“CV工程师”的小白迷之自信

时光倒流回好几年前，那时我的 PHP 和 JS 水平还停留在相当小白的阶段（虽然现在也还是业余），用现在流行的话说，就是一名标准的 “CV 程序员”（Ctrl+C / Ctrl+V）。

当时看到一些 SEO 教程说，不要直接引用外链，不然网站权重会丢失，不利于SEO优化云云，虽然那时候博客一个月的访问量加起来都没现在一天多，我还是决定搞一个外链跳转页，实现外链SEO优化。那时候的我，写代码基本靠搜。我当时在网上东拼西凑，这里复制一段 PHP 代码，那里又找来一段 JS 脚本，缝缝补补一通 Ctrl+C / Ctrl+V 算是把功能跑通了。

那时候的我觉得自己做得挺周全：

• 既有「关键词过滤」：在后端的 PHP 里加了正则，拦截类似 eval、base64 这种敏感词，防止有人注入代码。
• 还有「来源页检查」：在前端的 JS 里写了判断，判断访问来源是不是我的博客域名，如果不是就跳回首页。

看着这套“组合拳”，我心想：“这下稳了，既防注入又防盗链，妥妥的。” 这一用，就是好几年。

我变成了黑产眼中的“香饽饽”:遭遇 Open Redirect 漏洞扫描

部署后的头几年，一切风平浪静，看起来跳转页在忠实的工作着。直到大前年开始，因为《本地部署AI文生图工具 SD-webui 生成NSFW图》部署教程被广泛引用，博客的流量和热度突然上去了。那小半年的时间里，每日新访客（仅仅是新访客就）能稳定在 4位数，高质量反链好几个。在 Google 和 Bing 眼中，我的博客权重逐渐变高。

于是乎，树大招风，我的外链跳转页被盯上了。

最开始的端倪，是 Google Search Console 发来的“提示”。网域出现了大量“未编入索引”的提示，我点进去一看，全是 /goto/?url=… 后面跟一长串乱七八糟的垃圾网站链接（赌博、色情、灰产，应有尽有）。

紧接着，防火墙（WAF）开始频繁报警。日志显示，有大量的请求携带着奇怪的参数试图经过我的跳转页做XSS或者SQL注入。这是典型的 Open Redirect（开放重定向）漏洞利用尝试。

佛系站长的机械抵抗

面对这些攻击，当时的我虽然觉得烦，但并没有意识到问题的严重性。毕竟博客前台看着没啥异常，服务器也没崩，搜索引擎也没收录这些奇奇怪怪的跳转。

于是，一向 “佛系” 的我采用了最机械的应对方式：

• WAF 堵截：我在防火墙里加了几条规则，只要 URL 参数里包含某些特征，就直接拦截。
• GSC 移除：对于 Google 收录的那些垃圾跳转链接，我直接使用 Google 的移除工具申请删除。

“反正也没造成什么实质性的破坏，能拦就拦，拦不住貌似也没啥。” 就这样，我拖着这个隐患，得过且过地又混了两年多。

形同虚设的“来源检查”：一段被覆盖的 JS 逻辑

直到最近，那种久违的“折腾之魂”突然死灰复燃。趁着手里有干劲，我决定把这个陈年老页面彻底重构一下。

当我打开那个尘封已久的 index.php，仔细审视当年的代码时，冷汗下来了。不看不知道，一看吓一跳——当年我所谓的“安全措施”，简直就是“千疮百孔”，甚至是在对黑灰产说着“欢迎光临”，代码幼稚的简直想穿回去抽自己的嘴巴子。

当年写下（复制来）的防止非本站使用跳转页的代码是这样的

{
//禁止其他网站使用我们的跳转页面
// 第一步：获取我们自己的域名
var MyHOST = new RegExp("<?php echo $_SERVER['HTTP_HOST']; ?>");
// 第二步：判断来源
if (!MyHOST.test(document.referrer)) {
// 第三步：如果来源不对，准备跳转回首页
location.href="https://" + MyHOST;
}
// 第四步：正常执行跳转
location.href="<?php echo $url;?>";
}

