很早就听过这首歌,但现在才知道这首歌讲的是什么。很喜欢这首歌的歌词,不过像《ひとり上手》一样,好悲伤啊。
找到正确的对照版歌词并不是那么容易的,因为大陆网站莫名其妙地对日文汉字进行了「简化」。标注读音的就更难得了,所以我专门制作了标注汉字读音的中日对照版歌词,有兴趣的朋友可以看看:愛される花 愛されぬ花.pdf。感谢 farseerfc 进行校对。
我没有在 YouTube 上找到中岛美雪演唱的版本,所以只好用网易云音乐这个歌词并不正确版本啦: http://music.163.com/song?id=624802
泱泱大国,连周边国家的文字都不能写对,我也是醉了……
公司 VPN 用的网段是 192.168.1.0/24,而我家里的网络,就像大多数人的一样,也是 192.168.1.0/24。网段冲突了。当然啦,隔离得相当好的 lxc 可以解决这个问题。可是它隔离得太好了,我可不想再多维护一套环境。那么,就只隔离网络好了!
正好之前看到 iproute2 套件可以管理网络命名空间。那么,就用它啦。
首先,创建一个名为 vpn 的网络命名空间:
ip netns add vpn
现在如果进去看的话,会发现里边只有一个孤零零的 lo 网络接口,所以里边是一片与世隔绝的黑暗。我没有其它的网络接口给它用。桥接当然是可以尝试的,只是需要更改已有的网络配置。所以还是用另外的方案吧。弄根网线来,把里边和外边连接起来好了。
创建一对 veth 接口。这就是我们的「网线」~
ip link add vpn0 type veth peer name vpn1
一端留外边,另一端移到 vpn 里边去:
ip link set vpn1 netns vpn
接好网线的两端:
ip link set vpn0 up ip netns exec vpn ip link set vpn1 up
好了,现在两个网络之间可以通信了~当然,只是链路层。为了使用 TCP/IP,我们得分配 IP 地址。在外边的这个就不需要 IP 地址了,因为我要把它接到一个网桥上,网桥自己有 IP 的。
brctl addif br0 vpn0
这里 br0 是我已有的网桥(给 lxc 用的那个)。如果你没有的话,就自己按以下方法弄一个。我用的是 bridge-utils 里的 brctl 命令。iproute2 也可以做的。
brctl addbr br0 ifconfig br0 192.168.57.1 iptables -t nat -A POSTROUTING -s 192.168.57.1/24 -j MASQUERADE
最后的 iptables 命令是做 NAT 啦。当然内核的 IPv4 转发功能还要开启的。
vpn0 这端弄好了,再给 vpn1 分配 IP,并设置相关路由表项:
ip netns exec vpn ip address add dev vpn1 192.168.57.101/24 ip netns exec vpn ip route add default via 192.168.57.1
现在就可以在里边连 VPN 啦~
ip netns exec vpn openvpn ...
