依云's Blog

因为腾讯的关系，不得不使用 Windows。不是QQ也不是RTX，这次 Wine 帮不上忙了。那好吧，SSD + 16G 内存，跑个 Windows 虚拟机也没多大问题。

但是问题来了：我在虚拟机里每次点击链接，会调用安装于 Windows 上的浏览器来访问。可是我登录了各种工作账号的浏览器在外面的自由世界 Linux 主系统里啊。

办法也好想：来一个远程调用，让 Windows 调用咱自己的程序打开链接，然后咱自己的程序再把链接传给外面的 Linux 就好了。理想是美满的，可是 Windows 里设置默认浏览器并不是写个 .desktop 文件那么简单！

在 Google 上找了半天资料（真的花掉了半天！），最终终于确认，需要设置以下一大堆注册表键，Windows 才会认可咱自己的浏览器：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\RemoteBrowser]
@="RemoteBrowser"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\RemoteBrowser\Capabilities]
"ApplicationName"="RemoteBrowser"
"ApplicationIcon"="C:\\RemoteBrowser\\launch.exe,0"
"ApplicationDescription"="RemoteBrowser"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\RemoteBrowser\Capabilities\StartMenu]
"StartMenuInternet"="RemoteBrowser"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\RemoteBrowser\Capabilities\URLAssociations]
"https"="RemoteBrowserHTML"
"http"="RemoteBrowserHTML"
"ftp"="RemoteBrowserHTML"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\RemoteBrowser\DefaultIcon]
@="C:\\RemoteBrowser\\launch.exe,0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\RemoteBrowser\InstallInfo]
"IconsVisible"=dword:00000001
"ShowIconsCommand"="\"C:\\RemoteBrowser\\launch.exe\" --show-icons"
"HideIconsCommand"="\"C:\\RemoteBrowser\\launch.exe\" --hide-icons"
"ReinstallCommand"="\"C:\\RemoteBrowser\\launch.exe\" --make-default-browser"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\RemoteBrowser\shell]

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\RemoteBrowser\shell\open]

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\RemoteBrowser\shell\open\command]
@="\"C:\\RemoteBrowser\\launch.exe\" \"%1\""

[HKEY_LOCAL_MACHINE\SOFTWARE\RegisteredApplications]
"RemoteBrowser"="SOFTWARE\\Clients\\StartMenuInternet\\RemoteBrowser\\Capabilities"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Associations\UrlAssociations]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http\UserChoice]
"Progid"="RemoteBrowserHTML"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\https]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice]
"Progid"="RemoteBrowserHTML"

[HKEY_CLASSES_ROOT\RemoteBrowserHTML]
@="RemoteBrowser"
"FriendlyTypeName"="RemoteBrowser"
"URL Protocol"=""
"EditFlags"=dword:00000002

[HKEY_CLASSES_ROOT\RemoteBrowserHTML\DefaultIcon]
@="C:\\RemoteBrowser\\launch.exe,0"

[HKEY_CLASSES_ROOT\RemoteBrowserHTML\shell]
@="open"

[HKEY_CLASSES_ROOT\RemoteBrowserHTML\shell\open]

[HKEY_CLASSES_ROOT\RemoteBrowserHTML\shell\open\command]
@="\"C:\\RemoteBrowser\\launch.exe\" \"%1\""

相比之下 Linux 只需要以下这么几行：

Version=1.0
Name=Firefox
GenericName=Web Browser
Comment=Browse the Web
Exec=/usr/lib/firefox/firefox %u
Icon=firefox
Terminal=false
Type=Application
MimeType=text/html;text/xml;application/xhtml+xml;application/vnd.mozilla.xul+xml;text/mml;x-scheme-handler/http;x-scheme-handler/https;
StartupNotify=true
StartupWMClass=Firefox
Categories=Network;WebBrowser;
Keywords=web;browser;internet;

（不过真实的 firefox.desktop 有三百多行，因为各种语言的名字和描述的翻译。）

上边那个注册表文件，引用了一个 exe 文件，和里边的一个图标资源。我不知道图标使用独立的文件可不可以。加个图标并不难，上网搜一下就有了，使用 windres 命令即可。

