依云's Blog

蓦然回首，竟又已度过三个春秋。

三年前的那日，大雨倾盆，北京看海。而我却在简陋的出租屋里，对网络另一端还没有见过面的女生表白了。从那一刻起，一切都变了。

二十多年前，父母老师们都说，好好上学，将来考上好大学就会幸福了。

七年前，在信息严重不足的情况下，我「如愿」进入了现今各项指标我都要打一星的武汉大学计算机科学与技术专业。从信息匮乏到信息过载，再到毕业前夕笨拙的面试。我不知道路将通向哪里，然而眼前有路，努力走下去吧。

于是我来到了北京。告别了没什么感觉的故乡，也告别了他们曾经的谎言，开始面对真实的世界了。

那时的世界还算美好。所以我依然缓缓地在那不知道通向哪里的道路上走着。直到遇见了她。直到以为自己遇见了幸福。然而，幸福只是对我笑笑，然后离开，留我在一个没有路的地方发呆。

每天依旧去公司上班。只是不再准时。只是每天都吃很少，也不再关心吃的是什么。只是经常代码写着写着跑到卫生间里哭一场。只是冰箱里的雪糕一天会多减少四五支。在北京空气污染最严重的日子里，我也毫无察觉。而有时过完马路，才发觉自己根本没看是否会被车辆撞上。那时我才开始害怕起来。

那段时间，买了新手机，Sony LT26i，很漂亮也挺好用。但是并不开心。公司组织去云南旅游。那也是至今唯一一次公司组织的旅游，也是自己唯一一次旅行。然而躺在电脑里的照片里并没有几张照片里有自己。自己记忆最深的是，车在山间的公路上行驶，我听着耳机里郭静的歌曲，望着窗外一座又一座的山发呆。因为她曾经跟我说，她的家乡在群山环绕之中。

这段时期，遇到了小百合 @koyyuri。可惜他已经永远地离开了，只留下我没有授受他的语音聊天邀请的遗憾。

也遇到了五分之一个地球之外的淑贞姐和远在台湾的依依。虽然远隔重洋，可在我失恋的日子里，她们给了我很大的帮助。很感谢她们。

后来临近交房租的日子，我突然很想离开。非常想，所以很快就离职了。也从此，找不到能让自己满意的工作了。没有获得多少有价值的工作经验。甚至自己做了什么，也大部分都忘掉了。

那年春节在家都做了什么我已经完全忘记了。只知道只有流量极其有限的3G网络很难受，所以随便接受了一家位于南京的初创公司的工作。

秦淮河畔，桃花盛开。很美，却少一人相伴。有次走近河边的时候，竟然突然有种跳下去的冲动。发觉之后赶紧离远了些，再也不敢靠太近。

就这样过了一年半。其间又遇到了素蓝，和她那些明信片。她还给我寄了一张。不过我收到的时候，她已经从网上消失了。

南京这家小公司不仅一直没发布那个很难理解的产品，而且到后来人越来越少。在网线另一头的朋友们的帮助下，我也渐渐地从失恋的悲伤中走了出来。所以，是时候离开了。

于是就离开了南京。本打算回到武汉角落的家之后，再重振旗鼓，再一次求职。可事与愿违。我不该回到那个只有3G网络又充满噪音的地方的。休息不好，而又有来自父母的巨大压力，根本没法全力求职。

失望、疲惫、担忧，逼迫我再一次选择先离开再作打算。

是的，担忧。在父母身边，有好吃的饭菜，不用自己操心吃饭的事情。仅此而已。没有家的温暖，也没有安全感。面对楼上房东的噪音，父亲说他来解决，结果并没有什么效果。有一次我实在忍不住和对方交涉，父亲还表达了不满。

父亲就是这样的人，对自己人表现得很强势以至于暴力，而对外则软弱无力。小时候父亲带我在外边吃早餐。还没吃几口，转过身擤鼻涕，结果店主以为我们吃完，把一满碗粉给倒掉了。我不满意，而父亲只是一边安慰着我，一边付了钱。

另一次，去另一城市走亲戚。那时候可没有手机地图之类的高科技。于是我们找了很久，在几个地点之间来回转悠大半天。我们又不是去求他办什么事，说不清自己在哪里又不出来接人，还去拜访他干嘛。

所以我们家一直受父亲那边的亲戚欺负，然后我和母亲长期受父亲的欺负。具体情节可参考《不要跟陌生人说话》，我就不展开叙述了。

那些日子里我经常会担忧，特别是在父亲喝酒之后。毕竟他是体力劳动者，我还无法保障自己的安全。后来为了安全起见，我每次回家前都会计划好，如果出事我要带上哪些必要的物品，选择哪条路线逃离。