当然也可以去里边开个 zsh 用
ip netns exec vpn zsh
不过要注意如果跑 GUI,或者连接 D-Bus 的话,需要手动把相关环境变量移进去。虽然是独立的网络命名空间,但是因为共享了文件系统,所以虽然看不到在监听的 UNIX 套接字,但是连起来还是没有问题的。X 和 D-Bus 都可以良好工作的。
export DISPLAY=:0 LANG=zh_CN.UTF-8 LANGUAGE=zh_CN:zh_TW export GTK_IM_MODULE=fcitx QT_IM_MODULE=fcitx XMODIFIERS=@im=fcitx export DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/1000/bus # 如果在 tmux 里的话 export TMUX=1
我这里在里边得用 IP 地址,因为我的 DNS 是 127.0.0.1,在里边当然是用不了的。怎么办呢?我不想改 DNS 服务器地址,因为里外的文件系统是共享的。那就再加上 mount 命名空间吧,这样就可以 bind mount 一个修改过的文件到 /etc/resolv.conf 上了。
其实呢,ip netns 是通过把网络命名空间(/proc/<pid>/ns/net)bind mount 到文件来实现命名空间的持久化的(不然使用这个命名空间的进程都退出,该命名空间就销毁了)。其文件位于 /run/netns 下。对于 mount 命名空间我们可以手工这么做:
mkdir -p /var/run/ns mount --bind /var/run/ns /var/run/ns # 命名空间只能 bind mount 到 private 挂载的文件系统上 mount --make-private /var/run/ns # 随意找个普通文件就行。一般是用空文件;我这样可以省一个文件~ cp /etc/resolv.conf /var/run/ns
然后用 unshare 建立新的 mount 命名空间,并进入之前的 vpn 网络命名空间(当然用 nsenter 进入也是可以的):
unshare --mount=/var/run/ns/resolv.conf ip netns exec vpn zsh
创建了之后就可以用 nsenter 进去玩儿了:
nsenter --mount=/var/run/ns/resolv.conf --net=/var/run/netns/vpn zsh
可以在里边各种 bind mount,不会影响外边的哦:
# 在新的命名空间里边 mount --bind /var/run/ns/resolv.conf /etc/resolv.conf vim /etc/resolv.conf
当然也可以组合更多种的命名空间的。我还试过 pid 命名空间,不过 pid 命名空间比较特殊:它在 fork 后才生效,当 init 进程(pid=1 的进程)退出之后所有位于此 pid 命名空间的进程都会被杀死,并且再也进不去了。所以不是很好玩的啦。
创建与进入的命令如下:
unshare --mount-proc -f --pid=/var/run/ns/pid --mount=/var/run/ns/resolv.conf nsenter --net=/var/run/netns/vpn su - lilydjwg # 进入时用 -t 选项,或者重新 bind mount 文件(不然新进程会在原 pid 命名空间) nsenter -t 9416 --mount=/var/run/mountns/resolv.conf --net=/var/run/netns/vpn --pid su - lilydjwg
除了可能偶尔连接公司 VPN 会用到这个技术之外,我又给其找到了一个更好的使用场合:Wine QQ!于是本地的 nginx 日志里终于不会再有 /srv/http/cgi/reccom 找不到的提示了,CGI 服务也不会被不必要地启动了。
2016年5月13日更新:把自用的脚本放在 Gist 上了。
发生了这么一件事:服务器访问某些 URL 时经常会花费好几秒的时间。重现并分析 strace 记录之后,发现是 DNS 的 AAAA 记录的问题。
情况是这样的:CentOS 6 默认启用了 IPv6,于是 glibc 就会同时进行 A 和 AAAA 记录查询。然后呢,上游 DNS 是运营商的,不给力,经常在解析 AAAA 记录时花费几秒甚至十几秒,然后超时或者返回个 SERVFAIL。
不过咱在天朝,也没有 IPv6 网络可用,所以就禁用 IPv6 吧。通过 sysctl 禁用 IPv6 无效。glibc 是通过创建 IPv6 套接字的方式来决定是否进行 AAAA 请求的。查了一下,禁用掉 ipv6 这个内核模块就可以了。可是,rmmod ipv6 报告模块正在使用中。
lsof -nPi | grep -i ipv6
会列出几个正在使用 IPv6 套接字的进程。重启服务,或者重启机器太麻烦了,也不知道会不会有进程会起不来……于是我想起了歪心思:既然是因为 AAAA 记录回应慢,而咱并不使用这个回应,那就及时伪造一个呗。
于是上 nfqueue。DNS 是基于 UDP 的,所以处理起来也挺简单。用的是 netfilterqueue 这个库。DNS 解析用的是 dnslib。