看出问题来没？我感觉稍微有点开发经验的朋友都看出来了，因为跳转逻辑被覆盖了！！

我当年知道 JavaScript 是按顺序向下执行的，所以我想当然的认为当代码执行了location.href="https://" + MyHOST;之后，非法访问就会被跳转到我的首页了，后面的location.href="<?php echo $url;?>";不会被执行。
但实际上，修改（赋值） location.href 后代码其实会继续执行下去的，实际执行时是下边这样的过程

1. 一个非法的来源，进入 if 了。浏览器接到指令：“准备跳转回首页”。
2. 毫秒级的时间内，代码会继续往下跑，执行到了下一行。浏览器接到新指令：“准备去目标外链”。
3. 后一条指令覆盖了前一条指令,浏览器会听从最后一句代码的指挥。
4. 结果：无论来源是否合法，浏览器都会乖乖跳转到 $url（目标网站）。
5. 纯纯拦截了个寂寞

当年的我犯了初学者最常见的认知错觉，是把 JavaScript 的 location.href 当成了 PHP 里的 header('Location: ...');了，殊不知在浏览器眼里，这只是一次变量赋值。（PS：其实PHP里这样写也是错的，后面需要写exit;,不然可能用户浏览器已经跳走了，但服务器还在空跑）
浏览器是单线程执行 JS 的。当它读到我的第一次赋值时，它在心里记下：“哦，待会儿脚本跑完了我要去首页”。但是！脚本还没跑完呢，它必须继续往下跑。 紧接着它读到了第二次赋值：“哦，不对，他改主意了，待会儿脚本跑完了，让我去外链”。 后面的赋值覆盖了前面的赋值。
就像我告诉网约车司机‘去机场’，结果还没等司机踩油门，我又补了一句‘去火车站’。那司机肯定听最后一句啊！缺少一个 else，让我的防御代码变成了一句废话。

也就是说，这里正确的写法应该写成

var MyHOST = new RegExp("<?php echo $_SERVER['HTTP_HOST']; ?>");
if (!MyHOST.test(document.referrer)) {
     location.href = "https://" + MyHOST;
} else {
     location.href = "<?php echo $url;?>";
}

亦或者封装成一个函数用return打断函数继续执行也可以

var MyHOST = new RegExp("<?php echo $_SERVER['HTTP_HOST']; ?>");
function CheckHOST() {
    if (!MyHOST.test(document.referrer)) {
         location.href = "https://" + MyHOST;
         return; // <--- 让函数立即停止
    }
    location.href = "<?php echo $url;?>";
}

顺带一提，这个错误的代码至今仍在谷歌搜索结果的前五位，而且被多个外链跳转页所使用。😂

拒绝漏洞：使用 PHP filter_var 重构安全跳转页

痛定思痛，我彻底抛弃了原来的代码，基于 PHP 服务端重写了整个逻辑。

为什么抛弃使用 JS 的检查逻辑

原因很简单，正确的 JS 代码当然可以在跳转被恶意利用时拉回用户，但这无法阻拦黑产的自动化漏洞扫描。
扫描漏洞用的爬虫、脚本（Python、Curl 、Go 等）根本就不执行 JS 的！它们只看 HTTP 响应头和 HTML 里的链接。 在扫描器眼里，我的旧代码压根没有那个 if 判断，他直接看到了最后的跳转链接。扫描器只会给我的各种路径去发?url=http://www.baidu.com之类的命令遍历尝试，看会不会触发跳转，只要触发跳转到百度的首页，就标记为“存在 Open Redirect 漏洞”，自动存入“可用资产库”。于是就会被拿来做跳转了，至于实际环境访问时能不能完成跳转，不讲究的黑产并不会去核实。只是因为有 JS 的存在，实际用户访问时会被拦截罢了。

从 JS 到 PHP：真正的来源检查

现在来源检查在服务器端完成，不依赖客户端。直接在 PHP 顶部加入了核心校验：

// 获取来源
$referer = isset($_SERVER['HTTP_REFERER']) ? $_SERVER['HTTP_REFERER'] : '';
$host = parse_url($referer, PHP_URL_HOST);

// 只有从我自己域名点出来的链接，才放行
if (!in_array($host, ['tjsky.net', 'www.tjsky.net'])) {
    header('HTTP/1.1 403 Forbidden');
    die('非法请求：禁止直接访问或盗链。');
}