母亲好一些，但也并不让我安心。有一次，她没有跟我说就去「帮我」整理行李箱。也许很多人都觉得这没什么，最多找东西时不容易找到了。但是我和母亲之间虽然没什么矛盾，却也并没有多少亲密。更何况，我还怕多年来一直隐瞒着父母的秘密被发现之后可能会发生的麻烦又危险的后果。

所以再一次地「不选而择」，来到了北京又一家创业公司。

工资恢复到了正常水平，工作时间恢复了正常，公司产品也不再是难以理解的东西。仅此而已。我对公司所做的产品没有兴趣，自己的工作内容更多的是实现需求，而不是做很多程序员做不到或者做不好的事情。新网站上线的时候，还把我吓到了，因为在我看来那根本还没有达到可以上线的完成度和品质。（所以那一整天我们都忙着修 bug。）

期间又试过阿里和百度。依旧被拒了。没有他们想要的工作经验，而我也不再是应届生。当然另一个原因应该是我不会把自己做过的东西吹得多么牛逼。我只会实事求是，可不会无中生有。为了工作机会而去学习没有意思的技能这种事，能避免就尽量避免吧。毕竟这世界上有意思的事情太多了，有那个精力把时间花在没意思的事情上太不值得。

对阿里失望之后，我也考虑了很偶然遇见的蘑菇街。然而从JD上我并不能确定他们的职位是否适合我。所以发信询问，后来发现可以在新浪微博上私信他们之后也私信询问过。可得到的信息只有他们已经收到我的信息了，自动的以及人工的。并没有得到自己需要的信息。后来实在等不下去了，投简历过去。那时受朋友引荐，去新浪面试过后，感觉还不错。至少对我来说总算是找到了一个愿意收留我、我也感兴趣的地方。后来蘑菇街说是他们CTO看到了我的简历，准备约面试。直到那时，我还是没能得到自己想要的信息，对他们所提供的职位还充满着不确定。而另一边，新浪的职位却非常确定。而有事经过故事开始的地方，发现自己已经彻底远离了那些事情的影响。所以最后我选择了留在北京，选择了认可自己的新浪。

三年过去了。我更加了解自己了，其实早就该如此。中国教育太关注分数，我虽然能够逃离一些，真正学得了一些知识，锻炼了考试之外的能力，然而淹没在题海之中的，除了更好的分数之外，还有对自己的忽视。是的，高三时的题海战术使我的成绩下降了不少。太累了，身体上和精神上都累，又学不到新东西了，所以成绩会下降，不然我去华科肯定不会有问题的。

三年过去了。经历过第一次幸福、第一次安全感，也经历过第一次整个世界毁灭的痛苦。

我知道人间路曲折不好走
也知道人间事沧桑不好受
但是花开一季 人生一世
累又算什么 苦又算什么
人 就只有这么这一辈子
总要风经过 雨来过
痛过 也哭过
才能在岁月的门后
把那些心酸 当作笑谈说

然而这些本该是数年前就会发生的事情。父母的影响和中国教育对分数的疯狂追求延误了青春的发生。

三年过去了。然而我还是没做出什么很多人都知道的开源项目，反而是更忙了，在前端各种技术喷涌而出的时候对新技术的关注反而更少了。也没取得多少对以后的工作有利的经验。本来能力就不等同于经验，只是很多人并不懂。当一个人经常用正确的方法做事时，没有走过那么多弯路的经验，她还是可以很顺利地完成任务，而不会需要先把所有错误都犯一遍。比如我并不需要像下厨房那样实际丢失过数据，才知道当误删文件发生时该怎么做。

这三年来，我最大的收获并不是多了三年的工作经验，因为那实际上不重要，也没有多少实质内容。这三年来，我在人生的道路上被逼着奔跑，以挽回自己被错过的时光。我一定要好好照顾自己，争取多活三年，这样我就可以当这三年并没有存在过了。虽然别人并不会这么看，但我也不会再为别人而活了。

只是，我已经不再年轻，也不再优秀了。

中国大陆用户：

墙外用户：

不用 sudo 也可以跑 LXC 虚拟机啦。使用 root 权限的 LXC 虚拟机，里边的 root 权限就是真实的 root 权限，虽然不太能够跑出来。而利用用户命名空间来启动的普通权限的 LXC 虚拟机则只在那个虚拟机里有 root 权限，从外面看跟一普通用户一样的。

