Linux on T.本秋的自留地

简单了解和手动使用 TPM

Tue, 05 May 2026 16:49:51 +0800

最近疯狂迷恋 tpm，这个小玩意究竟是怎么实现基于设备的安全的？

tpm 的相关属性
#

第一步，我们先看下 tpm 有什么变量是可以被改变的：

sudo tpm2_getcap properties-variable

第一组：永久属性组 (PT -> Property)
#

TPM2_PT_PERMANENT:
  ownerAuthSet:              0 # 所有者鉴权密码
  endorsementAuthSet:        0 # 背书鉴权密码
  lockoutAuthSet:            0 # 锁定鉴权密码
  reserved1:                 0
  disableClear:              0
  inLockout:                 0
  tpmGeneratedEPS:           1
  reserved2:                 0

第二组：启动时状态
#

TPM2_PT_STARTUP_CLEAR:
  phEnable:                  1 # 平台层级，也就是你可以在系统里面清除tpm所有信息
  shEnable:                  1 # 存储层级，其实跟owner是一样的
  ehEnable:                  1 # 背书层级
  phEnableNV:                1
  reserved1:                 0
  orderly:                   1

第三组：句柄资源 (HR -> Handle Resource)
#

TPM2_PT_HR_NV_INDEX: 0x5
TPM2_PT_HR_LOADED: 0x0 # 当前已加载密钥
TPM2_PT_HR_LOADED_AVAIL: 0x3 
TPM2_PT_HR_ACTIVE: 0x0 # 已激活的会话
TPM2_PT_HR_ACTIVE_AVAIL: 0x40 
TPM2_PT_HR_TRANSIENT_AVAIL: 0x3 # 临时会话，从存储读入内存
TPM2_PT_HR_PERSISTENT: 0x0 # 可以永久存储的槽位
TPM2_PT_HR_PERSISTENT_AVAIL: 0x2

第四组：锁定相关配置
#

TPM2_PT_LOCKOUT_COUNTER: 0x0
TPM2_PT_MAX_AUTH_FAIL: 0xC8
TPM2_PT_LOCKOUT_INTERVAL: 0x0
TPM2_PT_LOCKOUT_RECOVERY: 0x0

第五组：杂项
#

TPM2_PT_NV_COUNTERS: 0x0 # 非易失标志位
TPM2_PT_NV_COUNTERS_AVAIL: 0x8
TPM2_PT_ALGORITHM_SET: 0xFFFFFFFF
TPM2_PT_LOADED_CURVES: 0x3
TPM2_PT_AUDIT_COUNTER_0: 0x0 # 审计日志
TPM2_PT_AUDIT_COUNTER_1: 0x0

不同层级
#

Owner Hierarchy: 你平时用来创建密钥、存储数据的权限。

Endorsement Hierarchy: 涉及设备隐私和证书的权限。

Lockout Hierarchy: “锁定控制”权限，用于控制锁定策略：

允许多少次普通密码尝试后进入锁定模式 (TPM2_PT_MAX_AUTH_FAIL)
被记录下连续失败后，过多久次数才能减一 (TPM2_PT_LOCKOUT_INTERVAL)
进入锁定模式后，过多久才能解锁 (TPM2_PT_LOCKOUT_RECOVERY)

⚠️注意：如果你是在验证以上三种层级的管理密码，比如用 tpm2_clear -C o -c -p 的时候，只有一次机会，失败立即进入锁定模式。

你将被限制到 TPM2_PT_LOCKOUT_RECOVERY 的时间秒数之后才能解锁。这两个时间设成 0，永远解不了，只能清除。

Platform Hierarchy: 唯一不受 DA 限制的密码尝试。但是就算你拿到了权限，除了能够清除所有的密钥和密码，没有任何别的权限。

初始化自己的 tpm 配置
#

清除：tpm2_clear

有的平台可以直接用tpm2_clear -c p清掉，有的不行只能到 bios 里面清。

修改锁定设置：tpm2_dictionarylockout (也叫 DA，dictionary attack)

# 分别对应上面的“锁定层级”的三个变量，下例为windows标准设置
sudo tpm2_dictionarylockout -s -n 32 -t 7200 -l 86400

修改密码：tpm2_changeauth

sudo tpm2_changeauth -c lockout <new_password>

这里有个彩蛋，windows 一开始看到新的 tpm，跟我们一样改完了，直接把钥匙扔了，惊喜吧？

所以你只能重置，然后自己设个密码，好在 windows 不会改你的密码回去。

开始使用
#

创建主密钥，得到一个 tpm 的内存快照，这个主密钥，相比于密钥的说法，其实更是一个 token，因为是由 TPM 这一个生命周期的种子派生的，所以每次用同样的输入得到同样的输出，这里不是指的 ctx 的 hash 相同，而是每次读取的公钥相同。

如果还原了 tpm，签名会变，ctx 永远不再可用。

# 创一个新的
❯ tpm2_createprimary -C o -c primary2.ctx
name-alg:
  value: sha256
  raw: 0xb
attributes:
  value: fixedtpm|fixedparent|sensitivedataorigin|userwithauth|restricted|decrypt
  raw: 0x30072
type:
  value: rsa
  raw: 0x1
exponent: 65537
bits: 2048
scheme:
  value: null
  raw: 0x10
scheme-halg:
  value: (null)
  raw: 0x0
sym-alg:
  value: aes
  raw: 0x6
sym-mode:
  value: cfb
  raw: 0x43
sym-keybits: 128
rsa: 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

# 读一个之前创的
❯ tpm2_readpublic -c primary.ctx
name: 000bf2c2daef8da6f674f7cdd47edb780e14baec9ed14a212904d79ca92c93e05c7c
qualified name: 000b8a569c59019bf73a23befe7aeb9e54c74470737c0288f63d2481324388e1edfb
name-alg:
  value: sha256
  raw: 0xb
attributes:
  value: fixedtpm|fixedparent|sensitivedataorigin|userwithauth|restricted|decrypt
  raw: 0x30072
type:
  value: rsa
  raw: 0x1
exponent: 65537
bits: 2048
scheme:
  value: null
  raw: 0x10
scheme-halg:
  value: (null)
  raw: 0x0
sym-alg:
  value: aes
  raw: 0x6
sym-mode:
  value: cfb
  raw: 0x43
sym-keybits: 128
rsa: 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

加密文字
#

在主密钥下面创建一个子密钥：

echo -n "hello" | tpm2_create -C primary.ctx \
  -u key.pub -r key.priv \
  -i- \
  -p "123456"

生成一个 tpm 的内存快照：

tpm2_load -C primary.ctx -u key.pub -r key.priv -c key.ctx

把它持久化到 tpm 的对象里面：

sudo tpm2_evictcontrol -C o -c key.ctx 0x81010002

有点乱？总结一下

命令说明： tpm2_create 指的是创建一个"密封信件",这个信件有公钥来标识身份，有加密 blob 来给 tpm 读。 tpm2_load 则是让 tpm 读取这个密封信件，他生成一个内存快照 (token)，这个东西可以持久化来被 tpm 引用（成为永久句柄）。 tpm2_evictcontrol 如果-c 加的是文件，然后再跟上地址，语义就是把这个文件持久化到 tpm 的一个句柄中；如果-c 加的是一个地址，那么则是把这个持久句柄驱逐。

对这里出现的文件进行说明：

key.pub 可以开放给别人看
key.priv 是被 tpm 加密的对象，只有 tpm 才能解密
key.ctx 是 tpm 的内存快照，和 0x 开头的是同一个类型的东西，都可以被-c加载

所以我们给他解个密：

❯ tpm2_unseal -c key.ctx -p 123456
hello%
❯ tpm2_unseal -c 0x81010002 -p 123456
hello%

验证签名
#

既然懂了一些，我们就不要用 rsa 了，用 ecc，只需把所有的创建密钥的过程加-G ecc就行。

如果要删除之前的，善用 evictcontrol。

重新创建 ecc 的主密钥：

tpm2_createprimary -C o -G ecc -c ecc_primary.ctx

创建一个签名的对象：

tpm2_create \
  -C ecc_primary.ctx \
  -G ecc256:ecdsa \
  -u ecc.pub \
  -r ecc.priv \
  -p 123456

加载：

tpm2_load \
  -C ecc_primary.ctx \
  -u ecc.pub \
  -r ecc.priv \
  -c ecc.ctx

持久化：

sudo tpm2_evictcontrol -C o -c ecc.ctx 0x81020000

生成一个固定的挑战，用于验证（其实真正的过程中，每次都是不同的）：

head -c 32 /dev/urandom > challenge.bin

用 tpm 自带的工具验证：

❯ tpm2_sign \
  -c 0x81020000 \
  -g sha256 \
  -s ecdsa \
  -o sig.tss \
  -p 123456 \
  challenge.bin
❯ tpm2_verifysignature \
  -c 0x81020000 \
  -g sha256 \
  -s sig.tss \
  -m challenge.bin
# 返回0，通过

