中文本</li>
Ctrl+Shift+V: 粘贴文本</li>
Ctrl+Shift+X: 剪切选中文本</li>
Ctrl+Shift+Z: 撤销</li>
Ctrl+Shift+Y: 重做</li>
Ctrl+Shift+方向键: 在文本中移动光标</li>
Ctrl+Shift+PageUp / Ctrl+Shift+PageDown: 在文本缓冲区中向上/向下滚动</li>
</ul>
其他快捷键:</p>

Ctrl+Shift+F2: 编辑kitty 配置文件</li>
Ctrl+Shift+F5: 重新加载kitty 配置文件</li>
Ctrl+Shift+F6: 调试kitty 配置文件</li>
Ctrl+Shift+Escape: 打开kitty 终端</li>
Ctrl+Shift+加号 / Ctrl+Shift+减号: 调整字体大小</li>
Ctrl+Shift+F: 在当前窗口中查找文本</li>
</ul>
自定义快捷键:</p>

可以在 kitty.conf 文件中自定义快捷键。例如，要将新建标签页的快捷键设置为 Ctrl+Alt+T，可以在 kitty.conf 中添加以下行：</li>
</ul>
map ctrl+alt+t launch --cwd=current
</code></pre>
查找更多快捷键:</p>

可以在 kitty 文档 中查找更多快捷键和配置选项</li>
</ul>
配置kitty字体： 具体应用场景</h1>
sudo apt install fonts-jetbrains-mono
cat <<EOF >> ~/.config/kitty/kitty.conf
font_family JetBrains Mono
font_size 14.0
EOF
</code></pre>
配置alacritty字体大小</h1>
cat <<EOF >> ~/.config/alacritty/alacritty.toml
[font]
size = 18
EOF
</code></pre>
参考</h1>
kitty</a></p>


linux 字体高级配置
2025-08-14T14:49:54+08:00
在 Linux 系统中，字体配置主要通过 Fontconfig 库管理，这是一个跨平台的字体配置系统。以下是完整的配置文件、操作命令和最佳实践指南：</p>
📁 核心配置文件结构</h1>
1. 系统级配置</h2>
路径	作用	修改权限</p>

/etc/fonts/fonts.conf	主配置文件	root</li>
/etc/fonts/conf.d/	配置片段目录（按数字顺序加载）	root</li>
/usr/share/fonts/	系统字体安装目录	root</li>
/usr/local/share/fonts/	本地安装字体目录	root</li>
</ul>
2. 用户级配置</h2>
路径	作用</p>

~/.config/fontconfig/fonts.conf	用户主配置文件</li>
~/.config/fontconfig/conf.d/	用户配置片段目录</li>
~/.local/share/fonts/	用户字体目录</li>
</ul>
🔧 核心操作命令</h1>
1. 字体管理命令</h2>
命令	作用	示例</p>

fc-cache	刷新字体缓存	fc-cache -fv (强制详细刷新)</li>
fc-list	列出可用字体	fc-list : family style</li>
fc-match	测试字体匹配	fc-match "Arial"</li>
fc-query	检查字体文件属性	fc-query /path/to/font.ttf</li>
fc-scan	扫描字体文件元数据	fc-scan -v /path/to/font.otf</li>
</ul>
2. 字体安装</h2>
# 系统级安装
sudo cp new_font.ttf /usr/share/fonts/truetype/
sudo fc-cache -fv
# 用户级安装
mkdir -p ~/.local/share/fonts/
cp new_font.otf ~/.local/share/fonts/
fc-cache -fv ~/.local/share/fonts/
</code></pre>
⚙️ 配置文件详解</h1>
1. 典型配置文件结构 (XML格式)</h2>
<?xml version="1.0"?>
<!DOCTYPE fontconfig SYSTEM "fonts.dtd">
<fontconfig>
  <!-- 1. 添加字体目录 -->
  <dir>/usr/local/share/fonts</dir>
  
  <!-- 2. 逻辑字体映射 -->
  <alias>
    <family>sans-serif</family>
    <prefer>
      <family>Noto Sans</family>
      <family>Source Han Sans SC</family>
    </prefer>
  </alias>
  
  <!-- 3. 渲染优化 -->
  <match target="font">
    <edit name="antialias" mode="assign"><bool>true</bool></edit>
    <edit name="hinting" mode="assign"><bool>true</bool></edit>
    <edit name="hintstyle" mode="assign"><const>hintslight</const></edit>
    <edit name="rgba" mode="assign"><const>rgb</const></edit>
  </match>
  
  <!-- 4. 禁用特定字体 -->
  <selectfont>
    <rejectfont>
      <pattern>
        <patelt name="family"><string>Comic Sans MS</string></patelt>
      </pattern>
    </rejectfont>
  </selectfont>
</fontconfig>
</code></pre>
2. 关键配置参数</h2>
参数	值	作用</p>

antialias	true/false	启用抗锯齿</li>
hinting	true/false	启用字体微调</li>
hintstyle	hintnone/hintslight/hintmedium/hintfull	微调强度</li>
rgba	none/rgb/bgr/vrgb/vbgr	子像素渲染模式</li>
lcdfilter	lcddefault/lcdlight/lcdlegacy	LCD滤镜优化</li>
</ul>
🛠️ 高级配置技巧</h1>
1. 多语言字体回退</h2>
<!-- 中文优先使用思源黑体，英文用Roboto -->
<alias>
  <family>sans-serif</family>
  <prefer>
    <family>Source Han Sans SC</family>
    <family>Roboto</family>
    <family>Noto Sans CJK SC</family>
  </prefer>
</alias>
</code></pre>
2. DPI缩放设置</h2>
# 检查当前DPI
xdpyinfo | grep dots
</code></pre>
# 配置DPI (创建 ~/.config/fontconfig/conf.d/99-dpi.conf)
<match target="pattern">
  <edit name="dpi" mode="assign"><double>144</double></edit>
</match>
</code></pre>
3. 符号字体修复</h2>
<!-- 修复终端符号显示 -->
<match target="pattern">
  <test name="family"><string>monospace</string></test>
  <edit name="family" mode="append">
    <string>Symbols Nerd Font</string>
  </edit>
</match>
</code></pre>
🔍 调试与问题排查</h1>
查看生效配置</h2>
fc-conflist  # 列出所有加载的配置文件
</code></pre>
测试配置效果</h2>
FC_DEBUG=4 fc-match sans-serif  # 输出详细匹配过程
</code></pre>
常见问题解决</h2>
# 字体不显示？
strace -e open fc-match "Arial" 2>&1 | grep fonts  # 检查文件访问路径
# 渲染异常？
FC_DEBUG=1024 fc-match sans-serif > debug.log  # 生成详细调试日志
</code></pre>
💡 最佳实践建议</h1>
目录结构</h2>
~/.config/fontconfig/conf.d/
├── 10-font-paths.conf    # 添加字体目录
├── 20-universal-aliases.conf # 逻辑字体映射
├── 30-rendering-options.conf # 渲染参数
└── 99-local-overrides.conf   # 本地覆盖
</code></pre>
配置优先级</h2>
graph LR
A[系统默认] --> B[/etc/fonts/conf.d/]
B --> C[~/.config/fontconfig/conf.d/]
C --> D[应用特定设置]
</code></pre>
恢复默认配置</h2>
rm -rf ~/.config/fontconfig/  # 删除用户配置
sudo fc-cache -fv            # 重建缓存
</code></pre>
通过合理配置这些文件和命令，您可以完全掌控 Linux 系统的字体渲染行为，解决多语言支持、高分屏适配等复杂场景问题。</p>
参考</h1>
字体配置</a></p>


linux 字体如何配置
2025-08-14T14:12:52+08:00
主要的配置文件</h1>

系统级

/etc/fonts/fonts.conf</li>
主配置文件（通常不建议直接修改）</li>
/etc/fonts/conf.d/</li>
符号链接到 /usr/share/fontconfig/conf.avail/ 中的配置片段</li>
/usr/share/fontconfig/conf.avail/</li>
可用的配置片段（如 10-hinting.conf）</li>
</ul>
</li>
用户级配置（推荐）

~/.config/fontconfig/fonts.conf

用户自定义字体配置（最常用）</li>
</ul>
</li>
~/.fonts.conf

旧式用户配置（已废弃，但仍支持）</li>
</ul>
</li>
</ul>
</li>
</ul>
字体文件</h1>

系统级字体

/usr/share/fonts/</li>
需 root 权限操作</li>
</ul>
</li>
用户级字体

~/.fonts/ 或 ~/.local/share/fonts/</li>
无需特权，仅影响当前用户</li>
</ul>
</li>
自定义目录

如 /opt/fonts/</li>
需在 fonts.conf 中添加 dir 标签</li>
</ul>
</li>
</ul>
安装字体</h1>
# 系统级安装（需 root）
sudo cp newfont.ttf /usr/share/fonts/truetype/
sudo fc-cache -fv  # 刷新缓存
# 用户级安装
cp newfont.ttf ~/.local/share/fonts/
fc-cache -fv  # 刷新用户缓存
</code></pre>
调试工具</h1>
fc-list :lang=zh  
# 测试字体匹配逻辑11
fc-match "Microsoft YaHei" 
</code></pre>
‌渲染控制‌</h2>
修改 /etc/fonts/conf.d/10-antialias.conf 启用抗锯齿：</p>
<match target="font">
  <edit name="antialias" mode="assign"><bool>true</bool></edit>
</match>
</code></pre>
优先显示策略‌</h2>
在 fonts.conf 中强制指定中文字体族：</p>
<alias>
  <family>serif</family>
  <prefer>
    <family>Source Han Serif SC</family> <!-- 思源宋体 -->
  </prefer>
</alias>
</code></pre>
‌缺失解决方案‌</h2>

Windows 字体迁移：复制 C:\Windows\Fonts 下的 *.ttf 到 Linux 字体目录</li>
安装开源字体包：</li>
</ul>
sudo apt install fonts-noto-cjk  # Ubuntu/Debian
</code></pre>
缓存与生效</h1>
‌刷新缓存‌：任何字体增删后必须执行 fc-cache -fv
‌应用生效‌：部分应用需重启才能加载新配置（如终端、浏览器）</p>
安装字体</h1>
# 创建用户字体目录
mkdir -p ~/.local/share/fonts
# 复制字体文件（.ttf, .otf, .woff 等）
cp ~/Downloads/JetBrainsMono-Regular.ttf ~/.local/share/fonts/
# 刷新字体缓存
fc-cache -fv
</code></pre>
查看已安装字体</h2>
# 列出所有字体族名
fc-list : family
# 搜索特定字体
fc-list : family | grep -i "jetbrains\|fira\|mono"
# 查看某个字体的详细信息
fc-query ~/.local/share/fonts/JetBrainsMono-Regular.ttf | grep -A 2 -B 2 family
</code></pre>
测试字体匹配</h2>
# 查看 monospace 别名指向哪个字体
fc-match monospace
# 查看 sans-serif 指向哪个字体
fc-match "sans-serif"
# 查看你设置的字体是否能匹配
fc-match "JetBrains Mono"
</code></pre>
配置字体别名（例如：让 monospace 使用 JetBrains Mono）</h2>
编辑用户配置文件：</p>
mkdir -p ~/.config/fontconfig
nano ~/.config/fontconfig/fonts.conf
</code></pre>
<?xml version="1.0"?>
<!DOCTYPE fontconfig SYSTEM "fonts.dtd">
<fontconfig>
  <!-- 设置 monospace 默认为 JetBrains Mono -->
  <alias>
    <family>monospace</family>
    <prefer>
      <family>JetBrains Mono</family>
      <family>DejaVu Sans Mono</family>
      <family>Liberation Mono</family>
    </prefer>
  </alias>

  <!-- 可选：设置 sans-serif -->
  <alias>
    <family>sans-serif</family>
    <prefer>
      <family>Inter</family>
      <family>Roboto</family>
    </prefer>
  </alias>
</fontconfig>
</code></pre>
# 保存后刷新缓存：
fc-cache -fv
# 验证
fc-match monospace
# 你应该看到输出指向 JetBrains Mono
</code></pre>
配置字体渲染效果（可选）</h2>
你可以在 fonts.conf 中添加渲染优化：</p>
<match target="font">
  <edit name="antialias" mode="assign"><bool>true</bool></edit>
  <edit name="hinting" mode="assign"><bool>true</bool></edit>
  <edit name="hintstyle" mode="assign"><const>hintslight</const></edit>
  <edit name="rgba" mode="assign"><const>rgb</const></edit>
  <edit name="lcdfilter" mode="assign"><const>lcddefault</const></edit>
  <edit name="autohint" mode="assign"><bool>false</bool></edit>
</match>
</code></pre>
解释：</p>

antialias: 启用抗锯齿</li>
hinting: 字体微调（可选 hintnone, hintslight, hintmedium, hintfull）</li>
rgba: 子像素渲染方向（LCD 屏幕适用）</li>
lcdfilter: 平滑子像素边缘</li>
</ul>
💡 建议：笔记本/高分屏用 hintslight + lcddefault，台式机 RGB 屏可用 rgb</p>
配置kitty字体： 具体应用场景</h1>
sudo apt install fonts-jetbrains-mono
cat <<EOF >> ~/.config/kitty/kitty.conf
font_family JetBrains Mono
font_size 14.0
EOF
# 验证
fc-match "JetBrains Mono"
</code></pre>
让所有应用优先使用 Fira Code</h2>
sudo apt install fonts-firacode
</code></pre>
<!-- ~/.config/fontconfig/fonts.conf -->
<alias>
  <family>monospace</family>
  <prefer>
    <family>Fira Code</family>
  </prefer>
</alias>
</code></pre>
然后 fc-cache -fv，重启 Kitty 或其他应用</p>
修复中文乱码或英文模糊</h2>
有时英文用等宽字体，中文却没字体可显示。可以添加中文字体 fallback：</p>
<alias>
  <family>serif</family>
  <prefer>
    <family>Noto Serif CJK SC</family>
  </prefer>
</alias>
<alias>
  <family>sans-serif</family>
  <prefer>
    <family>Noto Sans CJK SC</family>
  </prefer>
</alias>
<alias>
  <family>monospace</family>
  <prefer>
    <family>JetBrains Mono</family>
    <family>Noto Sans Mono CJK SC</family>
  </prefer>
</alias>
</code></pre>
安装中文字体（如 Noto CJK）：</p>
sudo apt install fonts-noto-cjk
</code></pre>
调试技巧</h1>

查看字体缓存状态 fc-cache -s</code></li>
检查某个字体是否被扫描 fc-list</code></li>
查看配置加载顺序 fc-match -v monospace</code> （看输出中的 pattern）</li>
强制重建所有缓存 fc-cache -fv ~/.local/share/fonts/</code></li>
</ul>
最佳实践</h2>

安装字体

放入 ~/.local/share/fonts/</li>
</ul>
</li>
配置字体

使用 ~/.config/fontconfig/fonts.conf</li>
</ul>
</li>
修改默认等宽字体

在 fonts.conf 中设置 monospace 别名</li>
</ul>
</li>
刷新配置

fc-cache -fv</li>
</ul>
</li>
验证结果

fc-match monospace</li>
</ul>
</li>
</ul>
完整示例配置文件</h2>
<!-- ~/.config/fontconfig/fonts.conf -->
<?xml version="1.0"?>
<!DOCTYPE fontconfig SYSTEM "fonts.dtd">
<fontconfig>

  <!-- 设置 monospace 默认字体 -->
  <alias>
    <family>monospace</family>
    <prefer>
      <family>JetBrains Mono</family>
      <family>Fira Code</family>
      <family>DejaVu Sans Mono</family>
    </prefer>
  </alias>

  <!-- 渲染优化 -->
  <match target="font">
    <edit name="antialias" mode="assign"><bool>true</bool></edit>
    <edit name="hinting" mode="assign"><bool>true</bool></edit>
    <edit name="hintstyle" mode="assign"><const>hintslight</const></edit>
    <edit name="rgba" mode="assign"><const>rgb</const></edit>
    <edit name="lcdfilter" mode="assign"><const>lcddefault</const></edit>
  </match>

</fontconfig>
</code></pre>


linux 字体配置
2025-08-14T12:39:02+08:00
字体配置中涉及到的几个名称</h1>
字体的几个“名字”：别被搞混了</p>
一个字体在系统中可能有多个“名字”，它们分别是：</p>
名称类型</th> 实例</th> 说明</th></tr></thead>

字体文件名</td> JetBrainsMono-Regular.ttf</td> 文件系统中的名字， 不用于配置</td></tr>
字体族名（Family）</td> JetBrains Mono</td> 最重要的名字，用于 fc-match 和 Kitty 配置</td></tr>
字体样式名（Style）</td> Regular , Bold , Italic</td> 区分粗体、斜体等</td></tr>
完整字体名（Full Name）</td> JetBrains Mono Regular</td> 族名 + 样式，一般也不用于配置</td></tr>
</tbody></table>
用 fc-list 看看实际输出</h2>
先安装对应的字体</p>
sudo apt install fonts-jetbrains-mono
</code></pre>
使用fc-list 查看</p>
fc-list | grep -i "jetbrains"
fc-list | grep -i "notosansmono"
</code></pre>
输出可能类似：</p>
/usr/share/fonts/JetBrainsMono/JetBrainsMono-Regular.ttf: JetBrains Mono:style=Regular
/usr/share/fonts/JetBrainsMono/JetBrainsMono-Bold.ttf: JetBrains Mono:style=Bold
</code></pre>
解读：</p>

路径：/usr/share/fonts/.../JetBrainsMono-Regular.ttf → 这是文件名</li>
第一个名字：JetBrains Mono → 这是字体族名（Family） ✅（你要用的）</li>
style=Regular → 这是字体样式</li>
</ul>
✅ 所以你应该在 Kitty 中使用 font_family JetBrains Mono，而不是 JetBrainsMono-Regular.ttf</p>
fc-match 用什么名字？用“字体族名”</h2>
fc-match "JetBrains Mono"
</code></pre>