首先需要一枚启用了CONFIG_USER_NS的内核。使用以下命令查看：

zgrep USER_NS /proc/config.gz

部分发行版会默认禁用用户命名空间功能，需要手动启用，参见 vagga 的安装文档。而 Arch Linux 不喜欢给软件打补丁，而这个特性又被认为是不安全的，所以并没有启用。当然这并不妨碍自己编译一个启用了这个特性的内核啦，比如 linux-lily 从 4.0.1 开始启用此特性。

注意：这个特性被认为不安全的，会时不时地爆出个提权漏洞（比如前不久这个），请谨慎启用。

内核支持没问题的话就可以开始配置了。以下配置过程主要参考 Arch Linux 论坛里的这篇帖子。

首先给自己配置一些子 UID 和子 GID，也就是自己的分身。我在/etc/subuid和/etc/subgid内写下如下内容

lilydjwg:100000:65536

意思是说，我（lilydjwg）被授权使用从 100000 开始的 65536 个 UID 和 GID。这一步是需要 root 权限的。这个配置好之后就可以创建用户命名空间了，比如：

lxc-usernsexec -m u:0:100000:1 -m g:0:1000:1 -m g:1:100000:1 -- /bin/zsh

此命令是说，创建一个用户命名空间，其中 UID 从 0 开始，实际对应于外边 100000 开始的 UID，总共分配一个；GID 从 0 开始，实际对应于外边 1000 开始的 GID，总共分配一个。执行之后可以看到新启动的 zsh 已经是 root 权限了。不过cat /etc/shadow就会发现还是没权限 :-D 在里边 touch 个文件的话，在外边看会是 UID 为 100000 的用户创建的。我之所以要指定 GID 的映射，是因为我的 HOME 目录外人读不了的。为了加载 zsh 的配置，就把自己的 GID 映射给它了。

注意：如果这里没有包含 /etc/subgid 中的 GID 区间，那么 shadow 4.6 将不允许 setgroups，导致命令失败。（只要有任意一部分即可。）

当然我也可以把自己的真实 UID 映射过去，这样子除了被里边的进程自认为有 root 权限之外没什么别的差异。用户命名空间要配合别的命名空间一起用才有意思。

然后要配置一下 cgroup，不然 lxc 会报错的。这一步也是需要 root 权限的。

echo 1 | sudo tee /sys/fs/cgroup/cpuset/cgroup.clone_children

for d in /sys/fs/cgroup/*; do
    sudo mkdir $d/$USER
    sudo chown -R $USER: $d/$USER
done

用处后边再说。

虚拟机里的网络是分开的。默认是没有网络的。想要的话得先授权，向/etc/lxc/lxc-usernet文件里写入

lilydjwg veth br0 10

其中br0是桥接用的网络接口名。没有就自己建一个：

brctl addbr br0
ifconfig br0 192.168.57.1
iptables -t nat -A POSTROUTING -s 192.168.57.1/24 -j MASQUERADE

这些当然也是需要 root 权限的。

还要告诉 LXC 使用用户命名空间：在~/.config/lxc/default.conf写入：

 lxc.include = /etc/lxc/default.conf
 lxc.id_map = u 0 100000 65536
 lxc.id_map = g 0 100000 65536

然后，去弄一个 LXC 系统镜像吧：

lxc-create -t download -n lxcname

名字自己起。这个命令会让你选择你要的发行版和版本的。这一步不需要 root 权限了。镜像文件列表可以看这里。

等它跑完之后新的 LXC 虚拟机的 root 文件系统已经就绪了。不过在启动它之前先去编辑一下它的配置文件，加入网络配置。默认它位于~/.local/share/lxc下与 LXC 虚拟机同名的目录下。

在配置文件里加上

lxc.network.type = veth
lxc.network.link = br0
lxc.network.flags = up
lxc.network.ipv4 = 192.168.57.4
lxc.network.name = eth0