整活
#

接下来把这个接入 pam。

导出公钥：

tpm2_readpublic -c 0x81020000 -f pem -o /etc/tpm-ecc.pub.pem
chmod 644 /etc/tpm-ecc.pub.pem

用我这个项目试试，仅供娱乐：

#%PAM-1.0

auth       required                    pam_faillock.so      preauth
auth       [success=3 default=ignore]  pam_tpm_ecc.so       key_handle=0x81020000 pubkey=/etc/tpm-ecc.pub.pem
-auth      [success=2 default=ignore]  pam_systemd_home.so
auth       [success=1 default=bad]     pam_unix.so          try_first_pass nullok
auth       [default=die]               pam_faillock.so      authfail
auth       optional                    pam_permit.so
auth       required                    pam_env.so
auth       required                    pam_faillock.so      authsucc

polkit
#

这玩意，搞那么复杂的权限管理，还用模板，没折腾死我。

他每次授权的时候启动一个 helper，这个 helper 有 root 权限，但是启动的时候被 systemd 限制了一大堆特权，我们得用 drop-in 给他加回来：

sudo systemctl edit polkit-agent-helper@

# Editing /etc/systemd/system/polkit-agent-helper@.service.d/override.conf
[Service]                        
DeviceAllow=/dev/tpmrm0 rw
BindPaths=/dev/tpmrm0

彩蛋
#

一发入魄：

❯ sudo tpm2_dictionarylockout -s -n 10 -t 600 -l 60
WARNING:esys:src/tss2-esys/api/Esys_DictionaryAttackParameters.c:310:Esys_DictionaryAttackParameters_Finish() Received TPM Error 
ERROR:esys:src/tss2-esys/api/Esys_DictionaryAttackParameters.c:108:Esys_DictionaryAttackParameters() Esys Finish ErrorCode (0x0000098e) 
ERROR: Esys_DictionaryAttackParameters(0x98E) - tpm:session(1):the authorization HMAC check failed and DA counter incremented
ERROR: Failed DictionaryLockout Setup
ERROR: Unable to run tpm2_dictionarylockout
❯ sudo tpm2_dictionarylockout -s -n 10 -t 600 -l 60
WARNING:esys:src/tss2-esys/api/Esys_DictionaryAttackParameters.c:310:Esys_DictionaryAttackParameters_Finish() Received TPM Error 
ERROR:esys:src/tss2-esys/api/Esys_DictionaryAttackParameters.c:108:Esys_DictionaryAttackParameters() Esys Finish ErrorCode (0x00000921) 
ERROR: Esys_DictionaryAttackParameters(0x921) - tpm:warn(2.0): authorizations for objects subject to DA protection are not allowed at this time because the TPM is in DA lockout mode
ERROR: Failed DictionaryLockout Setup
ERROR: Unable to run tpm2_dictionarylockout

UPS 折腾记

Wed, 22 Apr 2026 23:00:09 +0800

前言
#

最近我突然有了两台 ups 的管理权，一台工作室的 APC Smart-UPS SPRM1K，另一台家里的 APC BACK-UPS BK650。由于手边只有前者，先更新前者的研究成果，后者择日更新。

管理带通信的 UPS 的配套软件其实就两种，这里主要讲解 NUT，而 apcupsd 配置很简单，而且也可以作为 NUT 的驱动，这里不再详述。

NUT 的配置
#

要理解 NUT，首先要明白几个概念：driver、monitor(client)、server（可选），三个服务都要单独启用。

驱动层
#

driver 其实就是对接各种奇奇怪怪 ups 的，这里我这两台一个用的是串口（apcsmart）,另一个是 usbhid-ups，这里主要是以前者讲解的。

配置 ups 驱动：

## /etc/nut/ups.conf 
## 根据需要填写,可用nut-scanner -U获取驱动
[ups] 
    driver = apcsmart 
    port = /dev/ups 
    cable = 940-0024 
    ignorelb # 手动指定阈值
    override.battery.charge.low = 70 
    override.battery.runtime.low = 20

启动服务：upsdrvctl start。

这里有个小插曲，串口可能提示权限不够：

root@pve:/etc/nut# upsdrvctl start
Network UPS Tools - UPS driver controller 2.8.1
Network UPS Tools - Generic HID driver 0.52 (2.8.1)
USB communication driver (libusb 1.0) 0.46
libusb1: Could not open any HID devices: insufficient permissions on everything
No matching HID UPS found
upsnotify: notify about state 4 with libsystemd: was requested, but not running as a service unit now, will not spam more about it
upsnotify: failed to notify about state 4: no notification tech defined, will not spam more about it
Driver failed to start (exit status=1)

用 udev 规则，给 nut 权限：

cat << 'EOF' > /etc/udev/rules.d/99-nut-ups.rules
SUBSYSTEM=="usb", ATTR{idVendor}=="051d", ATTR{idProduct}=="0002", MODE="0660", GROUP="nut"
EOF
udevadm control --reload-rules
udevadm trigger

再次启动：upsdrvctl start

服务层
#

nut 其实 c/s 架构很分明，如果只有一台机子，也得启动一个服务器。但是这也为拓展型带来了便利。

如果你只有一台机子，用 standalone 即可，作为“吹哨人”，用 netserver，接收命令关闭自己的机器，用 netclient。

我这里改成服务器：

## /etc/nut/nut.conf
# 服务器模式
MODE=netserver

## /etc/nut/upsd.conf
# 加上这一行，给局域网里面的设备提供服务
# 如果你是pve而且路由器不接ups，建议自己建一个
# 自定义交换机
LISTEN 0.0.0.0 3493

配置用户，monuser 最好有，因为群晖用这个而且不能更改。

## /etc/nut/upsd.users
[monuser] 
    password = secret 
    upsmon slave 
[admin] 
    password = <your_password>
    upsmon master 
    actions = SET
    instcmds = ALL

启动服务：systemctl enable --now nut-server

客户端/监视层
#

配置 nut-monitor 以便自动关机：

MONITOR ups@localhost 1 monuser secret master # slave也可以，后文（关机过程）讲

你可以看到，最下面有个shutdown命令，这个只要 monitor 服务启动了，在遇到低电量阈值的时候，就一定会执行的。

启动服务：systemctl enable --now nut-monitor

关机过程
#

断开电源，nut 检测到电池供电，其他客户端收到信号。

对于群晖这种设置了 upssched 的机子，他可以在检测到断电之后的一定时间开启安全模式（umount 所有分区，只保留必须的 nut 监听服务和关机逻辑），如果在此期间市电恢复，重新检测到后会进行自动重启。

电池到达所给定的阈值（电量/剩余事件/电池供电时间），发出警告信号。

这时候服务器自己会开始关机（执行 shutdown），其他客户端会收到信号，开始进行关机。

在关机最后一刻，有一个有意思的脚本想和大家分享。

这个脚本是 systemd 在关机的最后时刻执行的，位于/usr/lib/systemd/system-shutdown/nutshutdown。我们来看看他的结构：

#!/bin/sh

# This script requires both nut-server (drivers)
# and nut-client (upsmon) to be present locally
# and on mounted filesystems
[ -x "/sbin/upsmon" ] && [ -x "/sbin/upsdrvctl" ] || exit

if /sbin/upsmon -K >/dev/null 2>&1; then
  # The argument may be anything compatible with sleep
  # (not necessarily a non-negative integer)
  wait_delay="`/bin/sed -ne 's#^ *POWEROFF_WAIT= *\(.*\)$#\1#p' /etc/nut/nut.conf`" || wait_delay=""

  /sbin/upsdrvctl shutdown

  if [ -n "$wait_delay" ] ; then
    /bin/sleep $wait_delay
    # We need to pass --force twice here to bypass systemd and execute the
    # reboot directly ourself.
    /bin/systemctl reboot --force --force
  fi
fi

exit 0

可以注意到经过一系列的判断，如果是真的断电（发出警告后）upsmon -K会返回 1，那么就会使用upsdrvctl shutdown来命令 ups 在一定时间后断电。

但是这时候，系统已经解除了所有的磁盘 rw 的挂载，执行完脚本的下一步其实就是给 acpi 电源发送 S5 信号并断电，速度很快，其实断不断电也无所谓了。

一般的断电延时 20s 绰绰有余。至于断电时间的设置，高级的 ups 可以设置（见后文upsrw），普通的不可以。

所以如果这是最后一个“吹哨人”执行的 killpower（让 ups 等会断电），最好关闭的时候要尽量比 slave 关得晚，否则就得尽量延长 ups 的延迟时间。

