本文来自依云's Blog，转载请注明。本来我是用 iptables 来屏蔽恶意IP地址的。之所以不使用 ipset，是因为我不想永久屏蔽这些 IP。iptables 规则有命中计数，所以我可以根据最近是否命中来删除「已经变得正常、或者分配给了正常人使用」的 IP。但 iptables 规则有个问题是，它是 O(n) 的时间复杂度。对于反 spam 来说，几千上万条规则问题不大，而且很多 spam 来源是机房的固定 IP。但是以文件下载为主、要反刷下行流量的用途，一万条规则能把下载速率限制在 12MiB/s 左右，整个 CPU 核的时间都消耗在 softirq 上了。perf top 一看，时间都消耗在 ipt_do_table 函数里了。行吧，临时先加补丁先：iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT这样让已建立的连接跳过后边上万条规则，就可以让正常的下载速度快起来了。此时性能已经够用了。但是呢，还是时不时需要我手动操作一下，删除计数为零的规则、清零计数、合并恶意 IP 太多的网段。倒不是这些工作自动化起来有困难（好吧，让我用 Python 3.3 来实现可能是有些不便以至于至今我都没有动手），但是这台服务器上有新工具 nftables 可用，为什么不趁机试试看呢？于是再次读了读 nft 的手册 ...继续阅读 (20)

本文来自依云's Blog，转载请注明。YubiKey 支持多种协议，或者说使用方式、模式，ykman 里称作「application」（应用程序）。很多程序支持多种 application。本文按 application 分节，记录一些自己的研究结果，并不全面。要全面的话，还请参考ArchWiki 的 YubiKey 页面或者YubiKey 官方文档。在 Arch Linux 上，YubiKey 插上就可以用了，不需要特别的驱动方面的设置。有可能某些程序需要装个 libfido2 包来使用它。Yubico OTP插上之后，它会有一个键盘设备。摸一下，它就发送一长串字符然后回车。这串字符每次都不一样，并且需要与 Yubico 的服务器通信来验证是否有效。这串字符使用 AES 对称加密，也就意味着 Yubico 服务器也有私钥（你也可以自建服务器自己用）。所以这是个没什么用的功能。并且在拔下设备时很容易误触，插到 Android 设备上之后输入法的屏幕键盘还可能不出来。所以我把它给禁用了：ykman config mode FIDO+CCIDFIDO2 / U2F这个 application 在 Android 上第一次使用的时候会提示设置 PIN。我已经设置好了，也不知道在电脑上会如何。需要注意的是，这个 PIN 可以使用字母，并不需要是纯数字。最多可以连续输错八次，但没有 PIN ...继续阅读 (20)

本文来自依云's Blog，转载请注明。距离上次分享好久了，于是又来啦～桌面版每一项第一行是扩展标题和链接，第二行是扩展自己的描述信息，第三行（如有）是我为写本文添加的介绍和评论。篡改猴使用用户脚本自由地改变网络复制链接/标签名称和地址将链接名称和地址复制到剪贴板复制链接地址使用快捷键 "a" 来复制链接地址对着链接点右键，然后按a键就可以复制到链接啦。书签搜索使用已加为书签的搜索引擎搜索选定文本我在访问哪个 Cloudflare® 数据中心？显示正在访问的 Cloudflare® 名称信息云盘万能钥匙您的云盘智能助手大概没什么用了吧……About SyncShow information about Firefox Sync.同步出现问题时用过。它也可以直接发送请求、修改服务端的信息，比如删掉已卸载扩展的同步数据啥的。Auto Tab Discard如果您打开了很多标签页，这个扩展能提升浏览器速度并减少内存占用。就是标签页休眠啦。Behind The Overlay RevivalClick to close any overlay popup on any website.一键关弹窗，不用找关闭按钮在哪里。Bypass PaywallsBypass News Sites' PaywallscligetDownload login-pr ...继续阅读 (46)

本文来自依云's Blog，转载请注明。之前我写过一篇文章，讲述我使用 EasyEffects 的均衡器来调整 Bose 音箱的音效。最近读者 RNE 留言说可以直接通过 PipeWire 实现，于是前几天我实现了一下。先说一下换了之后的体验。相比于 EasyEffects，使用 PipeWire 实现此功能获得了以下好处：少用一个软件（虽然并没有多大）。不依赖图形界面。EasyEffects 没有图形界面是启动不了的。占用内存少。EasyEffects 有时候会占用很多内存，不知道是什么问题。自己实现的切换逻辑，更符合自己的需求。EasyEffects 只能针对指定设备加载指定的配置，不能指定未知设备加载什么配置。因此，当我的内置扬声器名称在「alsa_output.pci-0000_00_1f.3.analog-stereo」、「alsa_output.pci-0000_00_1f.3.7.analog-stereo」或者「alsa_output.pci-0000_00_1f.3.13.analog-stereo」等之间变化时，我需要一个个名称地指定要加载的配置。只要打开 pavucontrol 就能确认均衡器是否被应用了。EasyEffects 需要按两下Shift-Tab和空格（或者找找鼠标）来切换界面。缺点嘛，就是我偶尔使用的「自动增益」功能没啦。不过自动增益的效果并不太 ...继续阅读 (60)