首先准备好图标文件 icon.ico，然后写一个资源文件：

1 ICON DISCARDABLE "icon.ico"

用 windres 把它编译成 COFF 文件。因为我是在 Linux 上使用 mingw 操作，所以使用的命令叫 x86_64-w64-mingw32-windres。然后把它和其它目标文件链接到一起就可以了。因为我使用的是 Rust，它的 build.rs 脚本不支持目标文件，所以先打包成静态库，然后再链接：

x86_64-w64-mingw32-windres launch.rc -O coff -o icon.res
x86_64-w64-mingw32-ar q libres.a icon.res

然后 build.rs 脚本里说一下：

fn main() {
  println!("cargo:rustc-link-search=native=..");
  println!("cargo:rustc-link-lib=static=res");
}

然后咱的主程序，通过 TCP 把链接发到 Linux，以及 Linux 端的服务，接收链接并打开浏览器，因为很简单很常规，所以这里就不列出来了。有兴趣的去源码仓库看就好了。

exe 编译好之后，扔到之前注册表文件里提及的地方就好。然后双击那个注册表文件将其导入。接下来在默认软件的设置里就能够找到我们的「Remote Browser」了（虽然不知道为什么没有显示指定的名字，而是 exe 文件名）。

另外，那个图标资源，也可以使用 Resource Hacker 把图标文件给弄到 exe 文件里边去。

最后一步，写个用户级的 systemd 服务，把负责在浏览器里打开链接的程序给跑起来～

仓库地址在此。喜欢的话，记得 star 哦～

咱买了一个录音笔，效果比使用笔记本话筒录音好多了还省电。当然啦，我也曾试过使用手机录音，结果是，没能录多久就中断了（Android 就是这么不靠谱）。

我的录音需要记录较为准确的时间信息。录音笔怎么知道现在是什么时间呢？还好它没有跟风，用不着联网！

它带了一个小程序，叫「录音笔专用时间同步工具」（英文叫「SetUDiskTime」，可以搜到的）。是一个 EXE 文件，以及一个 DLL 文件。功能很棒，没有广告，没有推荐，也不需要注册什么乱七八糟的账户，甚至都不需要打开浏览器访问人家官网。就弹一个框，显示当前时间，确定一下就设置好时间了。这年头，这么单纯的 Windows 软件还真是难得呢。

然而，它不支持我用的 Linux 啊。虽然我努力地保证这录音笔一直有电，但是时间还是丢失了几次，它的FAT文件系统也脏了几次。每次我都得开 WinXP 虚拟机来设置时间，好麻烦。

Wine 是不行的，硬件相关的东西基本上没戏。拿 Procmon 跟踪了一下，也没什么复杂的操作，主要部分就几个 DeviceIoControl 调用，但是看不到调用参数。试了试 IDA，基本看不懂……不过倒是能知道，它通过 IOCTL_SCSI_PASSTHROUGH 直接给设备发送了 SCSI 命令。

既然跟踪不到，试试抓 USB 的包好了。本来想用 Wireshark 的，但是 WinXP 版的 Wireshark 看来不支持。又尝试了设备分配给 VBox 然后在 Linux 上抓包，结果 permission denied……我是 root 啊都被 deny 了……

那么，还是在 Windows 上抓包吧。有一个软件叫 USBPcap，下载安装最新版，结果遇到 bug。那试试旧版本吧。官网没给出旧版本的下载地址，不过看到下载链接带上了版本号，这就好办了。去 commit log 里找到旧的版本号替换进去，https://dl.bintray.com/desowin/USBPcap/USBPcapSetup-1.0.0.7.exe，就好了～

抓好包，取到 Linux 下扔给 Wireshark 解读。挺小的呢，不到50个包，大部分还都是重复的。很快就定位到关键位置了：

一个 0xcc 命令发过去，设备回复「ACTIONSUSBD」，大概是让设备做好准备。然后一个 0xb0 命令，带上7字节数据发过去，时间就设置好了。简单明了，不像那些小米空气净化器之类的所谓「物联网」，通讯加密起来不让人好好使用。