常用命令
#

upscmd：执行一些驱动预设的指令
#

root@SAST-Docker:~# upscmd -l ups
Instant commands supported on UPS [ups]:

bypass.start - Put the UPS in bypass mode
bypass.stop - Take the UPS out of bypass mode
load.off - Turn off the load immediately
load.on - Turn on the load immediately
shutdown.return - Turn off the load and return when power is back
shutdown.stayoff - Turn off the load and remain off
test.battery.start - Start a battery test
test.battery.stop - Stop the battery test
test.failure.start - Start a simulated power failure
test.panel.start - Start testing the UPS pane

upsrw：用于读写 eeprom 的
#

使用：

upsrw -l <upsname>

控制响声、复电延迟启动、复电要求电池水平、关电延迟停止 ups。

比如我们工作室的 SPRM1K 可以设置的东西就很多，还贴心的用了 enum 告诉你：

root@SAST-Docker:/etc/nut# upsrw -l ups
[battery.alarm.threshold]
Battery alarm threshold
Type: ENUM NUMBER
Option: "0" SELECTED
Option: "T"
Option: "L"
Option: "N"

[battery.charge.restart]
Minimum battery level for restart after power off (percent)
Type: ENUM NUMBER
Option: "00"
Option: "15"
Option: "50" SELECTED
Option: "90"

[battery.date]
Battery change date
Type: STRING
Maximum length: 8
Value: 12/30/25

[input.transfer.high]
High voltage transfer point (V)
Type: ENUM NUMBER
Option: "231"
Option: "242"
Option: "253"
Option: "264" SELECTED

[input.transfer.low]
Low voltage transfer point (V)
Type: ENUM NUMBER
Option: "187"
Option: "176" SELECTED
Option: "165"
Option: "154"

[output.voltage.nominal]
Nominal output voltage (V)
Type: ENUM NUMBER
Option: "220" SELECTED
Option: "230"
Option: "240"

[ups.delay.shutdown]
Interval to wait after shutdown with delay command (seconds)
Type: ENUM NUMBER
Option: "020"
Option: "180"
Option: "300" SELECTED
Option: "600"

[ups.delay.start]
Interval to wait before (re)starting the load (seconds)
Type: ENUM NUMBER
Option: "000"
Option: "060" SELECTED
Option: "180"
Option: "300"

[ups.id]
UPS system identifier
Type: STRING
Maximum length: 8
Value: UPS_IDEN

[ups.test.interval]
Interval between self tests (seconds)
Type: ENUM NUMBER
Option: "1209600" SELECTED
Option: "604800"
Option: "0"

我在这里改了ups.delay.shutdown，原因很尴尬，esxi 只支持客户端模式的 nut，服务端只能用一台虚拟机来实现。那么希望在服务端发出 killpower 后，还能等待 esxi 关闭，这个时间就不可避免的延长。

我还改了ups.delay.start，这个参数很有意思，他没有注释，根据字面意思理解，应该是断电之后延迟启动吧？

但是不是这个意思。他指的是如果你发出了 killpower 的命令后中途来电，他断电后，应该在多少秒后开机？

我觉得这句话得细品。

对于我这台 SPRM1K 来说，发送 killpower 指令后，首先是等待ups.delay.shutdown的时间，然后切断输出，然后过了硬编码的 1 分钟，关闭 ups 自己。

那么就有几种情况：

在等待ups.delay.shutdown时，市电恢复。
在等待硬编码的 1 分钟的时候，市电恢复。
ups 关机之后，市电恢复。

这三种情况中前两者会等待ups.delay.start的时间，最后一种不会等待，初始化之后直接开机。

我想应该是这篇文章里面提到的问题，作者说如果断电的时间太短，那么 After AC Loss 就算设置为 Power On，也不一定能自动开机。所以才有这么一个选项。

btw: 我并不太赞同链接里面的方案，复杂度太高了很难维护，其实里面很多东西厂家已经做好了。（排除 UPS 不够高端的问题，这个等我回去测试一下我的 BK650 再下定论）

奇怪的 bug
#

根据 man 8 usbhid-ups 中的说明，可以直接在 ups.conf 里面配置 allow_killpower 来在启动的时候生效，但是这个 issue 说 allow_killpower 在 2.8.3 之后才修复启动的时候硬编码的 0 会覆盖回去的问题，然而 trixie 是 2.8.1，就很难受。

能用点 hack 的办法，启动的时候修改。

systemctl edit nut-driver@ups.service
# 写入
[Service]
# 延迟几秒确保驱动已经完全初始化
ExecStartPost=/bin/sh -c "sleep 5 && /usr/bin/upsrw -s driver.flag.allow_killpower=1 -u admin -p <你的密码> ups"

但是这台设备不再身边，所以我还是选择了保守的 apcupsd 方案关机+nut 桥接给群晖，这篇文章之后还会更新的。

Dbus 探索

Fri, 21 Nov 2025 17:56:21 +0800

前言
#

之前想使用 syfs 监听电量变化失败，原因是 sysfs 不支持 epoll 之类的高级特性，所以还得隔几秒轮询，这对于精确度要求高的我来说是没法接受的，所以我不得不望向一个很熟悉但是陌生的东西————Dbus。

概念
#

感觉 Dbus 是有点点像 MQTT，你看 broker 都出来了，都有订阅这一说法，但是又有点不同。

总线: 包括系统总线和用户总线。前者可以报告系统状态，硬件上的状态（正是我们需要的）；后者则在 KDE 的通知和特效之类上面大量使用，比如录屏的时候静音之类。
总线名称: 一个跟 Dbus 有关的服务启动了，这个服务下面提供的各种对象，全都是挂在这个总线名称下的。
对象路径: 服务提供的某些功能/实例，有点像 unix 的路径但是完全不一样，组织成面向对象的层次结构。
接口名称: 一个服务可以有多个接口，在不同的接口名称定义对象提供的方法、属性和信号。
- 方法: 客户端向服务端发起的同步请求，要求服务执行请求/获取状态然后返回请求。
- 属性: 客户端向服务端可以获取到的状态。
- 信号: 服务向总线上面发送通知，告知感兴趣的客户端某个事件发生了。
订阅: 客户端告诉总线对服务上面的某个对象的某个信号感兴趣。

systemd 和 Dbus 集成挺好的，可以监听某个总线上面的连接，如果客户端发出了请求但是服务没有启动，那么就会自动启动服务。这就像普通的服务上面的 socket 按需启动一样，也是把这套思路应用到了 Dbus 上面。

一般来说约定名字和对象路径中间的 . 和 / 对应，但是当然可以不遵守。

客户端可以手动向服务查询，对于用户，可以手动通过命令行获取信息；也可以由服务通过信号推送得到信息，这样就避免轮询造成的性能开销。

命令行使用
#

systemd 的 busctl 比较好理解，以这个工具为例。

busctl 无非就那几个参数，总线名称，对象路径，接口名称，然后按需调用/获取对应的对象。

自省
#

busctl introspect <busName> <path>

如果这个路径下的对象允许被自省的话，比如说 UPower：

❯ busctl introspect org.freedesktop.UPower /org/freedesktop/UPower
NAME                                TYPE      SIGNATURE RESULT/VALUE FLAGS       
org.freedesktop.DBus.Introspectable interface -         -            -           
.Introspect                         method    -         s            -           
org.freedesktop.DBus.Peer           interface -         -            -           
.GetMachineId                       method    -         s            -           
.Ping                               method    -         -            -           
org.freedesktop.DBus.Properties     interface -         -            -           
.Get                                method    ss        v            -           
.GetAll                             method    s         a{sv}        -           
.Set                                method    ssv       -            -           
.PropertiesChanged                  signal    sa{sv}as  -            -           
org.freedesktop.UPower              interface -         -            -           
.EnumerateDevices                   method    -         ao           -           
.GetCriticalAction                  method    -         s            -           
.GetDisplayDevice                   method    -         o            -           
.DaemonVersion                      property  s         "1.90.10"    emits-change
.LidIsClosed                        property  b         false        emits-change
.LidIsPresent                       property  b         true         emits-change
.OnBattery                          property  b         false        emits-change
.DeviceAdded                        signal    o         -            -           
.DeviceRemoved                      signal    o         -            -

调用方法
#

那么显而易见了，直接调用：

busctl call <busName> <path> <interface> <object> [param]