本文来自依云's Blog，转载请注明。请对 systemd 做如下设置，避免它将你的用户进程调整为更容易被杀：建立 /etc/systemd/user.conf.d/oom.conf 文件，并写入：[Manager] DefaultOOMScoreAdjust=0建立 /etc/systemd/system/user@.service.d/resources.conf 文件（及其中间目录），并写入：[Service] OOMScoreAdjust=0这也会干扰火狐浏览器自己的设定，造成与预期相反的行为。 ...继续阅读 (63)

本文来自依云's Blog，转载请注明。atuin 是最近在群里看到的工具。功能和我自己用 skim 糊的脚本一样，搜索并执行 shell 的命令历史用的。但是，它的数据存储使用的是 SQLite3，并且它是使用 Rust 编程语言编写的。于是事情有了一些好的变化。首先，因为 atuin 并不像 Web 服务那样，会持续打开并操作数据库，所以 SQLite3 并发容易报错的问题并不需要担心。而 atuin 会记录执行时间、耗时、工作目录和退出码等信息。更多的元信息，能给之后的搜索和分析提供更多帮助。其次，因为搜索走的数据库查询，因此并不需要像我用 skim 那样，每次把全部历史加载到内存。这样就可以保留更多的历史记录而不用怕越用越慢了。不知道 SQLite3 的搜索功能效率如何，但我几万条记录，已经可以明显感觉到加载耗时的差异了。最后，它是 Rust 写的——这点很重要，因为这大大地方便了我对它进行修改（而不像某 Zig 写的工具，我翻了半天文档都没改对最后只好放弃了）。当然，让我没多犹豫就决定尝试 atuin 的最重要的原因是：它独立于 shell 原本的历史记录功能，并不会取而代之。所以它要是不合我意，我只要把它删掉就好了，原本的历史记录丝毫不受影响。于是我到现在已经用半个月了，结果非常满意。不过也已经对它做了好多修改了。比较重要的如下：支持 Shift ...继续阅读 (73)

本文来自依云's Blog，转载请注明。上一篇《btrfs 翻车记》记叙了我们服务器上的 btrfs 出事的情况，好像吓到一些用户了 QAQ。其实那次情况比较特殊啦。一般来说，就算元数据用满了，也不至于改内核代码才能救回来。不过元数据满的问题确实困扰了许多用户，正好这些天群里有不少人遇到了，本文就记录一下元数据满了之后如何处置。问题和处置问题的现象是部分文件操作报错「No space left on device」，但是 df 等工具明明报告还有空间。btrfs filesystem usage的输出是这样：我们可以看到，还有 373G 的空闲空间（Free）呢。但是呢，「Device unallocated」已经不足 1G 了。在充分大的文件系统上，btrfs 会以 1G 为单位来分配块组（block group，简称 bg）。所以现在这个情况，已经无法分配新的 bg 啦。然后我们再往下看，「Metadata」的部分，总共 4.5G，已经用了 4G。还剩下 512M，刚好是 Global reserve 的大小。也就是说，不算保留空间的话，元数据已经没有空间可用了，所以才会报错。那现在怎么办呢？如果文件系统上有不需要的很大的文件，并且没有快照，删除后空间可以立即释放的话，可以删除试试，看看能不能刚好空出来一个 bg。不然就试着跑一下 balance，像这样：这个命令是说，把使用率 ...继续阅读 (79)

本文来自依云's Blog，转载请注明。如标题所言，我用了多年的 btrfs，终于还是遇到翻车啦。由于文件系统翻车了，相关日志内容缺失，所以本文我仅凭记忆描述事件，就不提供准确的日志输出了。事件经过出事的是 archlinuxcn 的编译机。那天中午时分我就收到了 Grafana 给我发送的莫名其妙的报警邮件，称某个监控项无数据了。我去面板上瞅了半天，明明有数据的啊。不解，但是忙别的事情去了，也没有细究。晚些时候，我又收到了好些同类告警，遂登录机器打算检查 Grafana 日志。但操作过程中，退出 zsh 的时候我好像看到了写命令历史时出现「read-only filesystem」的字样？于是检查了一下，发生大事不好了，文件系统真变只读了！这个 btrfs 是我上次迁移机器的时候换上的，因为我觉得过了这么多年，btrfs 挺稳定了啊，而定时快照很方便，devtools 也支持通过快照来快速创建打包用的 rootfs（虽然大部分时候都在 tmpfs 上打包了用不上）。但我们编译机一直以来有个问题：硬盘有多少用多少。前一任编译机用的 1T 硬盘，是刚刚够用，现在换 2T 了，结果用着用着又只剩下200多GiB啦……肥猫最近开始玩bees去重了，听说在其它机器上效果显著。不过这台编译机快照多，这「蜂群」嗡嗡了几天都没完事，还出事了。btrfs filesys ...继续阅读 (74)