因为 53 端口已经被 DNS 服务器占用了,所以想从这个地址发送回应还得用底层的方法。尝试过 scapy,然而包总是发不出去,Wireshark 显示 MAC 地址没有正确填写……实在弄不明白要怎么做,干脆用 RAW 套接字好了。man 7 raw 之后发现挺简单的嘛,因为它直接就支持 UDP 协议,不用自己处理 IP 头。UDP 头还是要自己处理的,8 字节,其中最麻烦的校验和可以填全零=w= 至于解析 nfqueue 那边过来的 IP 包,我只需要源地址就可以了,所以就直接从相应的偏移取了~(其实想想,好像 dnslib 也不需要呢~)
代码如下(Gist 上也放了一份):
#!/usr/bin/env python3
import socket
import struct
import traceback
import subprocess
import time
import signal
import dnslib
from dnslib import DNSRecord
from netfilterqueue import NetfilterQueue
AAAA = dnslib.QTYPE.reverse['AAAA']
udpsock = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket.IPPROTO_UDP)
PORT = 53
def handle_packet(pkt):
s = time.time()
try:
ip = pkt.get_payload()
# 28 = 20B IPv4 header + 8B UDP header
dns = DNSRecord.parse(ip[28:])
if dns.q.qtype == AAAA:
ret = dns.reply()
src = socket.inet_ntoa(ip[12:16])
sport = struct.unpack('!H', ip[20:22])[0]
p = ret.pack()
# print(ret, p)
checksum = 0
p = struct.pack('!HHHH', PORT, sport, len(p) + 8, checksum) + p
udpsock.sendto(p, (src, sport))
pkt.drop()
else:
pkt.accept()
except KeyboardInterrupt:
pkt.accept()
raise
except Exception:
traceback.print_exc()
pkt.accept()
e = time.time()
print('%.3fms' % ((e - s) * 1000))
def main():
nfqueue = NetfilterQueue()
nfqueue.bind(1, handle_packet)
try:
nfqueue.run()
except KeyboardInterrupt:
print()
def quit(signum, sigframe):
raise KeyboardInterrupt
if __name__ == '__main__':
signal.signal(signal.SIGTERM, quit)
signal.signal(signal.SIGQUIT, quit)
signal.signal(signal.SIGHUP, quit)
subprocess.check_call(['iptables', '-I', 'INPUT', '-p', 'udp', '-m', 'udp', '--dport', str(PORT), '-j', 'NFQUEUE', '--queue-num', '1'])
try:
main()
finally:
subprocess.check_call(['iptables', '-D', 'INPUT', '-p', 'udp', '-m', 'udp', '--dport', str(PORT), '-j', 'NFQUEUE', '--queue-num', '1'])
写好之后、准备部署前,我还担心了一下 Python 的执行效率——要是请求太多处理不过来就麻烦了,得搞多进程呢。看了一下,一个包只有 3ms 的处理时间。然后发现 Python 其实也没有那么慢嘛,绝大部分时候不到 1ms 就搞定了~
部署到咱的 DNS 服务器上之后,AAAA 记录回应迅速,再也不会慢了~
调试网络程序,Wireshark 就是好用!
PS: 后来有人告诉我改 gai.conf 也可以。我试了一下,如下设置并没有阻止 glibc 请求 AAAA 记录——它压根就没读这个文件!
precedence ::ffff:0:0/96 100
PPS: 我还发现发送这两个 DNS 请求,glibc 2.12 用了两次 sendto,但是 Arch Linux 上的 glibc 2.23 只用了一次 sendmmsg~所以大家还是尽量升级吧,有好处的呢。
发现一只32G内存的服务器,上边跑了几个 sharding 模式的 mongod,把内存吃到只剩下4G,8G swap 更是丁点不剩。
我见过吃内存的 mongod,可没见过大胃口的 mongod 啊。不过以前我也没怎么见到在这么大内存的机器上跑的 mongod。不过不管如何,把 swap 全吃掉总归是不对的。
于是翻了翻 mongodb 源码,发现出现这种情况还真是机器的配置的问题。代码里有这么一段(在 GitHub 上的位置):
if (cacheSizeGB == 0) {
// Since the user didn't provide a cache size, choose a reasonable default value.