那么，这7字节是怎么传递时间数据的呢？我首先检查了UNIX时间戳，对不上。后来发送这个字串看上去挺像YYYYMMDDHHMMSS格式的，只是明显不是当时的时间。啊，它是十六进制的嘛！心算了几个，符合！再拿出我的 Python 牌计算器，确定年份是小端序的16位整数。

好了，协议细节都弄清楚了，接下来是实现。我原以为我得写个 C 程序，调几个 ioctl 的，后来网友说有个 sg3_utils 包。甚好，直接拿来用 Python 调，省得研究那几个 ioctl 要怎么写。

#!/usr/bin/env python3

import os
import sys
import struct
import subprocess
import datetime

def set_time(dev):
  cmd = ['sg_raw', '-s', '7', dev, 'b0', '00', '00', '00', '00', '00',
         '00', '07', '00', '00', '00', '00']
  p = subprocess.Popen(cmd, stdin=subprocess.PIPE, stderr=subprocess.PIPE)
  dt = datetime.datetime.now()
  data = struct.pack('<HBBBBB', dt.year, dt.month, dt.day,
                     dt.hour, dt.minute, dt.second)
  _, stderr = p.communicate(data)
  ret = p.wait()
  if ret != 0:
    raise subprocess.CalledProcessError(ret, cmd, stderr=stderr)

def actionsusbd(dev):
  cmd = ['sg_raw', '-r', '11', dev, 'cc', '00', '00', '00', '00', '00',
         '00', '0b', '00', '00', '00', '00']
  subprocess.run(cmd, check=True, stderr=subprocess.PIPE)

def main():
  if len(sys.argv) != 2:
    sys.exit('usage: setudisktime DEV')

  dev = sys.argv[1]
  if not os.access(dev, os.R_OK | os.W_OK):
    sys.exit(f'insufficient permission for {dev}')

  actionsusbd(dev)
  set_time(dev)

if __name__ == '__main__':
  main()

故事起源于同事想在后台跑一个服务：

$ nohup node xxx.js &

一切如愿。

——是吗？

实际情况是，这时退出 bash 是如愿了，但是直接关掉终端窗口的话，那个服务会死掉。

bash 奇怪行为之五

（我好像没有写前四个耶。等有时间了简单写一下吧。）

man bash 然后搜索 SIGHUP，你会发现，其实默认设置，bash 正常退出时，根本不会杀害后台进程。它们会和从脚本里运行时一样欢快地继续跑下去。只有 bash 因为收到 SIGHUP 而退出时，它才会给后台进程发 SIGHUP。

所以，直接 Ctrl-D 或者 exit 退出的话，（处理好了重定向的话，）要不要 nohup 都一样，进程不会死。

zsh 默认退出时会给后台任务发送 SIGHUP（除非你 disown 了）。

但这还是不能解释关窗口的时候，服务为什么会死掉呀？nohup 不是已经忽略掉 SIGHUP 了么？

与众不同的 nodejs

通常情况下，nohup 工作得很好。但是，UNIX 世界里来了位不了解、也不愿意遵循 UNIX 传统惯例的年轻气盛的小伙子。

我还记得 npm 直接往 /usr 下安装东西。

我还记得 npm 把 http_proxy 当 https_proxy 而我的缓存代理不支持 HTTPS，造成无法安装任何东西。

现在，nodejs 将所有信号的处理重置为默认行为，除了它自己想处理的那几个。

「nohup？那是什么鬼？我搞不懂！」nodejs 说，然后它被 SIGHUP 杀死了。

结语

The devil is in the detail!