本文来自依云's Blog，转载请注明。有个服务器需要维护，因此需要将其上的所有服务暂时迁移走。打算直接扔到另一台比较闲的服务器上，直接拿 systemd-nspawn 跑起来得了。简单方便，除了网络之外不需要额外配置。但问题是，这些服务里包含一个使用 docker 运行的 ElasticSearch，在同为容器的 nspawn 里跑会有问题吗？试了一下，还真有的问题。dockerd 会报权限错误而跑不起来。但稍微搜一下就找到了解决方案：SYSTEMD_SECCOMP=0 systemd-nspawn --capability=all --network-bridge=br0 --boot -D rootfsnspawn 默认会限制一些权限。这样可以让其不做任何限制，相当于 docker 的--privileged参数。然后就可以嵌套着跑啦。跑起来之后检查一下，所有服务均正常运作了，没有任何问题。把网络配好，外边的 nginx 负责一下转发（因为懒所以没配外网 IP），就可以接替工作啦。PS: 迁移的过程中遇到了一个小坑。rsync 不加--numeric-ids的话会尽量保持用户名不变，等里边的系统跑起来就各种权限问题了。所以转移 rootfs 的时候一定得记着加上--numeric-ids。 ...继续阅读 (93)

本文来自依云's Blog，转载请注明。常见汉字字体电脑系统要显示字，首先得有字体。现在 Linux 上常用的、在维护的开源中文字体就一套，同时被Noto和思源两个项目收录。Noto 系列字体是 Google 主导的，名字的含义是「没有豆腐」（no tofu），因为缺字时显示的方框或者方框被叫作「tofu」。思源系列字体是 Adobe 主导的。其中汉字部分被称为「思源黑体」和「思源宋体」，是由这两家公司共同开发的，两个字体系列的汉字部分是一样的。Noto 字体在 Arch Linux 上位于以下软件包中：noto-fonts: 大部分文字的常见样式，不包含汉字noto-fonts-cjk: 汉字部分noto-fonts-emoji: 彩色的表情符号字体noto-fonts-extra: 提供额外的字重和宽度变种Noto 系列字族名只支持英文，命名规则是 Noto + Sans 或 Serif + 文字名称。其中汉字部分叫 Noto Sans/Serif CJK SC/TC/HK/JP/KR，最后一个词是地区变种。思源系列则有：adobe-source-sans-fonts: 无衬线字体，不含汉字。字族名叫 Source Sans 3 和 Source Sans Pro，以及带字重的变体，加上 Source Sans 3 VFadobe-source-serif-fonts: 衬线字 ...继续阅读 (77)

本文来自依云's Blog，转载请注明。序PaddleOCR 发布 2.6 版本了，支持 Python 3.10 啦，于是可以在 Arch Linux 上跑了～所以我决定再部署一次。我之前跑 PaddleOCR 有两个方案，使用 chroot 加一大堆 systemd 的限制选项，以及使用 bwrap 和用户命名空间。chroot 的方案总感觉不知道限制够了没。实际上当初那篇文章写完我就意识到这服务怎么用我的 uid 在跑啊，乱发信号好像还能把我的进程都杀掉的样子。另外这个 chroot 其实是我用来学习、研究和适配 Debian 用的，并不是专门跑这个服务的，感觉有点——怎么说呢——碍事？总之不太好。bwrap 方案更干净一些，不过创建起来挺麻烦的（所以我才只部署了一次嘛）。不使用用户命名空间可能会简单一些，但那样就是用我的用户在跑了。所以这次我决定试试方案，使用 systemd-nspawn。另外（再次）尝试了使用 NVIDIA GPU 的版本，把我电脑上闲得发慌的 GeForce 940MX 显卡给用上了。过程首先去 Arch 镜像里的 iso/latest/ 目录下载个 archlinux-bootstrap-x86_64.tar.gz 回来。在 /var/lib/machines 下创建个叫 paddleocr 的 btrf ...继续阅读 (77)

本文来自依云's Blog，转载请注明。最近到手一个「Bose SoundLink Mini 蓝牙扬声器 II-特别版」音箱，蓝牙名称「Bose Mini II SE SoundLink」。这家伙小巧、沉重，黑色版和我显示器的黑色支架也挺合得来的。然而音质上我遇到了一点问题。就如同 Bose 产品页说的，它「低音浑厚」。效果就是，只要播放的声音有一点低音，它都给它放大到很明显，震动人心的同时也震动了我的桌面。这用来听强调低音的音乐应该非常有感觉。可是，我听的大部分歌曲都是女声呀。这就像纯净清澈的蓝天蒙上了一层雾霾。我用白噪声、粉噪声和频率连续变化的正弦波测了一下，用Spectroid查看，发现这音箱会加强 100Hz 及 7kHz 附近的声音。所以我把播放的声音处理一下，降低这个地方的强度不就好了吗——嗯，我需要个均衡器。我记得群里有人提到一个叫 PulseEffects 的软件，于是找了一下。它已经更名为 EasyEffects 啦，不过仅支持 PipeWire。而我还在使用 PulseAudio，于是先装上 pulseeffects-legacy 试了一下。效果十分不错，清澈的女声回来啦（还丢掉了笔记本扬声器所附带的金属感）。不过有点吃 CPU，即使不显示频谱图，也大约得消耗掉 10% 的 CPU。群友说 EasyEffects 的资源占用很小，于是我花 ...继续阅读 (79)