得是 method 才能被调用，有的方法需要参数才能调用。

属性
#

属性既可以获取，在有权限的情况下可以设置。

busctl get-property <busName> <path> <interface> <object>
busctl set-property <busName> <path> <interface> <object>

签名
#

获取对象或者调用方法传参的时候，要求签名匹配。这里其实是一些数据类型，根据对应的英文简称：

s: 字符串
b: 布尔
i: 整形
u: 无符号整形
d: 双精度
(a)o: （数组式的）对象路径，用于查看其他对象。

传入参数是这样的，先输入类型，然后跟上你的数据，比如：

s "hello" i 32

简单的电量检测小工具
#

让 Gemini 用 QT 写了一个简单的电量监测系统，仅用于我这一台 chromebook：

BatteryService

Linux Swap：ZRAM、ZSWAP 与内存策略

Sat, 01 Nov 2025 21:57:31 +0800

引子
#

无论在哪个安装 Arch 的教程里面，你都能看到要求你设置一个 swap 分区，但是，这个分区真的那么有必要吗？

我最早听到 swap 这个字，大概是安卓 2.3-4.0 时代吧。那时候的 CPU 性能不行，存储性能也很差，但是人们却执着于把 swap 放在存储卡上面，总共 128M 的内存，要在卡上放 64M 进行交换。不过对于本来就慢的安卓手机，能够有更大的内存以便运行大型一点的游戏，就算慢一点，也比较值得。

然而在现代系统上面，手机厂商又把这个“内存拓展”拿出来，许多人对此嗤之以鼻，然而这完全不是一回事。

把内存变小，而不是放到低速存储上面
#

首先，能够实现这一切的前提，是内存虚拟化。

一个程序看到的大量的地址空间，其实并不是 1:1 的映射到物理内存上面的。通过系统调用 mmap，操作系统记录了一个程序看到的内存是怎么对应到物理内存上去，但是，为什么一定是物理内存上面呢？

于是有了 swap，当我内存不够的时候，直接把程序运行时的内存（匿名页）驱逐到 swap 上面，然后往映射表记录，当再次需要访问他的时候，触发一个“缺页中断”，就把 swap 的内存重新搬回物理内存上面，这一切对于程序来说都是透明的。

随着性能的发展，人们发现，这个把匿名页搬回物理内存的过程实在是太慢了，浪费了大量的 CPU 时间，那么为什么不让做点事情？于是，内存压缩出现了。

ZRAM
#

ZRAM，顾名思义，就是把内存压缩。

不过，人们用的还是 swap 的那套思路，把内存中的一部分划分出来，然后创建一个块设备，然后需要的时候，把内存压缩进去，这就是 ZRAM。

我们可以通过 swappiness 参数，控制操作系统内核把内存压缩进入 swap 的激进性，现在的值取 0-200 了，值越高，越倾向于把内存放入交换分区。如果是传统的 swap，那么我们希望不要那么激进，因为磁盘总归是慢的；但是对于一个压缩的内存块来说，应该把这个值取很高，因为对于 zstd 和 lz4 这样的算法来说，压缩/解压的速度非常快。

存到极限
#

如果内存的压力持续增大，ZRAM 会有用完的时候。这又分为两种情况：

1. `ZRAM` 达到了设置的压缩前的数据的最大值。
#

这时候如果没有配置回写块的时候，系统就会去寻找一个优先级更低的 swap 了。如果没有，那么就很可能触发 OOM。

配置了回写块的话，ZRAM 会把其中最少使用的数据驱逐到回写块中。这个回写块跟 swap 是不相容的，只能用于一种用途。

如果这时候需要提取写入到回写块中的数据，那么就直接从磁盘解压到物理内存中，因为是压缩的数据，不仅减少了对磁盘的读写，还不让 CPU 闲着。

2. `ZRAM` 还没满，但是物理内存就要满了
#

这种情况一般是 ZRAM 块最大值太高了。

同样也会造成 ZRAM 往回写块驱逐匿名页，但是如果回写块写入很慢造成了阻塞，同时内存占用还在增加，那么操作系统可能就触发 OOM 开始杀进程了。

ZSWAP
#

还有另外一种技术，但是我之前都没听说过。

这项技术配置起来感觉更加 native 一点，因为是直接往内核参数里面写。

ZSWAP 其实不会创建一个块，但是需要 swap 的存在，当系统打算往 swap 里面写入数据的时候，ZSWAP 会拦截写入，然后进行压缩到内存中的一部分区域。

ZSWAP 同样会在内存压力高的时候驱逐匿名页到 swap 中，这一点跟 ZRAM 不一样，因为如果长期 ZRAM 占满，那么系统就会转而使用磁盘 SWAP 交换，此时变慢会变得很明显（尤其是磁盘速度较慢的时候）。

从 Linux 6.8 开始，支持禁用回写块，仅仅用作内存压缩。

所以你会发现，ZRAM 加上了回写块，那么就是普通的 ZSWAP；如果 ZSWAP 禁用了回写块，那么就相当于一个普通的 ZRAM，从使用的角度，确实是这样的。

如何选择
#

既然这两者都可以在使用时相互替代，那么究竟如何选择呢？

桌面环境
#

如果内存足够，更推荐使用 ZSWAP。

如要使用休眠，可以考虑禁用回写块。这样 swap 就专注于配置休眠，但这样负载高了就更容易出现 OOM，这点需要权衡，一般也不会跑大型任务的时候考虑休眠吧？

其他环境
#

小内存的设备，比如安卓，更加倾向于 ZRAM。原因是 ZSWAP 要求真实的 SWAP 设备，但是闪存一般来说没那么耐写。

服务器可以使用 ZRAM 加上一个小 SWAP，这样可以很好的避免了内存使用的尖锋，也享受了内存压缩的红利。

不推荐同时使用 ZSWAP 和 ZRAM，这样会造成冲突。

两者有什么优势呢？

ZSWAP：管理起来更直观，对于桌面体验来说更加友好。因为是钩子，所以不会出现一个 swap 块。

ZRAM：更适合小内存闪存不可多写的设备。不仅仅是内存压缩，实际上块设备可以格式化来存东西。

观察
#

这是一个 ZSWAP 的 htop 图，compressed 和 frontswap 就是 ZSWAP 工作的事实。

通过简单的计算可以得到压缩率是 26.3%，这也是配置 zstd 的典型压缩率范围。

前置压缩虽然其实占用的是内存中的空间，但是这里算在 swap 里面了， used 里面的 457M 不包括前置交换，由于使用 systemd 禁用了 ZSWAP 使用系统交换空间，所以这里面的内容其实是内核使用的交换空间。

如果是一个 ZRAM 的设备，那么 htop 甚至可以单独调出一条来显示它，从观察角度来说，ZRAM 相对方便一些。

参考
#

(电源管理/挂起与休眠 - Arch Linux 中文维基)[https://wiki.archlinuxcn.org/wiki/%E7%94%B5%E6%BA%90%E7%AE%A1%E7%90%86/%E6%8C%82%E8%B5%B7%E4%B8%8E%E4%BC%91%E7%9C%A0#Disable_zswap_writeback_to_use_the_swap_space_only_for_hibernation]

防火墙：iptables、nftables 与 firewalld

Fri, 25 Apr 2025 21:46:16 +0800

前言
#

其实防火墙这玩意，我三年前就接触过。那时候在用 iptables 来配置路由器的ipv6转发，照着教程抄完了也不知所云。

如今过去了那么久，知识储备多了那么一点点，正好有需求，就重新了解了一下。

iptables
#

iptables，这玩意算是个古董了，大概在 21 世纪初就有了。不过毕竟是老东西，现在大部分旧设备都是用的它，很多软件在修改防火墙规则的时候也只改它。

提起iptables，我们也许会想到五链四表，不过一般来说，知道nat和filter表就已经足够完成 80% 的工作了（ipv4），我在archwiki 的 iptables章节翻到这张图，也许能够有助于理解：


                               XXXXXXXXXXXXXXXXXX
                             XXX     Network    XXX
                               XXXXXXXXXXXXXXXXXX
                                       +
                                       |
                                       v
 +-------------+              +------------------+
 |table: filter| <---+        | table: nat       |
 |chain: INPUT |     |        | chain: PREROUTING|
 +-----+-------+     |        +--------+---------+
       |             |                 |
       v             |                 v
 [local process]     |           ****************          +--------------+
       |             +---------+ Routing decision +------> |table: filter |
       v                         ****************          |chain: FORWARD|
****************                                           +------+-------+
Routing decision                                                  |
****************                                                  |
       |                                                          |
       v                        ****************                  |
+-------------+       +------>  Routing decision  <---------------+
|table: nat   |       |         ****************
|chain: OUTPUT|       |               +
+-----+-------+       |               |
      |               |               v
      v               |      +-------------------+
+--------------+      |      | table: nat        |
|table: filter | +----+      | chain: POSTROUTING|
|chain: OUTPUT |             +--------+----------+
+--------------+                      |
                                      v
                               XXXXXXXXXXXXXXXXXX
                             XXX    Network     XXX
                               XXXXXXXXXXXXXXXXXX