✅ 正确：使用 族名（JetBrains Mono）</li>
❌ 错误：使用文件名（JetBrainsMono-Regular.ttf）或完整名（JetBrains Mono Regular）
输出示例：</li>
JetBrainsMono-Regular.ttf: "JetBrains Mono" "Regular"</li>
这说明匹配成功。</li>
</ul>
使用fontconfig工具</h1>
apt install fontconfig
</code></pre>
方法 1：用 fc-list 提取族名（推荐）</h2>
# 列出所有 JetBrains 字体的族名
fc-list : family | grep -i jetbrains
</code></pre>

输出：</li>
JetBrains Mono</li>
→ 你就用 JetBrains Mono 作为 font_family</li>
</ul>
方法 2：用 fc-match 验证是否能匹配</h2>
fc-match "JetBrains Mono"
</code></pre>
如果返回 .ttf 文件路径，说明名字正确。</p>
方法 3：查看字体详细信息（高级）</h2>
使用 fc-query 查看某个字体文件的元数据：</p>
fc-query /usr/share/fonts/JetBrainsMono/JetBrainsMono-Regular.ttf | grep -i family
</code></pre>

输出：</li>
family: "JetBrains Mono"</li>
familylang: "en"</li>
→ 所以族名是 JetBrains Mono</li>
</ul>
🚫 常见错误用法（不要这样做）</h2>

font_family JetBrainsMono-Regular.ttf</li>
font_family JetBrains Mono Regular</li>
font_family /usr/share/fonts/.../ttf</li>
</ul>
特殊情况：Nerd Fonts 补丁字体</h1>
Nerd Fonts 给字体加了图标支持，通常会修改族名。</p>
例如：</p>
fc-list | grep -i "nerd"
</code></pre>

输出：</li>
... FiraCode Nerd Font:style=Regular</li>
... JetBrainsMono Nerd Font:style=Medium</li>
</ul>
✅ 正确配置：</h2>

font_family FiraCode Nerd Font</li>
注意：空格和大小写都要一致！</li>
</ul>
实用命令速查表</h1>
fc-list
# 格式：文件路径: 家族名, 完整名:style=样式
</code></pre>
# 1. 列出所有字体族名（只显示 family）
fc-list : family
# 2. 搜索包含 "mono" 的字体族
fc-list : family | grep -i mono
# 3. 搜索 JetBrains 相关字体
fc-list : family | grep -i jetbrains
# 4. 验证某个字体是否可用
fc-match "Fira Code"
fc-match "JetBrains Mono"
# 5. 刷新字体缓存（安装新字体后）
fc-cache -fv
# 6
fc-list : family style
</code></pre>
内部元数据名称</h2>
fc-scan /usr/share/fonts/truetype/jetbrains-mono/JetBrainsMono-Regular.ttf
</code></pre>
fc-match monospace 的含义</h1>
monospace 是 fontconfig 定义的逻辑字体分类名</p>


隐式属性匹配‌</p>

monospace是Fontconfig通过spacing属性自动识别的分类，而非字体元数据中的显式字段。当字体满足spacing=100（等宽）时，系统会将其归入monospace类别，但该标签不会出现在fc-list的原始输出中56。</li>
</ul>
</li>

‌验证方法‌</p>

通过以下命令可查看字体的等宽属性：</li>
</ul>
</li>
</ul>
fc-list :spacing=100  # 列出所有等宽字体
fc-list : family spacing | grep -B1 "100"  # 显示家族名和间距属性
</code></pre>
graph LR
A[应用程序请求<br>“monospace”字体] --> B[fontconfig 规则引擎]
B --> C{匹配规则库<br>/etc/fonts/conf.d}
C --> D[物理字体文件]
D --> E[返回实际字体路径]
</code></pre>
fc-match -s monospace | head -n5
fc-match monospace |head -n1 
# 查看完整的字体属性
fc-query /usr/share/fonts/opentype/noto/NotoSansCJK-Regular.ttc | grep -E 'family|style'
</code></pre>
为什么这样设计？</h2>

抽象层价值：

应用程序只需请求 "monospace"，不需知道具体字体</li>
系统管理员可统一修改所有应用的等宽字体</li>
</ul>
</li>
多语言支持：</li>
</ul>
<!-- 针对中文的 monospace 优化 -->
<alias>
  <family>monospace</family>
  <prefer>
    <family>Noto Sans Mono CJK SC</family>
  </prefer>
</alias>
</code></pre>

字体回退机制：
当首选字体缺失字符时，自动回退到备选字体</li>
</ul>
其他主要的逻辑字体分类名</h2>

serif（衬线体）

特征：字符末端带有装饰性衬线（如Times New Roman、宋体）。</li>
用途：正文印刷、传统排版，提升长文本可读性13。</li>
示例物理字体：

Linux: DejaVu Serif, Liberation Serif</li>
Windows: Times New Roman</li>
macOS: Georgia</li>
</ul>
</li>
</ul>
</li>
sans-serif（无衬线体）

特征：无衬线，线条简洁（如Arial、微软雅黑）。</li>
用途：屏幕显示、现代UI设计，适合标题和短文本134。</li>
示例物理字体：

Linux: DejaVu Sans, Noto Sans</li>
Windows: Arial</li>
macOS: Helvetica</li>
</ul>
</li>
</ul>
</li>
cursive（手写体）

特征：模拟手写风格，笔画连贯。</li>
用途：艺术设计、个性化标题，不适用于长文本34。</li>
示例物理字体：Comic Sans MS, Brush Script MT</li>
</ul>
</li>
fantasy（装饰体）

特征：高度装饰性，风格多变（如海报字体）。</li>
用途：海报、LOGO设计，强调视觉冲击34。</li>
示例物理字体：Impact, Papyrus</li>
</ul>
</li>
symbol（符号字体）

特征：包含特殊符号而非文字（如数学符号、图标）。</li>
用途：数学公式、技术文档中的符号渲染13。</li>
示例物理字体：Webdings, Symbol</li>
</ul>
</li>
</ul>
思源字体</h1>
思源黑体，英文名为Source Han Sans，Google 称之为Noto Sans CJK，是一款由Adobe 和Google 共同开发的开源字体家族。它支持简体中文、繁体中文、日文和韩文，并且有多种字重，旨在为多语言环境提供一致的视觉体验。</p>
思源字体和宋体、黑体的区别在于，思源字体是一个字体家族，包含了思源黑体和思源宋体，而宋体和黑体是两种常见的字体类型，各自都有不同的特点和应用场景。</p>
主要区别</h2>

衬线:这是最主要的区别。宋体有衬线，黑体没有衬线.</li>
风格:宋体更传统，黑体更现代.</li>
应用场景:宋体常用于正文，黑体常用于标题和界面.</li>
思源字体:思源字体家族提供了多种字重和对多种语言的支持，可以满足更广泛的需求.</li>
</ul>
具体含义如下：</h2>

思源:

“思源”一词出自成语“饮水思源”，寓意对字体来源的尊重和对设计者的感谢。</li>
</ul>
</li>
黑体:

指字体风格，是一种无衬线字体，特点是字形简洁、现代，笔画粗细均匀，易于阅读。</li>
</ul>
</li>
Source Han Sans:

Adobe 公司对该字体的英文名称，属于Adobe 的Source 字体家族。</li>
</ul>
</li>
Noto Sans CJK:

Google 公司对该字体的名称，属于Google 的Noto 字体家族。“CJK”代表中文（Chinese）、日文（Japanese）和韩文（Korean），表示该字体支持这三种语言的统一表意文字。</li>
</ul>
</li>
</ul>
总而言之，思源黑体/Source Han Sans/Noto Sans CJK 是一款由Adobe 和Google 合作开发的开源字体，以“饮水思源”命名，支持多种语言，具有简洁现代的设计风格，广泛应用于网页设计、印刷品、软件界面等领域。</p>
参考</h1>
字体配置</a></p>


linux 终端崩溃排查
2025-08-14T10:09:21+08:00
现象</h1>
第一次发生崩溃是在使用Ctrl+R 进行历史命令搜索时发生，
按下Ctrl+R</code>后， 1秒内终端就直接退出了</p>
排查过程</h1>
重置终端</h2>
# 重置gnome-terminal配置
dconf reset -f /org/gnome/terminal/
# 或完全删除配置
rm -rf ~/.config/gnome-terminal/
</code></pre>
检查日志</h2>
journalctl -xe | grep -i terminal
dmesg | grep -i error
</code></pre>
尝试其他终端</h2>

首次使用tilix时，发现正常了</li>
但是这只是表象 ORZ</li>
用了一天之后，又发生了同样的异常</li>
</ul>
apt install tilix
tilix
</code></pre>
怀疑fzf</h2>
首先 Ctrl + R 绑定的程序是fzf</p>
bindkey | grep -Ei '\^r'
</code></pre>

直接运行fzf发现就会发生崩溃</li>
</ul>
为什么新安装的终端不会崩溃呢？</h3>

使用strace发现fzf发生了141退出吗，</li>
搜索后发现是sigpipe导致的:  sig = errno - 128 = 141 - 128 = 13</code></li>
即退出码141对应信号13（SIGPIPE）</li>
</ul>
strace -f -o fzf.log fzf
strace -f -e trace=pipe,write,socket -o debug.log fzf
</code></pre>

怀疑是结果过大导致的</li>
最后缩小范围，发现候选行数超过一定行数fzf就会报错</li>
但是这个值会发生变化</li>
</ul>
yes | head -n 46149 | fzf
seq 50000 | fzf
</code></pre>
换终端模拟器</h3>

apt install kitty</li>
apt install alacritty</li>
apt install tilix #（也基于 VTE，但版本有时会稍微稳定些）</li>
用 tmux 作为缓冲</li>
</ul>
seq 1000000 | fzf
</code></pre>
我切换了kitty终端，发现是正常的， 怀疑的确是VTE的bug导致的</p>
为什么 kitty / alacritty 正常？</h2>
终端</th> 渲染引擎</th> 特点</th></tr></thead>

kitty</td> 自研 GPU 加速</td> 高性能，专为大输出优化</td></tr>
alacritty</td> GPU 加速（OpenGL）</td> 极致性能，Rust 编写</td></tr>
gnome-terminal / tilix</td> VTE（CPU 渲染）</td> 功能完整但性能较弱</td></tr>
</tbody></table>
👉 kitty 和 alacritty 使用现代渲染架构，能更高效处理 fzf 的快速滚动和高密度输出。</p>
解决方案</h1>
续使用 kitty 或 alacritty（推荐）</h2>
这是最稳定、长期有效的方案：</p>
# 安装 kitty
sudo apt install kitty
# 或安装 alacritty
sudo apt install alacritty
</code></pre>
💡 推荐 kitty：功能丰富、文档完善、对 fzf/tmux 支持极佳。</p>
升级 VTE 到 0.76+（风险较高）</h2>
Ubuntu 24.04 默认未提供新版 VTE，但您可以：</p>

从 Debian 测试源或第三方 PPA 安装</li>
</ul>
# 添加提供新版 VTE 的 PPA（需谨慎）
# 例如：https://launchpad.net/~gnome-team/+archive/ubuntu/gnome3
sudo add-apt-repository ppa:gnome-team/gnome3
sudo apt update
sudo apt install libvte-2.91-dev libvte-2.91-0
</code></pre>
什么是 VTE？</h3>
VTE 是 GNOME Terminal、Tilix、MATE Terminal 等使用的底层终端控件库（libvte）
Ubuntu 24.04 默认带的是 VTE 0.74.x，这个版本在 Gitlab issue 里已经有 “ncurses 程序在大数据输入下崩溃” 的 bug 报告，可以试试更新到 0.76+ 或从源码编译新版本。
该版本在处理高吞吐量、快速连续的 ANSI/VT100 控制序列输出时，存在缓冲区管理缺陷</p>


tcpdump 抓包sing-box流量
2025-08-13T16:03:07+08:00
使用的sing-box代码</h1>
下载并编译</p>
git clone git@github.com:moxuetianya/sing-box.git
cd sing-box
go build -v ./cmd/sing-box/
</code></pre>
启动sing-box vless 节点</h1>
./sing-box run -c release/config/vless-config-client.json 
./sing-box run -c release/config/vless-config.json 
</code></pre>
禁用ipv6</h1>
发现本地的网络出口不支持ipv6
直接使用上面的命令启动后， 代理访问目的服务可能使用ipv6地址</p>
如 www.baidu.com, 使用了ipv6地址, 但是本地网络提供商没有提供ipv6服务，导致超时报错</p>
curl -X5 -x socks5://127.0.0.1:1080 www.baidu.com
</code></pre>
粗暴点，直接禁用接口的ipv6</p>
sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1
curl -X5 -x socks5://127.0.0.1:1080 www.baidu.com
</code></pre>
抓包</h1>
sudo tcpdump -i lo port 50000 -w /tmp/vless.pcap -nnvv
</code></pre>


linxu DNS systemd-resolved
2025-08-13T11:37:01+08:00
systemd-resolved 获取上游 DNS 的途径</h1>
systemd-resolved 不会依赖 /etc/resolv.conf 获取上游 DNS（因为那是它给应用程序提供的入口）。它通过更底层的、按网络接口（Link）独立配置 的方式获取上游 DNS：</p>
网络管理器配置（主要来源）:</h2>

systemd-networkd： 如果使用 systemd-networkd 管理网络，会在网络配置文件（如 /etc/systemd/network/80-wired.network）中通过 DNS= 选项指定：</li>
</ul>
[Network]
DNS=192.168.1.1 8.8.8.8
DNS=1.1.1.1
</code></pre>

NetworkManager： 如果使用 GNOME/KDE 等桌面环境的 NetworkManager：

它会自动从 DHCP 服务器获取 DNS 信息。</li>
或通过 GUI/nmcli 手动配置的 DNS 服务器（如 nmcli con mod eth0 ipv4.dns "192.168.1.1 8.8.8.8"）。</li>
NetworkManager 会将这些配置通过 D-Bus 实时推送给 systemd-resolved。</li>
</ul>
</li>
</ul>
systemd-resolved 全局配置文件 (/etc/systemd/resolved.conf):</h2>
可以作为备用或全局覆盖，使用 DNS= 选项：</p>
[Resolve]
DNS=9.9.9.9 2620:fe::fe # 例如 Quad9 DNS
FallbackDNS=8.8.8.8 2001:4860:4860::8888 # 备用 Google DNS
Domains=~example.com # 搜索域
#DNSSEC=yes # 可选 DNSSEC 配置
</code></pre>

重要： 接口特定配置（来自 systemd-networkd 或 NetworkManager）优先级高于 全局 resolved.conf 中的配置。</li>
</ul>
DHCP 客户端集成:</h2>

当网络接口通过 DHCP 获取 IP 地址时，DHCP 服务器通常会同时提供 DNS 服务器地址。</li>
systemd-networkd 或 NetworkManager 的 DHCP 客户端模块会自动捕获这些 DNS 信息，并将其作为该接口的 DNS 配置提供给 systemd-resolved。</li>
</ul>
VPN 或特殊网络接口:</h2>
当连接 VPN（如 OpenVPN, WireGuard）或使用特殊接口（如 PPPoE）时：</p>

VPN 客户端或接口管理器会动态添加其特定的 DNS 服务器地址到 systemd-resolved 中（通常通过 D-Bus API）。</li>
systemd-resolved 知道这些 DNS 服务器仅适用于通过该 VPN/接口路由的流量。</li>
</ul>
linux dns查询如何到达真正的上游 DNS？</h1>


应用程序发起查询： 浏览器等 App 请求 www.example.com。</p>
</li>

查询发送到 stub： 根据 /etc/resolv.conf (指向 127.0.0.53)，查询被发送到本机 systemd-resolved 服务。</p>
</li>

systemd-resolved 处理：</p>

检查本地缓存（如有缓存且有效，直接返回结果）。</li>
检查是否属于 LLMNR/mDNS 域名（如 .local），如果是则在本地链路处理。</li>
判断查询应使用哪个网络接口的上游 DNS (基于源接口、路由策略、域名后缀匹配)。</li>
</ul>
</li>

转发到上游 DNS： systemd-resolved 将查询转发给为该接口/域配置的真正上游 DNS 服务器（如 192.168.1.1 或 9.9.9.9）。</p>

支持协议：传统 UDP/TCP DNS，或加密的 DNS-over-TLS (DoT) / DNS-over-HTTPS (DoH)（需配置）。</li>
</ul>
</li>

接收并处理响应：</p>

接收上游 DNS 返回的响应。</li>
可选进行 DNSSEC 验证（若配置）。</li>
将响应结果缓存（根据记录的 TTL）。</li>
将最终结果返回给发起查询的应用程序。</li>
</ul>
</li>
</ol>


使用tshark进行pcap和pcapng的转换
2025-08-12T18:53:51+08:00
tshark 简介</h1>
tshark就是wireshark的命令行之一。WireShark的功能基本都有，还能组合grep/awk等编程处理分析抓包文件。</p>
TShark是一个网络分析工具。它能帮你在实时网络中捕获数据包，或是从预先保存好的捕获文件中读取数据包，或是打印出这些数据包的解码形式到标准输出，再或是把数据包写入到一个文件中。TShark的本地捕获文件格式是pcapng格式，这种pcapng格式也被wireshark和多种其他工具使用。</p>
Wireshark除了能够手动的分析报文之外，还额外的提供了几个命令行工具，方便开发者日常的报文处理需求，比如批量的合并以及编辑报文。这几个命令都是安装wireshark之后能够直接使用的，同时有的有对应的wireshark GUI 的操作。这些命令分别有tshark、tcpdump、capinfos、dumpcap、text2cap、editcap、reordercap、rawshark、mergecap、pcapfix(需单独安装)。</p>

tshark：基于终端的Wireshark</li>
tcpdump：使用“tcpdump”捕获以便使用Wireshark查看</li>
dumpcap：捕获“dumpcap”以便使用Wireshark查看</li>
capinfos：打印有关捕获文件的信息</li>
rawshark：转储和分析网络流量。</li>
editcap：编辑捕获文件</li>
mergecap：将多个捕获文件合并为一个</li>
text2pcap：将ASCII hexdumps转换为网络捕获</li>
reordercap：重新排序捕获文件</li>
pcapfix: 修复pcap文件</li>
</ul>
pcap</h1>
Wireshark默认的存储方式是pcap格式，最新版本的wireshark默认存储方式是pcapng。ng是next generation 的缩写，pcap和pcapng格式文件有是存在一定的差异。</p>
pcap报文文件结构示意图 https://img1.kiosk007.top/static/images/tshark/pcap_file_format.png</p>