在启动之前还要做一件事——将当前进程加入到之前创建的 cgroup 中：

for d in /sys/fs/cgroup/*; do echo $$ > $d/$USER/tasks; done

然后就可以启动 LXC 虚拟机啦。当然是不需要 root 权限的：

lxc-start -F -n lxcname

当然，得给里边的 root 用户设置一个密码，不然登录不了的。可以使用 lxc-usernsexec 来 chroot 过去：

lxc-usernsexec -- chroot rootfs /bin/bash

2019年07月31日更新：修正 lxc-usernsexec setgroups 可能失败的问题。

首先安装 bluez 包。我用的版本是 5.30。其次安装 blueman。

启动蓝牙服务：

systemctl start bluetooth.service

然后使用 blueman-manager 之类的命令启动 blueman。这时会在系统托盘看到蓝牙图标。点右键选择「添加新设备…」，完成配对。

然后，如果是要往手机发文件的话，是没有问题的，但是收的话，会失败。原因是，默认接收文件前会先询问用户要不要接收，而 blueman 不知道怎么搞的根本没反应……

解决方案是：直接启动一个默认接收文件的 obexd 就好了：

killall obexd
/usr/lib/bluetooth/obexd -r tmpfs -n -a

-r指定收到的文件存哪里，默认是 $XDG_CACHE_DIR 下的 obexd 目录，即默认是 ~/.cache/obexd。这里的路径是相对于用户主目录的。

-n是不要以守护模式运行，会把日志输出到终端而不是系统日志。

-a就是重点——接收所有文件——了。

obex 这套东西的文档在/usr/share/doc/bluez/dbus-apis/下有。

Linux 下遇到点问题还真是折腾，声称完成某一功能的软件一大堆，结果装好了，要么根本不知道怎么用（gnome-bluetooth、bluedevil），要么适用版本不匹配（obexpushd、ArchWiki 等网上的过时信息），要么有 bug 用不了（blueman）。

不过好的一点是，不涉及闭源的软件和协议，而又有足够的时间和能力的话，问题总是能够解决的。不像 Windows 或者 Android，遇到问题两眼一摸黑，只能不断地重试和重装，看看人品会不会爆发一下。

最后，折腾好久终于传输成功的照片：

北京好不容易下了场大雨，没想到雨后还出现了彩虹～

（失眠了，干脆起来写文。）

调试时经常会有抓包的需求。通常，我在本地用图形界面的 Wireshark 来抓包及解析，而对于远程服务器，因为没有图形界面，只好使用 tcpdump 抓包到文件然后复制到本地拿 Wireshark 看了，这样就不能实时查看抓到的包了。当然 tcpdump 也可以实时输出，但是信息太少、难以阅读，功能也过于简单，比如我要跟踪流啊、不同的流用不同的颜色高亮啊、添加注释啊、时序分析啊，tcpdump 完全没办法做到。实际上复杂一点的协议解析它都做不到。

一直没去研究 Wireshark 如何从标准输入读取网络包数据。大概是某天下意识地按了一下Alt-h看到了 Wireshaark 的 man 手册，才知道原来 Wireshark 支持这么多参数！图形界面的程序支持各种可选参数的可不多见。Wireshark 指定-i -就可以从标准输入读取数据，不过要同时指定-k，不然得在图形界面里点「Start」开始抓包。

那怎么把抓到的数据包发送到标准输出呢？实际的抓包操作不是 Wireshark 直接执行的。Wireshark 又不是 360，既然能以普通用户身份执行需要特权的操作，那么就会有一个无图形界面的工具来辅助。它就是 dumpcap。查阅其 man 手册可知，把抓到的数据输出到标准输出的选项是-w - -P（-P 指定使用 pcap 格式，不然会使用 pcap-ng 格式，Wireshark 不认）。还可以给定其它选项，比如只抓 lo 网络设备上的包用-i lo，或者指定一个过滤器如-f 'port 1234'（具体语法见pcap-filter的 man 手册）。一定要记住不要把传输抓包数据的数据包也抓到了哦～

比如：

ssh lxc-debian sudo dumpcap -P -w - -f "'not port 22'" | \
  wireshark -i - -k

这样就可以实时看到远程主机上的网络包了～通过 ssh 执行命令时引号得用双层的。使用 sudo 是因为我那个 Debian 的 dumpcap 没有特权。

有个需求，保存一个网页里的所有图片。

看上去是件简单的事情，拿火狐的 DownThemAll 扩展下载不就好了么。

然后发现那个网页仅限移动版访问。好吧，装个 UserAgent Switcher。然后发现它是通过 JavaScript 检测 UA 的，而 UserAgent Switcher 只改了 HTTP 头里的 UA。好吧，换个 muzuiget 的 User Agent Overrider。然后发现那些图片是动态加载的，DownThemAll 根本看不到地址。后来知道「查看网页信息」的「媒体」选项卡里也是可以保存图片的，不过那里显示的图片也不全……

于是我怒了，放弃继续尝试不同的工具，决定用程序员的方式来解决问题。

我管你怎么加载的，你总归是要从网络上下载图片不是么？那我就拿个代理把你访问过的所有图片全部保存下来好了 :-)