1. 直接 403：即使被利用了，正经的爬虫也能发现报了“403 拒绝请求”
2. 不依赖 JS ：彻底杜绝了扫描器把这里“误判”为开放重定向漏洞的可能。

放弃手搓正则，拥抱 filter_var：不再自己造轮子

当年真是的小白菜的常见状态，又菜又感觉自己强，当年的 URL 合法性检查是自己手搓的

strpos($_SERVER['REQUEST_URI'], "eval(") ||
strpos($_SERVER['REQUEST_URI'], "base64")||
strpos($_SERVER['REQUEST_URI'], "127.0.0.1")||
……
//省略其他过滤语句
$t_url = preg_replace('/^url=(.*)$/i','$1',$_SERVER["QUERY_STRING"]);

//判断非空
if(!empty($t_url)) {
    //判断取值是否是base64
    if ($t_url == base64_encode(base64_decode($t_url))) {
        $t_url =  base64_decode($t_url);
    }

我当时防御漏洞的逻辑很直观：黑客可能想干嘛，我就拦什么。黑客想传 eval，我就在代码里搜 eval；黑客想传 base64，我就搜 base64。这在安全领域叫“黑名单防御”，但其实：

1. 这本来不应该是跳转页该做的事，这种事情应该交给更前边的更专业的WAF去做。
2. 这种方式就像玩“打地鼠”，只要稍微换个姿势（比如利用 URL 编码或者空格绕过），我的之前正则就成了摆设。
3. 而且逻辑本来就有bug，我为了不让部分跳转目标直接能看出来，加了可以将跳转目标 base64 化的机制，但问题是，我当年光想着检查要最优先进行了，忘了检查在解码base64的之前的话，又一次导致检查了个寂寞。

这次重构，因为使用了PHP跳转而不是前端跳转，所以改用 PHP 内置的filter_var来检查跳转 URL 的合法性，并且先解码，再检查。再配合FILTER_FLAG_NO_PRIV_RANGE之类的参数去防止对内网和私有 IP 做跳转。

//base64解码部分代码就不写了，只看filter_var部分的。
$url_host = parse_url($final_url, PHP_URL_HOST);
//过滤本地主机
if (strtolower($url_host) === 'localhost') {
    die('非法目标：你访问本地主机干啥。');
}
if (filter_var($url_host, FILTER_VALIDATE_IP)) {
    //_PRIV_RANGE: 过滤 192.168.x.x, 10.x.x.x, 172.16.x.x 之类的大内网
    //_RES_RANGE:  过滤 0.0.0.0, 127.0.0.1 等保留地址
    if (!filter_var($url_host, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)) {
        header('HTTP/1.1 403 Forbidden');
        die('非法目标：你访问内网地址干啥。');
    }
}
//确保链接格式符合 RFC 标准
if (!filter_var($final_url, FILTER_VALIDATE_URL)) die('目标链接格式错误。');

• 防止跳转内网和本地主机，作为一个外链跳转服务，没有任何正当理由需要指向一个内网或本地的 IP 地址。（这里只堵了IP，毕竟使用域名指向内网IP需要DNS配合，这利用难度就高了）
• 防止包含了空格、非法字符，错误的协议头：仅这一条就能这直接过滤掉了 90% 的低级扫描和恶意注入。
• 防止 XSS 脚本注入：以前构造 ?url=javascript:alert(1)的话。在老代码里，这会被当作合法 URL 运行。而 filter_var 会识别出这不符合 Web 协议规范，直接在入口处将其掐死。
• 防止畸形参数：恶意利用时，很喜欢在参数里混入换行符或特殊的二进制字符来试图截断逻辑。这些东西在filter_var的眼里都是不合法的它只认符合 RFC 标准的纯净 URL。

当然filter_var本质上是一个“格式校验器”，挡不住顶尖高手的定向渗透，比如传入一个格式完全标准，但指向内网某个邻居的数据库的域名。filter_var 会因为它符合 URL 规范而放行。这就是所谓的 SSRF（服务端请求伪造） 风险，这类深层次的逻辑漏洞，单靠一个函数是无法完全杜绝的。但面对互联网上每天成千上万次的自动化扫描和脚本攻击，它表现得比我那些个漏洞百出的正则要好太多了。放弃对“手搓代码”的执念，承认现成工具套件，尤其是安全、密码方向的现成轮子专业能力。现在的外链跳转页代码已经是一份真正的PHP安全跳转代码了。