Global Header是整个文件的文件头，包含文件格式标识，pcap格式版本号等文件指示信息。</li>
Packet Header是每一片数据报文的头部信息，这些信息都是在形成pcap 报文的过程中由抓包软件wireshark添加的额外信息，例如报文捕获时间等。</li>
Packet Data是抓取通信过程中的实际数据，包括协议数据和内容数据。</li>
Wireshark 中对 Global Header 的定义</li>
</ul>
typedef struct pcap_hdr_s {
    guint32 magic_number;   /* magic number */
    guint16 version_major;  /* major version number */
    guint16 version_minor;  /* minor version number */
    gint32  thiszone;       /* GMT to local correction */
    guint32 sigfigs;        /* accuracy of timestamps */
    guint32 snaplen;        /* max length of captured packets, in octets */
    guint32 network;        /* data link type */
} pcap_hdr_t;
</code></pre>
Wireshark 中对 Packet Header 的定义</p>
typedef struct pcaprec_hdr_s {
    guint32 ts_sec;         /* timestamp seconds */
    guint32 ts_usec;        /* timestamp microseconds */
    guint32 incl_len;       /* number of octets of packet saved in file */
    guint32 orig_len;       /* actual length of packet */
} pcaprec_hdr_t;
</code></pre>
tshark 转换pcapng 为pcap</h2>
tshark -F pcap -r origin.pcapng -w output.pcap
</code></pre>
tshark 中的常用参数</h1>

-o ${key:value} : 配置首选项中的settings, 一般可配置显示时间戳、是否相关seq number，或者TLS、WPA 解密等。
</li>
-z ${statistics} : 集各种类型的统计信息, 这里面有一些信息是很有用的，如专家信息、时序统计飞行中的报文、时序丢包都需要这个参数
</li>
</ul>
其他参数介绍</p>
# 抓包接口类
-i 设置抓包的网络接口，不设置则默认为第一个非自环接口。
-D 列出当前存在的网络接口。在不了解OS所控制的网络设备时，一般先用“tshark -D”查看网络接口的编号以供-i参数使用。
-f 设定抓包过滤表达式（capture filter expression）。抓包过滤表达式的写法雷同于tcpdump
-s 设置每个抓包的大小，默认为65535，多于这个大小的数据将不会被程序记入内存、写入文件
-p 设置网络接口以非混合模式工作，即只关心和本机有关的流量

# 停止抓包参数
-c 抓取的packet数，在处理一定数量的packet后，停止抓取，程序退出。
-a 设置tshark抓包停止向文件书写的条件，事实上是tshark在正常启动之后停止工作并返回的条件。条件写为test:value的形式，如“-a duration:5”表示tshark启动后在5秒内抓包然后停止；“-a filesize:10”表示tshark在输出文件达到10kB后停止；“-a files:n”表示tshark在写满n个文件后停止。

# 处理类
-R 设置读取（显示）过滤表达式（read filter expression）。不符合此表达式的流量同样不会被写入文件。
-n 禁止所有地址名字解析（默认为允许所有）。
-N 启用某一层的地址名字解析。“m”代表MAC层，“n”代表网络层，“t”代表传输层，“C”代表当前异步DNS查找。如果-n和-N参数同时存在，-n将被忽略。如果-n和-N参数都不写，则默认打开所有地址名字解析。
-d 将指定的数据按有关协议解包输出。如要将tcp 8888端口的流量按http解包，应该写为“-d tcp.port==8888,http”。注意选择子和解包协议之间不能留空格。

# 输出类
-w 设置raw数据的输出文件。这个参数不设置，tshark将会把解码结果输出到stdout。“-w-”表示把raw输出到stdout。如果要把解码结果输出到文件，使用重定向“>”而不要-w参数。
-F 设置输出raw数据的格式，默认为libpcap。“tshark -F”会列出所有支持的raw格式。
-V 设置将解码结果的细节输出，否则解码结果仅显示一个packet一行的summary。
-x 设置在解码输出结果中，每个packet后面以HEX dump的方式显示具体数据。
-T 设置解码结果输出的格式，包括text,ps,psml和pdml，默认为text。
-E: -E <fieldsoption>=<value>如果-T fields选项指定，使用-E来设置一些属性，比如
　　　　header=y|n
　　　　separator=/t|/s|<char>
　　　　occurrence=f|l|a
　　　　aggregator=,|/s|<char>
-t 设置解码结果的时间格式。“ad”表示带日期的绝对时间，“a”表示不带日期的绝对时间，“r”表示从第一个包到现在的相对时间，“d”表示两个相邻包之间的增量时间（delta）。
-S 在向raw文件输出的同时，将解码结果打印到控制台。
-l 在处理每个包时即时刷新输出。
-X 扩展项。
-q 设置安静的stdout输出（例如做统计时）
-z 设置统计参数。

# 其他
-h 显示命令行帮助。
-v 显示tshark的版本信息。
-o 重载选项
</code></pre>
tshark 打印pcap</h1>
我们通过tcpdump或者wireshark抓到 pcap 文件，接下来就可以利用 tshark 这个强大的命令行工具进行抓包。其中 -o的几个选项可以指定 ssl 解密（需要sslkeylog），-T 指定输出格式，-e 指定都需要输出哪些字段（字段列表参考 https://www.wireshark.org/docs/dfref/）。输出是将每个Package中指定的字段输出。</p>
tshark -o ssl.keylog_file:./sslkeylog.txt \
-o "ssl.desegment_ssl_records: TRUE" \
-o "ssl.desegment_ssl_application_data: TRUE" \
-e ssl.handshake.ciphersuite \  
-e tcp.analysis.zero_window \
-e http.host \
-e dns.time \
-e tcp.flags.urg \
-e http.request.line \
-e dns.qry.name \
-e ip.version \
-e tcp.analysis.window_full \
-e ipv6.dst \
-e http.request.version \
-e udp.dstport \
-e dns.flags.response \
.... \
-T json -r "./capturedump.pcap"
</code></pre>
其他样例</p>
//打印http协议流相关信息
tshark -s 512 -i eth0 -n -f 'tcp dst port 80' -Y 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l
//实时打印当前mysql查询语句
tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -Y 'mysql.query' -T fields -e mysql.query
//解析MySQL协议
tshark -r ./mysql-compress.cap -o tcp.calculate_timestamps:true \
-T fields -e mysql.caps.cp -e frame.number \
-e frame.time_epoch  -e frame.time_delta_displayed  \
-e ip.src -e tcp.srcport -e tcp.dstport -e ip.dst \
-e tcp.time_delta -e frame.time_delta_displayed \
-e tcp.stream -e tcp.len -e mysql.query
//抓取详细SQL语句, 快速确认client发过来的具体SQL内容：
sudo tshark -i any -f 'port 3306' -s 0 -l -w - |strings
sudo tshark -i eth0 -d tcp.port==3306,mysql -T fields -e mysql.query 'port 3306'
dfaf
sudo tshark -i eth0 -Y "ip.addr==11.163.182.137" -d tcp.port==3306,mysql -T fields -e mysql.query 'port 3306'
sudo tshark -i eth0 -Y "tcp.srcport==62877" -d tcp.port==3001,mysql -T fields -e tcp.srcport -e mysql.query 'port 3001'
</code></pre>
查看请求目标信息</h2>
tshark -r wechat.pcap -o 'gui.column.format:"Source Net Addr","%uns","Dest Net Addr", "%und"' -Y "ip" | sort | uniq
</code></pre>
查看丢包、带宽、吞吐、延迟</h2>
// 统计 ip 情况
tshark -r wechat.pcap -q -z conv,ip

// 跟踪一条流打印 16进制数据
tshark -r wechat.pcap -q -z "follow,tcp,hex,0" 
</code></pre>
计算丢包情况</h2>
tshark -r wechat.pcap -q \
 -z io,stat,1,"COUNT(tcp.analysis.retransmission) tcp.analysis.retransmission","COUNT(tcp.analysis.fast_retransmission) tcp.analysis.fast_retransmission","COUNT(tcp.analysis.duplicate_ack) tcp.analysis.duplicate_ack","COUNT(tcp.analysis.lost_segment) tcp.analysis.lost_segment"
</code></pre>
计算上行带宽</h2>
tshark -o tcp.desegment_tcp_streams:TRUE -n \
  -q -r  ./wechat.pcap \
  -z io,stat,99999999,"BYTES()(ip.src!=10.0.0.0/8 and ip.src!=172.16.0.0/12 and ip.src!=192.168.0.0/16)"
</code></pre>
计算 TCP RTT</h2>
tshark -o tcp.desegment_tcp_streams:TRUE -n \
  -q -r  ./wechat.pcap  -z \
  io,stat,99999999,"AVG(tcp.analysis.ack_rtt)tcp.analysis.ack_rtt"
</code></pre>
分析 tcp.stream id 为 0 的传输带宽</h2>
tshark -o tcp.desegment_tcp_streams:FALSE -n \
  -q -r wechat.pcapng -z io,stat,1,"BYTES()tcp.stream==0"
</code></pre>
参考</h1>
玩转tshark命令行工具</a></p>


dns报文格式
2025-08-12T15:11:42+08:00
DNS报文格式</h1>
经过前面学习，我们知道查询一个域名，需要与 DNS 服务器进行通信。那么，DNS 通信过程大概是怎样的呢？</p>
DNS 是一个典型的 Client-Server 应用，客户端发起域名查询请求，服务端对请求进行应答：</p>
</p>
DNS 一般采用 UDP 作为传输层协议（ TCP 亦可），端口号是 53 。请求报文和应答报文均作为数据，搭载在 UDP 数据报中进行传输：</p>
</p>
很显然，DNS 请求报文和应答报文均需要满足一定的格式，才能被通信双方所理解。这就是 DNS 协议负责的范畴，它位于传输层之上，属于 应用层</strong> 协议。</p>
报文格式</h2>
DNS 报文分为 请求</strong> 和 应答</strong> 两种，结构是类似的，大致分为五部分：</p>

头部（ header</em> ），描述报文类型，以及其下 4 个小节的情况；</li>
问题节（ question</em> ），保存查询问题；</li>
答案节（ answer</em> ），保存问题答案，也就是查询结果；</li>
授权信息节（ authority</em> ），保存授权信息；</li>
附加信息节（ additional</em> ），保存附加信息；</li>
</ul>

也有不少文献将 DNS 请求称为 DNS 查询</strong>（ query ），两者是一个意思。</p>
</blockquote>
</p>
其中，头部是固定的，共 12 字节；其他节不固定，记录数可多可少，数目保存在头部中。头部分为 6 个字段：</p>

标识</strong>（ identifier</em> ），一个 16 位的 ID ，在应答中原样返回，以此匹配请求和应答；</li>
标志</strong>（ flags</em> ），一些标志位，共 16 位；</li>
问题记录数</strong>（ question count</em> ），一个 16 位整数，表示问题节中的记录个数；</li>
答案记录数</strong>（ answer count</em> ），一个 16 位整数，表示答案节中的记录个数；</li>
授权信息记录数</strong>（ authority record count</em> ），一个 16 位整数，表示授权信息节中的记录个数；</li>
附加信息记录数</strong>（ additional record count</em> ），一个 16 位整数，表示附加信息节中的记录个数；</li>
</ul>
最后，我们来解释一下标志字段中的各个标志位：</p>


QR 位标记报文是一个查询请求，还是查询应答；</p>

0 表示查询请求；</li>
1 表示查询应答；</li>
</ul>
</li>

操作码</strong>（ opcode</em> ）占 4 位，表示操作类型：</p>

0 代表标准查询；</li>
1 代表反向查询；</li>
2 代表服务器状态请求；</li>
</ul>
</li>

AA 位表示 权威回答</strong>（ authoritative answer</em> ），意味着当前查询结果是由域名的权威服务器给出的；</p>
</li>

TC 位表示 截短</strong>（ truncated</em> ），使用 UDP 时，如果应答超过 512 字节，只返回前 512 个字节；</p>
</li>

RD 位表示 期望递归</strong> （ recursion desired</em> ），在请求中设置，并在应答中返回；</p>

该位为 1 时，服务器必须处理这个请求：如果服务器没有授权回答，它必须替客户端请求其他 DNS 服务器，这也是所谓的 递归查询</strong> ；</li>
该位为 0 时，如果服务器没有授权回答，它就返回一个能够处理该查询的服务器列表给客户端，由客户端自己进行 迭代查询</strong> ；</li>
</ul>
</li>

RA 位表示可递归（ recursion available</em> ），如果服务器支持递归查询，就会在应答中设置该位，以告知客户端；</p>
</li>

保留位，这 3 位目前未用，留作未来扩展；</p>
</li>

响应码</strong>（ response code</em> ）占 4 位，表示请求结果，常见的值包括：</p>

0 表示没有差错；</li>
3 表示名字差错，该差错由权威服务器返回，表示待查询的域名不存在；</li>
</ul>
</li>
</ul>
问题记录</h2>
客户端查询域名时，需要向服务端发送请求报文；待查询域名作为问题记录，保存在问题节中。</p>
</p>
问题节支持保存多条问题记录，记录条数则保存在 DNS 头部中的问题记录数字段。这意味着，DNS 协议单个请求能够同时查询多个域名，虽然通常只查询一个。</p>
一个问题记录由 3 个字段组成：</p>


待查询域名</strong>（ Name ），这个字段长度不固定，由具体域名决定；</p>
</li>

查询类型</strong>（ Type ），域名除了关联 IP 地址，还可以关联其他信息，常见类型包括（下节详细介绍）：</p>

1 表示 A 记录，即 IP 地址；</li>
28 表示 AAAA 记录，即 IPv6 地址；</li>
etc</li>
</ul>
</li>

类</strong> （ Class ）通常为 1 ，表示 TCP/IP 互联网地址；</p>
</li>
</ul>
最后，我们回过头来考察域名字段，它的长度是不固定的。域名按 .</code> 切分成若干部分，再依次保存。每个部分由一个前导计数字节开头，记录当前部分的字符数。</p>
以域名 fasionchan.com.</code> 为例，以 .</code> 切分成 3 个部分，fasionchan</code> 、com</code> 以及空字符串  。请注意，空字符串  代表根域。因此，待查询域名字段依次为：</p>

一个前导字节保存整数 10 ，然后 10 个字节保存 fasionchan</code> 部分（二级域）；</li>
一个前导字节保存整数 3 ，然后 3 个字节保存 com</code> 部分（一级域）；</li>
一个前导字节保存整数 0 ，然后 0 个字节保存  </code> 部分（根域）；</li>
</ul>
由此可见，每一级域名的长度理论上可以支持多达 255 个字符。</p>
查询类型</th> 名称代码</th> 描述</th></tr></thead>

1</td> A</td> IPv4地址</td></tr>
2</td> NS</td> 名称服务器</td></tr>
5</td> CNAME</td> 规范名称</td></tr>
15</td> MX</td> 电子邮件交互</td></tr>
16</td> TXT</td> 文本信息</td></tr>
28</td> AAAA</td> IPv6地址</td></tr>
</tbody></table>
查询类型这里先不展开，下一小节会详细介绍。</p>
资源记录</h2>
服务端处理查询请求后，需要向客户端发送应答报文；域名查询结果作为资源记录，保存在答案以及其后两节中。</p>
</p>
答案节、授权信息节和附加信息节均由一条或多条资源记录组成，记录数目保存在头部中的对应字段，不再赘述。</p>
资源记录结构和问题记录非常相似，它总共有 6 个字段，前 3 个和问题记录完全一样：</p>

被查询域名</strong>（ Name ），与问题记录相同；</li>
查询类型</strong>（ Type ），与问题记录相同；</li>
类</strong> （ Class ），与问题记录相同；</li>
有效期</strong>（ TTL ），域名记录一般不会频繁改动，所以在有效期内可以将结果缓存起来，降低请求频率；</li>
数据长度</strong>（ Resource Data Length ），即查询结果的长度；</li>
数据</strong>（ Resource Data ），即查询结果；</li>
</ul>
如果查询类型是 A 记录，那查询结果就是一个 IP 地址，保存于资源记录中的数据字段；而数据长度字段值为 4 ，因为 IP 地址的长度为 32 位，折合 4 字节。</p>
报文实例</h2>
我们以 test.fasionchan.com</code> 这个域名为例，来讲解 DNS 查询请求报文和应答报文。</p>
执行 dig 命令即可查询该域名：</p>
dig test.fasionchan.com
</code></pre>
我们对查询 test.fasionchan.com</code> 的一次通信过程进行抓包，结果保存在 Github</a> 上，以供参考。童鞋们可以将抓包结果下载到本地，并用 WireShark 打开，并结合讲解进行分析。</p>
请求报文</h3>
</p>
抓包结果请求报文只有头部、问题节和附加节，图解假设没有附加节。</p>
先看头部，问题记录数为 1 ，其他记录数都是 0 。这意味着，请求报文只有问题节，而且问题节中只有一条问题记录，只查询一个域名。头部中的标志位分别如下：</p>

QR=0 ，表示该报文是一个请求报文；</li>
操作码为 0 ，表示这个 DNS 请求是一个标准请求；</li>
TC=0 ，表示请求报文没有被截短；</li>
RD=1 ，表示客户端希望服务器可以执行递归查询；</li>
</ul>
问题记录我们已经很熟悉了，不再赘述：</p>

Type=1 ，表示客户端希望查询 A 记录，即与域名关联的 IP 地址；</li>
Class=1 ，代表 TCP/IP 互联网；</li>
</ul>
应答报文</h3>
</p>
抓包结果应答报文只有头部、问题节和答案节。其中，问题节中的问题记录与请求报文一样，图中就不展开了。</p>
先看头部，问题记录数为 1 ，答案记录数也是 1 ，其他记录数都是 0 。这意味着，应答报文只有问题节和答案节，而且它们各自只有一条记录。头部中的标志位分别如下：</p>