打开 mitmproxy 文档页，发现并没有现成的保存文件的功能。但是没关系，可以写脚本。看看示例，迅速写了以下不到二十行代码：

#!/usr/bin/mitmdump -s

from __future__ import print_function

import os
from urlparse import urlsplit

from libmproxy.protocol.http import decoded

def response(context, flow):
  with decoded(flow.response):
    if flow.response.headers['Content-Type'][0].startswith('image/'):
      url = urlsplit(flow.request.url)
      name = os.path.basename(url.path)
      with open(name, 'wb') as f:
        f.write(flow.response.content)
      print(name, 'written')

当然这是最终结果。不过和初版差别不大，毕竟就这么点儿代码。思路也很简单，凡是经过代理的图片都存起来。有点粗暴，但是好用。

代理脚本跑起来。然后启动一个全新的 Google Chrome，一个没有任何缓存存在的实例：

google-chrome-stable --proxy-server=http://localhost:8080 --user-data-dir=new

访问目标页面，启用移动版模拟并刷新，就可以看到各种图片都被保存下来了～～

Linux 下各种奇怪的地方总是会遇到输入启用不了的情况，比如 Sublime Text 就需要打补丁版。Teewords 以前能好好地使用输入法的，不知从什么时候起，启用输入法输入时，直接从键盘输入的编码和输入法提交的字符串都会被 teewords 接收并显示（teewords 版本号 0.6.3）。最近换了新本子，跑起 Minecraft 终于不那么卡了，所以也研究了一下怎么在 mc 里输入中文。

喵窝 wiki 里给出了一个脚本，是通过外部程序输入中文，然后粘贴到 mc 里来达到输入中文的效果的。然而粘贴功能在我的 mc 里是无效的。不过照着这思路，改进一下发现也能用。

首先，需要 xdotools。其次，需要一个输入文本的程序。我使用的是 zentiy，当然还有 kdialog、gdialog 之类的也可以用。最后，需要设置快捷键。

我的脚本如下：

#!/bin/bash -e

chars=$(zenity --title 中文输入 --text 中文输入 --width 500 --entry 2>/dev/null)
sleep 0.1
xdotool key --delay 150 Escape t
sleep 0.2
xdotool type --delay 150 "$chars"
xdotool key Return

原理很简单，在这个脚本被调用时，弹出一个对话框让用户输入文字。对话框关闭后，焦点应该回到 mc。发送 Escape 键「回到游戏」，然后发送「t」开启聊天。然后把文字发送过去并按回车。

很神奇，原来可以直接向它发送中文字符。不过那些延迟是需要的，不然会接收不完整。所以使用效果就是，对话框关闭之后，可以看到程序在往 mc 里一个个地输入文本并发送～

至于绑定快捷键，作为 Awesome 用户，可以做到只在 mc 的窗口绑定。定制性比较差的窗口管理器/桌面环境可能只能全局绑定了，会占用掉一个全局快捷键。

相关代码如下：

    elseif c.class and c.class:match('^Minecraft ') then
        local keys = c:keys()
        local mykey = awful.key({'Control'}, 't', function(c)
            awful.util.spawn('zhinput')
        end)
        keys = awful.util.table.join(keys, mykey)
        c:keys(keys)
    elseif c.name == '中文输入' then
        awful.util.spawn_with_shell('sleep 0.05 && fcitx-remote -T', false)

顺便在弹出的对话框里把输入法切换到了中文模式～（完整的配置文件在这里）

2019年01月02日更新：Minecraft 已经可以直接输入中文了（虽然有些类似于 teeworlds / DDNet 的 bug）。

这是我查看知乎私信时不小心瞅到的问题所触发的。由于 Go 在国内的兴起，我对这个问题也多有思考，就放在这里记录一下好了。知乎的链接我就不贴了，带 nofollow 的都懒得贴了。

首先，我们搞清楚问题是什么。或者说，我反对的究竟是什么？

静态链接，即早期唯一的一种链接出二进制可执行文件的方式，把所有程序需要用到的库全部打包到一个文件里边。后来，由于存储空间越来越不够用，所以发展出了动态共享库，也就是把库编译成 so、dll 或者 dylib 这种由动态库装载器在程序运行前或者运行时进行链接的方案。

静态链接的优点：

1. 方便分发，不会因为库的升级而导致程序无法运行。这一点没有严格指定依赖版本的 Arch Linux 用户应该都有所体会。当你更新某个库（比如 boost 或者 icu 什么的）之后，动态链接到旧库的程序会出错。