// We want to reserve 1GB for the system and binaries, but it's not bad to
// leave a fair amount left over for pagecache since that's compressed storage.
ProcessInfo pi;
double memSizeMB = pi.getMemSizeMB();
if (memSizeMB > 0) {
double cacheMB = (memSizeMB - 1024) * 0.6;
cacheSizeGB = static_cast<size_t>(cacheMB / 1024);
if (cacheSizeGB < 1)
cacheSizeGB = 1;
}
}
大概这就是决定它自己要用多少内存的代码了。先留出1G,然后再留出40%,剩下的能吃就吃!于是,好几只 mongod 开始抢食了!默认vm.swappiness=60的内核看到内存快用完了,于是开始往 swap 挪。结果造成内核挪多少,mongod 吃多少……
这种情况在机器内存少的时候没有出现,大概是因为内存少的时候,mongod 留出的比例比较高,内核就没那么卖力地把数据往 swap 上挪了。而且这次是好几只 mongod 哄抢呢。
从这里看到 ssh 的 Control master 特性之后,就在~/.ssh/config里启用了这个特性:
ControlPath ~/.ssh/master-%r@%h:%p ControlMaster auto ControlPersist yes Compression yes
会话连接复用,对于以交互操作的使用,很不错的!对低延迟的服务器可能只是少了用户认证过程,但对于连接国外服务器,少了 TCP 握手、SSH 握手与认证等来来回回的过程,连接会快非常多的,尤其是对于常用的服务器,比如 GitHub 之类的,提速非常明显。
然后,问题就来了:系统挂起再恢复之后,大部分连接会 stalled,需要手工断开连接。即使配置了超时,它也不一定及时。于是我想,既然 netctl-auto 之类的服务能够在挂起系统时适当处理,那么我是不是也能写一个用户级的 systemd 服务来处理这件事情呢?
于是我按系统级的配置方法弄好了,结果什么也没有发生……后来才明白,只有系统级的 sleep.target,没有用户级的啊。
在 Arch Linux 官方论坛看到有人这么尝试,让系统级的 systemd 调用用户级的 systemd。配置有点不对,但是想法是非常好的!
于是就有了我现在用的方案:
[Unit] Description=sleep.target of a systemd user session Before=sleep.target StopWhenUnneeded=yes [Service] Type=oneshot User=%I Environment=DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/%I/bus RemainAfterExit=yes ExecStart=/usr/bin/systemctl --user start sleep.target ExecStop=/usr/bin/systemctl --user stop sleep.target [Install] WantedBy=sleep.target
启用(enable)user-sleep@1000.service之后,系统挂起时,就会调用 ID 为 1000 的用户的用户级 systemd,也 reach sleep.target 啦。当然这个用户级的 sleep.target 也得自己写:
[Unit] Description=Sleep Documentation=man:systemd.special(7) DefaultDependencies=no StopWhenUnneeded=yes
然后就可以让用户级的服务WantedBy=sleep.target啦~