QR=1 ，表示该报文是一个应答报文；</li>
操作码为 0 ，表示这个 DNS 请求是一个标准请求；</li>
AA=0 ，表示结果不是由域名的权威服务器返回的，因为查询对象是本地的 DNS 缓存服务器（如果是向权威服务器发起查询，它返回的应答报文 AA=1 ）；</li>
TC=0 ，表示应答报文没有被截短；</li>
RD=1 ，与请求报文保持一致，略；</li>
RA=1 ，表示服务端支持递归查询；</li>
响应码为 0 ，表示查询成功，没有出错；</li>
</ul>
答案节中的资源记录就是查询结果，前 3 个字段与问题记录一样，不再赘述。</p>
TTL 字段是一个整数，表示有效期，单位是秒。例子中的查询结果，有效期是752秒，即 12 分 32 秒。也就是说，查询结果从现在开始算，12分32秒内均有效，无须重新请求。</p>
查询结果是一个 IP 地址，长度为 4 个字节，保存在资源数据字段中。</p>
域名压缩</h2>
我们注意到，应答报文中，会将请求报文中的问题记录原样返回。由于问题记录和资源记录都会保存域名，这意味着域名会被重复保存，而报文尺寸是有限的！</p>
为了节约报文空间，有必要解决域名重复保存问题，这也是所谓的信息压缩。具体做法如下：</p>
</p>
域名在报文中第二次出现时，只用两个字节来保存。第一个字节最高两位都是 1</code> ，余下部分和第二个字节组合在一起，表示域名第一次出现时在报文中的偏移量。通过这个偏移量，就可以找到对应的域名。</p>
由此一来，原来需要 21 个字节来保存的域名，现在只需区区两个字节即可搞定，数据量大大降低！</p>
实际上，域名压缩机制还可以针对域名的某个部分进行。举个例子，假设一个请求报文同时查询两个域名：</p>

fasionchan.com</code></li>
test.fasionchan.com</code></li>
</ul>
请求报文中包含两个问题记录，分别对应域名 fasionchan.com</code> 和 test.fasionchan.com</code> 。这两个域名都有一个公共后缀 fasionchan.com</code> ，无须重复保存。</p>
</p>
如上图，第二个域名只需保存 test</code> 部分，然后接两个字节特殊的压缩字节，指向第一个问题记录中的 fasionchan.com</code> 。如果两条问题记录顺序颠倒，结果也是类似的，留待童鞋们自行思考。</p>
参考</h1>
此文档是一个拷贝</p>
dns格式解析</a></p>


gdb调试信息分离
2025-08-12T10:19:42+08:00
调试信息分离</h1>
GDB的调试信息分离机制</h2>
GDB 允许程序的调试信息和可执行文件分离。当可执行程序出现问题时，GDB 会自动查找和加载调试信息。</p>

这种机制的实现原理是，GDB 通过两种方式来指定独立调试信息文件：</li>
一种是可执行文件包含一个调试链接，它会指定独立调试信息文件的名称；</li>
另一种是可执行文件包含一个构建标识符，它是一个唯一的位串，在相应的调试信息文件中也包含这个位串?</li>
</ul>
调试链接详解</h2>

调试链接包含两个关键信息：</li>
调试信息文件的名称和 CRC 校验和。
调试信息文件的名称通常为executable.debug，其中executable是相应的可执行文件的名称，不带有前导的目录名，方便查找。
CRC 校验和的目的是为了验证可执行程序和调试文件是否匹配。</li>
在生成调试链接时，会将调试信息文件的名称和 CRC 校验和添加到可执行文件中</li>
当 GDB 调试时，会根据这些信息来查找和加载调试信息。

例如，在编译生成release with debug info时，它包含调试信息，然后把它进行调试信息分离，生成一个可执行程序（用a代替）和调试信息文件（用b代替）。</li>
接下来把调试链接做出来，就是在可执行程序a当中，加上一个链接，这个链接信息包含调试信息文件b的名字和 CRC 校验和 。</li>
</ul>
</li>
</ul>
以 Redis 为例的调试流程</h2>
编译带调试信息的可执行文件</h2>
在编译 Redis 时，我们可以使用-O2或-O3优化选项来优化代码，提高运行效率，同时使用-g选项添加调试信息，-DENDEBUG用于禁用断言（在 Release 版本中通常会禁用断言以提高性能）。</p>
make CFLAGS="-O2 -g -DENDEBUG"
</code></pre>
这样就会生成一个包含调试信息的 Redis 可执行程序，虽然文件大小可能会有所增加，但为后续的调试提供了便利。</p>
转存调试信息</h2>
我们使用objcopy工具将调试信息转存到一个新的文件中。命令如下：</p>
objcopy --only-keep-debug ./src/redis-server redis-server.debug
</code></pre>
这条命令会把./src/redis-server中的调试信息提取出来，保存到redis-server.debug文件中。</p>
此时，redis-server.debug装满调试信息，里面包含了变量名、函数名、行号等重要信息。</p>
去除可执行程序调试信息</h2>
为了得到一个 “干净” 的、不包含调试信息的可执行程序，我们使用strip命令：</p>
strip ./src/redis-server -o redis-server
</code></pre>
经过这一步，redis-server就变成了一个体积更小、运行效率更高的裸可执行程序， 但缺少了调试所需的信息。</p>
添加调试链接</h2>
最后，我们要为这个裸可执行程序添加调试链接，让它能够找到对应的调试信息文件。使用objcopy命令：</p>
objcopy --add-gnu-debuglink=redis-server.debug redis-server
</code></pre>
这条命令会在redis-server中添加一个调试链接，链接到redis-server.debug文件。</p>
此时，redis-server虽然不包含调试信息，但它知道从哪里获取调试信息，为后续的调试做好了准备。</p>
用 GDB 调试</h2>
现在，我们就可以使用 GDB 来调试这个带有调试链接的可执行程序了。</p>
启动 GDB 并加载redis-server：</p>
gdb redis-server
</code></pre>
GDB 会自动根据调试链接找到redis-server.debug文件，并加载其中的调试信息。</p>
在 GDB 中，我们可以使用各种调试命令，如设置断点（break）、查看变量值（print）、单步执行（step）等，从而定位和解决程序中的问题。例如，我们可以在某个函数处设置断点，查看程序执行到该点时变量的值，分析程序的执行逻辑是否正确。</p>
参考</h1>
gdb调试</a></p>


linux wps字体错误修复
2025-08-11T18:49:58+08:00
linux 系统中使用wps时， 出现缺失字体的告警</p>
Linux 系统缺失字体：Symbol､Wingdings､Wingdings 2､Wingdings 3､Webdings､MT Extra,WPS无法正确地显示某些符号(公式)！
</code></pre>
</p>
‌从 Windows 系统提取‌</h1>
复制 Windows 系统 C:\Windows\Fonts 目录下的对应字体文件（后缀为 .ttf 或 .ttc）</p>
symbol.ttf  
wingding.ttf  
wingdng2.ttf  (对应 Wingdings 2)  
wingdng3.ttf  (对应 Wingdings 3)  
webdings.ttf  
mtextra.ttf   (对应 MT Extra)
</code></pre>
‌下载预打包字体包（无 Windows 系统时）</h1>
git clone -b windows10 https://github.com/uinv/windows-fonts.git /tmp/usr/share/fonts/windows10-fonts
</code></pre>
更新字体缓存</h1>
sudo mkfontscale    # 生成字体索引
sudo mkfontdir      # 创建字体目录信息
sudo fc-cache -fv   # 强制更新缓存
</code></pre>
‌版权提示‌</h1>
Wingdings、MT Extra 等为微软版权字体，仅限个人非商业使用</p>


linux ibus输入法chrome输出重复bug
2025-08-11T16:18:17+08:00
ibus输入法异常: 现象</h1>

输入 【weisheme】 后出现重复的【为什么为什么】</li>
其中一个是候选词， 应该是ibus在输出后，没有正确清理候选词导致的？
</li>
</ul>
解决方案</h1>
</p>


linux 显示管理器配置
2025-08-11T14:04:21+08:00
查看当前的显示管理器</h1>
echo $XDG_SESSION_TYPE
echo $XDG_CURRENT_DESKTOP
systemctl status display-manager.service
ps -A | grep -E '(gdm|lightdm|sddm|xdm|lxdm)'
systemctl --property FragmentPath show display-manager
find /etc/systemd -name 'display-manager.*'
</code></pre>
重新配置显示管理器</h1>
sudo apt install lightdm
sudo dpkg-reconfigure lightdm
sudo systemctl restart display-manager

sudo dpkg-reconfigure gdm3 -f noninteractive
</code></pre>
查看lightdm 中的安装脚本</h1>
apt download lightdm
ar x lightdm
tar xvf control.tar.xz

dpkg-deb -R lightdm_1.26.0-8_amd64.deb lightdm-files
</code></pre>
实际执行的操作</h1>
sudo update-alternatives --install /usr/bin/java java /opt/java 2000
# 这里的数字 2000 是优先级值，数值越高，优先级越高，默认情况下会选择具有最高优先级的备选项
ls /var/lib/alternatives/
</code></pre>
修复从kde切换到gnome后字体大小没有恢复的bug</h1>
sudo apt update
sudo apt install gnome-tweaks
gnome-tweaks

# 如果还是没有恢复， 可以使用下面的命令强制reset
dconf reset -f /org/gnome/
</code></pre>


fcitx键盘布局 键盘-汉语 的作用
2025-08-08T13:37:52+08:00
在fcitx（或 fcitx5-configtool）的配置中看到的 “键盘-汉语” 和 “拼音”，虽然都与中文输入有关，但它们的定位和功能完全不同。我们来逐一解释：</p>
💡 为什么“键盘-汉语”会出现在 Fcitx 配置里？</h1>

因为 Fcitx/Fcitx5 里，“输入法”概念包含两类：</li>
系统键盘布局（来自 XKB / libxkbcommon）</li>
输入法引擎（来自 Fcitx 模块，比如拼音、rime、mozc）</li>
它们在配置界面是统一管理的，所以“键盘-汉语”会和“拼音”一起出现在输入法列表中。</li>
</ul>
🔤 一、“拼音” —— 真正的中文输入法引擎</h1>
✅ 是什么？</h2>

“拼音”（Pinyin）是 fcitx 的一个输入法引擎（Input Method Engine）。</li>
它允许你使用 汉语拼音（如 wo ai ni）输入汉字（如“我爱你”）。</li>
它会显示候选词、支持词库、智能联想、模糊音等高级功能。</li>
</ul>
✅ 功能特点：</h2>

输入拼音 → 候选汉字</li>
支持简体/繁体切换</li>
可配置词库、用户词、模糊音（如 z/zh 不分）</li>
是你日常“打字”用的输入法</li>
</ul>
✅ 示例：</h2>

输入：ni hao</li>
候选：你好</li>
👉 这才是你真正用来“输入中文”的工具。</li>
</ul>
⌨️ 二、“键盘-汉语” —— 键盘布局，不是输入法</h1>
❓ 是什么？</h2>

“键盘-汉语”（有时也叫 chinese 或 zh 布局）并不是一个“输入法”，而是一种 键盘布局（Keyboard Layout）。</li>
它的作用是：改变键盘上某些键的输出字符，尤其是标点符号。</li>
</ul>
✅ 它做了什么？</h2>

当你启用“键盘-汉语”布局时，不启动任何输入法引擎，但键盘会输出一些中文常用符号，例如：</li>
</ul>
按键</th> 英文布局输出</th> 键盘-汉语布局输出</th></tr></thead>

,</td> ,</td> ，（中文逗号）</td></tr>
.</td> .</td> 。（中文句号）</td></tr>
;</td> ;</td> ；（中文分号）</td></tr>
:</td> :</td> ：（中文冒号）</td></tr>
?</td> ?</td> ？（中文问号）</td></tr>
!</td> !</td> ！（中文感叹号）</td></tr>
</tbody></table>
⚠️ 注意：它不会帮你输入汉字，只是把标点换成中文全角符号。</p>
✅ 使用场景：</h2>

你正在写中文文档，想快速输入中文标点</li>
你不希望频繁切换输入法，但又需要中文标点</li>
你使用英文输入法为主，但希望标点“中文化”</li>
</ul>
🆚 三、对比总结</h1>
项目</th> 拼音</th> 键盘-汉语</th></tr></thead>

类型</td> 输入法引擎</td> 键盘布局</td></tr>
是否能输入汉字</td> ✅ 能（通过拼音转换）</td> ❌ 不能</td></tr>
是否需要切换输入法</td> ✅ 需要（如 Ctrl+Space）</td> ❌ 不需要（始终生效）</td></tr>
主要功能</td> 拼音 → 汉字</td> 英文标点 → 中文标点</td></tr>
适合人群</td> 所有中文用户</td> 希望快速输入中文标点的用户</td></tr>
在 fcitx 中的位置</td> 输入法列表（+号添加）</td> 键盘布局选项（系统级）</td></tr>
</tbody></table>
🧩 四、常见误解澄清</h1>
❌ 误解1：“键盘-汉语”是一种输入法？</h2>
错误。它只是一个键盘布局，不会进行“拼音到汉字”的转换。它只是改变了某些按键的输出字符。</p>
❌ 误解2：我加了“键盘-汉语”就能打中文了？</h2>
不能。你仍然需要“拼音”或其他中文输入法引擎才能输入汉字。</p>

✅ 正确用法组合：</li>
✅ 方案1（推荐）：使用“拼音”输入法 → 自动输入汉字 + 中文标点</li>
✅ 方案2：使用英文输入法 + “键盘-汉语”布局 → 手动输入汉字（复制粘贴），但标点自动中文化</li>
✅ 方案3：英文输入法 + 手动切换中文标点（不推荐）</li>
</ul>
🛠️ 五、如何配置？</h1>
1. 添加“拼音”输入法</h2>
在 fcitx5-configtool 中：</p>

点击「+」添加输入法</li>
搜索 Pinyin 或 Chinese (Pinyin)</li>
添加后，按 Ctrl+Space 切换中英文</li>
</ul>
2. 启用“键盘-汉语”布局（可选）</h2>
在 GNOME 设置中：</p>

Settings → Keyboard → Input Sources</li>
点击「+」添加 Chinese → Chinese (Legacy)</li>
或在终端运行：</li>
</ul>
gsettings set org.gnome.desktop.input-sources sources "[('xkb', 'us'), ('xkb', 'zh')]"`
</code></pre>
这样即使不启用 fcitx，某些标点也会变成中文。</p>
✅ 总结</h1>
名称</th> 是输入法吗？</th> 能输入汉字吗？</th> 用途</th></tr></thead>

拼音</td> ✅ 是</td> ✅ 能</td> 用拼音打汉字</td></tr>
键盘-汉语</td> ❌ 不是</td> ❌ 不能</td> 把 , . ; : ? ! 变成中文标点</td></tr>
</tbody></table>
🎯 建议：</h2>

日常使用请添加 “拼音” 作为主要中文输入法。</li>
“键盘-汉语”可作为辅助，但大多数情况下不需要单独启用，因为“拼音”输入法已经内置了中文标点支持。</li>
如果你只是想正常打中文，“加一个‘拼音’就够了” ✅</li>
</ul>


fcitx拼音配置
2025-08-08T12:03:48+08:00
Fcitx (Flexible Input Method Framework) ── 即小企鹅输入法</h1>
安装fcitx5输入法框架</h1>
sudo apt install fcitx5 \
    fcitx5-chinese-addons \
    fcitx5-frontend-gtk4 fcitx5-frontend-gtk3 fcitx5-frontend-gtk2 \
    fcitx5-frontend-qt5

sudo apt install fcitx5-config-qt fcitx5-frontend-qt6 fcitx5-module-xorg
</code></pre>
安装中文词库</h1>
# 下载词库文件
wget https://github.com/felixonmars/fcitx5-pinyin-zhwiki/releases/download/0.2.4/zhwiki-20220416.dict
# 创建存储目录
mkdir -p ~/.local/share/fcitx5/pinyin/dictionaries/
# 移动词库文件至该目录
mv zhwiki-20220416.dict ~/.local/share/fcitx5/pinyin/dictionaries/
</code></pre>
配置输入法</h1>
im-config
im-config -n fcitx5

cat <<EOF > ~/.pam_environment
XMODIFIERS=@im=fcitx
GTK_IM_MODULE=fcitx
QT_IM_MODULE=fcitx
INPUT_METHOD=fcitx
EOF

fcitx5-configtool

</code></pre>
查看gnome的input-sources</h1>
gsettings get org.gnome.desktop.input-sources sources
gsettings set org.gnome.desktop.input-sources sources "[('xkb', 'us'), ('xkb', 'zh')]"
</code></pre>
主题配置</h1>
mkdir -p ~/.local/share/fcitx5/themes
git clone https://github.com/hosxy/Fcitx5-Material-Color.git ~/.local/share/fcitx5/themes/Material-Colokkr
</code></pre>
常见错误</h1>
修复系统托盘显示异常</p>
sudo apt install gnome-shell-extension-appindicator
</code></pre>
参考</h1>
主题</a>
fctix5配置</a></p>


linux字体渲染过程
2025-08-08T00:39:43+08:00
电脑在显示文字时选择字体并进行渲染的过程涉及多个步骤和技术，这些过程确保了文本能够以清晰、美观的方式呈现在屏幕上。以下是这一过程的基本概述：</p>
字体选择</h1>

应用程序请求：当一个应用程序需要显示文本时，它会首先根据设计或用户设置指定一种或多种字体。这可能包括首选字体、次选字体等，形成一个优先级列表。</li>
系统字体配置：操作系统维护着一个字体管理系统，该系统负责跟踪已安装的字体及其特性（如样式、权重、宽度等）。当应用请求特定字体时，操作系统会检查其字体库中是否有匹配项。</li>
字体回退机制：如果首选字体不可用，操作系统将按照预定义的规则自动选择其他字体作为替代，这个过程称为字体回退或字体链。例如，如果请求的是“Arial”，但系统中没有安装Arial，可能会回退到相似的sans-serif字体如“Helvetica”或“DejaVu Sans”。</li>
国际化支持：对于多语言文本，系统还会考虑字符集和语言脚本，选择支持所需字符的语言专用字体或包含广泛字符集的通用字体。</li>
</ul>
具体流程</h2>