ZeroMQ 的指南文档很长很长。我想放在 Kindle 里，上下班的时候看，长知识又不伤眼。

首先尝试 Push to Kindle。就是本博客每篇文章下边都有的那个链接里的东西。试了好几次终于成功了。然而，章节标题看不出来跑哪儿去了也就算了，代码去哪儿了？注意格式啊！

于是换浏览器，HTML 转 PDF。顺手按 F12，把每个标题右边的导航链接删掉了。然后打印～代码格式没有坏哦～然而，还是有很多代码没显示出来，倒是显示了一堆其它语言代码的链接……继续 F12 改样式表修了。这些都是小问题，最大的问题是，在我不断地调整页面大小的时候，我的火狐每次「准备……」的过程都特别漫长，那个负责转换的子进程吃很多很多 CPU，还卡死了所有它负责的标签页……终于，在等待近半小时它还没准备好的时候，我失去了耐心，杀掉了那个火狐子进程，换 Prince 了。这次我体会到多进程架构的好处了：页面卡了，换个标签页打开，分配到另外的子进程的时候就可以正常使用了。

Prince 是个非常不错的 HTML 转 PDF 软件。免费版本会有个它自己的图标放第一页右上角，没啥问题，打印的时候也不会出现。要是你非要去掉它的话，也可以找个 PDF 编辑工具删掉它。

然后是确定页面大小。因为代码的行都比较长，我决定横屏阅读，也就是「landscape」模式。然后拿尺子量了一下，差不多是 9cm×12cm。维基百科告诉我 Kindle Paperwhite 是6英寸的屏幕，但是我没有弄明白它的长和宽到底是多少，所以还是动手测量了。因为 Kindle 上字显示小一些也挺清晰的，所以我把短边乘以了二（好像并不合理啊，因为已经是 landscape 了，应该两边同步放大才对；不过其实我一开始想的是一页占两屏……）。

然后再加上针对 ZeroMQ 文档的修改，得样式表如下：

td + td {
  display: none;
}

.collapsible-block-folded {
  display: none;
}

.collapsible-block-unfolded {
  display: block !important;
}

.collapsible-block + br + span {
  display: none;
}

body {
  font-family: serif !important;
}

@page {
  size: 18cm 12cm landscape;
  margin: 0;
}

然后让我们的王子干活啦：

prince -s zguide.css zguide.html -o zguide.pdf

因为需要反复尝试，所以我已经把 ZeroMQ 那个巨大的 HTML 下载到本地了。

最终成果在这里。因为页边距为零，所以在一般的阅读器里看起来挺难看的，但是在 Kindle 里就挺适合了～

最近公司弄了 Wi-Fi 登录。就是那个叫 captive portal 的东西。

Android 早就会在连接 Wi-Fi 时检测网络是不是要登录了，为此 Google 弄了个 /generate_204 的 URL。小米、高通、USTC、v2ex 也都提供了这个东西，方便广大中国大陆 Android 用户使用。（我发现我的 Android 使用的是高通的地址，没有用 Google 的。）

但我使用的 Arch Linux 自行开发的 netctl 网络管理工具没这种功能。火狐倒是不知道什么时候加上了，不过使用的地址 http://detectportal.firefox.com/success.txt 是返回 200 的。

所以我启动火狐就可以看到要登录的提示了。然而问题是，其它程序不知道要登录啊。像 offlineimap、openvpn、rescuetime 这种还好，会自己重试。可每次网络需要登录的时候 dcron 就会给我发一堆邮件告诉我我的 git pull 都失败了……当然还有我老早就注意到的 pkgstats，经常会因为启动过早而无法发送统计数据。

所以呢，得想个办法，等连上互联网之后再跑那些脚本啊服务什么的。

检测是不是连好了很简单，不断尝试就可以了。但我需要一个系统级的 Condition 对象来通知等待方可以继续了。然而我只知道 Linux 有提供信号量。难道要自己弄共享内存来用么？

去 #archlinux-cn 问了一下，farseerfc 说试试命名管道。我想了想，还真可以。只有读端的时候进程就会阻塞，一旦有写端就能成功打开了。当然没有读端的打开写端会打不开，不过没关系，反正这进程也不能退出，得一直拿着这个文件描述符。

没想到很少用到的命名管道有意想不到的用法呢。我以前还为了不阻塞而专门写了篇文章呢。

于是负责检测网络连通的 check-online 和等待网络连好的 wait-online 都写好了。

check-online 应当是个服务。那就交给 systemd 吧。然后……systemd 不是有个 network-online.target 么？正好可以让 check-online 来达成这个目标呢，多合适呀。