虽然 GMail 的垃圾邮件过滤功能十分强大,误判率很低。但是我另有使用网易的邮件服务的域名邮箱,屡次教它哪些是垃圾邮件却依然不奏效。于是在本地配置一下 spamassassin 好了。
安装。在 Arch Linux 上这样子:
sudo pacman -S spamassassin sudo sa-update
教学。之前就计划用 spamassassin,所以预先收集了不少垃圾邮件样本。喂给 sa-learn 学习一下:
sa-learn --spam --mbox < ~/.Mail/spam
过滤。编辑 ~/.procmailrc 配置文件,让 procmail 将邮件交给 spamassassin 检查,如果判定为垃圾邮件就放到特定的邮箱中:
:0fw: spamassassin.lock * < 256000 | /usr/bin/vendor_perl/spamassassin :0: * ^X-Spam-Status: Yes autospam
完成。其实挺简单的。
2015年9月13日,我的博客流量突然少了很多:
因为博客突然被百度标记为「安全联盟提醒您:该页面可能已被非法篡改!」(后边那个峰的流量来源于知乎,与此事件并无关联。)
然而我一直未发现任何异常。我使用了 Google 站长工具,Google 也没说有任何异常。所以我以为这不过是百度又发了什么神经。毕竟它也说,「有一个网友举报」。「安全联盟」那里可以申请解封,但是需要出卖手机号等隐私。更神奇的是,它要求你修正问题,却连是什么问题都不清楚。「安全联盟」的客服表示,这事他们也不清楚。
然而几天前,又有网友报告我的博客跳转到了奇怪的页面。第一次有人报告时我只当用户系统或者网络的问题,虽然我也疑惑,恶意软件或者 ISP 插广告不至于插 CJB 的广告啊。但是对方并没有能力来调查此事。这次总算是遇到了一个会抓包的读者了。于是让报告者 @xuboying 帮忙抓包,这才真相大白。
简单地说,确实有页面在传输过程中被篡改了。至于是不是非法的,就得问「有关部门」了。
事情是这个样子的:我有一篇文章嵌入了 GitHub Gist。而 GitHub Gist 的域名 gist.github.com 被污染,其中一个污染 IP 为 216.234.179.13。这大概是 CJB 的源服务器地址。
本来呢,嵌入 GitHub Gist 的代码是这样子:
<script src="https://gist.github.com/lilydjwg/0bfa6807b88e6d39a995.js"></script>
当解析到 216.234.179.13 之后,最奇妙的事情发生了:
window.location到 CJB 的主页。而引入 GitHub Gist 的方式恰好是 JavaScript 脚本,于是它得到执行,跳转到 CJB 主页去了……(不过现在只会返回空白页了。)后来百度取消了那个「被非法篡改」的提示,不过权重依然很低,不注意看根本找不到我博客唉。
知道是 GitHub gist 的原因之后就可以很快找到遇到同样问题的人了,比如:
Google Chrome 把这些信息保存在配置目录下的Current Session文件里了,比如我的位于~/.config/google-chrome/Default/Current Session。这个文件是二进制的,使用 Chromagnon 里的脚本可以解析成文本,然后拿 Vim 编辑编辑就可以得到一行一个链接的文本文件了。这样就可以很容易地把它们在火狐里打开了,比如:
cat links | xargs firefox
这样就把链接们从 Google Chrome 里迁移到了一个单独的火狐窗口中。
我做这个的原因是,最近我的火狐运行微信时会持续占用一个 CPU 核。改用 Google Chrome 来运行微信之后风扇才能安静下来。然而 Google Chrome 的字体渲染我并不喜欢,更重要的是它会不时地崩溃一下。所以我辛辛苦苦「转发」了N个链接到「文件传输助手」,并艰难地(因为这个过程非常卡)将它们一一点开之后,希望能把这些页面转到火狐中来阅读。
暂时手工操作了。以后用得多的话再写自动化脚本。
译自 Vim Creep。原文为英文,有很棒的朗读版。