步骤1：确定文本的编码和语言

系统首先识别文本的 字符编码（如UTF-8）和 语言属性（如中文、阿拉伯文）。</li>
例如：汉字 你（Unicode码位 U+4F60） vs. 拉丁字母 A（U+0041）。</li>
</ul>
</li>
步骤2：匹配字体列表

应用程序或系统会按优先级检查以下来源：

应用指定字体（如CSS中定义的 font-family: "Noto Sans CJK SC"）。</li>
系统默认字体（如Windows的微软雅黑、macOS的苹方、Linux的Noto Sans CJK）。</li>
字体回退链（Fallback Chain）：</li>
</ul>
</li>
如果首选字体缺少当前字符，系统会依次尝试其他字体（例如：中文→日文→通用符号字体）。</li>
</ul>
</li>
步骤3：选择最佳字体

通过 字体匹配算法 确定最终字体，考虑因素包括：

字符覆盖：字体是否包含该字符（如CJK字体优先匹配汉字）。</li>
语言区域：系统语言设置可能影响选择（如简体中文环境优先选择SC版字体）。</li>
样式匹配：粗体、斜体等属性是否可用。</li>
</ul>
</li>
</ul>
</li>
</ul>
字体渲染</h1>

栅格化：一旦选择了合适的字体文件，下一步是将矢量轮廓转换为适合屏幕分辨率的位图图像，这一过程叫做栅格化。高质量的字体渲染引擎（如FreeType）可以执行抗锯齿处理和平滑边缘的技术来改善可读性。</li>
子像素渲染：为了进一步提高清晰度，特别是对于LCD显示器，可以采用子像素渲染技术（如ClearType）。这种方法利用了每个像素由红、绿、蓝三个子像素组成的事实，通过对每个子像素单独控制来增强细节表现力。</li>
布局与定位：完成栅格化后，接下来是确定每个字符的确切位置。这涉及到计算行间距、字距调整（kerning）、连字（ligatures）等因素，确保文本不仅清晰而且排版美观。</li>
显示输出：最后，经过上述所有步骤处理后的位图被发送到图形硬件，并最终显示在屏幕上。</li>
</ul>
具体流程</h2>

步骤1：字形定位（Glyph Lookup）

从选定的字体文件中找到对应字符的 字形数据（Glyph），即字符的图形描述（通常是矢量轮廓）。</li>
例如：你 的字形可能存储在字体文件的 cmap（字符映射表）中。</li>
</ul>
</li>
步骤2：文本整形（Text Shaping）

复杂脚本（如阿拉伯文、印度文）需要额外处理：

连字（Ligatures）：如 fi 合并为单一字形。</li>
字形替换：同一字符在不同位置显示不同形状（如阿拉伯字母的孤立形、词中形）。</li>
</ul>
</li>
工具：HarfBuzz（开源文本整形引擎，被Linux/macOS/浏览器广泛使用）。</li>
</ul>
</li>
步骤3：栅格化（Rasterization）

将矢量字形转换为屏幕上的 像素图形，关键技术和优化：

抗锯齿（AA）：通过灰度过渡平滑边缘（如Freetype库的 subpixel rendering）。</li>
亚像素渲染：利用LCD屏幕的RGB子像素提高清晰度（如Windows的ClearType）。</li>
HiDPI适配：在高分辨率屏幕下缩放矢量轮廓后渲染。</li>
</ul>
</li>
</ul>
</li>
步骤4：合成与输出

渲染后的字形与其他元素（如图片、背景）合成最终图像，交给显示驱动输出到屏幕。</li>
</ul>
</li>
</ul>
整个流程中，字体选择和渲染的质量直接影响到用户体验，尤其是在长时间阅读或处理大量文本的情况下。因此，现代操作系统和浏览器都投入了大量的努力优化字体管理和渲染算法，以提供最佳的视觉效果。</p>


linux 使用命令行查看dvd信息
2025-08-06T23:53:43+08:00
查看光盘信息</h1>
wodim dev=/dev/sr0 -atip
</code></pre>
设备基本信息</h2>
*Device type : Removable CD-ROM
*设备类型为 可移动的 CD-ROM 驱动器（实际支持多种光盘类型，如 DVD/CD）。
*Version : 0
*SCSI/ATAPI 命令集的版本号（0 表示基础版本，无特殊功能）。
*Response Format: 2
*ATIP（Absolute Time in Pre-groove）数据的响应格式为 第2版（标准 DVD/CD 信息格式）。</p>
设备能力（Capabilities）</h2>

Vendor_info : 'HL-DT-ST'</li>
光驱的制造商是 HL-DT-ST（即 LG 旗下的光存储品牌）。</li>
Identification : 'DVDRAM GT30N'</li>
设备型号为 DVDRAM GT30N（一款支持 DVD-RAM 的刻录机）。</li>
Revision : 'NH02'</li>
固件版本号为 NH02（厂商内部定义的固件版本）。</li>
</ul>
设备驱动与模式</h2>


Device seems to be: Generic mmc2 DVD-R/DVD-RW.</p>
</li>

系统识别此设备为 通用 MMC-2 标准的 DVD-R/DVD-RW 驱动器（支持 DVD-R 和 DVD-RW 刻录）。</p>
</li>

Using generic SCSI-3/mmc DVD-R(W) driver (mmc_mdvd).</p>
</li>

当前使用的驱动是 通用 SCSI-3/MMC 标准驱动（mmc_mdvd 是 Linux 内核模块）。</p>
</li>

Driver flags : SWABAUDIO BURNFREE</p>
</li>

驱动支持的标志：</p>

SWABAUDIO：表示驱动支持音频数据的字节序转换（Swap Audio Bytes），确保音频 CD 播放时左右声道正确。</li>
BURNFREE：一种缓冲区欠载保护技术（类似 JustLink、PowerBurn），防止因系统延迟导致刻录失败。当数据流暂时中断时，自动暂停并恢复，避免刻录失败。</li>
</ul>
</li>

Supported modes: PACKET SAO</p>
</li>

支持的刻录模式：</p>

PACKET：支持分组刻录（Packet Writing），允许像 U 盘一样小块写入数据（常用于 UDF 文件系统）。</li>
SAO（Session At Once）：支持“一次会话”刻录模式，适合一次性写完一个完整会话（如 ISO 镜像）。</li>
</ul>
</li>
</ul>
⚠️ 注意：这里没有显示 TAO（Track at Once）或 DAO（Disk at Once），但大多数现代驱动器其实也支持这些模式，只是未在此列出。</p>
查看光盘目录结构（TOC）</h1>
wodim -v dev=/dev/sr0 -toc
</code></pre>
查看光盘信息</h1>
安装工具</p>
sudo apt install wodim xorriso genisoimage blkid util-linux
</code></pre>
udevadm</p>
# 查看光驱设备详细信息（厂商、型号、序列号等）
udevadm info --query=all --name=/dev/sr0 | grep -i 'id\|modalias\|vendor\|model'
</code></pre>
wodim</p>
# 查看光盘 TOC（Table of Contents）——适用于已写入数据的光盘
wodim -v dev=/dev/sr0 -toc
# 查看 CD-R/RW 光盘的 ATIP 信息（必须插入 CD-R 空盘）
wodim -atip dev=/dev/sr0
# 查看光驱基本信息
wodim -v dev=/dev/sr0 -scanbus
</code></pre>
xorriso</p>
# 查看光盘基本信息（文件系统、卷名、创建时间等）
xorriso -indev /dev/sr0 -report_el_torito as mkisofs -o /dev/null
# 显示光盘的完整结构（会话、轨道、文件系统）
xorriso -indev /dev/sr0 -list_delimiter "\n" -l -tree
# 查看是否支持多会话
xorriso -indev /dev/sr0 -info
# 提取光盘的卷标（Volume ID）
xorriso -indev /dev/sr0 -volume_date all_file_dates
</code></pre>
dvd+rw-mediainfo /dev/sr0
</code></pre>
isoinfo</p>
# 列出光盘根目录内容
isoinfo -i /dev/sr0 -l
# 显示光盘卷信息（卷名、系统标识、创建时间等）
isoinfo -d -i /dev/sr0
# 提取光盘的卷标（Volume ID）
isoinfo -i /dev/sr0 -J -x '/LABEL.TXT'  # 假设文件存在
isoinfo -f -i /dev/sr0  # 列出文件
</code></pre>
blkid/lsblk</p>
# 查看光盘文件系统类型（ISO9660、UDF、none 等）
blkid /dev/sr0
# 查看设备挂载状态和大小
lsblk -f /dev/sr0
</code></pre>
sudo apt install udftools
udfinfo /dev/sr0
</code></pre>


linux dvd刻录工具介绍
2025-08-06T23:18:44+08:00
在 Linux 系统中，有多个功能类似 ImgBurn 的光盘刻录工具，支持光盘写入、镜像制作、光盘擦除等功能，且多数是开源免费的。以下是几款常用工具及特点：</p>
Brasero（推荐新手）</h1>

特点：GNOME 桌面环境默认的刻录工具，界面简洁直观，操作类似 ImgBurn 的基础功能，支持多会话写入、光盘镜像制作 / 刻录、光盘复制等。</li>
支持格式：ISO、CUE/BIN、NRG 等常见镜像格式，以及数据光盘、音频 CD、视频 DVD 刻录。</li>
优势：对新手友好，自动检测光驱和光盘状态，支持 “封闭光盘”（Finalize）选项。</li>
安装：</li>
</ul>
Ubuntu/Debian：sudo apt install brasero
Fedora：sudo dnf install brasero
</code></pre>
K3b（功能全面，推荐进阶用户）</h1>

特点：KDE 桌面环境的经典刻录工具，功能接近 ImgBurn 的专业级，支持多段写入、光盘擦除（针对可擦写光盘）、镜像校验、蓝光刻录等高级功能。</li>
支持格式：几乎所有主流镜像格式（ISO、BIN/CUE、MDS、NRG 等），还能直接刻录视频 DVD、音频 CD 及数据光盘。</li>
优势：可手动控制刻录速度、会话管理（关闭 / 开放会话），适合需要精细操作的场景（如封闭光盘、多段写入）。</li>
安装：</li>
</ul>
Ubuntu/Debian：sudo apt install k3b
Fedora：sudo dnf install k3b
</code></pre>
Xfburn（轻量小巧）</h1>

特点：针对轻量桌面（如 Xfce）设计的刻录工具，体积小、启动快，功能精简但够用，支持数据刻录、镜像制作 / 写入、光盘擦除。</li>
优势：资源占用低，适合老旧电脑或对界面复杂度有要求的用户。</li>
安装：</li>
</ul>
Ubuntu/Debian：sudo apt install xfburn
Fedora：sudo dnf install xfburn
</code></pre>
wodim + genisoimage（命令行工具，适合脚本自动化）</h1>

特点：如果习惯命令行操作，wodim（光盘写入）和 genisoimage（镜像制作）是 Linux 下的经典组合，功能强大且可集成到脚本中批量处理。</li>
常用命令示例：

制作 ISO 镜像：genisoimage -o output.iso /path/to/files

刻录 ISO 到光盘：wodim dev=/dev/sr0 -speed=4 output.iso（/dev/sr0 为光驱设备名，-speed 指定速度）</li>
</ul>
</li>
模拟刻录：wodim dev=/dev/sr0 -v -eject speed=4 input.iso

封闭光盘：wodim dev=/dev/sr0 -finalize</li>
</ul>
</li>
</ul>
</li>
安装：</li>
</ul>
Ubuntu/Debian：sudo apt install wodim genisoimage
</code></pre>
命令行dvd工具对比</h1>

mkisofs：创建ISO镜像（现通常被 genisoimage 或 xorriso 替代）。</li>
cdrecord：刻录光盘（Linux中常被 wodim 替代）。</li>
</ul>
growisofs</h2>

专为DVD/BD刻录设计的工具，基于 dvd+rw-tools。</li>
直接写入ISO或文件到DVD/BD，无需先创建镜像。</li>
支持增量写入（多段刻录）。</li>
</ul>
# 第一次刻录（不关闭）
growisofs -Z /dev/sr0 -R -J /path/to/data1
growisofs -Z /dev/sr0=/path/to/files   # 直接刻录文件
# 追加数据（-M 表示 multi-session）
growisofs -M /dev/sr0 -R -J /path/to/data2
growisofs -M /dev/sr0=output.iso       # 追加数据
# 最终关闭光盘
dvd+rw-format -close=1 /dev/sr0
sudo apt install dvd+rw-tools
</code></pre>
xorriso</h2>

多功能ISO和光盘操作工具（libisoburn 的一部分），可替代 mkisofs + wodim。</li>
创建/修改ISO：支持Rock Ridge、Joliet、UDF。</li>
刻录：直接刻录ISO或文件到光盘。</li>
转换：将ISO转换为其他格式。</li>
引导支持：处理EFI/BIOS引导镜像。</li>
单一工具完成全流程，脚本友好。</li>
支持DVD/BD和增量刻录。</li>
</ul>
# 制作ISO
xorriso -outdev output.iso -map /path/to/files / -volid "MY_DISC"
# 刻录ISO
xorriso -dev /dev/sr0 -blank as_needed -speed 4 -map input.iso / -- -commit_eject all
sudo apt install xorriso
</code></pre>
工具</th> 主要用途</th> 优势</th> 劣势</th> 适用场景</th></tr></thead>

cdrtools</td> 光盘刻录套件</td> 功能全面</td> 维护停滞，部分工具被替代</td> 传统脚本兼容性</td></tr>
mkisofs</td> 创建ISO镜像</td> 兼容性好</td> 逐渐被替代</td> 需与旧脚本兼容时</td></tr>
genisoimage</td> 创建ISO镜像</td> 活跃维护，兼容 mkisofs</td> 不支持UDF</td> 制作数据ISO</td></tr>
wodim</td> 刻录CD/DVD</td> 轻量，替代 cdrecord</td> 仅基础刻录功能</td> 简单刻录需求</td></tr>
growisofs</td> DVD/BD刻录</td> 直接刻录文件，支持增量</td> 仅限DVD/BD</td> 专业级DVD/BD操作</td></tr>
xorriso</td> ISO制作+刻录全能工具</td> 支持全流程，脚本友好</td> 命令行复杂</td> 高级用户或自动化任务</td></tr>
</tbody></table>
总结</h1>

新手或追求简单操作：优先选 Brasero，界面友好且功能满足日常需求。</li>
需要高级功能（如多段写入、蓝光刻录）：选 K3b，功能接近 ImgBurn 的专业级体验。</li>
轻量环境或命令行偏好：Xfburn 或 wodim + genisoimage 更合适。</li>
</ul>
这些工具均支持 “封闭光盘”（Finalize）功能，在刻录时可手动勾选相关选项（图形工具）或通过参数（命令行）控制，与 ImgBurn 的核心功能一致。</p>


为什么光盘需要进行《封闭光盘》操作
2025-08-06T23:11:17+08:00
在光盘刻录中，“封闭光盘”（Finalize）是一个关键操作，直接影响光盘的兼容性和可读写性。以下详细说明如何判断光盘是否已封闭，以及为什么需要封闭光盘：</p>
如何判断光盘是否已 “封闭”？</h1>
判断光盘是否封闭，可通过设备识别、软件检测或实际测试三种方式，具体方法如下：</p>
1. 通过操作系统直接识别（简单直观）</h2>

插入光盘后查看属性</li>
若光盘已封闭：通常会显示 “已使用空间” 和 “可用空间”，但可用空间会显示为 “0”（即使光盘未写满），且无法向光盘中复制新文件（会提示 “介质受写保护” 或 “无法写入”）。</li>
若未封闭：属性中会显示 “可用空间”（即未使用的容量），且在支持写入的设备中可继续追加数据（前提是光盘支持多段写入）。</li>
尝试写入数据测试</li>
向光盘中复制一个小文件，若提示 “无法写入”“介质不可写” 或 “光盘已关闭”，则说明光盘已封闭；若能正常写入，则未封闭。</li>
</ul>
2. 通过刻录软件检测（专业准确）</h2>
使用 Nero、ImgBurn、Ashampoo Burning Studio、k3b(linux) 等专业刻录软件，可直接查看光盘状态</p>

打开刻录软件，选择 “光盘信息”“查看光盘状态” 或类似功能（不同软件名称可能不同）。</li>
软件会显示光盘的详细信息，包括：
“光盘状态”：明确标注 “已封闭（Finalized）” 或 “未封闭（Unfinalized）”；
“会话状态”：若显示 “最后一个会话已关闭” 或 “无可用会话”，则为已封闭；若显示 “存在开放会话（Open Session）”，则未封闭。</li>
</ul>
3. 在其他设备上测试兼容性（实际验证）</h2>

未封闭的光盘可能存在兼容性问题，可通过跨设备测试判断：</li>
若光盘能在 DVD 播放器、汽车音响、老式光驱 等非电脑设备上正常读取，则大概率已封闭（这些设备通常不支持读取未封闭的光盘）。</li>
若仅能在刻录该光盘的电脑上读取，而在其他设备上提示 “无法识别光盘”“介质错误”，则可能未封闭。</li>
</ul>
为什么需要 “封闭光盘”？</h1>
封闭光盘的核心目的是确保光盘在所有设备上的兼容性，并锁定数据防止后续修改，具体原因如下：</p>
1. 保证跨设备兼容性（最核心原因）</h2>

光盘的 “未封闭状态” 仅能被刻录时使用的电脑和软件识别，而大多数设备（如 DVD 播放器、电视、车载光驱、其他品牌电脑）无法读取未封闭的光盘。</li>
未封闭的光盘存在 “开放会话”（Open Session），其数据结构不完整，其他设备的光驱无法解析文件系统（如 ISO 9660 或 UDF），会提示 “无效光盘” 或 “无法读取”。</li>
封闭光盘后，光盘的导言区（Lead-in）、数据区和结尾区（Lead-out） 会被完整写入，文件系统结构固定，所有支持该类型光盘的设备都能正常识别。</li>
</ul>
2. 防止后续写入，保护数据完整性</h2>
封闭光盘后，光盘会被永久锁定，无法再追加任何数据（即使是支持多段写入的光盘）：</p>