2. 效率稍高。这个反正人类是体会不到的。

基于第一点，用于急救的重要程序最好使用静态链接，特别是 busybox。以前我会安装 busybox 的，后来因为 Arch 改用动态链接 C 库了，对于我不再有意义，所以卸载了。以后 C 库如果出问题就直接重启进救援系统了。

另外我还有静态链接的 32 位 Vim，为的是在 Vim 依赖库更新而 Vim 没更新时依旧有个顺手的编辑器可用。我一直自行编译 Vim 因此这个曾经十分有用。不过由于现在对经常变动导致问题的解释器支持采用运行时动态链接，所以基本不受影响了。

静态链接的缺点：

这个可以列出长长的一串了。

1. 占用磁盘空间。我就不怎么喜欢 Haskell 写的程序，太占硬盘了，一个程序就几十M。当然换新电脑之后目前硬盘空间有富余。但是它们还是会渐渐被我的各种源码和虚拟机什么的填满的。

2. 占用内存空间。可执行文件在执行时是需要映射到内存中的。如果使用动态链接，那么因为是同一文件，所以在内存时只需要映射一份就可以了。而静态链接，不仅因为来源于不同的文件而需要加载、映射多次，而且因为来自于不同的构建等原因，逻辑上相同的代码往往并不会造成映射之后的内存页相同，使得内存去重机制（如 UKSM）失效。

   别说内存是白菜价，除非你来给我手上的笔记本、VPS、服务器、路由器、单板机等都配置个几十G的内存，我付给你等质量的白菜。还记得比尔·盖茨说过的话吗——「640K足够了」。够了吗？

3. 占用 I/O 带宽。可执行文件越大，在内存里没有缓存时需要从外存读取的数据也就越多，耗时也就越长。而因为文件体积增大，内存资源越发不够用，I/O 缓存越少，导致缓存命中更低。

4. 占用网络带宽。你可执行文件是从网上下的吧？你在国内看个视频还挺流畅，但是到世界各地去下软件你试试看？

5. 运行时链接。我写了一个程序，支持 MySQL、SQLite3、PostgreSQL、MongoDB、Oracle 等等等等数据库。但是你显然不会用到所有的数据库支持吧？那你为什么要所有这些数据库的连接库来用一个 SQLite3 数据库的功能呢？使用运行时链接（dlopen 那些函数），程序可以在运行的时候动态判断并加载它此次运行所需要的动态库。

6. 升级。openssl 爆出了一个很严重的安全漏洞，已经被修复了，你怎么办？当然是升级呗。那你希望是更新一个几M的包然后重启服务器解决问题，还是下载好几百M的程序、更新每一个你所用到的使用了 openssl 的程序？更何况那些程序本身不一定都更新了，也许为了安全你得自行编译其中的很大一部分（你可以期望有一个安全团队在半夜爬起床去更新一个软件，但是你觉得上千项目的开发者都会这么做吗）。你也不一定能够找到所有静态链接了有漏洞的 openssl 版本的程序，万一漏掉一个，你整个服务器的安全性就没了（所以 openssl heartbleed 漏洞更新之后建议是重启系统而不是重启各服务）。

更别说更底层的库了，比如 C 库或者 C++ 库。不至于人家更新了一行代码，你就要重装整个系统吧？

静态链接有它自身的用处，但是它并不适合所有情况，甚至并不适合大多数情况。动态链接以其微小的运行效率损失为代价，为不论是最终用户还是开发者、打包者提供了更为优秀的库管理方案。之所以很多人看到静态链接相对于动态链接的优势，我认为还是因为他们没什么机会看到静态链接、尤其是大量静态链接会带来的问题。

你不需要把程序都静态链接。你需要的只不过是一个优秀的包管理器和维护团队而已。

换了新本子，外存是1T机械硬盘和16G固态硬盘。这16G SSD 速度挺快的尤其是读的时候，可它拿来放 / 都不够呢，于是拿来作缓存加速。根据局部性原理，虽然数据很多，但是最常访问的只占其中一小部分呢。