于是服务写好了。测试了几天，大成功！不仅 wait-online 很好地工作了，而且我发现 openvpn 和 pkgstats 自动排到 network-online.target 后边去了。nginx 的 OSCP staple 经常因为 DNS 失败而无法成功，我也可以在联好网之后去 reload 一下它了。（不是强依赖，我可不希望连不上网的时候我本地的 wiki 也访问不了。）

整个项目就叫作 wait-online，在 GitHub 上，欢迎送小星星哦～Arch Linux 包可以从 [archlinuxcn] 仓库 安装 wait-online-git 包。

最近开始用 Firefox nightly 了。它使用 GTK 3，于是对 GTK 3 主题的不满也逐渐表现出来了。

首先是选中的文本，以及菜单项。默认的那个蓝色太深了，我还是更喜欢 GTK 2 mist 主题那个浅蓝色。

然后，我是使用亮色主题的，黑黑的 tooltip 提示框太违和。而且边距那么大，多浪费空间啊。改成 GTK 2 时代那种简单的样子好了。

最后，那个又细又黑的滚动条好讨厌。改掉改掉！

最终效果图（好不容易才把这么多东西截到一张图里喵）：

~/.config/gtk-3.0/gtk.css 代码：

/* For Adwaita {{{1
 */
/* scrollbars {{{2
 */
scrollbar {
  border-radius: 0;
  background-color: #eaeaea;
}
scrollbar slider {
  background-color: #bfbfbf;
  border-color: transparent;
  border-width: 4px;
  min-height: 10px;
  min-width: 10px;
  border-radius: 0;
}
scrollbar slider:hover, scrollbar slider:active {
  background-color: #bfbfbf;
}
/* tooltip {{{2
 */
tooltip {
  border: 1px solid #808080;
  background-color: rgba(254,254,228,0.9);
  border-radius: 0;
  padding: 0;
}

tooltip * {
  color: #000;
  padding: 0;
}
/* others {{{2
 */
*:selected, menuitem:hover {
  background-color: #d6e9f8;
  color: currentColor;
}

/* Vim modeline {{{1
 * vim:se fdm=marker:
 */

磁盘空间不够用了，或者只是洁癖发作想清理了，可以用 ncdu 来查看到底是什么文件占用了磁盘。ncdu 基于 ncurses，对比 du，更方便交互使用，对比 baobab 这类的 GUI 的工具，ncdu 可以在服务器、Android、树莓派、路由器等没有或者不方便有图形界面的地方跑。

但是呢，我现在有很多很多不同时间的备份，我想知道，是什么东西突然用掉了我好几百兆的空间？我是不是需要把它排除在备份之外？

所以呢，我需要一个支持对比的工具。

本来我是打算什么时候有空了自己写一个的，然而我注意到 ncdu 可以把大小信息保存在文件里。其实我只要对比两个 ncdu 产生的文件，然后照着输出一个差异文件就可以了嘛。不用自己遍历文件树，不用自己做界面，多棒！而且也不一定要像我这样有不同时间的备份才有用。可以定时跑一跑 ncdu，把导出的文件保存起来，将来随时取用。

于是有了 ncdu-diff 脚本。

然而事情总是不那么顺利。输出文件拿给 ncdu 加载的时候，ncdu 报错了——它不支持负数。我给它加了支持，然后再加载，BOOM！ncdu 挂掉了……有符号整型和无符号整型的事情，还有格式化输出的事情……总之花了一天，它终于不崩溃了。补丁也放在同一仓库了。

从上图可以看出，Android 的 app 越更新越大……以及深入之后可以发现，微信的动画表情占了我好多好多的空间，我去删掉它们……

给 Arch Linux x86_64 现成的包：下载, 签名。

新家新路由器。

为了玩 teeworlds，需要 root 权限操作 iptables。我上网找了一堆方案，无果。最后想着，先把自动更新 DNS 的脚本写了吧。

于是研究 API。通讯协议是 JSONRPC 2.0，授权是一个 token。先用从网页取得的 token 调 API，成功～然后我还在想，怎么拿 root shell 呢。结果去看了一下登录后返回的数据：