对于一次性写入光盘（如 DVD-R、CD-R）：封闭后彻底终止写入权限，避免误操作导致数据损坏。</li>
对于可擦写光盘（如 DVD-RW）：封闭后同样无法写入，若需再次修改，需先 “解除封闭”（部分软件支持，但操作复杂且可能丢失数据）。</li>
</ul>
3. 优化光盘读取效率</h2>
未封闭的光盘在读取时，光驱需要额外扫描 “开放会话” 的信息，可能导致读取速度变慢或卡顿；封闭后，数据结构固定，光驱可直接按标准格式快速定位数据，提升读取稳定性。</p>
特殊情况：哪些光盘不需要强制封闭？</h1>
并非所有光盘都必须立即封闭，以下场景可暂时不封闭：</p>

需要分多次写入的一次性光盘（如 DVD-R 多段写入）：首次写入时选择 “不封闭”，可后续追加数据，但需注意每次写入会占用额外的 “会话开销”（约几十 MB），且最终必须封闭才能在其他设备上读取。</li>
可擦写光盘（DVD-RW/DVD+RW）：若需反复修改内容，可暂时不封闭，随时追加或擦除数据；但长期保存或跨设备使用时，仍建议封闭以确保兼容性。</li>
</ul>
总结</h1>

判断光盘是否封闭：通过操作系统属性查看可用空间、刻录软件检测状态，或跨设备测试兼容性即可确认。</li>
封闭光盘的核心作用：确保光盘能在所有设备上正常读取（兼容性），锁定数据防止误修改，并优化读取效率。</li>
对于需要长期保存或跨设备使用的光盘，必须封闭；若需临时追加数据，可暂时不封闭，但需在最终使用前完成封闭操作。</li>
</ul>


为什么光盘刻录要区分视频 音频和数据？
2025-08-05T12:31:31+08:00
区分视频、音频和数据光盘，主要源于技术标准、设备兼容性以及应用场景的本质差异</p>
技术标准与存储结构差异</h1>


‌数据光盘‌</p>

‌文件系统‌：采用通用格式（如ISO 9660、UDF），直接存储原始文件（文档/图片/程序）。</li>
‌读取方式‌：需依赖操作系统或特定软件解析文件系统，兼容性强但无专用优化。</li>
</ul>
</li>

‌视频光盘（VCD/DVD）‌</p>

‌编码规范‌：

‌VCD‌：强制使用MPEG-1压缩，固定码率1.5Mbps，音频为MP2。</li>
‌DVD‌：采用MPEG-2编码，支持多声道音频（AC3/DTS）及交互菜单。</li>
</ul>
</li>
‌文件结构‌：

视频文件必须命名为 VIDEO_TS（DVD）或 MPEGAV（VCD）等标准目录。</li>
包含辅助文件（如 .IFO 导航信息）确保播放器识别。</li>
</ul>
</li>
</ul>
</li>

‌音频光盘（CD-DA）‌</p>

物理格式‌：音频流以连续扇区存储，无文件系统（区别于数据CD）。</li>
‌纠错机制‌：采用CIRC编码，优先保证音质连续性而非数据完整性。</li>
</ul>
</li>
</ol>
💡 ‌关键区别‌：视频/音频光盘是 ‌“封闭式格式”‌，需严格遵循行业标准；数据光盘是 ‌“开放式存储”‌，无内容限制。</p>
设备兼容性需求</h1>
设备类型</th> 支持的光盘格式</th> 限制说明</th></tr></thead>

‌家用DVD机‌</td> 仅识别标准DVD/VCD视频结构</td> 无法播放数据光盘内的MP4文件</td></tr>
‌车载CD播放器‌</td> 仅支持CD-DA音频光盘</td> 忽略数据CD中的MP3文件</td></tr>
‌蓝光播放器‌</td> 兼容BD-Video，部分支持数据BD</td> 需手动切换文件浏览模式</td></tr>
‌电脑光驱‌</td> 全格式兼容</td> 依赖软件解码（如VLC）</td></tr>
</tbody></table>
⚠️ 若格式错误：
视频光盘刻录为数据格式 → DVD播放器报 ‌“无碟”或“格式不支持”‌
数据光盘放入CD播放器 → 播放 ‌刺耳噪声‌（误读二进制为音频）</p>
用户体验与功能优化</h1>
‌视频/音频光盘的专属功能‌</p>

‌DVD菜单导航‌：依赖标准视频格式生成交互界面7。</li>
‌CD音轨索引‌：支持歌曲快进/切换（数据CD无法实现）。</li>
‌播放稳定性‌：专用纠错算法降低卡顿/跳帧风险。</li>
</ul>
‌存储效率差异‌
‌同容量光盘‌：</p>

存储视频时长：DVD-Video > 数据光盘（因专用压缩优化）。</li>
示例：单层DVD存MPEG-2视频约120分钟，存原始数据仅90分钟。</li>
</ul>
行业规范与版权保护</h1>


‌版权控制需求‌
影视DVD常包含 ‌区域码‌（Region Code）及 ‌内容加扰系统‌（CSS）。
音乐CD采用 ‌CD-Text‌ 元数据保护，数据光盘无此类机制8。</p>
</li>

‌生产标准化‌
工厂压盘必须遵循 ‌“红皮书”‌（CD-DA）、‌“白皮书”‌（VCD）等规范。
数据光盘无统一内容标准，仅需符合物理层刻录要求4。</p>
</li>
</ul>
总结：区分根源在于‌场景驱动技术分化‌</h1>
类型</th> 核心目标</th> 技术实现</th></tr></thead>

数据</td> 通用存储</td> 开放文件系统+无编码限制</td></tr>
视频</td> 流畅播放+设备兼容</td> 强制编码标准+专用目录结构</td></tr>
音频</td> 高保真音质+播放便捷</td> 物理层流式存储+纠错优化</td></tr>
</tbody></table>
随着流媒体普及，光盘格式区分的重要性下降，但在专业存档、影视发行等领域仍是刚需。</p>


linux dvd刻录
2025-08-05T12:20:00+08:00
Debian/Ubuntu 上使用 Brasero 刻录光盘</h1>
在 Ubuntu 系统中，Brasero 是一个非常方便的光盘刻录工具。无论是创建数据光盘、音频光盘还是刻录光盘镜像文件，Brasero 都能轻松胜任。本文将介绍如何在 Ubuntu 上安装和使用 Brasero 进行光盘刻录。</p>
安装 Brasero</h1>
在大多数 Ubuntu 版本中，Brasero 已经包含在默认的软件源中。你可以通过以下步骤安装 Brasero：</p>
sudo apt update
sudo apt install brasero
</code></pre>
使用 Brasero 刻录数据光盘</h1>
启动 Brasero：安装完成后，你可以在应用程序菜单中找到 Brasero，点击打开它。</p>

创建新项目：
在 Brasero 主界面，选择“数据光盘”选项。
在新窗口中，点击“+”按钮添加你想要刻录的文件和文件夹。</li>
配置刻录设置：
在窗口底部，你可以选择光盘的刻录速度。默认速度通常是安全且可靠的选择。
确保你的光驱中已经插入了一张空白光盘。</li>
开始刻录：
检查确认所有文件和设置无误后，点击“刻录”按钮。
刻录过程可能需要几分钟时间，取决于数据量和刻录速度。</li>
</ul>
</p>


docker 开启ipv6网络支持
2025-08-05T09:12:46+08:00
Docker 默认是不开启 IPv6 支持的，这里介绍如何开启 Docker 桥接网络 IPv6 支持，具体操作仅供参考，建议以官方文档为准。</p>
通过查看主机命令方式获取的 ipv6 地址输出如下：</p>
6: eth0:  mtu 9000 
    inet6 2607:f0d0:1102:11::4/64 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::230:48ff:fe33:bc33/64 scope link 
       valid_lft forever preferred_lft forever
</code></pre>
其中inet6 2607:f0d0:1102:11::4/64 scope global这行指示的IPv6地址是我们需要的目标地址，注意这里的是公网IP，也就是后面scope global指示的，大家注意到后续还有一个fe80 开头的 IPv6 地址，这个后面没有 global，也就是通常意义内网 IPv6</p>
IPv6 地址段划分</h1>
Docker 可以配置多个虚拟网络，对于 IPv4 来说通过形如 172.17.0.1/16、172.18.0.1/16、172.19.0.1/16 这样内网私有IP地址段配置多个 IPv4 虚拟网段，那么同样的道理 IPv6 也建议划分多个段</p>
比如刚才的 IPv6 地址划分为 4 个网段如下：</p>
2607:f0d0:1102:11::/66
2607:f0d0:1102:11:4000::/66
</code></pre>
配置默认 Docker IPv6</h1>
编辑 Docker 配置文件/etc/docker/daemon.json，如果该文件不存在，请手动建立。配置文件内容如下，如果你已有的配置文件缺少相应的配置项，添加上即可，没有必要完全覆盖内容。</p>
{
  "experimental": true,
  "ipv6": true,
  "ip6tables": true,
  "fixed-cidr-v6": "2607:f0d0:1002:51::/66"
}
</code></pre>
这里ip6tables是指由 Docker 自动配置 IPv6 的防火墙规则，如果你希望自己手动配置，请改为 false 或者移除此项，否则容器将无法连接 IPv6 网络；fixed-cidr-v6 则是我们划分的子网段的第一个，这里仅作示例请读者根据实际情况修改。</p>
完成配置后请使用systemctl restart docker重启docker服务生效。完成此步后 Docker 算是完成对于 IPv6 的支持了。</p>
配置 Docker Compose 的 IPv6 支持</h1>
Docker Compose 的配置文件内容关于 IPv6 部分重点是网络节配置，如果另外配置网络的话，必须选择与默认daemon.json不同的 IPv6 子网段，例如：</p>
networks:
  example:
    enable_ipv6: true
    driver: bridge
    driver_opts:
      com.docker.network.enable_ipv6: "true"
    ipam:
      config:
       - subnet: 172.23.0.0/16
       - subnet: "2607:f0d0:1002:51:4000::/66"
         gateway:2607:f0d0:1002:51:4000::1
</code></pre>
这里example网络我们通过配置开启IPv6支持，其中网络段配置IPv4是172.23.0.0/16，IPv6选用余下的第二个网段2607:f0d0:1002:51:4000::/66注意这里不能和daemon.json配置的 IPv6 网段一样。这里的 IP 配置同样是一个示例，读者请根据实际情况进行修改。</p>
参考</h1>
docker ipv6网络配置</a></p>


输入法输出的是unicode吗
2025-08-01T19:35:57+08:00
字符插入到应用程序中的时unicode还是utf8, 还是其他
这是一个非常好的问题！在现代 Linux 桌面环境中（包括 GNOME），当 IBus 将一个中文字符（如“你”）插入到应用程序中时，它传递给应用程序的是 Unicode 码点（code point）的逻辑表示，而底层通信使用的是 UTF-8 编码的字节序列。</p>
下面我们来详细拆解这个过程：</p>
1. 核心概念区分：Unicode vs UTF-8</h1>

Unicode：是一个字符集（Character Set），它为世界上几乎所有的字符分配一个唯一的数字编号，称为码点（Code Point）。例如：</li>
U+4F60 就是汉字“你”在 Unicode 中的码点。</li>
UTF-8：是一种编码方式（Encoding），用于将 Unicode 码点转换为计算机可以存储和传输的字节序列（bytes）。</li>
U+4F60（“你”）用 UTF-8 编码后，是 3 个字节：0xE4 0xBD 0xA0。
简单说：Unicode 是“身份ID”，UTF-8 是“身份证上的信息如何印刷（字节格式）”。</li>
</ul>
2. IBus 如何传递字符？</h1>
IBus 在设计上遵循现代国际化标准，它与应用程序的通信逻辑上是基于 Unicode 码点的，但物理传输使用 UTF-8。</p>
具体流程如下：</p>
输入法引擎生成字符：</p>

当你选择“你”这个候选词时，ibus-libpinyin 引擎内部知道这个字符的 Unicode 码点是 U+4F60。</li>
通过 D-Bus 发送 Commit 事件：</li>
IBus 守护进程 (ibus-daemon) 通过 D-Bus 将“提交”指令发送给 ibus-gtk 模块。</li>
D-Bus 协议本身支持字符串类型。当传递文本时，D-Bus 要求字符串必须是 UTF-8 编码的。</li>
因此，U+4F60 会被编码成 UTF-8 字节序列 E4 BD A0，并通过 D-Bus 发送。</li>
GTK 模块接收并处理：</li>
ibus-gtk 模块从 D-Bus 收到这个 UTF-8 编码的字节序列。</li>
GTK 库（如 Pango）内部会将 UTF-8 字节序列解码回 Unicode 码点 U+4F60，并理解这是一个有效的汉字。</li>
插入到应用程序文本缓冲区：</li>
GTK 应用程序（如 gedit）的文本组件（GtkTextView / GtkEntry）内部的文本缓冲区（GtkTextBuffer）以 Unicode 码点序列的形式存储文本。</li>
但当这个文本需要保存到文件或通过网络发送时，应用程序通常会将其编码为 UTF-8 字节流写入磁盘或传输。</li>
</ul>
3. 为什么是 UTF-8？</h1>
Linux/Unix 传统：POSIX 系统（包括 Linux）长期以来将“字节序列”作为字符串的基本单位。UTF-8 向后兼容 ASCII，是事实上的标准编码。
效率与兼容性：UTF-8 对 ASCII 字符（英文、数字、符号）只需 1 字节，非常高效。同时它能表示所有 Unicode 字符。
D-Bus 规范：D-Bus 明确规定其字符串类型使用 UTF-8 编码。
GTK/Qt API：这些工具包的文本处理 API 在接收字符串时，期望的是 UTF-8 编码的 char*（C 语言）或 gchar*。</p>
✅ 总结</h1>
问题	答案</p>
IBus 传递给应用程序的是什么？</th> 逻辑上是 Unicode 字符（码点），物理上是 UTF-8 编码的字节序列。</th></tr></thead>

应用程序内部如何存储？</td> 现代应用程序（如 GTK/Qt 应用）的文本缓冲区通常以 Unicode 码点序列的形式管理文本。</td></tr>
最终存储到文件是什么？</td> 绝大多数现代 Linux 应用程序（编辑器、终端等）默认以 UTF-8 编码将文本写入文件。</td></tr>
</tbody></table>
简而言之： 你可以理解为 IBus 告诉应用程序：“请插入一个 Unicode 字符 U+4F60”，而这个“告诉”的过程，是用 UTF-8 这种“语言”说的。应用程序听懂后，就在自己的 Unicode 文本流中加入这个字符，并在需要时用 UTF-8 格式保存。</p>


输入法工作原理ibus
2025-08-01T19:19:26+08:00
我们来详细拆解一下 IBus（Intelligent Input Bus）在 Linux 系统中，从你按下键盘按键开始，到最终中文文本被输入到应用程序的完整工作流程。</p>
这是一个涉及操作系统内核、X Window System（或 Wayland）、输入法框架（IBus）、输入法引擎（Engine）和前端应用程序的复杂协作过程。</p>
🧩 IBus 的核心架构</h1>
在深入流程前，先理解 IBus 的关键组件：</p>

ibus-daemon (IBus 守护进程)：核心后台服务。它管理所有输入法会话、协调通信，并作为“总线”（Bus）连接各个部分。</li>
Input Method Engine (IME)：具体的输入法逻辑实现，如 ibus-pinyin（拼音）、ibus-libpinyin（智能拼音）、ibus-rime（小狼毫/鼠须管）等。它负责将按键序列（如 ni hao）转换为候选词（如 你好）。</li>
IBus Panel：用户界面组件。显示候选词列表、状态图标（中/英文）、输入提示等。通常是一个悬浮窗口。</li>
IBus GTK/Qt Modules：嵌入在 GTK 或 Qt 应用程序中的模块。它们是应用程序与 IBus 守护进程通信的“桥梁”。</li>
X11/Wayland Server：负责接收原始的硬件键盘事件。</li>
</ol>
🔤 详细工作流程：从按键到文本输入</h1>
阶段 1：键盘输入与事件捕获</h2>

硬件事件：你按下键盘上的 n 键。</li>
内核处理：键盘驱动将物理信号转换为标准的输入事件（EV_KEY），通过 evdev 接口发送给用户空间。</li>
显示服务器接收：X11 Server（或 Wayland Compositor）从内核读取这个事件。此时，它只是一个原始的“keycode”（物理键码）和“keysym”（逻辑符号，如 n）。</li>
事件分发：显示服务器将这个键盘事件发送给当前焦点窗口（即你正在输入的程序，比如 gedit）。</li>
</ul>
阶段 2：IBus 介入与预编辑（Pre-edit）</h2>

IBus 模块拦截：由于你之前已将 IBus 设置为输入法框架，gedit（GTK 应用）加载了 ibus-gtk 模块。这个模块拦截了显示服务器发来的键盘事件，而不是直接让 gedit 处理。</li>
事件转发给 IBus 守护进程：ibus-gtk 模块将这个键盘事件（n）通过 D-Bus 发送给 ibus-daemon。</li>
守护进程分发给引擎：ibus-daemon 收到事件后，根据当前激活的输入法会话（Session），将其转发给对应的 Input Method Engine（例如 ibus-libpinyin）。</li>
引擎处理与预编辑：
ibus-libpinyin 引擎接收到 n。
它判断当前处于“拼音输入状态”。
引擎将 n 添加到当前的“预编辑文本”（Pre-edit String）中。预编辑文本是用户正在输入但尚未确认的拼音序列。
引擎立即计算可能的候选词（虽然 n 单独一个字母候选词很多，但引擎会开始准备）。
引擎通过 ibus-daemon 将预编辑状态信息（包括预编辑文本 n、文本属性如颜色/下划线）发送回 ibus-gtk 模块。</li>
前端显示预编辑：
ibus-gtk 模块收到预编辑信息。
它通知 gedit 在光标位置临时显示预编辑文本 n（通常带下划线或特殊颜色）。
同时，ibus-daemon 通知 IBus Panel 显示候选词列表（可能显示 n 开头的词，如“你”、“那”、“呢”等）。</li>
</ul>
阶段 3：继续输入与候选词生成</h2>