本文来自依云's Blog，转载请注明。去年我做了个索引 Telegram 群组的软件——落絮，终于可以搜索到群里的中文消息了。然而后来发现，好多消息群友都是通过截图发送的，落絮就索引不到了。也不能不让人截图嘛，毕竟很多人描述能力有限，甚至让复制粘贴都能粘出错，截图就相对客观真实可靠多了。所以落絮想要 OCR。我知道百度有 OCR 服务，但是我显然不会在落絮上使用。我平常使用的 OCR 工具是 tesseract，不少开源软件也用的它。它对英文的识别能力还可以，尤其是可自定义字符集所以识别 IP 地址的效果非常好，但是对中文的识别能力不怎么样，图片稍有不清晰（比如被 Telegram JPEG 压缩）、变形（比如拍照），它就乱得一塌糊涂，就不说它给汉字之间加空格是啥奇怪行为了。后来听群友说 PaddleOCR 的中文识别效果非常好。我实际测试了一下，确实相当不错，而且完全离线工作还开源。但是，开源是开源了，我又没能力审查它所有的代码，用户量太小也不能指望「有足够多的眼睛」。作为基于机器学习的软件，它也继承了该领域十分复杂难解的构建过程，甚至依赖了个叫「opencv-contrib-python」的自带了 ffmpeg、Qt5、OpenSSL、XCB 各种库的、不知道干什么的组件，试图编译某个旧版 numpy 结果由于太旧不支持 Python 3.10 而失败 ...继续阅读 (69)

本文来自依云's Blog，转载请注明。有些网页的行为通常不被视为 bug，甚至是故意为之，但很令人讨厌。这里记录一些我所讨厌的网页「特性」。它们被归为两类，要么导致某些场景下用不了，或者用着很不方便，要么很打扰人。可访问性问题忽视系统、浏览器设置，在浏览器使用浅色主题的情况下默认使用深色主题，或者在浅色主题下代码部分使用深色主题。反过来问题不大，因为我有DarkReader。主体文本不支持选择和复制。选择和复制之后，用户能做很多事情，比如查生字、翻译、搜索相关主题。已访问链接与未访问链接显示没有差别。消除可交互元素（链接、按钮）的 outline。这个 outline 以前是虚线框，现在火狐改成了蓝色框，用于标识当前键盘交互的对象。搜索框不支持回车确认，必须换鼠标点击。位于文本框后的按钮不支持使用 Tab 键切换过去，并且 Tab 键在此文本框中也没有任何显著的作用。必须换鼠标点击。需要交互的元素不能被 vimium 插件识别为可点击。这大概是使用非交互元素来处理交互事件，甚至事件监听器都不在元素本身上。使用 JavaScript 实现原本可以直接用链接实现的内容（链接目标是某个 JavaScript 函数调用）。这导致我无法使用中键来在新标签页中打开。显著不同的内容没有独立的 URL。尤其见于一些单页应用（SPA）。要到达特定内容（比如加书签或者分享给别人），就只能记录先点哪里 ...继续阅读 (535)

本文来自依云's Blog，转载请注明。在 tmux 的状态栏里，通常会显示当前时间。配置起来也非常简单，%Y-%m-%d %H:%M:%S这样的时间格式化字符串扔过去就可以了。然而这样做有个小问题：这个时间只能精确到秒。我的意思不是说我想让它显示毫秒，而是希望它像电视台和广播电台的时间一样，显示（播报）「12:00:00」的时候，就刚好是这一秒的开始。一般来说，这么延迟个一秒以内的随机数问题不大，除了你有多个这种时间戳的时候——这些时间戳哪个先更新、哪个后更新可完全说不准的，你可能看到明明在地球另一边的服务器上先到某一秒，本地才跟上。甚至同一个 tmux 的不同客户端里，这个时间戳的更新时间都可能会有差异。我想优化这个的另一个原因是，我经常使用 extrace 来查看程序调用另一程序使用的命令行参数，然而我本地连了多少个 tmux，每秒便会有多少个 sh + awk 进程出来读系统负载。尤其是我从 Awesome 换到 Wayfire 之后，顶栏改用 waybar 了，很多指示器都是内建或者自己写的外部脚本，不再需要每隔几秒跑个子进程去获取信息，这样 tmux 调用子进程来刷新状态造成的干扰就突显了出来。于是就有了accurate-time程序。它每个整秒会去读系统负载，然后和当前时间一起送给 tmux 来显示。每秒一个进程，已经少了很多啦。既然是我的程序 ...继续阅读 (78)