注意看右下角！「open_dropbear」！

于是：

>>> c.api_request('xapi.basic', 'open_dropbear')
[D 08-05 19:28:36.145 connectionpool:243] Resetting dropped connection: localhost
[D 08-05 19:28:36.640 connectionpool:396] http://localhost:8080 "POST http://192.168.99.1/ubus/ HTTP/1.1" 200 None
{'status': 0}

然后就：

>>> ssh root@192.168.99.1
The authenticity of host '192.168.99.1 (192.168.99.1)' can't be established.
RSA key fingerprint is SHA256:............................................
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.99.1' (RSA) to the list of known hosts.
root@192.168.99.1's password:


BusyBox v1.22.1 (2017-03-10 15:06:06 CST) built-in shell (ash)
Enter 'help' for a list of built-in commands.

        ____      _____
       |  _ \    |_   _|__  __ _ _ __ ___
       | | | |_____| |/ _ \/ _` | '_ ` _ \
       | |_| |_____| |  __/ (_| | | | | | |
       |____/      |_|\___|\__,_|_| |_| |_|

 -----------------------------------------------------
 From BARRIER BREAKER (3.2.1.5900, r39558)
 -----------------------------------------------------
  * By D-Team 2015 present
 -----------------------------------------------------
root@newifi:~#

WTF，就这么简单！

顺便附上我写的简单客户端：

from requestsutils import RequestsBase

class NeWifi(RequestsBase):
  baseurl = 'http://192.168.99.1/'
  token = '00000000000000000000000000000000'

  def api_request(self, cat, name, args={}):
    req = {"jsonrpc":"2.0","id":1,"method":"call","params":[self.token,cat,name,args]}
    ans = self.request('/ubus/', json=req).json()
    return ans['result'][1]

  def login(self, password):
    password = base64.b64encode(password.encode('utf-8')).decode('ascii')
    ans = self.api_request("session","xapi_login",{"username":"root","password":password})
    self.token = ans['ubus_rpc_session']

  def get_wan_info(self):
    return self.api_request('xapi.net', 'get_wan_info')

requestsutils 在此。

吶，昨天说到VPS被报告有攻击行为，后来异常流量被逮到了，经过追查，真相大白。

前天（还是前天，因为又过了一天）分析了异常流量的时间分布之后，发现该流量从上午9点多开始，一直持续。于是我又 netstat -npt 了一下，看到了大量对各网络公司IP 80端口的连接。它还在呢！其实我早该 htop 瞅一眼的说。

发现三四个「php /tmp/tmp」进程，每个进程有大量连接。试图通过 /proc/PID/fd 取得它打开的文件失败，因为都是空的……然后，为了中止攻击，我停了 php-fpm 服务，杀掉了所有 php 进程。杀完才后悔，我连它是哪个用户跑的都没看呢 -_-||| 心急就忘记了应该发 SIGSTOP 信号的。

时间上与任何 cron job 都不匹配。不过我还是检查了可能的 PHP 脚本任务，并没有发现异常。这时 VPS 的主人 Edison 说，是不是 WordPress 的锅？于是他去扫描了一下 WordPress。这个 WordPress 是数年前 Edison 手工部署的，后来并没有怎么用。并不是通过软件仓库安装，所以 dpkg 没有检查出异常，也因此没有任何更新，年久失修。结果检查出来好多个后门。

这些后门都是在 PHP 脚本里加一两句话，对某个特定的 POST 参数进行求值（eval）。简单有效的后门呢。也难怪我怎么都没有找到恶意程序，原来是直接从网络提交过来的，通过 php-fpm fork 了进程出来。

嗯，就是这样。并没有多么神秘，也没能拿到攻击脚本。这件事充分地说明了我坚持不使用 WordPress 是个无比正确的决定 :-)

其实呢，这种攻击对于 Linux 来说是很奇怪的。就像作为 Python 使用者，SQL 注入对我来说是很奇怪的一样。最不安全的也并不是 PHP，而是 WordPress，核心逻辑上的漏洞不补，再怎么从细枝末节上修补也是软弱无力的。