输入 i：你按下 i 键。</li>
重复阶段2流程：

事件被 ibus-gtk 拦截。</li>
通过 D-Bus 发送给 ibus-daemon。</li>
转发给 ibus-libpinyin 引擎。</li>
引擎将 i 追加到预编辑文本，现在是 ni。</li>
引擎重新计算候选词（你、呢、泥、拟 等）。</li>
ibus-daemon 将新的预编辑文本 ni 和更新的候选词列表发送给 ibus-gtk 和 IBus Panel。</li>
gedit 更新显示为 ni（带下划线），Panel 更新候选词。</li>
</ul>
</li>
</ul>
阶段 4：选词与确认输入（Commit）</h2>

选择候选词：你按下 空格键 或数字键 1 来选择第一个候选词“你”。</li>
引擎确认文本：
ibus-libpinyin 引擎收到 空格 事件。
它识别为“确认/上屏”指令。
引擎将当前选中的候选词 “你” 标记为“已提交文本”（Committed Text）。
引擎清空预编辑状态。
引擎通过 ibus-daemon 向 ibus-gtk 模块发送一个 “Commit” 事件，内容是 Unicode 字符 “你”。</li>
前端接收并显示最终文本：
ibus-gtk 模块收到 “Commit” 事件。
它停止显示预编辑文本。
它将真正的文本 “你” 插入到 gedit 的文本缓冲区中的光标位置。
gedit 正常渲染这个字符，就像你直接按了一个“你”键一样。</li>
状态更新：ibus-daemon 通知 Panel 隐藏候选词列表。输入法回到初始状态，等待下一次输入。</li>
</ul>
阶段 5：直接输入（英文/符号）</h2>

切换到英文：你按下 Shift 键（假设设置为中英文切换键）。</li>
引擎处理切换：
ibus-libpinyin 引擎收到 Shift 事件。
它切换到“英文输入模式”。
引擎向 ibus-daemon 发送一个 “Process Key Event” 指令，意思是“这个键不需要我处理，请原样传递给应用程序”。</li>
事件透传：
ibus-daemon 将“透传”指令告知 ibus-gtk 模块。
ibus-gtk 模块不再拦截后续的键盘事件（如 h, e, l, l, o）。
这些事件直接由 gedit 处理，输入英文 “hello”。</li>
</ul>
📊 总结：数据流图</h1>
[键盘] 
  ↓ (硬件事件)
[内核 (evdev)] 
  ↓ 
[X11/Wayland Server] 
  ↓ (键盘事件)
[gedit (GTK App)] 
  ↓ (被拦截)
[ibus-gtk 模块] ←→ D-Bus ←→ [ibus-daemon] ←→ [Input Method Engine (e.g., ibus-libpinyin)]
  ↑ (预编辑/Commit)        ↑ (管理会话)        ↑ (处理逻辑)
  |                         |                   |
  ↓ (显示预编辑)            ↓ (显示Panel)       ↓ (生成候选词)
[gedit 显示 ni___]     [IBus Panel 显示 候选词]  [引擎内部状态]
  ↑
[用户按 空格]
  ↓
[引擎 Commit "你"]
  ↓
[ibus-gtk 模块]
  ↓ (插入文本)
[gedit 显示 "你"]
</code></pre>
🔑 关键点</h1>

拦截与代理：IBus 的核心是“拦截”原始键盘事件，自己处理（预编辑、候选），处理完再把结果“代理”给应用程序。</li>
D-Bus 通信：ibus-daemon 作为中心枢纽，使用 D-Bus 与引擎、Panel、GTK/Qt 模块通信。</li>
预编辑 (Pre-edit)：这是输入法能显示带下划线的拼音的关键。</li>
Commit (提交)：这是候选词变成最终文本的关键步骤。</li>
透传 (Pass-through)：在英文模式或某些快捷键下，IBus 会让事件直接到达应用。</li>
理解这个流程，有助于你在配置输入法或排查问题（如候选词不出现、无法输入中文）时，能更精准地定位是哪个环节出了问题（是守护进程没启动？引擎没加载？模块没加载？快捷键冲突？）。</li>
</ul>


wireshark插件 解析自定义协议
2025-07-30T16:34:38+08:00
Wireshark内置了Lua脚本编写插件，无需配置额外的环境，使用起来吧比较便。</p>
使用Lua编写Wireshark协议解析插件，有几个比较重要的概念:</p>

Dissector,解剖器，用来解析包的类，我们要编写的，也是一个Dissector。</li>
DissectorTable,解析器表是Wireshark中解析器的组织形式，是某一种协议的子解析器的一个列表，其作用是把所有的解析器组织成一种树状结构，便于Wireshark在解析包的时候自动选择对应的解析器。例如TCP协议的子解析器 http, smtp, sip等都被加在了"tcp.port"这个解析器表中，可以根据抓到的包的不同的tcp端口号，自动选择对应的解析器。</li>
</ol>
基础</h1>
</p>
-- create a new protocol
local proto_name = "PNASKCP"
local proto_desc = "Private NAS Protocol (KCP)"
local proto_obj = Proto(proto_name, proto_desc)
local proto_port = 5067

--register this dissector add Packet Details
DissectorTable.get("udp.port"):add(proto_port, proto_obj)
</code></pre>
ProtoField</h2>
表示协议字段，一般用于解析字段后往解析树上添加节点。根据字段类型不同，其接口可以分为两大类。
这些接口都会返回一个新的字段对象。方括号内是可选字段，花括号内是可替换的类型字段。</p>
ProtoField.{type}(abbr, [name], [base], [valuestring], [mask], [desc])
·type包括:uint8, uint16, uint24, uint32, uint64, framenum, float, double, string, stringz, bytes, bool, ipv4, ipv6, ether,oid, guid
</code></pre>
参数</p>

abbr 字段的缩写名称（过滤器中使用的字符串）。</li>
name (optional) 字段的实际名称（出现在树中的字符串）。</li>
base (optional) base.DEC，base.HEX或base.OCT，base.DEC_HEX，base.HEX_DEC，base.UNIT_STRING或base.RANGE_STRING。</li>
valuestring (optional) 包含与值对应的文本的表，或包含与值 ({min, max, “string”}) 对应的范围字符串值表的表（如果基数为 ）base.RANGE_STRING，或包含单位名称的表如果 base 是base.UNIT_STRING.</li>
mask (optional) 此字段的整数掩码。</li>
desc (optional) 字段说明。</li>
</ul>
fields.tlv_value_int16 = ProtoField.uint16(proto_name .. ".tlv_value_int", "PNAS TLV VALUE", base.HEX)
fields.uri_ipv4 = ProtoField.ipv4(proto_name .. ".uri_ipv4", "IP ADDRESS")
</code></pre>
tvb</h2>
Tvb（Testy Virtual Buffer）表示报文缓存，也就是实际的报文数据，可以通过下面介绍的TvbRange从报文数据中解出信息。主要接口有：
</p>
-- tvb(offset, 4)表示从offset开始之后的4个字节
subtree:add_le(fields.peer_ipaddr, tvb(offset, 4))
</code></pre>
pinfo</h2>
报文信息(packet information)。主要接口有：
</p>
-- show protocol name
pinfo.cols.protocol = "PNASKCP"
-- show in info
pinfo.cols.info:set("Private NAS Protocol (CALL_REQUEST)") 
</code></pre>
TreeItem</h2>
表示报文解析树中的一个树节点。主要接口有：

还有注意一下网络字节序的问题，如果是网络字节序需要用add_le添加节点</p>
-- kcp header
local subtree = tree:add(proto_obj, tvb(offset, lmmh_len), "KCP")	
--conv
subtree:add_le(fields.conv, tvb(offset, 4))
offset = offset + 4
--cmd
subtree:add_le(fields.cmd, tvb(offset, 1))
offset = offset + 1
--frg
subtree:add_le(fields.frg, tvb(offset, 1))
offset = offset + 1
--wnd
subtree:add_le(fields.wnd, tvb(offset, 2))
offset = offset + 2
</code></pre>
脚本模板</h1>
创建编译 packet-demo.lua 文件</p>
do

-- 创建一个新的协议: 协议名称为 fuzz_proto，在Packet Details窗格显示为 Fuzz Custom Protocol
fuzz_protocol = Proto("fuzz_proto", "Fuzz Custom Protocol")

-- 定义协议字段
--[[ 自定义字段
protocol_type(2) -- 自定义协议编号
base_protocol(1) -- 下层协议
connection_index(1) -- 收发状态
round_index(4) -- 本轮次序号
--]]
local f_protocol_type = ProtoField.uint16("fuzz_proto.protocol_type", "Custom Protocol ID", base.DEC)
local f_base_protocol = ProtoField.uint8("fuzz_proto.base_protocol", "Base Protocol", base.DEC)
local f_connection_index = ProtoField.uint8("fuzz_proto.connection_index", "Connection ID", base.DEC)
local f_round_index = ProtoField.uint32("fuzz_proto.round_index", "Round Index", base.DEC)
-- 将字段添加到协议中
fuzz_protocol.fields = { f_protocol_type, f_base_protocol, f_connection_index, f_round_index } 
local data_dis = Dissector.get("data")

-- 定义协议的解析函数
function FUZZ_dissector(buffer, pinfo, tree)
    local length = buffer:len()
    -- 确保报文有足够的长度供解析
    if length < 8 then
        return false
    end
    --验证一下identifier这个字段是不是0x12,如果不是的话，认为不是我要解析的packet
    local v_identifier = buffer(0, 1)
    if (v_identifier:uint() ~= 0x12) then 
        return false 
    end
    --取出其他字段的值
    local v_length = buffer(1, 1)
    v_length = tonumber(tostring(v_length),16)
    local v_data = buffer(2,v_length)

    -- 显示协议名称 --在主窗口的 Protocol 字段显示的名称为 XX_Protobuf
    -- pinfo.cols.protocol:set("XX_Protobuf")
    pinfo.cols.protocol = "fuzz_proto"

    --现在知道是我的协议了，放心大胆添加Packet Details
    -- 在树形结构中添加Headers
    local subtree = tree:add(fuzz_protocol, buffer(0, 7), "Fuzz Header")
    -- 解析协议字段并添加到树中
    subtree:add(f_protocol_type, buffer(0, 2))

    local d_base_protocol = buffer(2, 1):uint()
    local d_base_protocol_map = {
        [0] = "UnSet",
        [1] = "Ethernet",
        [2] = "IP",
        [3] = "TCP",
        [4] = "UDP",
        [5] = "TLS",
        [6] = "HTTP"
    }
    local d_base_protocol = d_base_protocol_map[d_base_protocol] or "Unknown"
    subtree:add(f_base_protocol, buffer(2, 1)):append_text(" (" .. d_base_protocol .. ")")

    local d_connection_index = (buffer(3, 1):uint() < 127) and "Send" or "Receive"
    subtree:add(f_connection_index, buffer(3, 1)):append_text(" (" .. d_connection_index .. ")")

    -- 本轮次序号, 取值为十六进制，需要将其转换为十进制 
    local d_round_index = string.format("%d", buffer(4, 4):uint()) 
    subtree:add(f_round_index, buffer(4, 4)):append_text(" (" .. d_round_index .. ")") 

    -- 解析下层协议
    local payload = buffer(8, length - 8)
    local subtree_payload = tree:add(fuzz_protocol, payload, "Current Custom Protocol")
    subtree_payload:add("Payload", payload):append_text(" (" .. payload:len() .. " bytes)")
end

function fuzz_protocol.dissector(buffer, pinfo, tree)
    if FUZZ_dissector(buffer, pinfo, tree) then
        -- valid Fuzz diagram
    else
        -- data这个dissector几乎是必不可少的；当发现不是我的协议时，就应该调用data
        data_dis.call(buffer, pinfo, tree)
    end
end

-- 注册 dissector 到对应的 DLT_USER3 (150)
-- local wtap_encap_table = DissectorTable.get("wtap_encap")
-- wtap_encap_table:add(150, fuzz_protocol)
local tcp_encap_table = DissectorTable.get("tcp.port")
--因为我们的自定义协议的接受端口是1080，所以这里只需要添加到"tcp.port"这个DissectorTable里即可。
tcp_encap_table:add(1080, fuzz_protocol)
end

</code></pre>
配置lua脚本</h1>
</p>
如图， 在/usr/share/wireshark/init.lua文件中，添加：</p>
enable_lua = true
dofile("/home/peter/.config/wireshark/packet-demo.lua")
</code></pre>
然后重新启动Wireshark或者点击【分析】-【重新载入Lua插件】，就可以启用你自己的lua插件了。</p>
新版本wireshark4.2 中的位置有所改变</h2>

如图 init.lua需要 放置在 /usr/lib/x86_64-linux-gnu/wireshark/plugins/init.lua 位置
并添加</p>
dofile(DATA_DIR.."/packet-demo.lua")
</code></pre>
高级一点的玩法</h1>
如果我们协议的PayLoad里封装的其实是以太网包，能不能让Wireshark在我们的插件执行完之后，继续按照以太网格式解析其他部分呢？</p>
这里，我们重新构造一下需要继续解析的数据，然后获取出一个以太网解析器就继续做下去</p>
local raw_data = buf(8, buf:len() - 8)
Dissector.get("eth_maybefcs"):call(raw_data:tvb(), pinfo, tree)
</code></pre>
替换上面代码的-- 解析下层协议即可
需要在注意,</p>

获取的解析器名称应该是 eth_maybefcs，因为DissectorTable里写的eth，但是提示找不到。 eth_maybefcs，意思是可能带有fcs的eth帧</li>
raw_data需要调用一下tvb()函数，不然会提示你这个是userdata，不能使用。tvb的全称应该是Testy Virtual Buffer，用来存储Packet buffer的，要处理必须先转成这个。</li>
</ol>
调用eth_maybefcs解析器的时候，这些解析器会给协议栏赋值，覆盖掉我们之前写的wfuzz protocol。为了区分，我们可以在上面的代码之后加上：</p>
pkt.cols.protocol:append("-FuzzProtocol")
</code></pre>
就是不管协议栏被改成了什么，都在后面加上-FuzzProtocol，这样ARP、ICMP等就会变成 ARP-Fuzz、ICMP-Fuzz了，一眼就可以跟那些普通的ARP和ICMP区分出来。</p>
参考</h1>
wireshark插件开发</a></br>
自定义协议</a></br>
wireshark lua api 协议解析</a></br></p>


手动安装vscode server
2025-07-28T13:30:36+08:00
首先需要确认安装的vscode 的版本</p>
查看vscode的版本</p>
Help -> About
</p>
vscode server 的安装目录在$HOME/.vscode-server中</p>
首先,手动下载vscode server</p>
git_cid=c306e94f98122556ca081f527b466015e1bc37b0
wget -O vscode-server.tar.gz https://update.code.visualstudio.com/commit:${git_cid}/server-linux-x64/stable
</code></pre>
解压到目标目录</p>
install_path="${HOME}/.vscode-server/bin/${git_cid}"
mkdir -p ${install_path}
tar -xzf vscode-server.tar.gz -C ${install_path} --strip-components 1
</code></pre>
可以写成一个可执行脚本后续复用install.sh</p>
git_cid="$1"
echo "Installing VSCode Server version: ${git_cid}"
install_path="${HOME}/.vscode-server/bin/${git_cid}"
pushd /tmp
wget -O vscode-server.tar.gz https://update.code.visualstudio.com/commit:${git_cid}/server-linux-x64/stable
mkdir -p ${install_path}
tar -xzf vscode-server.tar.gz -C ${install_path} --strip-components 1
touch ${install_path}/0
popd
</code></pre>


shadowsocks
2025-07-24T15:33:48+08:00
学习socks协议中发现有加密版本shadowsocks协议
这里记录一下协议学习的过程</p>
项目参考: shadowsocks</a></p>
参考配置</p>
{
    "server": "127.0.0.1",
    "server_port": 8388,
    "password": "rwQc8qPXVsRpGx3uW+Y3Lj4Y42yF9Bs0xg1pmx8/+bo=",
    "method": "aes-256-gcm",
    // ONLY FOR `sslocal`
    // Delete these lines if you are running `ssserver` or `ssmanager`
    "local_address": "127.0.0.1",
    "local_port": 1080
}
</code></pre>
{
    "servers": [
        {
            "server": "127.0.0.1",
            "server_port": 8388,
            "password": "rwQc8qPXVsRpGx3uW+Y3Lj4Y42yF9Bs0xg1pmx8/+bo=",
            "method": "aes-256-gcm",
            "timeout": 7200
        },
        {
            "server": "127.0.0.1",
            "server_port": 8389,
            "password": "/dliNXn5V4jg6vBW4MnC1I8Jljg9x7vSihmk6UZpRBM=",
            "method": "chacha20-ietf-poly1305"
        },
        {
            "disabled": true,
            "server": "eg.disable.me",
            "server_port": 8390,
            "password": "mGvbWWay8ueP9IHnV5F1uWGN2BRToiVCAWJmWOTLU24=",
            "method": "chacha20-ietf-poly1305"
        }
    ],
    // ONLY FOR `sslocal`
    // Delete these lines if you are running `ssserver` or `ssmanager`
    "local_port": 1080,
    "local_address": "127.0.0.1"
}
</code></pre>
refresh_rate: 30 seconds
appenders:
  stdout:
    kind: console
    encoder:
      pattern: "{d(%Y-%m-%d %H:%M:%S)} {h({l})} [{M}] - {m}{n}"
      # pattern: "{h({d(%+)(utc)} [{f}:{L}] {l:<6} {M}:{m})}{n}"
root:
  level: info
  appenders:
    - stdout
</code></pre>
cargo build
RUST_LOG=debug target/debug/ssserver -c target/config.json
RUST_LOG=debug target/debug/sslocal -c target/config.json
</code></pre>