本文来自依云's Blog，转载请注明。Google Chrome 是我的备用浏览器，主要用于对比和检查网页的渲染效果，以及某些网页在火狐上可能不太正常，就用 Google Chrome 试试。但 Google Chrome 有个非常令人恼火的问题：默认字体实在太难受了！如果没有指明字体，那么 Google Chrome 默认使用 Times New Roman 字体。这是我十年前从 Windows 那边拷过来的字体，看上去细细软软的，很复古，不太适合屏幕显示。屏幕显示一般使用无衬线字体，但 Google Chrome 默认是衬线字体。好吧，那网页要是指明要 sans-serif 字体呢？Google Chrome 这次看上了 Arial，同样是一款古老的、来自于 Windows 的字体。行吧……反正我也不是多喜欢这两字体，就全部删掉好了！结果，呃，「自定义」？？实际上它们分别是「Liberation Serif」和「Liberation Sans」字体。这是我的系统上fc-match「Times New Roman」和「Arial」给出的字体，由 ttf-liberation 包提供，google-chrome 包依赖（看 AUR 上的评论，这是因为 Google Chrome 的 PDF 渲染需要这个字体）。Google Chrome 就是这么喜欢 ...继续阅读 (77)

本文来自依云's Blog，转载请注明。起因上个月收到这样一封邮件：意思就是说，Google 觉得把密码直接交给邮件客户端，权限太大，不够安全。所以要用户改用基于 OAuth2 的认证方式，只给程序邮件相关的权限。哦，你说应用专属密码？要用那个必须得启用两步验证——也就是意味着遇到灾难的话，我无法从一无所有的状态开始恢复。从 POP 到 IMAPgetmail6 只支持使用 XOAUTH2 认证的 IMAP 协议，并不在 POP 协议上支持这个（不知道是否有可能）。所以我得换 IMAP 协议了。具体操作步骤在getmail6 的示例配置中有写。简单来说就是自己去申请个桌面软件的 app 信息，然后给自己的用户添加试用权限，再通过 OAuth2 获取 refresh token 和 access token，就能登录了。getmail6 自带了个 getmail-gmail-xoauth-tokens 程序用来走 OAuth2 流程，不需要另外安装程序来处理的同时也可以给其它程序使用。所以我的 msmtp 配置就不用麻烦了，改两行配置就好：auth oauthbearer passwordeval getmail-gmail-xoauth-tokens ~/.getmail/gmail/lilydjwg@gmail.com.json但是呢，虽然邮件是收回来了， ...继续阅读 (77)

本文来自依云's Blog，转载请注明。一直以来，不得不用的微信以其糟糕的通知体验让我十分不爽。在手机上，我使用的是 Google Play 商店里的微信。在电脑上，我使用的是通过 Wine 运行的 Windows 版本微信（[archlinuxcn] 仓库里的 wine-wechat-setup 脚本可用于安装）。消息通知不及时这个问题是最近我的手机日渐陈旧之后我才注意到的。表现是，在一段时间（比如一两天）不使用微信之后，收到新的微信消息或者视频通话，可能会延迟几个小时收到通知。在 Android 通知日志中可以确认，收到通知的时间和消息在微信中展示的时间有数小时之差，并不是因为我没有及时看手机。我的 Telegram 从来不这样丢消息，即使因为后台进程过多 Telegram 被杀之后，通知只会不能在其它端阅读之后被清除，而不会延迟那么久。而微信，即使它还在后台运行着，却经常占着资源不干活，何况消息通知本应走 FCM。打开微信即清除所有通知我有一条微信消息，但是我现在不方便立即回复（比如需要使用电脑而我正出门在外），所以我会让那条通知一直留着。其实以前版本的 Android 系统更方便，可以将通知延后一段时间，只是不能自动指定延后的时间比较遗憾，后来被移除真的太可惜了。然后呢，比如我要进个超市，或者测个核酸，付个钱啥的，只好打开微信扫码呗。结果所有还未处理的通知全部不见了！等忙完 ...继续阅读 (79)

本文来自依云's Blog，转载请注明。GUI 程序我现在依然倾向于 GTK，因为虽然 Qt 拥有良好的跨平台性，但可能是太注重跨平台性了，在 Linux 平台上反而有一些水土不服的问题。字体太多，支持太少你可能觉得，系统上字体太少，所以经常会遇到不常见的字符无法显示的情况。然而对于 Qt 来说，字体越多，反而越容易遇到个别字符不能显示的情况。这是我的/etc/fonts/conf.d/66-qt.conf中的一段。因为顺序的原因，我只能放到 /etc 下。除了针对 sans-serif 配置外，我也有同样的配置应用于 serif 和 monospace。Adjust font order for Qt applicationssans-serif格拉哥里字母：Ⰽⱁⱀⱄⱅⰰⱀⱅⰹⱀ ⰉⱍⰹⰳⱁⰲNoto Sans Glagolitic爪哇文：꧁ ꧂Noto Sans Javane ...继续阅读 (125)