更多细节修改：交互和 SEO 的多重升级

把原来的“静默X秒后跳转”改成了“倒计时卡片”：

• 使用 10秒倒计时：给访客足够的时间看清“您即将离开博客”的提示。
• 在页面内显示目标网址，看清到底要去哪里，确认目标网址安全。
• 加一个立即跳转的按钮，让不想等自动跳转的人可以立刻去要去的地方。

增加 htmlspecialchars 防止 XSS 攻击

因为现在的跳转页有一个跳转URL“预览框”。如果万一黑产绕过了前面的检查，把一段代码伪装成 URL 传了进来，直接打印在 HTML 里是非常危险的，搞不好就引发 XSS 攻击了。 htmlspecialchars会把所有的 <、>、"等特殊字符全部转义成 HTML 实体，让前端可以安全展示URL。

$display_url = htmlspecialchars($final_url, ENT_QUOTES, 'UTF-8');

增加 noindex, nofollo 标头

额外增加 X-Robots-Tag：直接在 HTTP 标头中加入 noindex, nofollow，直接告诉搜索引擎爬虫：“这个页面通通都别收录，权重别传递”。这比在 <head> 里写 <meta name="robots" content="noindex, nofollow" /> 更优先，爬虫不需要解析 HTML 就能看到，从而更有效保护博客的 SEO 资产。（当然meta也要加，毕竟某搜索引擎的爬虫不认这个响应头）

<?php
header('X-Robots-Tag: noindex, nofollow');

进阶玩法：使用 AES 加密隐藏真实链接

本来这次对外链跳转页的重构也就止步于上一步了，有些熟悉本站的人，估计已经发现新版跳转页已经上线运行了一段时间了。

我最近在爬取一个图片资源站时，发现对方有个很有意思的设计，这个图片站为了防止遍历本地路径实现快速抓取图片资源，他把站内的图片链接都AES加密了。我只能看到他图片都是类似主域名/img/?url=OVA2Q……HBIdz09-d这样的地址。如果不知道加密密钥，就无法生成正确的资源地址。

我一琢磨，虽然我的跳转页有个来源域名检测，防止非本站访问。但 HTTP Referer 伪造起来难度也不高。要是真有人拿我的跳转页去搞伪装钓鱼的话，他自然能伪造请求头的。

于是我决定做个“二次进化”：使用 AES 加密跳转地址。

不过这个图片站的 AES 加密方案还是不太完善，因为很容易就能发现，他所有图片的开头和结尾字符串都是固定的。很明显是个使用 ECB 模式(固定使用同一个密钥)做对称加密的结果。

我打算更进一步使用 CBC 模式 （随机初始化向量）做加密，逻辑是：[ 随机生成的 16 字节 IV ] + [ AES 加密后的实际网址 ] 打包在一起再 Base64 编码。
这样服务器只要收到密文后，只需要先解码base64，截取前16个字节作为IV，用密钥和刚才拿到的IV，去解密后面的密文，就可以得到实际跳转地址。（从防止变成开放重定向跳板这个角度， ECB 模式已经能挡住黑产了，用 CBC 纯属为了“既然做了就做到极致”）

$final_url = '';
// 尝试 AES 解密
$binary_data = base64_decode($input_code);
if ($binary_data && strlen($binary_data) > 16) {
    $iv = substr($binary_data, 0, 16);
    $ciphertext = substr($binary_data, 16);
    // 使用预设的密钥解密
    $decrypted = openssl_decrypt($ciphertext, AES_METHOD, AES_KEY, OPENSSL_RAW_DATA, $iv);
    if ($decrypted && strpos($decrypted, '://') !== false) {
        $final_url = $decrypted;
    }
}

这样带来的好处是巨大的：
1. 动态密文：因为 IV 是随机的，同一个网址每次加密出来的字符串都不一样，无法通过简单的特征分析来破解。
2. 杜绝搬运：那些喜欢“采集”我文章的爬虫（说的就是你，CSDN），搬运过去后跳转链接会直接失效，倒逼他们必须手动处理。
3. 无数据库：不需要像短链外链方案那样需要数据库来存链接白名单，我只需要保存好密钥就可以，只要解密失败，就说明这不是我自己生成的链接。
4. 防伪造：取消明文跳转和基础base64链接跳转后，可以彻底堵死跳转页可被第三方利用的可能性。只要解密失败直接不跳了。