Linux Magic SysRq
2025-07-24T09:39:55+08:00
在 Linux 中，Magic SysRq（Magic System Request）键 是一个组合键机制，用于在系统严重故障（如死机、挂起等）时发送低级命令给内核进行恢复或诊断操作。它能在几乎所有情况下（包括部分内核崩溃）执行，如同步磁盘、重启、杀死进程等。</p>
前提条件检查</h1>
内核是否编译支持Magic SysRq
检查当前运行状
0：全部禁用
1：全部启用
其他值（如 176、438）：按位启用（详见附录）</p>
zcat /proc/config.gz | grep CONFIG_MAGIC_SYSRQ
cat /boot/config-$(uname -r) | grep -i config_magic_sysrq
cat /proc/sys/kernel/sysrq
</code></pre>
发行版Magic SysRq使用情况</h1>
很多Linux发行版中是默认启用的，但具体情况可能会有所不同。例如：</p>

Debian及其衍生发行版（如Ubuntu）通常默认开启Magic SysRq功能。</li>
Arch Linux及其相关发行版（如Manjaro）则默认情况下不开启Magic SysRq功能，用户需要手动进行配置以启用它。
如果你不确定某个特定的Linux发行版是否默认启用了Magic SysRq，可以通过以下命令来检查当前系统的Magic SysRq状态：</li>
</ol>
cat /proc/sys/kernel/sysrq
</code></pre>
如果输出为1，则表示所有Magic SysRq功能都已启用；如果输出为0，则表示SysRq被禁用。其他数值表示部分功能被启用，具体的数值含义可以参考内核文档或通过搜索引擎查找对应的解释。</p>
要临时启用所有的Magic SysRq功能，可以使用以下命令：</p>
echo 1 | sudo tee /proc/sys/kernel/sysrq
</code></pre>
对于永久性更改，可以在/etc/sysctl.conf文件中添加或者修改如下行：</p>
kernel.sysrq = 1
</code></pre>
然后运行sudo sysctl -p使更改生效，或者重启系统。不同的发行版可能有不同的配置文件位置和方法，请根据实际情况调整。</p>
如何使用Magic SysRq</h1>
键盘组合方式(本地终端使用)</h2>
Alt + SysRq + <command_key>
</code></pre>
SysRq 键通常和 Print Screen 是同一个键
在笔记本上可能需要额外按 Fn 键</p>
常见命令键列表（<command_key>）：</p>
键</th> 功能</th></tr></thead>

b</td> 立即重启系统（ReBoot）</td></tr>
o</td> 立即关闭系统（pOwer off）</td></tr>
s</td> 立刻将所有挂载的文件系统同步（Sync）</td></tr>
u</td> 立刻将文件系统 remount 为只读（Umount）</td></tr>
e</td> 向所有终端进程发送 SIGTERM（tErminate）</td></tr>
i</td> 向所有终端进程发送 SIGKILL（kIll）</td></tr>
r</td> 将键盘控制权从 X Server 还原到控制台（Raw mode）</td></tr>
k</td> 杀死当前控制台上的所有进程（Kill）</td></tr>
h</td> 显示可用命令帮助（Help）</td></tr>
</tbody></table>
通过 /proc/sysrq-trigger 发送命令（远程使用）</h2>
如果你是通过 SSH 或串口登录的，可以使用：</p>
echo <command_key> | sudo tee /proc/sysrq-trigger
echo b | sudo tee /proc/sysrq-trigger   # 立即重启
echo s | sudo tee /proc/sysrq-trigger   # 同步磁盘

</code></pre>
典型场景：安全重启挂死系统</h1>
建议使用“REISUB”组合重启挂住的系统：</p>
Alt + SysRq + R
Alt + SysRq + E
Alt + SysRq + I
Alt + SysRq + S
Alt + SysRq + U
Alt + SysRq + B
</code></pre>
含义如下：</p>
步骤</th> 含义</th></tr></thead>

R</td> 恢复键盘控制权</td></tr>
E</td> 终止所有进程</td></tr>
I</td> 杀死所有进程</td></tr>
S</td> 同步磁盘</td></tr>
U</td> 卸载磁盘（只读）</td></tr>
B</td> 重启系统</td></tr>
</tbody></table>
每按一次组合键后，等1-2秒再继续下一步，确保命令有时间生效。</p>
附录：sysrq 按位权限含义（对应 /proc/sys/kernel/sysrq）</h1>
值</th> 功能</th></tr></thead>

1</td> 启用所有功能</td></tr>
2</td> 控制进程的信号发送</td></tr>
4</td> 挂载的文件系统 sync</td></tr>
8</td> 立即重启或关机</td></tr>
16</td> Dump tasks 信息</td></tr>
32</td> 设置日志等级</td></tr>
64</td> 终止进程</td></tr>
128</td> Kill 当前控制台进程</td></tr>
</tbody></table>
常见值：
176 = 128 + 32 + 16：允许 kill、日志、重启</p>
438 = 128 + 64 + 8 + 4 + 2 + 32：广泛启用但不包含 r</p>
cat /proc/sys/kernel/sysrq | xxd -b
</code></pre>


sing-box协议
2025-07-19T22:55:57+08:00
检查并开启BBR</h1>
sysctl net.ipv4.tcp_congestion_control net.core.default_qdisc
</code></pre>
sysctl -w net.ipv4.tcp_congestion_control=bbr
sysctl -w net.core.default_qdisc=fq
</code></pre>
sing-box配置文件解析</h1>
"inbounds": [
  {
    "tag":"SS",
    "type": "shadowsocks",
    "listen": "::",
    "listen_port": 80,
    "method": "2022-blake3-aes-128-gcm", // aes-128-gcm 密钥无限制
    "password": "hztQCU1ZB8CAuPMVFJiCJw==", // 密钥长度16，sing-box执行 sing-box generate rand --base64 16 生成
    "multiplex": {
        "enabled": true
    }
  },
  {
    "tag":"VLESS-Vision-Reality",
    "type":"vless",
    "listen":"::",
    "listen_port":443,
    "users":[
        {
            "uuid":"625a08bb-d372-4f7c-a2d4-6a50ca3393ce", // sing-box执行 sing-box generate uuid 生成
            "flow":"xtls-rprx-vision"
        }
    ],
    "tls":{
        "enabled":true,
        "server_name":"moe.syaronet.com",
        "reality":{
            "enabled":true,
            "handshake":{
                "server":"moe.syaronet.com", // 要求网站支持 TLS 1.3、X25519 与 H2，域名非跳转用
                "server_port":443
            },
            "private_key":"mAQVEs96AtDg1V_b2POFVP8n-Uu6hBe0_1Zt-DtRzGE", // 执行 sing-box generate reality-keypair 生成，对应公钥放客户端
            "short_id":[
                "a118b9425a7e2dc5" // 执行 sing-box generate rand 8 --hex 生成
            ]
        }
    },
    "multiplex":{
        "enabled":true,
        "padding":true,
        "brutal":{
            "enabled":true,
            "up_mbps":800,
            "down_mbps":100
        }
    }
  },
  {
    "tag": "HYSTERIA2",
    "type": "hysteria2",
    "listen": "::",
    "listen_port": 52021,
    "obfs": {
      "type": "salamander",
      "password": "71c42203-ee95-44f9-97f2-3fefe254f223" // sing-box执行 sing-box generate uuid 生成作为密码即可
    },
    "users": [
      {
        "password": "c36d52aa-12b0-420c-a409-02f0410f6ac4" // sing-box执行 sing-box generate uuid 生成作为密码即可
      }
    ],
    "tls": {
      "enabled": true,
      "alpn": [
        "h3"
      ],
      "certificate_path": "/etc/ssl/yu.ykszckj.com/yu.ykszckj.com.crt",
      "key_path": "/etc/ssl/yu.ykszckj.com/yu.ykszckj.com.key"
    }
  }
],
</code></pre>


开始使用zola博客
2025-07-19T21:05:11+08:00
安装zola</h1>
git clone https://github.com/getzola/zola.git
cd zola
cargo install --path . --locked
zola --version
</code></pre>
配置博客</h1>
zola init blog
cd blog
git submodule add https://github.com/salif/linkita.git themes/linkta
</code></pre>
# The URL the site will be built for
base_url = "https://blog.example.com"

title = "peter的博客"
description = "学海无涯"
default_language = "zh"
generate_rss = true

# Whether to automatically compile all Sass files in the sass directory
compile_sass = false

# theme = "even"
theme = "linkita"

# Whether to do syntax highlighting
# Theme can be customised by setting the `highlight_theme` variable to a theme supported by Zola
highlight_code = true
highlight_theme = "monokai"

# Whether to build a search index to be used later on by a JavaScript library
build_search_index = false

ignored_content = ["*.sw?"]

taxonomies = [
    {name = "categories", rss = true, paginate_by = 10},
    {name = "tags", rss = false, paginate_by = 10},
]

[extra]
# Put all your custom variables here

[extra.author]
name = "peter xiaoli"
email = "moxuetianya@gmail.com"
</code></pre>
新建博客脚本</p>
#!/bin/bash
# Copyright (c) 2025 peterxiaoli<moxuetianya@gmail.com>. All rights reserved.
# Use of this source is governed by General Public License that can be found
# in the LICENSE file.

set -xe
# Create a new article template.

ARTICLE=$1
if [ -z "${ARTICLE}" ]; then
  echo "Usage $0 article-name"
  exit 1
fi
TIMESTAMPE=$(date --rfc-3339=seconds)
FILENAME="content/$(date +%Y-%m-%d)-${ARTICLE}.md"
URL_PATH="$(date +%Y)/$(date +%m)/${ARTICLE}"
echo "TIMESTMAP: ${TIMESTAMPE}"
echo "FILENAME: ${FILENAME}"
echo "URL_PATH: ${URL_PATH}"

if [ ! -f "${FILENAME}" ]; then
  cat > "${FILENAME}" << EOF
+++
title = "${ARTICLE}"
description = ""
date = ${TIMESTAMPE}
path = "${URL_PATH}"
[taxonomies]
categories = []
+++
EOF
fi
</code></pre>


代码覆盖率
2025-07-19T20:53:28+08:00
代码覆盖率的工作方式</h1>
source code instrumentation - 源代码检测</h2>
将检测豫剧添加到源代码中， 并使用正常的编译工具链编译代码生成检测的程序。
这是我们常说的茶庄， gcov 属于这一类的代码覆盖率工具</p>
Runtime instrumentation - 运行时收集</h2>
这种方法在代码执行时从运行时环境收集信息以确定覆盖率信息。以我的理解 JaCoCo 和 Coverage 这两个工具的原理属于这一类别。</p>
Intermediate code instrumentation - 中间代码检测</h2>
通过添加新的字节码来检测编译后的类文件，并生成一个新的检测类。说实话，我 Google 了很多文章并找到确定的说明哪个工具是属于这一类的。</p>
了解这些工具的基本原理，结合现有的测试用例，有助于正确的选择代码覆盖率工具。比如：</p>
产品的源代码只有 E2E（端到端）测试用例，通常只能选择第一类工具，即通过插桩编译出的可执行文件，然后进行测试和结果收集。
产品的源代码有单元测试用例，通常选择第二类工具，即运行时收集。这类工具的执行效率高，易于做持续集成。</p>
当前主流代码覆盖率工具</h1>
代码覆盖率的工具有很多，以下是我用过的不同编程语言的代码覆盖率工具。在选择工具时，力求去选择那些开源、流行（活跃）、好用的工具。</p>
|编程语言 |	代码覆盖率工具 |
| C/C++	| Gcov |
|Java |	JaCoCo|
|JavaScript|	Istanbul|
|Python|	Coverage.py|
|Golang	|cover|</p>


学习vless协议
2025-07-19T00:00:00+00:00
VLESS数据结构根据开发者的介绍，如下所示。</p>
请求 Request</h1>
1 字节</th> 16 字节</th> 1 字节</th> M 字节</th> 1 字节</th> 2 字节</th> 1 字节</th> S 字节</th> X 字节</th></tr></thead>

协议版本</td> 等价UUID</td> 附加信息长度M</td> ProtoBuf</td> 指令</td> 端口</td> 地址类型</td> 地址</td> 请求数据</td></tr>
</tbody></table>
响应 Response</h1>
1 字节</th> 1 字节</th> N 字节</th> Y 字节</th></tr></thead>

协议版本，与请求一致</td> 附加信息长度 N</td> 附加信息 ProtoBuf</td> 响应数据</td></tr>
</tbody></table>
相比其他传输协议，VLESS协议更加简洁，能够达到更加高效的数据传输，就以往的经验来说，其主要优势在于：</p>
VLESS协议不依赖于系统时间，在Windows+Linux双系统环境下，可以不再困扰于时区时差；
VLESS协议在传输数据时不会加密数据，配合其他加密传输协议使用时可以达到更高的性能；
允许进行回落，可以将接收到的非代理数据进行转发，无需另外架设转发服务；
VLESS协议在未来可能出现统一的导出格式，方便在各个终端间传递使用。</p>
配置wireshark插件</h1>

linux 中 wireshark 4.2.2版本</li>
</ul>
cp ./vless.lua /usr/share/wireshark/vless.lua
# or cp ./vless.lua ~/.config/wireshark/vless.lua
echo 'dofile(DATA_DIR.."/vless.lua")' | sudo tee -a /usr/lib/x86_64-linux-gnu/wireshark/plugins/init.lua
</code></pre>

linux 中 wireshark 4.0.17版本</li>
</ul>
cp ./vless.lua /usr/share/wireshark/vless.lua
echo 'dofile(DATA_DIR.."/vless.lua")' | sudo tee -a /usr/share/wireshark/init.lua
</code></pre>


wireshark中【分析】-> 【重新载入lua插件】</p>
</li>

wireshark 插件配置</a></p>
</li>

vless wireshark插件文件</a></p>
</li>
</ul>
参考</h1>

vmess</a></li>
vless</a></li>
</ul>


归档
2025-07-14T00:00:00+00:00
墨雪天琊

GNOME Remote Desktop 证书问题排查记录

GNOME Remote Desktop 证书问题排查记录</h1>

排查步骤</h2>

修复步骤</h2>

GNOME Remote Desktop (RDP) 完整排查与修复记录

GNOME Remote Desktop (RDP) 完整排查与修复记录</h1>

问题一：RDP 证书缺少 X509v3 扩展</h2>

根因</h3> FreeRDP 3.x 严格要求证书包含 subjectAltName</code> (SAN)、Key Usage</code>、Extended Key Usage</code> 等 X509v3 扩展。旧证书由 GNOME 早期版本自动生成，缺少这些扩展。</p>

问题二：RDP 凭据未设置</h2>

根因</h3> RDP 服务需要设置登录凭据（用户名 + 密码）才能接受客户端连接。</p>

问题三：GNOME Keyring 缺少 login 密钥环</h2>

问题四：systemd Type=dbus 与 --headless 不兼容</h2>

根因</h3> daemon 默认以 Type=dbus</code> 运行，systemd 等待 daemon 注册 D-Bus 名称 org.gnome.RemoteDesktop.User</code>。但 --headless</code> 模式下，daemon 可能在注册 D-Bus 名称前需要额外初始化（如 TPM 尝试），导致超时。</p>

问题五：Session creation inhibited（锁屏阻止远程会话）</h2>

最终验证</h2>

virtiofs ENFILE 问题排查手册

virtiofs ENFILE 问题排查手册</h1>

排查步骤</h2>

修复方案</h2>

QEMU 虚拟机无法访问网关/公网排查

QEMU 虚拟机无法访问网关/公网 排查文档</h1>

现象</h2> QEMU 虚拟机（libvirt）无法 ping 通网关 192.168.2.1</code>，也无法访问公网。宿主机网络正常。</p>

排查步骤</h2>

修复方案</h2>

批量添加 GitHub 仓库协作者

概述</h1> 使用 Playwright CLI 连接远程浏览器，批量为 peterlishihu</code> 用户下全部 29 个仓库添加 moxuetianya</code> 作为协作者。</p>

deploy blog to github cloudflare vercel

GitHub Pages</h1>

Vercel</h1> Vercel 也支持 Zola 静态站点，但默认构建环境没有 Zola 版本太低，需要自定义构建命令。</p>

启动libvirt失败

linux 网络不通网卡缺陷排查记录

现象</h1> 查看ip route</code> ip link</code> ip -4 addr</code> bridge show</code> 等多个命令，没有发现明显问题 怀疑是linux网桥导致的问题，后面发现是物理网卡hung了</p>

解决方案</h1>

sshd 安全加固

性能分析工具

qemu启动pve qcow2虚拟机镜像排查

linux 键盘按键频率统计

按键频率（key frequency）</h1> 统计 Linux 下自己实际敲击的 按键频率（key frequency），从而为 键盘布局优化（如重映射高频键到更符合人体工学的位置）提供数据支持</p>

根因</h3>
FreeRDP 3.x 严格要求证书包含 `subjectAltName</code> (SAN)、Key Usage</code>、Extended Key Usage</code> 等 X509v3 扩展。旧证书由 GNOME 早期版本自动生成，缺少这些扩展。</p>`

根因</h3>
RDP 服务需要设置登录凭据（用户名 + 密码）才能接受客户端连接。</p>

根因</h3>
daemon 默认以 `Type=dbus</code> 运行，systemd 等待 daemon 注册 D-Bus 名称 org.gnome.RemoteDesktop.User</code>。但 --headless</code> 模式下，daemon 可能在注册 D-Bus 名称前需要额外初始化（如 TPM 尝试），导致超时。</p>`

QEMU 虚拟机无法访问网关/公网排查文档</h1>

现象</h2>
QEMU 虚拟机（libvirt）无法 ping 通网关 `192.168.2.1</code>，也无法访问公网。宿主机网络正常。</p>`

概述</h1>
使用 Playwright CLI 连接远程浏览器，批量为 `peterlishihu</code> 用户下全部 29 个仓库添加 moxuetianya</code> 作为协作者。</p>`

Vercel</h1>
Vercel 也支持 Zola 静态站点，但默认构建环境没有 Zola 版本太低，需要自定义构建命令。</p>

现象</h1>
查看`ip route</code> ip link</code> ip -4 addr</code> bridge show</code> 等多个命令，没有发现明显问题怀疑是linux网桥导致的问题，后面发现是物理网卡hung了</p>`

按键频率（key frequency）</h1>
统计 Linux 下自己实际敲击的按键频率（key frequency），从而为键盘布局优化（如重映射高频键到更符合人体工学的位置）提供数据支持</p>