搜索的结果是有三个方案：bcache、dm-cache 和 Facebook 的 flashcache。前两者在官方内核里，不需要另外安装。我是最先在 Arch Wiki 上看到 bcache 的，后来又看 dm-cache，发现需要自己指定元数组的存储什么的，略复杂。而且一些评测显示 bcache 性能要好一点，所以就它了。

$$ \require{extpfeil} \rm{SSD} + \rm{HDD} \xlongequal{\rm bcache} \rm{SSHD} $$

配置起来其实很简单。首先安装 AUR 里的 bcache-tools，然后创建存储数据的分区和用于缓存的分区：

make-bcache -B /dev/sda2
make-bcache -C /dev/sdb1

教程上使用的是 SSD 的分区。换成 SSD 的块设备本身应该也可以。

参数什么的我没调。然后是把缓存设备的 UUID 写到 /sys/block/bcache0/bcache/attach 里。

为了最优性能，往 /sys/block/bcache0/bcache/cache_mode 里写入「writeback」来更改其缓存策略为「写回」。默认是「写通」（writethrough），也就是写的时候同时写缓存和后端设备，不会在缓存出问题时丢数据，但是会慢。另一个可选的策略是「writearound」，不知道该怎么译，是只写到后端设备而不写缓存的。最后一个是「none」，不知道用了它会发生什么……

换出策略使用默认的 LRU（最近最少使用）。剩下的两个（FIFO 和随机）应该效果没 LRU 好。

这些设备是会记住的，无需在启动时重启配置。至少我用的 4.0.1 内核是这样。

弄好之后就可以折腾 /dev/bcache0 这个块设备了。我放弃了之前使用文件级的 eCryptfs，改用在备份里使用得挺爽的块设备级的 dm-crypt，然后才格式化成 ext4。也就是：

$$ 文件数据 \xrightarrow{\textrm{I/O相关系统调用}} \rm{ext4} \xrightarrow{加密} \textrm{dm-crypt} \xrightarrow{缓存} \rm{bcache} \xrightarrow{写入} \rm{SSD} + \rm{HDD} $$

所以我的 /etc/mkinitcpio.conf 里要加上 bcache 和 encrypt 两个 hook：

HOOKS="base udev autodetect modconf block bcache encrypt filesystems keyboard fsck resume"

（不过这样子不能用外接 USB 键盘输入密码的。）

然后 mkinitcpio -p linux 一下，生成新的 initramfs 镜像。

为了共享缓存，我把 / 和 /home 放一起了（不过我猜对 /dev/bcache0 进行分区也是可以的？）。虽然这样子整个 / 用去了60多G空间，但是缓存的命中率还是非常高的——

>>> bcache-status -a
--- bcache ---
Device                      /dev/bcache0 (254:0)
UUID                        07a9b6a5-7f18-4950-84d6-c90abaaf65dc
Block Size                  0.50KiB
Bucket Size                 512.00KiB
Congested?                  False
Read Congestion             2.0ms
Write Congestion            20.0ms
Total Cache Size            14.91GiB
Total Cache Used            14.91GiB    (100%)
Total Cache Unused          0B  (0%)
Dirty Data                  0.50KiB     (0%)
Evictable Cache             14.17GiB    (95%)
Replacement Policy          [lru] fifo random
Cache Mode                  writethrough [writeback] writearound none
Last 5min Hits              439 (92%)
Last 5min Misses            38
Last 5min Bypass Hits       424 (100%)
Last 5min Bypass Misses     0
Last 5min Bypassed          61.50MiB
Last Hour Hits              46003       (88%)
Last Hour Misses            6051
Last Hour Bypass Hits       94043       (100%)
Last Hour Bypass Misses     0
Last Hour Bypassed          400.00MiB
Last Day Hits               79485       (88%)
Last Day Misses             10214
Last Day Bypass Hits        170383      (100%)
Last Day Bypass Misses      0
Last Day Bypassed           602.00MiB
Total Hits                  79485       (88%)
Total Misses                10214
Total Bypass Hits           170383      (100%)
Total Bypass Misses         0
Total Bypassed              602.00MiB

bcache-status 脚本来自这里。

感觉还挺快的，特别是各种程序如火狐、gvim、pidgin、zsh 的启动速度，以及 mlocate、pacman 的搜索速度都非常快。没有对比数据，因为我没有试过在这个本子上不用 bcache 的情况下把系统弄起来。之前的旧本子可能因为分区太满导致碎片严重，所以 I/O 性能很差劲的。