本文来自依云's Blog，转载请注明。使用24寸4k屏幕作为主屏的时候很简单，设置 scale 为 2 就好了。但是，当 2 嫌太大、1 嫌太小的时候，问题就来了。比如我希望使用 120dpi，把 scale 设置为 1.25 可好？而这才是理想的效果：看不出来差别？放大八倍，你看差别多明显：正常 120dpi 渲染出来的文字边缘清晰犀利，次像素平滑左红右蓝。再看看 scale=1.25 的文字，线条经常糊掉，次像素平滑效果几乎完全被抹掉。实际看上去的效果就是跟透明麿沙玻璃看屏幕似的，线条边缘总是有点糊糊的感觉，1080p 的屏幕被降级成了 720p 似的。之所以出现这样的情况，是因为Wayland 只支持整数倍缩放。因为，Wayland 混成器不能告诉客户端你得把窗口给画成 1.25 倍的，而客户端也无法告诉混成器我这个图像画的是 1.25 倍。所以，混成器只好告诉客户端你给我画个 2 倍的图像吧。混成器拿到图像之后再缩小 0.625 倍，自然有些逻辑像素就不能对应到单个的物理像素上去了。所以，我还是设置 scale=1，不要混成器帮我去缩放。我自己通过另外的办法告诉客户端把字写大点儿。图标之类的就顾不上啦，反而大点小点都还能看。比如我要 1.25 倍大小的文字，就这样做：GTK 3：在 dconf 里设置org.gnome.desktop.interface.text-sca ...继续阅读 (81)

本文来自依云's Blog，转载请注明。我又来更新我的 Wayfire 迁移进展啦～我写了一个taskmaid工具，使用wlr foreign toplevel management扩展来提供窗口管理相关功能。程序自己作为 daemon 随 wayfire 启动运行，通过 D-Bus 提供接口供别的程序使用。你问我为什么不直接每个需要的程序直接使用 Wayland 协议？因为用起来麻烦呀。Wayland 提供信息的方式是一组一组的事件，也并没有高层次的库，处理起来只能一堆回调怼上去，相当不顺手。它最主要的功能就是在 waybar 上标题当前窗口的标题啦。顺便加上了中键关闭和显示 app-id 的功能。应用程序图标因为没有办法准确匹配（比如火狐 nightly 版本的 app-id 也是 firefox），所以没有做。其次是获取当前活动窗口所在的显示器接口名称。我使用这个名称来判断我是不是位于E-ink 屏幕上，并为终端、Vim、skim、mutt 等工具使用专门适配过的亮色主题。这个方案比之前在 X11 下使用当前鼠标坐标来判断要灵活一些。当然更灵活的方案是匹配显示器的名称啦，这个数据 Wayfire 的 Wayland 协议里是有提供的，有需要的话我再做。Wayland 并没有一个协议来获取当前鼠标或者键盘焦点所在的显示器信息，所以我只好用窗口管理协议来跟踪活动的窗口了。顺便还做 ...继续阅读 (72)

本文来自依云's Blog，转载请注明。这几天完成了一个很重要的功能：我让 Xwayland 支持 HiDPI 了！实际上让 Xwayland 支持 HiDPI 的补丁早就有了，但是我当时尝试的时候补丁并不能很好地应用，我手动修了修，不明不白地应用上之后，并没有能够正常使用。现象是，DPI 是对了，但是窗口大小会不断地缩为原来的四分之一（长宽都减半），全屏时也只占左上角的四分之一。这几天我给 xorg-xwayland 打上了新版补丁，然后在一番理解之后，给 wlroots 写好了相应的补丁，现在 Xwayland 终于也可以看清晰了！这两个补丁，xwayland 那边是通过一个 X 窗口属性来设置缩放倍数，然后 xwayland 会告诉混成器自己的窗口使用了对应的缩放倍数，这样混成器就不会当它不支持缩放、强行给拉伸一下了。当然还有输入坐标的转换之类的。缩放倍数为 2 时，X 客户端会看到之前两倍的显示大小，并且 X 使用的坐标是 Wayland 这边的两倍，所以 Wayland 的输入事件从 X 服务器传给 X 客户端的时候需要乘以 2。混成器这边，需要了解客户端传过来的 X 坐标和 Wayland 坐标不再相同，需要进行相应的转换。没有进行转换的结果就是，客户端告诉混成器说自己是 1024x1024 的窗口大小，然后实际上创建出来是 512x512 的。混成器再告诉客户端你现在 ...继续阅读 (89)