它丫的 www 用户为什么对 WordPress 的代码文件有写权限啊？

它丫的 www 用户为什么对 WordPress 的代码文件有写权限啊？

它丫的 www 用户为什么对 WordPress 的代码文件有写权限啊？

嗯，重要的事情要说三遍。现在互联网越来越险恶，竟然还有著名软件项目不知道 W^X 这个常识我也是醉了……

一点安全常识，给不懂的人：

• 任何时候，尽力做到权限最小化（不要学360拿 suid 跑 GUI）
• Web 网站，用户可写目录一定不能被执行，能够执行的目录执行者一定不能有写权限（你看我的 MediaWiki 曾经暴露在外网那么久也只是招来了一些 spam，从来没人能远程执行代码）
• 尽量使用发行版提供的软件包，及时更新，特别是对于没有充分时间关注和维护的东西

还有，我还挺想念 systemd 的，直接 systemctl status 就能知道进程属于哪个服务了。而且可以几行配置就把不需要的权限干掉～

刚刚遇到一件很囧的事情：我在 /run/user/1000/cache 挂载了我的 SSD，用作火狐和 neocomplete 的缓存。/run/user/1000 这个目录是 systemd 为用户创建的，用来放那些只在运行时有用的文件，比如 pid 文件啦、套接字啦之类的。把挂载点放这里，很显然可以避免为其在磁盘上创建目录，又不必和 /tmp 里的一堆临时文件混在一起。

然而这一次，出大事了！我的火狐启动不了了！我的 Vim 也报了一堆错！细看下来，发现 /run/user/1000/cache 没了……

因为需要 root 权限，/run/user/1000/cache 是在 /etc/rc.local 里挂载的。这一次，它抢先挂载了 /run/user/1000/cache，然后我登录，systemd 帮我挂载了 /run/user/1000。就是下边这个样子：

├─/run                           run        tmpfs          rw,nosuid,nodev,relatime,mode=755                                                shared
│ ├─/run/user/1000/cache         test       zfs            rw,xattr,posixacl                                                                shared
│ └─/run/user/1000               tmpfs      tmpfs          rw,nosuid,nodev,relatime,size=804780k,mode=700,uid=1000,gid=1000                 shared
│   └─/run/user/1000/gvfs        gvfsd-fuse fuse.gvfsd-fus rw,nosuid,nodev,relatime,user_id=1000,group_id=1000                              shared

WTF！这样我就访问不到它了呀！我一开始还以为我的 SSD 又出什么状况了呢，结果是这样，挂载上了，但是访问不到……而因为访问不到，所以也没法卸载……

当然啦，我可以先把 /run/user/1000 和下边的那个 gvfs 给卸载掉。但那样做，我不确定 systemd、PulseAudio、D-Bus 它们会有多生气。bind mount 也尝试了，然而并没有什么用。它只能用来访问被挂载点掩蔽的文件，访问不到被挂载点掩蔽的挂载点。

然后我想到了之前玩过的网络命名空间。当然这次需要的是之前没仔细探索的挂载命名空间了。

直接 sudo unshare -m 进去，findmnt -o+PROPAGATION 发现全部都是 private 的，也就是 umount 了不影响外边。于是我就可以把 /run/user/1000 这个树卸载掉啦。然后 mount --make-shared /run/user/1000/cache 把它变成 shared 状态，再卸载，应该就可以把外边那个也卸载掉了吧？

No。失败了。研究了半天 unshare、mount_namespace 的文档之后确认，把 private 的挂载点变成 shared 之后，会创建一个新的「共享组」，而只有在同一个「共享组」里的挂载点才会相互传播。所以，unshare 你别把我的挂载点都变成 private 了好么？

文档下翻，它还真有这么个选项：

sudo unshare -m --propagation shared

然后里外执行这条命令，确认一下「shared:」后边那个数字是一致的：

# cat /proc/self/mountinfo | grep zfs
282 281 0:47 / /run/user/1000/cache rw shared:137 - zfs test rw,xattr,posixacl

没问题了。先 mount --make-private /run/user/1000 等把它们变成私有的，卸载掉，再把 /run/user/1000/cache 给卸载掉。来外边一看，果然被卸载掉啦～

（然后我还是为其在磁盘上专门建立个目录防止出问题好了。zfs，不知道怎么写 systemd 的 .mount 文件。）