这里的 Network，指的就是不同的网卡接口。

接着我来说说自己的理解：

啥表啥链？
#

filter表最简单，也是默认的表。它只有OUTPUT，INPUT，FORWARD链。这几个顾名思义，分别是来源本机，目标本机，经过本机的数据包。一般来说，
- OUTPUT 的默认规则是ACCEPT，也就是允许所有来源本机的数据包发出。
- INPUT 的默认规则是DROP，也就是不允许外来的数据包访问本机。我们一般监听的端口需要配置例外的规则，否则就无法被访问。
- *FORWARD *也是DROP。默认不允许不同网络接口之间的数据包转发。想要转发不仅仅需要手动放行，还得开启内核的 IP 转发。
```
## 临时启用
sysctl -w net.ipv4.ip_forward=1
## 永久启用
echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
sysctl -p
```
  举个例子：
```
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    1    52 ACCEPT     all  --  wg0    *       0.0.0.0/0            0.0.0.0/0
```
nat表这个表有四条链，不过我一般只用其中的两条：PREROUTING和POSTROUTING，分别处理端口映射以及 ip 伪装。
- PREROUTING 这一个链其实我接触得不多，因为基本都是在 ui 上面设置的。但是摸过 SAST 的 RouterOS 之后，那个 ui 配置起来就像是手搓iptables一样，我就马上理解了。一个例子就像这样：
```
Chain PREROUTING (policy ACCEPT 2885K packets, 212M bytes)
 pkts bytes target     prot opt in     out     source               destination
16   952 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22345 to:192.168.123.2:22
## 这里因为涉及到自定义链，我就直接合并了。
```
  你会注意到，policy为什么是ACCEPT？我觉得是因为如果不给你规则，路由也不会帮你转发，所以大家都说ipv4的nat安全，原来是这个意思。
- POSTROUTING 你是否想过，nat后的主机，是如何用路由器的 ip 进行通信的？这条链改写了对应目标的源 ip 地址和端口，然后再发出去。规则 SNAT 需要指定 ip，但是在家庭环境中，ip 通常是变化的，这时候神器MASQUERADE出现了，它可以动态的获取出口网卡的 ip 地址，把 ip 改写再发出去。至于出口怎么决定，那就是路由表的事情了。例子：
```
Chain POSTROUTING (policy ACCEPT 804K packets, 60M bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 MASQUERADE  all  --  *      ppp0    0.0.0.0/0            0.0.0.0/0
```

命令
#

iptables的命令非常的精简，看多了倒还不错，不过现在的风格倒变成自然语言了，像ip和nft之流。

iptables -t nat -nvL [CHAIN-NAME] #看 nat 表的规则，链名是可选的
iptables -nvL --line-numbers #看 filter 表的规则，filter 默认可以省略；--line-numbers 用于显示编号。

一些我常用的就一起放在这了：

ip6tables -A INPUT -p udp --dport 26741 -j ACCEPT # ip6tables 是用于控制 ipv6 的防火墙，我目前只接触了 filter 表，NPT 还不会...
iptables -A INPUT -i wg0 -j ACCEPT
iptables -A FORWARD -i wg0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -s 10.0.8.0/24 -j MASQUERADE --mode fullcone

-A是Append，-I是Insert，-D是Delete，据此可以精确的删除规则。

用行号也可以：iptables -D INPUT 2

补充
#

还有子链和其他表等其他内容，等到后面有时间再写吧。

nftables + firewalld
#

nftables是一个新的netfilter工具，firewalld是 RedHat 开发的一个防火墙前端。firewalld的默认后端是nft，这两者一般来说会配合起来使用。

直接操作底层的nft命令对我来说还是有点困难，这里就简单讲讲他们的结合使用吧。

为什么选择 firewalld 而不是选择 ufw 呢？

firewalld对于动态网络（比如笔记本在不同的热点之间切换）有很好的适配，具体体现在与NetworkManager之间的配合，使得不同的热点能够应用在不同的区域中，后面会讲讲配置过程。

永久和非永久配置
#

firewalld在设置防火墙的时候，默认是临时配置立即生效。如果想要配置永久规则，加上--permanent参数即可，记得使用firewall-cmd重新加载规则生效。

启动
#

一行命令就好：

sudo systemctl enable --now nftables firewalld

这样，系统就为我们配置了一个默认的防火墙，默认所有的网卡会在public区域，现在只有 22 入站才被允许。

区域
#

你应该发现，新的防护墙工具多了一个新概念叫作区域，不同的网卡可以分配到不同的区域。

先来看看有什么区域？

sudo firewalld --list-all-zones

部分输出：

...

home 
  target: default
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: dhcpv6-client mdns samba-client ssh
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

...

public (default, active)
  target: default
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: dhcpv6-client ssh
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

trusted 
  target: ACCEPT
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: 
  sources: 
  services: 
  ports: 
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 

...

如果设置了tun模式，你会发现它无法联网了。

将网卡分配到区域
#

分配 tun
#

我们使用firewalld来配置规则。

通过上面的输出可以知道，trusted区域是允许所有流量的，我们把Mihomo加到trusted区域：

firewall-cmd --zone=trusted --add-interface=Mihomo --permanent
sudo firewall-cmd --reload

## 验证
firewall-cmd --get-zone-of-interface=Mihomo ## 返回 trusted

这里有个小坑，我加入之后发现还是不行，一看日志发现数据包全被丢弃了。~~折腾半天发现重启解决了，我：？？？~~

真正的隐藏 boss 在后面！

反向路径过滤

分配 wlan0
#

如果是便携的设备，我们会连接到不同的热点，有公用的也有家里的，家里可以开放多一点权限，而公用的则不需要。

这一部分由 NetworkManager 配置：

nmcli connection modify "SAST" connection.zone "home"

## 验证
sudo nmcli connection show SAST | grep connection.zone

## 返回
connection.zone:                        home

这样只有连接到指定的热点名称的时候，才会切换 wlan0 到 home 区域，其他都是 public 区域。

开放特定服务和端口
#

firewalld 事先定义了一些服务需要的端口，可以在/usr/lib/firewalld/services/找到，这些配置文件以xml格式存储。

添加服务和端口的时候，别忘了指定当前区域。如果不指定，那么默认是在 public 区域添加规则的。

如果你需要的服务恰好在里面，就可以很方便的添加：

sudo firewall-cmd --zone=home --add-service=kdeconnect --permanent
sudo firewall-cmd --reload

如果这个端口是你自己定义的，可以这样子：

sudo firewall-cmd --add-port=8000/tcp --zone=home --permanent
sudo firewall-cmd --reload

然后查看：

sudo firewall-cmd --zone=home --list-all

## 输出
home (active)
  target: default
  ingress-priority: 0
  egress-priority: 0
  icmp-block-inversion: no
  interfaces: wlan0
  sources: 
  services: dhcpv6-client kdeconnect mdns samba-client ssh
  ports: 8000/tcp
  protocols: 
  forward: yes
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules:

反向路径过滤
#

反向路径过滤，简称 rpfilter。这一个功能在 ipv4 时代，是由内核实现的。在内核文档中是这么写的：

/proc/sys/net/ipv4/* Variables:

rp_filter - INTEGER
	0 - No source validation.
	1 - Strict mode as defined in RFC3704 Strict Reverse Path
	    Each incoming packet is tested against the FIB and if the interface
	    is not the best reverse path the packet check will fail.
	    By default failed packets are discarded.
	2 - Loose mode as defined in RFC3704 Loose Reverse Path
	    Each incoming packet's source address is also tested against the FIB
	    and if the source address is not reachable via any interface
	    the packet check will fail.

	Current recommended practice in RFC3704 is to enable strict mode
	to prevent IP spoofing from DDos attacks. If using asymmetric routing
	or other complicated routing, then loose mode is recommended.

	The max value from conf/{all,interface}/rp_filter is used
	when doing source validation on the {interface}.

	Default value is 0. Note that some distributions enable it
	in startup scripts.