开始的时候,一切都很平常。在初入大学的那一年,你试过它一两次,但是 Nano 和 Pico 更加简单——更像你高中时候在 Windows 和 Mac 机器上已经用过的东西。但随着时间的推移,你在大学的计算机科学课程上经历渐渐丰富,你开始注意到一件事:所有真正厉害的程序员——你花了十页代码的作业,他们随便写了四行就解决了;你艰苦奋斗了几个星期才勉强完成的课程项目,他们竟然在一天之内就超额完成了——他们都不用 Nano 或者 Pico。
一天夜里,为了完成一项午夜就要交付的作业,你正熬夜赶工。偶然间越过一位安静的超级程序员的肩膀,你瞟到了他的屏幕。你的眼睛在已经昏暗的计算机实验室里一排排的显示器中闪烁着,满怀敬畏地见证着代码和文字以不可能的方式闪过屏幕。
你疑惑地问:「你是怎么做到的?」
一个简洁的词从他口中吐出,永远地改变了你的生活:「Vim。」
一开始你很沮丧,更不谈工作成效了。你的浏览器历史里满是 Vim 在线文档的记录;你那些使用 Nano 和 Pico 的朋友认为你疯了;用 Emacs 的朋友央求你改变心意;为了查阅方便,你甚至花钱买了一份 Vim 速查表的纸板。经过了数星期的刻苦训练,你还是习惯性地去拿鼠标,然后又停下,意识到你得去网上学习一下完成一些常见的任务的正确方法。你以前可从来没有想过这个。
随着时间的流逝,你挣扎的次数越来越少了。你不太明白发生了什么,但是 Vim 不再阻碍你了。它的好超过了你的预期。它不再仅仅是一个使用键盘快捷键的文本编辑器——它成为了你身体的一部分。不,它成为了作为一名程序员的你的一部分本能。
只用 Vim 来编辑源码似乎大材小用了。你在你家里的所有机器上都安装了 Vim。你用它来输入一切文字,从电子邮件到学术论文。为了能够随身携带,你往U盘里安装了一个移动版的 Vim,并配有精心调整的个性化的 .vimrc 文件。这样,它陪伴着你,使你心安,让你不论在哪里都有一点家的感觉。
Vim 进入了你网上生活的每一部分。不满足于功能贫乏的 ViewSourceWith,你很快学会了 Vimperator,然后又换成 Pentadactyl。你以前只是在互联网上冲浪,而现在,你就是互联网。当你要写一个 iPhone 应用程序的时候,你做的第一件事情是把 XCode 的默认编辑器换成 MacVim。当你的工作是写 .NET 代码,你立即购买了一份 ViEmu for Visual Studio,因为你对免费的替代品——VsVim——的功能并不满意。
一天夜里,你正在你的工位上埋头苦干,完成一个第二天上午就要到期的项目。你对你自己笑了。普通程序员可绝不能在期限之前完成这样的工作。你录制各种宏;你轻轻地敲动手指,移动着整块整块的代码;你用上了一大堆寄存器;你重写着重构着整个组件,却根本不瞅一眼鼠标。你注意到显示器上映出的影像。一位同事正在你身后睁大了眼睛看着。你微微停顿了一下,让他知道你注意到了他的存在。
「你是怎么做到的?」他问道,语气里充满了敬畏。
你微笑了一下,准备说出那个改变了你的一生的词。那个词,如果你的同事也选择追随的话,他会掉进同样的兔子洞,进入一个充满无限可能的无限组合的世界,那些组合产生出他之前只能在最疯狂的梦中见到的极致高效。他让你记起多年以前那个昏暗的计算机实验室里的自己。带着些许兴奋,你轻轻地说出那个词。
「Vim。」
:wq
翻译比阅读难多了喵 0.0
知乎专栏不提供 RSS,那我自己做一个好了。用法见网站:https://rss.lilydjwg.me/。计划是支持各种我想要使用 RSS 订阅却又不提供的网站。当然目前只支持知乎专栏啦。代码是开源的,欢迎来提交 pull request :-)
2015年11月12日更新:其实我所使用的 RSS 阅读器——InoReader——是支持订阅知乎专栏的……不过我有对其排版做处理的,就是删掉所有的 <br>。知乎专栏的页面有时会有很多 <br>,其页面使用 CSS 隐藏掉了一些 <br>,但是 RSS 阅读器里它们都显示出来了,搞得段落间距很大。
我这个程序打算支持多种多样的来源的。而最初的想法是针对性地做中文乱码的处理,只是现在那些乱码早已消失了。知乎专栏只是开了个头,以后有需要慢慢加别的东西啦。
2016年12月14日更新:支持订阅知乎用户的动态了。
| Theme: Aeros 2.0 by TheBuckmaker.com