本文来自依云's Blog，转载请注明。这几天又解决了一些问题，记一下。Wayfire 部分：部分按键绑定无效的问题，Super+数字键无效是因为这个是 git 版本才有的。PrintScreen 无效是因为需要写成KEY_SYSRQ……窗口标题的问题。显示中文的 pr已经提交。也把 scale 插件的问题一起修了。要不显示标题栏也很好办，首先preferred_decoration_mode = server让窗口们都用 wayfire 画的装饰，然后设置height = 0这样就看不到标题栏啦（窗口边框还留着；连边框都不想要的话可以不加载这个插件就好了）。lightdm 启动不了 wayfire 的问题，在~/.xprofile里sleep 1就好了。相关 issue：Missing some input devices in wayland session · Issue #63 · canonical/lightdm。嗯，lightdm 是会给 Wayland 会话 source~/.xprofile的。所以在里边判断XDG_SESSION_TYPE环境变量然后做相应的处理就好了。另外 sddm 是会 source~/.profile的。invert 和 zoom 插件只支持一个显示器的问题，没有再次复现。可能是 gi ...继续阅读 (76)

本文来自依云's Blog，转载请注明。我在上一篇说到，Wayland 下再也不会遇到撕裂了。后来群友说，这是 Intel 的 modesetting 驱动特有的问题。所以我又重新比较了一下。为了让事实说话，而不是靠很容易有偏见的主观感受，我使用Sony Xperia XZ2 Compact手机的「慢动作」功能，以 960fps 录制了不同情况下，火狐滚动同一页面的效果。不过视频我就不放了，上传费时又占地方。首先是我长期使用的组合：X11 + Intel 集成显卡 + modesetting DDX，窗口管理器是 Awesome 3.5.9，混成器是 picom。这种情况下有非常严重的斜线撕裂，在画面内容变化大的时候（如无过渡切桌面、视频镜头转换、大幅度滚动页面）必现。撕裂的样子如下（「慢动作」的分辨率有限，亮度低是预期现象）：可以很清楚地看到，截图中的页面是由两帧的内容拼接而成的。而且左下的是后一帧，右上的是前一帧，我不知道为什么会是这样子。我记得以前它不会撕这么大条斜线的啊，是斜-水平-斜的样子。反正都很难受就是了。我以前以为这种撕裂是时不时出现的，但多次「慢动作」慢放表明，它发生的频繁度大大超出了我之前的感受。这个组合还有个问题是：外接显示器时，鼠标会跟着画面的更新而闪烁。画面更新越多越频繁，它闪烁得越快，而且和更新的区域也有关系。因为眼睛总跟着鼠标跑，所以即使它大部分时候不 ...继续阅读 (62)

本文来自依云's Blog，转载请注明。一个人吃饭，一个人上下班一个人睡觉。一个人去面试，一个人回家，一个人去看病。一个人在知乎上胡闹，扭曲是非，一个人在SegmentFault上回答些同样无聊的问题；一个人提交了一个又一个的 issue，一个人贡献了一段又一段的开源代码。一个人默默为喜欢的文章点赞，一个人静静地写着博客。一个人听着歌哼唱，一个人一次次地尝试写诗。一个人喜欢北岛，一个人觉得舒婷太美好；一个人捧着张小娴落泪，一个人读着刘若英感慨。一个人为改变世界贡献着微薄之力，一个人被这个世界慢慢地改变。一个人哭，一个人笑，一个人喜怒无常。一个人生活， ...继续阅读 (101)

本文来自依云's Blog，转载请注明。吶，昨天说到VPS被报告有攻击行为，后来异常流量被逮到了，经过追查，真相大白。前天（还是前天，因为又过了一天）分析了异常流量的时间分布之后，发现该流量从上午9点多开始，一直持续。于是我又 netstat -npt 了一下，看到了大量对各网络公司IP 80端口的连接。它还在呢！其实我早该 htop 瞅一眼的说。发现三四个「php /tmp/tmp」进程，每个进程有大量连接。试图通过 /proc/PID/fd 取得它打开的文件失败，因为都是空的……然后，为了中止攻击，我停了 php-fpm 服务，杀掉了所有 php 进程。杀完才后悔，我连它是哪个用户跑的都没看呢 -_-||| 心急就忘记了应该发 SIGSTOP 信号的。时间上与任何 cron job 都不匹配。不过我还是检查了可能的 PHP 脚本任务，并没有发现异常。这时 VPS 的主人 Edison 说，是不是 WordPress 的锅？于是他去扫描了一下 WordPress。这个 WordPress 是数年前 Edison 手工部署的，后来并没有怎么用。并不是通过软件仓库安装，所以 dpkg 没有检查出异常，也因此没有任何更新，年久失修。结果检查出来好多个后门。这些后门都是在 PHP 脚本里加一两句话，对某个特定的 POST 参数进行求值（eval）。简单有效的后 ...继续阅读 (75)