顺带一提，ip_forward也是在这个地方配置的。

这里告诉我们，0禁用反向路径过滤，1开启严格的反向路径过滤（反向路径必须是最佳路由），2开启宽松的反向路径过滤（只要反向路径路由可达即可）。

默认是不开启反向过滤的，但是似乎防火墙会给每个网卡加上一个2？由于目前手上没有无防火墙的机器，暂时无法验证…

但是如果你装的是firewalld，默认的反向过滤是全部严格的。这时得到/etc/firewalld/firewalld.conf改成这样：

IPv6_rpfilter=loose

才能禁用反向路径过滤。由于firewalld在 nft 中配置的表是只读的，只能由它改写，所以去删掉它的规则或者尝试绕过都是没用的。~~别骂了别骂了~~

Mihomo会导致出现很多的drop数据包，其中一部分就是rpfilter引起的，日志类似这样：

5月 18 23:18:08 texsd-spin kernel: rpfilter_DROP: IN=Mihomo OUT= MAC= SRC=2a01:04f9:3081:4e4b:0000:0000:0000:0002 DST=fdfe:dcba:9876:0000:0000:0000:0000:0001 LEN=80 TC=0 HOPLIMIT=64 FLOWLBL=1037094 PROTO=TCP SPT=443 DPT=22000 WINDOW=64260 RES=0x00 ACK SYN URGP=0

导致所有的ipv6能ping通但是无法访问，改成宽松后解决。

管理
#

禁用日志
#

这是一个标准选项，所以不需要加--permanent。

我比较建议把日志调成unicast。否则如果你局域网中广播的设备很多的话，journalctl会被淹没。

sudo firewall-cmd --set-log-denied=unicast

其他
#

我觉得firewalld的 man page 写得很清晰，去看它是一个很好的选择。

man 1 firewall-cmd

总结
#

目前来说个人主机拥抱 firewalld + nftables 更加合适，因为它们提供了更灵活的规则，也拥有更高效的性能。但是服务器上不建议安装 firewalld，因为很多软件是直接通过添加 nftables 规则的，还有很大一部分老软件会添加 iptables 规则。当然 nftables 也做了兼容，iptables-nft这个包会把 iptables 类的指令自动翻译成 nftables 规则进行加载。此外，iptables-translate可以把 iptables 指令翻译成 nftables，便于学习和迁移。

nftables 是未来的防火墙！~~但是目前直接使用的真的太少了~~

字形、字体以及我的配置

Fri, 18 Apr 2025 23:38:19 +0800

终于受不了终端里那丑得要死的宋体了，开干！XML？拿来把你！

衬线，无衬线，等宽
#

这大概是三种最常见的字形了。

衬线（Serif)
#

简单来说，就是字体有小学练字的时候的老师要求你有的那种笔锋。

对于英文版来说，很常见的是Times New Roman ，需要注意的是这是一个版权字体。

而对于中文版，衬线字体一般跟宋体都是同一个意思了。不过名字还是会有区分：宋体，仿宋（这个公文用的很多）,楷体，这些字体的版权都是归属于中易中标，得小心。还有一部分宋体是方正的，名字就是方正 xx。

无衬线（Sans-Serif）
#

人们发现，衬线字体虽然打印出来显示效果不错，但是在屏幕上，每个字是由像素点组成的，在早期分辨率差的屏幕上，衬线字体的各种装饰部分显示效果也很差。于是就出现了无衬线的字体，简化了装饰部分，使得在屏幕上更易读。

中文，微软雅黑，算是一个历史包袱非常重的字体了，在 windows 上几乎是独占，效果也比其他字体好，后面还出现了一个等线，在雅黑的基础上简化了。微软名字命名的，优化好点也正常吧（？但是这是微软的小动作！

英文，Arial，这个字体名字不怎么出名，但是你在显示器上看到的，基本都是它。

等宽（monospace）
#

这一种字体是专为代码显示设计的，因为缩进的时候能够更好的对齐，在终端中，也能让 Tab 更好的对齐；而且易于分辨I l以及O 0。

我感觉中文和英文的这些名字，常人应该很少能听到吧？只怪 Windows 和生态的软件把用户驯化得太好了，如果不是用 Arch，我可能也不会去了解这些内容。

你问我现在用的什么字体呢？FiraMono Nerd Font以及Noto Sans Mono CJK SC，这两种字体都是开源的，接下来讲一下他们。

开源字体
#

对于英文字体来说，有一套字体叫做liberation，全面实现了对 Windows 上面的常见字体的兼容，这套字体是红帽开发的。

而对于中文，则是思源/Noto

为什么要 Adobe 和 Google 要开发思源字体/Noto CJK 呢？

Google 在 Android 4.4 之前使用的字体问题很多，不支持的字符有 fallback，导致显示效果不一致。而 Adobe 的软件使用字体会造成版权争议，同时有自己的字体部门。两家公司一拍即合，由 Google 出资、提供建议，Adobe 设计字体，最终出现了这套字体。这套字体可以说是开源的大胜利了，后面还有以此衍生的更纱黑体。

还有别的开源字体，霞鹜文楷，得意黑什么的，就不一一介绍了。

值得一提的是，这不是第一套中文的开源字体。在 AUR 上你还能看到文泉驿这款字体，至今有二十年了。虽然它的名字很诗意，但是在 Noto 之后，已经鲜有人用了，也没人维护了。

思源黑体极大的提高了 Linux 图形界面上面的字体显示体验，不过我早期使用的时候没注意，从 AUR 下载了 Windows 的兼容字体，使得终端一直在随意 fallback 一些奇怪的字体（捂脸），最近才决定了解一下，从而有了这篇东西。

系统字体调优
#

Arch
#

管理字体，现代的 Linux 系统基本都是 fontconfig 了。我们主要是用fc-cache,fc-match两个命令。

先看看你的三种字体会匹配什么？

fc-match serif # 添加-a 参数可以显示依次匹配的字体
fc-match sans-serif
fc-match monospace

我的是这样的：

[texsd@texsd-spin ~]$ fc-match sans-serif
NotoSansCJK-Regular.ttc: "Noto Sans CJK SC" "Regular"
[texsd@texsd-spin ~]$ fc-match serif
NotoSerifCJK-Regular.ttc: "Noto Serif CJK SC" "Regular"
[texsd@texsd-spin ~]$ fc-match monospace
FiraMonoNerdFontMono-Regular.otf: "FiraMono Nerd Font Mono" "Regular"

如果群魔乱舞的话，还是先去装一个noto-cjk包吧。

安装字体包在/usr/share/fonts目录，安装时会自动执行fc-cache -fv来刷新字体缓存，你也可以手动来刷新它们。

我还额外安装了otf-firamono-nerd来实现 shell 的 emoji 图标，记住不！要！安！装！nerd-fonts 包集！那总共有7GiB+！

我是强烈推荐去修改默认字体配置文件的，虽然 xml 的可读性确实不怎么样，但是根据别人的改嘛，查找替换也不算太难。这里就贴一下我的方案吧： ~/.config/fontconfig/conf.d/99-notocjk.conf

<!-- 在每个字体最后都配置了emoji，使得使用rime的时候候选框显示正确的emoji -->
`<?xml version='1.0'?>
<!DOCTYPE fontconfig SYSTEM 'urn:fontconfig:fonts.dtd'>
<fontconfig>
 <!-- 配置黑体-->
 <match target="pattern">
  <test compare="contains" name="lang">
   <string>zh</string>
  </test>
  <test name="family" qual="any">
   <string>sans-serif</string>
  </test>
  <edit binding="strong" mode="prepend" name="family">
   <string>Noto Sans CJK SC</string>
   <string>Noto Color Emoji</string>
  </edit>
 </match>
 <!-- 配置宋体-->
 <match target="pattern">
  <test compare="contains" name="lang">
   <string>zh</string>
  </test>
  <test name="family" qual="any">
   <string>serif</string>
  </test>
  <edit binding="strong" mode="prepend" name="family">
   <string>Noto Serif CJK SC</string>
   <string>Noto Color Emoji</string>
  </edit>
 </match>
  <match target="pattern">
  <test name="family" qual="any">
    <string>monospace</string>
  </test>
  <edit binding="strong" mode="prepend" name="family">
 <!-- 这里等宽配置了两个字体，原因是FiraMono没有中文的等宽字体，下面写上Noto的等宽字体就可以自动fallback了-->
    <string>FiraMono Nerd Font Mono</string>
   <string>Noto Sans Mono CJK SC</string>
   <string>Noto Color Emoji</string>
  </edit>
    </match>
   <match target="font">
  <edit name="hinting" mode="assign">
   <bool>true</bool>
  </edit>
 </match>
 <match target="font">
  <edit name="hintstyle" mode="assign">
   <const>hintfull</const>
  </edit>
 </match>
 <dir>~/.local/share/fonts</dir>
</fontconfig>