没想到会这样决定不再在知乎上产生新内容。虽然网站体验做得很差劲，其实知乎里有些人还是很不错的。

做出此决定的原因是知乎新实行的「不透明的审查制度」。

我在一个回答下边做出了可能会令某些人心里产生不适的内容：

提问者名为「不求人666」，却提出了一个非常容易找到答案的问题，所以我才那么说。你若是见到亲友手上拿着钱包，却翻箱倒框地寻找，也是会大笑的是吧？

但是知乎认为这是「不友善行为」。什么叫「不友善行为」呢，知乎关于此规范的定义如下：

轻蔑：贬低、轻视他人及其劳动成果。

对别人做出的搞笑行为大笑是贬低还是轻视呢？那如果有人提出一个很基础的问题，我叫他去好好再读一遍基础教程，他就觉得自己受到了轻视，就可以来借此限制我在知乎上的行为了？

诽谤：捏造、散布虚假事实，损害他人名誉。

难道这个叫「不求人666」的用户不叫「不求人666」？

嘲讽：以比喻、夸张、侮辱性的手法对他人或其行为进行揭露或描述，以此来激怒他人。

哪里有比喻和夸张呢？我笑点低也不行吗？小小地嘲笑一下算「侮辱性的手法」？

挑衅：以不友好的方式激怒他人，意图使对方对自己的言论作出回应，蓄意制造事端。

什么是「不友善行为」？知乎答：「就是不友好的回应」。

羞辱：贬低他人的能力、行为、生理或身份特征，让对方难堪。

有么？名字是用户自己起的。

谩骂：以不文明的语言对他人进行负面评价。

「讽刺」这个词不文明么？

歧视：针对他人的民族、种族、宗教、性取向、性别、年龄、地域、生理特征等身份或者归类的攻击。


威胁：许诺以不良的后果来迫使他人服从自己的意志。

我通过「申诉」询问知乎管理员我的评论违反了哪一条。结果是：

如果真违反了哪一条规范，你要扣什么东西就扣吧。可是你好歹也告诉我到底违反了啥呀？

有位民警在大街上看着一个人不顺眼，于是上前：「你违法了，我要拘留你。」

那人问：「我违反什么法了？」

民警：「根据《XXX 法》，以下行为违法：一、闯红灯；二、随地乱扔垃圾；三、打架斗殴；四、其它违法行为。哦，你违反了这里的第四点。跟我走吧！」

2015年6月11日更新：另见《哔~知乎，离开的Q&A》。

中华人民共和国铁道部铁路客户服务中心在其首页上说：

为保障您顺畅购票，请下载安装根证书。

真的是这样吗？

安装该根证书意味着什么？

当然意味着你在12306网站上买票时不会遇到证书错误了。但是除此之外呢？

安装之后，你的计算机系统（或者浏览器）会信任该「CA 机构」所签名的所有证书。根据安装说明，该证书不仅能签名用于标识网站的身份的证书，还能签名应用程序，即 .exe 和 .dll 文件。

这意味着，如果铁道部没有按照规范正确管理该根证书对应的私钥的话，一旦被滥用，或者被攻击盗用，那么：

1. 攻击者可以实施中间人攻击，伪装成支付宝、网上银行、微信、网页邮箱等网站，获取你的登录和隐私信息，篡改网页内容，以你的身份提交转账和订单、与你的亲友同事聊天等。

2. 攻击者可以为病毒和木马签名。拥有一个受系统信任的签名，恶意软件更容易在用户不知不觉间潜入。

3. 这是一个 SHA1 签名的证书。因为其安全性比较低，各大浏览器厂商将逐渐淘汰该类证书。

4. 当然还有一些其它的用法，毕竟这个证书的权限非常大。

而铁道部能按照规范正确管理该根证书对应的私钥吗？很多人连工信部（CNNIC）的根证书都不信任呢。而工信部，即使出现过下级机构违规使用证书以至于 Google 和 Mozilla 都不再信任之，至少工信部曾经得到过各操作系统和浏览器厂商的信任，不管做没做到，人家至少知道应该怎么做。而铁道部呢？根本不是干这行的，也从未在这方面做过多少努力，连正规的 HTTPS 都不知道用，你觉得如何呢？

那要怎么用12306呢？

火狐有个功能，叫「添加证书例外」。在遇到不被信任的网站证书的时候，如果你确知你没有被骗，你可以为该网站添加例外，如图所示：

添加例外之后，火狐将这个证书和这个网站关联起来。也就是说，如果12306突然换证书了，你会得到错误消息；如果别的网站也使用铁道部签名的证书，你也会得到错误消息。而这些错误消息，绝大部分是在告诉你有人正在进行中间人攻击。

HTTPS 保证了端到端的数据安全性（私密性、完整性），使得你即使在公共场合上网，或者本地网络有不可信的人时也可以安心上网。请不要随意破坏这份安全。

其它链接

• 12306的证书问题 - JayXon