本文来自依云's Blog，转载请注明。前天手上有个VPS的提供商发来通知，说VPS在攻击别人的80端口，被第三方投诉了-_-|||我跑上去看了好久，啥也没发现。进程列表、登录日志、网络使用、各服务我能找到的日志都检查了一遍，也跑了遍 dpkg --verify，啥也没发现。没办法，我就留了句 tcpdump 命令，看看能不能抓到那些恶意流量：sudo tcpdump -vv -s0 -w port80.log '(dst port 80 and src host 123.456.789.0) or (src port 80 and dst host 123.456.789.0)'盯了好久，一直只看到有零星的正常访问。就这么放了一天。第二天想起来的时候过去一看，哇塞，抓到了 2.1G 的包！看来真出问题了。先分析一下得到的 pcap 文件吧。这么大的 pcap，自然不能拿 Wireshark 打开了。我知道 scapy 能够读取 pcap，于是用它读取 pcap，收集另一方的 IP 地址，看看流量到底都去哪里了。代码很简单，20多行。跑起来～progress告诉我需要半小时……于是半小时过去了。我能看到它访问了不少IP，很多是意料之外的。我就想，这些流量是什么时候发生的呢？不过我可不想再花半小时等结果了。然后再想得到点别的数据又得半小时。而且 Pytho ...继续阅读 (81)

本文来自依云's Blog，转载请注明。最近#archlinux-cn又流行玩 teeworlds 了，然而我却连不上那个服务器。情况很奇怪。我能 ping 通服务器 IP，TCP 连接也正常，UDP traceroute 也表现得很正常（对关闭端口能够完成，对开放端口会在最后一跳开始得到一堆星号），并且我连接的时候，服务器能看到我在连接。也就是说，TCP 和 ICMP 都正常，UDP 上行正常，下行出了状况。难道是有防火墙？首先呢，我能连接其它服务器，说明我这边没有问题；大部分人能连接上服务器，说明服务器那边也没有问题。所以，问题出在路上。也确实有另外的北京联通用户连不上这个服务器。但是很奇怪啊，为什么单单只是这一个 IP 的 UDP 包丢失了呢？于是继续试验。从最简单的开始，用 netcat / socat 尝试通讯。方向反过来，我监听，服务器那边连接。端口是我在路由器上做过端口映射的。结果是正常的。再来，服务器那边监听，我往那边发，果然我就收不到包了。按理说，UDP 双方是对等的，不应该换了个方向就出问题呀。难道是因为端口映射？Wireshark 抓包看到本地使用的端口号之后，在路由器上映射一下，果然就通了！然后，我注意到了一件十分诡异的事情：虽然我和服务器能够通讯了，但是我的 Wireshark 上只显示了我发出去的包，却看不到回来的包！我抓包时按服务器 IP 做了过滤，所 ...继续阅读 (71)

本文来自依云's Blog，转载请注明。刚刚遇到一件很囧的事情：我在 /run/user/1000/cache 挂载了我的 SSD，用作火狐和 neocomplete 的缓存。/run/user/1000 这个目录是 systemd 为用户创建的，用来放那些只在运行时有用的文件，比如 pid 文件啦、套接字啦之类的。把挂载点放这里，很显然可以避免为其在磁盘上创建目录，又不必和 /tmp 里的一堆临时文件混在一起。然而这一次，出大事了！我的火狐启动不了了！我的 Vim 也报了一堆错！细看下来，发现 /run/user/1000/cache 没了……因为需要 root 权限，/run/user/1000/cache 是在 /etc/rc.local 里挂载的。这一次，它抢先挂载了 /run/user/1000/cache，然后我登录，systemd 帮我挂载了 /run/user/1000。就是下边这个样子：├─/run run tmpfs rw,nosuid,nodev,relatime,mode=755 shared │ ├─/run/user/1000/cache ...继续阅读 (88)

本文来自依云's Blog，转载请注明。这是我用了多年的 zsh 提示符。右提示符比较简单，先说。首先，这个右提示符是 zsh 才支持的，不是 hack 左提示符来的哦。我的右提示符显示的是（提示符打印出来时的）时间。在有后台任务时，会在左边以黄色显示出后台任务的数量，增加些许后台默默工作的进程的存在感啦。截图中可以看到，只有最后一行才显示了右提示符（以至于我截图都得 hack 一下）。我使用了setopt transient_rprompt，这样 zsh 会清掉旧的右提示符，就不会影响复制了。以前每次复制时都带上一堆空格然后几个时间，折行之后根本没法看，后来才发现体贴的 zsh 已经有这么个选择了。另外，在输入命令到右提示符时，右提示符会自动消失，以免和命令混淆。都说了很体贴的哦～左边，是一个两行的提示符。之所以做成两行，是为了保持命令的起始位置不会因为提示符的长度变化而变化，每次输入新命令的时候，光标都在同一列，易读好找。我就不明白，那些坚持 bash 默认提示符的人是怎么坚持下来的，用着用着不知道自己光标去哪里了……对了，zsh 在输出提示符时，会保证它从终端最左边那一列开始输出。如果上一行不完整，zsh 会打印一个反色的「%」来表示（截图里 ^C 那里就有一个）。蓝色「>>> 」是学 Python 的，但是使用了蓝色以免和 Python 混淆。如 ...继续阅读 (84)