总共三段内容，分别对应衬线，无衬线，等宽，按照自己的喜好修改即可。不知道字体名字可以用fc-match -a查看引号内的字体名称，或者看桌面设置里面的字体选项。

Win
#

Windows 中文版默认是使用微软雅黑的，修改需要改注册表。所以一般来说我们都会在软件里面单独修改，像 Firefox，Windows Terminal，VSCode 都支持。而其他的应用我选择用微软雅黑，因为 Windows 运行的旧应用很多都是硬编码微软雅黑的，调整他们会导致一些奇怪的问题，下面说说。

这是个版权字体（属于方正）正因为如此应该不少人吃了官司吧（？

点阵字体和矢量字体
#

点阵字体是以前低分辨率的时代使用的，现在已经基本淘汰了。但是你可能偶尔还能看到有人发那些锯齿感字体非常严重的图片，那大概就是用 xp 截图出来的。

现代系统基本都是矢量字体，这些字体是通过贝塞尔曲线画出来的。Windows 为了兼容旧的程序和低分屏，要求字体都要支持 Hinting。而自带的微软雅黑对此有优化，别的字体就不太行。但是微软雅黑尽力了，没法避免 100% 下的字体发虚。所以还是换 4K 屏吧，200% 的比例放大下，字体渲染还是可以的。

想了解这篇细节，可以看看Windows 的字体渲染的一些鸟事

参考
#

https://github.com/oodzchen/dotfiles/blob/main/dot_config/fontconfig/fonts.conf

我的 ArchLinux 折腾记录

Mon, 09 Dec 2024 15:42:53 +0800

前言
#

暑假的时候在我的掠夺者·擎 neo 上面第一次纯手动安装了 Arch，过程很有意思，但是后面烂到家的 NV 驱动让我受不了。

我在 win 下喜欢开独显直连模式，但是在 arch 下就有很大问题：每次睡眠，内建显示器的亮度都会自动开到最大。

~~我试过很多办法，都很难实现记忆之前的亮度。只有在 BIOS 里面开启混合模式才会出现 intel_backlight，这真是太折磨了。~~

~~最后，我的评价是，别在日用的电脑上面用 n 卡和 linux！~~

其实是有办法的，给睡眠加个钩子保存亮度，然后唤醒的时候读取文件并还原亮度。也是勉强能用的。（果然水平提高了就有新办法

物色新机
#

作为一个穷学生，已经花了大几千实现臭打游戏的目标，无论怎么说都不太好再拿出几千买电脑。开始我把目标锁定在 3k 左右，然后降到 2k，最后 1k。

正好这段时间有国补，就在看鸡哥的 14x，但是各种说品控差让我望而却步。后面又看火影的 6800 二手，感觉周边又差一点。

怎么，你又开始后悔没有买 6800 以上的 u 了？！其实只是舍不得出那么多钱罢了！

几番挑选，我决定捡洋垃圾，目光投向了 chromebook。这样，就有了这篇文章的主角：Acer Spin713 二代 (cp713-2w)。在海鲜市场的 js 以 1050 的价格拿下。

配置是 i5-10210u，马甲什么的我不是很在意。我在意的是这块屏幕好像是夏老师之前提到的网格纱窗屏，凑近看确实观感不太好，其实，我根本不需要触摸屏的，但是换不得呀！

默念 1050…默念 1050…默念 1050…

安装过程
#

用 Arch 怎么能不手动安装呢？

但是 ArchInstall 真的太香了！连好网络分好区，设置好一些东西，直接重启就看到 sddm 了。

然而，像装黑苹果一样，大家都是装完了然后开系统信息截屏。装完 Arch 你也可以fastfetch，然而，这一切仅仅是个开始…

输入法设置
#

首先得有输入法吧？

我用的是 fcitx5 + rime + 雾凇拼音的组合，最终效果还不错。

首先安装 fcitx5、rime 和雾凇拼音：

paru -S fcitx5 fcitx5-rime rime-ice-git ## 可以用archlinuxcn源的

根据雾凇拼音的配置方案，把这段配置加入 rime 输入法：

# $HOME/.local/share/fcitx5/rime/
patch:
  # 仅使用「雾凇拼音」的默认配置，配置此行即可
  __include: rime_ice_suggestion:/
  # 以下根据自己所需自行定义，仅做参考。
  # 针对对应处方的定制条目，请使用 <recipe>.custom.yaml 中配置，例如 rime_ice.custom.yaml
  __patch:
    key_binder/bindings/+:
      # 开启逗号句号翻页
      - { when: paging, accept: comma, send: Page_Up }
      - { when: has_menu, accept: period, send: Page_Down }

进入设置里面，输入与输出 - 键盘 - 虚拟键盘把 fcitx5 打开，这时候才会在语言和时间下面出现输入法。如果因为 kde 的 bug 出不来的话，重启或者重装吧。
输入法 - 添加输入法，选择中州韵。这里建议点击中州韵的配置，然后把“切换输入法的行为”修改成“提交原始字符串”。
基本完成了。不过如果没有配置字体，会导致 emoji 显示空白。可以参考我的字体方案来解决问题。
如果想要让 fcitx5 符合 breeze 的外观，可以安装这个包：fcitx5-breeze，然后在输入法 - 配置附加组件 - 经典用户界面 - 主题里面修改成 KDE Plasma 来实现。

Locale 设置
#

默认在安装的时候大家都会选择en_US.UTF-8，这是为了避免 tty 不支持中文显示。不过在安装完毕后，一般都会重新编译zh_CN.UTF-8的语言支持。

这里我选用了一些特殊的设置方式，而不是直接设置LC_ALL。原因是让各种工具提示的信息和显示的日志为英文，同时让单位之类的显示符合国内的习惯。

配置像这样：

# /etc/locale.conf
LANG=zh_CN.UTF-8           # 默认界面语言为中文
LC_MESSAGES=en_US.UTF-8    # 强制日志和错误信息用英文
LC_PAPER=en_SG.UTF-8       # 纸张尺寸 A4
LC_MEASUREMENT=en_SG.UTF-8 # 公制单位（米、升、℃）
LC_TIME=en_SG.UTF-8        # 24 小时制时间

参考archwikicn-安装教程

对 chromebook 的折腾过程
#

声音驱动
#

众所周知，Chromebook 很多型号的声音驱动一直是个大问题，windows 上面甚至得付费才有驱动，而我装好一进来也是没有声音的。

很幸运的，在 Chrultrabook 上面提示 Linux 是完全支持的。然后我就找到了这个项目：

WeirdTreeThing/chromebook-linux-audio

Script that enables audio support on many Chrome devices running various Linux distros

Python

486

直接一键部署，太舒服了！不过似乎不支持 Ubuntu。

后来，在 alsa 的一次更新后，我的喇叭不出声了，翻了下 issue，这里提到重新安装加上这个参数就可以了：

./setup-audio --branch syntax-7

按键映射
#

Chromebook 的键盘比较特殊，没有Del，没有Ins。原来Capslock的位置现在变成了Meta(Win) 键。而左Alt和Ctrl就变得非常大。

写声音脚本的这位兄弟顺手写了个按键映射：

WeirdTreeThing/cros-keyboard-map

Utility to generate keyd configurations for use on Chromebooks

Python

119

这个工具映射了上面的功能按键，让Meta+功能键可以实现原来的功能，然后单独按下功能键就是F1-F10。调节键盘背光，则是按下leftAlt+亮度按键。

我手动对这台笔记本的按键进行定制：

让锁屏按键变成Del
rightAlt加上锁屏按键变成F11，加上Backspace变成F12
删除了一些冗余的配置，避免了之前为了通用一刀切导致的物理音量键变成F8/F9的 bug

[ids]
k:0001:0001

[main]
f13=delete
rightalt = layer(rightalt)

[meta]
f1 = back
f2 = forward
f3 = refresh
f4 = f11
f5 = scale
f6 = brightnessdown
f7 = brightnessup
f8 = mute
f9 = volumedown
f10 = volumeup
backspace = f12

[alt]
f6 = kbdillumdown
f7 = kbdillumup

[rightalt]
f6 = kbdillumdown
f7 = kbdillumup
backspace = f12
f13 = f11

[control+alt]
f13 = C-A-delete

另外值得一提的就是，键盘上面所有的英文全部都是小写的。

充电
#

充电限制
#

首先需要安装 ectool，这一个工具可以在 aur 的fw-ectool-git下载，fw 代表的是 framework book，这个笔记本使用的是开源的 ec，正好 chromebook 也是这个，所以可以通用。

ectool 可以控制系统的充电情况。不过可惜我这一台是 10 代的，不支持 sustainer，也就是说 ec 不能实现在某个区间自动断电。所以只能写一个脚本来控制系统的充电情况。尽管这样还是有一些限制，比如说关机充电可能就会充到满。

接下来我会对我使用的一些脚本进行解释。

charge_control.sh：这是主要进行控制的脚本，里面有两个功能，一个是--check-battery，这个参数会检测电池电量，如果超过了 78，就会自动设置成 idle 模式，同时关闭计时器，避免进行无谓的计时；另一个是--connect-charger，这个用于 udev 的控制。
check-battery.service(timer)：尝试一下 systemd-timer，为后续的启动和停用计时器做准备。
control_systemd_battery_timer.sh：这是一个用于设置上述服务的脚本。主要是用于给 udev 触发使用。(在 rules 里面写这么多太不优雅了)
99-battery.rules：这就是 udev 触发的规则了。在插上电源的时候检测一次电池电量，大于 78 就 idle，小于就开始充电。同时开启计时器，每三分钟检测一次电池。如果拔掉电源，那么就停止计时器。

值得小心的是，需要把 service 设置成 enabled，这样当电量达到 78，同时插着电源并开启 idle 模式的时候重启电脑，才会保持这个电量，因为重启会重置限制充电的状态；同时也把 timer 设置成 enabled，这样在电池没到 78，同时冲着电的时候重启电脑，才能在到达 78 的时候检测到从而开启 idle 模式。

写了那么多，看起来还是有点臃肿的感觉！不过功能总算是实现了。

缓解 kde 的电量显示的 bug
#

我到手没几天，就发现 kde 报告的电池状态有 bug。当拔下充电器后，显示已连接充电器，但仍在放电。短暂插入充电器然后拔出，会有概率避免这个问题；睡眠再唤醒也能避免这个问题。

经过一系列的排查，发现问题出现在upower上，upower 报告了错误的电池状态。power_supply总共有三个对象：

AC
CROS_USBPD_CHARGER0
CROS_USBPD_CHARGER1

虽然在 sysfs 里面报告的online状态是正确的，来到upower就不对了。AC online的状态和充电器的状态是相反的。重启upower服务可以让状态正确，但是已经被powerdevil接收了，所以无济于事。我寻找了很多办法，最终在upower的 gitlab 上面的issue看到了解决方案：

覆写upower的 systemd 服务，把它访问 AC 的 sysfs 禁用：

### Editing /etc/systemd/system/upower.service.d/override.conf
### Anything between here and the comment below will become the contents of the drop-in file
 
[Service]
InaccessiblePaths=/sys/class/power_supply/AC /sys/devices/pci0000:00/0000:00:1f.0/PNP0C09:00/ACPI0003:00/power_supply/AC
 
### Edits below this comment will be discarded

虽然方法很暴力，但是它有效啊！

风扇控制
#

理论上，其他的 chromebook 可以直接通过 aur 安装fw-fanctrl来安装一个用 python 写的脚本来控制。

不过我这台 spin713 比较特殊，使用ectool来查看温度是这样的：

$ sudo ectool temps all
--sensor name -------- temperature -------- ratio (fan_off and fan_max) --
Temp1                 318 K (= 45 C)          66% (298 K and 328 K)
Temp2                 324 K (= 51 C)          86% (298 K and 328 K)
Temp3                 314 K (= 41 C)        N/A (fan_off=0 K, fan_max=0 K)

而lm-sensors的输出：

$ sensors |sed -n "/coretemp-/,/Temp3/p"

coretemp-isa-0000
Adapter: ISA adapter
Package id 0:  +76.0°C  (high = +100.0°C, crit = +100.0°C)
Core 0:        +59.0°C  (high = +100.0°C, crit = +100.0°C)
Core 1:        +76.0°C  (high = +100.0°C, crit = +100.0°C)
Core 2:        +57.0°C  (high = +100.0°C, crit = +100.0°C)
Core 3:        +61.0°C  (high = +100.0°C, crit = +100.0°C)

cros_ec-isa-0000
Adapter: ISA adapter
fan1:        1641 RPM
Temp1:        +42.9°C  
Temp2:        +43.9°C  
Temp3:        +39.9°C

可以发现，ectool 并没有读取到 cpu 的温度，而是其他部分的温度，这个温度会比 cpu 负载高的时候的温度低很多，当 cpu 温度降下来后，又会比 cpu 温度高。而fw-fanctrl默认是取ectool里面最高的温度，这就会导致风扇控制不灵敏，~~目前办法还在想…~~

已经找到解决办法了：安装旧版的fw-fanctrl。在 24 年 5 月之后，这个工具读取温度的数据源从lm-sensors切换到了ectool，原因是他们认为这样更加准确。但是我的本子 ectool 无法读取到 cpu 的温度，用着旧版就可以了。

小结..
#

Arch 确实不算是一个能让人省心的系统，但是折腾的过程还是回味无穷的，paru 和 aur 配合在一起的包管理也非常好用。另外折腾的东西，等到以后再补充吧。

Linux on T.本秋的自留地

简单了解和手动使用 TPM

tpm 的相关属性 #

第一组：永久属性组 (PT -> Property) #

第二组：启动时状态 #

第三组：句柄资源 (HR -> Handle Resource) #

第四组：锁定相关配置 #

第五组：杂项 #

不同层级 #

初始化自己的 tpm 配置 #

开始使用 #

加密文字 #

验证签名 #

整活 #

polkit #

彩蛋 #

UPS 折腾记

前言 #

NUT 的配置 #

驱动层 #

服务层 #

客户端/监视层 #

关机过程 #

常用命令 #

upscmd：执行一些驱动预设的指令 #

upsrw：用于读写 eeprom 的 #

奇怪的 bug #

Dbus 探索

前言 #

概念 #

命令行使用 #

自省 #

调用方法 #

属性 #

签名 #

简单的电量检测小工具 #

Linux Swap：ZRAM、ZSWAP 与内存策略

引子 #

把内存变小，而不是放到低速存储上面 #

ZRAM #

存到极限 #

1. ZRAM 达到了设置的压缩前的数据的最大值。 #

2. ZRAM 还没满，但是物理内存就要满了 #

ZSWAP #

如何选择 #

桌面环境 #

其他环境 #

观察 #

参考 #

防火墙：iptables、nftables 与 firewalld

前言 #

iptables #

啥表啥链？ #

命令 #

补充 #

nftables + firewalld #

永久和非永久配置 #

启动 #

区域 #

将网卡分配到区域 #

分配 tun #

分配 wlan0 #

开放特定服务和端口 #

反向路径过滤 #

管理 #

禁用日志 #

其他 #

总结 #

字形、字体以及我的配置

衬线，无衬线，等宽 #

衬线（Serif) #

无衬线（Sans-Serif） #

等宽（monospace） #

开源字体 #

系统字体调优 #

Arch #

Win #

点阵字体和矢量字体 #

参考 #

我的 ArchLinux 折腾记录

tpm 的相关属性
#

第一组：永久属性组 (PT -> Property)
#

第二组：启动时状态
#

第三组：句柄资源 (HR -> Handle Resource)
#

第四组：锁定相关配置
#

第五组：杂项
#

不同层级
#

初始化自己的 tpm 配置
#

开始使用
#

加密文字
#

验证签名
#

整活
#

polkit
#

彩蛋
#

前言
#

NUT 的配置
#

驱动层
#

服务层
#

客户端/监视层
#

关机过程
#

常用命令
#

upscmd：执行一些驱动预设的指令
#

upsrw：用于读写 eeprom 的
#

奇怪的 bug
#

前言
#

概念
#

命令行使用
#

自省
#

调用方法
#

属性
#

签名
#

简单的电量检测小工具
#

引子
#

把内存变小，而不是放到低速存储上面
#

ZRAM
#

存到极限
#

1. `ZRAM` 达到了设置的压缩前的数据的最大值。
#

2. `ZRAM` 还没满，但是物理内存就要满了
#

ZSWAP
#

如何选择
#

桌面环境
#

其他环境
#

观察
#

参考
#

前言
#

iptables
#

啥表啥链？
#

命令
#

补充
#

nftables + firewalld
#

永久和非永久配置
#

启动
#

区域
#

将网卡分配到区域
#

分配 tun
#

分配 wlan0
#

开放特定服务和端口
#

反向路径过滤
#

管理
#

禁用日志
#

其他
#

总结
#

衬线，无衬线，等宽
#

衬线（Serif)
#

无衬线（Sans-Serif）
#

等宽（monospace）
#

开源字体
#

系统字体调优
#

Arch
#

Win
#

点阵字体和矢量字体
#

参考
#

前言
#

物色新机
#

安装过程
#

输入法设置
#

Locale 设置
#

对 chromebook 的折腾过程
#

声音驱动
#

按键映射
#