其实从防止变成开放重定向跳板这个角度， ECB 模式已经能挡住黑产了，用 CBC 模式纯属“既然做了就做到极致”罢了。而且其实有了这个加密机制后，前边的什么来源验证啥的都可以不要了，毕竟未来只支持使用加密后的密文做跳转，只要没有密钥，第三方不可能构造出实际可用的跳转密文，也就无法利用我的跳转页。以 AES 加密的强度来看，想要根据已知「明文，密文」来反推密钥需要的算力资源过于庞大了。

结语

咋说呢，当年作为“CV 工程师”省下的脑子，最后都变成了日志里的红字报警。

现在的跳转页，虽然功能没变，但它不再是一个过于容易被攻破的漏洞，而是一个安全、可控的流量出口。如果你也在维护类似的跳转功能，不妨也检查一下：你的跳转页的“安全检查”，是真的在检查，还是在自欺欺人？

📂 源码下载

跳转页的代码已经在Github开源啦（含详细注释，适用于 WordPress / Typecho / Z-Blog 等一切 PHP 站点）：

👉 点击查看：安全的外链跳转页源码

前边这个外链的跳转就是使用AES加密后的跳转链接，只有到执行跳转时才会显示出真正的跳转目标。

The post 少写一个 else，我的外链跳转页成了黑产眼中的“香饽饽”？重构一个安全的外链跳转页（附 PHP 源码） appeared first on 秋风于渭水.

痛点深扒：罗技驱动软件的三宗罪（G Hub/Options+）

罗技第一宗罪：驱动分裂与版本混乱

你以为买个罗技键盘鼠标，插上就能用？太天真了。罗技的驱动历史就是一部“分裂史”。如果你像我一样，手里既有老款经典，又有新款旗舰，那你的电脑托盘区简直就是罗技图标的“连连看”。

罗技最老的管理软件叫 SetPoint、然后有了 Logitech Options，然后又变出来个 Logitech Options+ ？？厂商更新软属于正常操作，但问题是：罗技的新软件它不！兼！容！旧！硬！件！ 诶，这就逆天了好不。

• 在鼠标范畴：
  • 我有一只经典的 Logitech M570 轨迹球，这玩意只能在 SetPoint 下才能良好工作。在 Logitech Options 下虽能发现设备，但大部分高阶功能的配置项全不在。
    • 现状：我必须装「SetPoint」。
  • 我还有一个 MX Master （第一代） 鼠标，这次则是只能在 Logitech Options 在才能良好工作，在 Logitech Options+ 下会缺少配置项了。
    • 现状：我又必须装「Logitech Options」。
  • 我还有个 MX Master 3S （第三代） 鼠标，必须用最新的 Logitech Options+ 不然看都看不到鼠标。
    • 现状：我又双必须装「Logitech Options+」。
  • 结果： 为了用鼠标，我电脑里必须同时装 SetPoint + Options + Options+ 三个软件，加一起快 1GB了。除了都叫罗技，这三个软件界面、逻辑完全不同，简直像三家公司的产品。
• 在键盘范畴：
  • 我柜子有一把 G610 机械键盘，如果要用，需装上古的 LGS (Logitech Gaming Software)，因为新的 G Hub 不能正确支持它，依然是老问题：缺配置项。
    • 现状：我又双叒必须装「Logitech Gaming Software」。
  • 我家里目前正在用的是年会抽奖中的 G512 机械键盘，这个则 LGS 不认，需要用最新 G HUB。
    • 现状：我又双叒叕必须装「G Hub」。
  • 结果： 你猜我为什么把G610收起来不用呢，因为 G HUB 经常在自动更新后会把 LGS 的驱动干坏掉，或者两个软件在系统中抢占资源，导致键盘卡的妈都不认识了。

罗技第二宗罪：软件臃肿与广告植入

以前的驱动 LGS、SetPoint 都只有几十兆，清爽无比。现在的 G HUB 和 Options+，动不动就几百兆，启动慢得像是在加载 3A 大作。

• 驱动里塞个浏览器：最近的 Logi Options+ 更新搞了个“AI Prompt Builder”（AI一键启动），甚至在驱动里塞了一个完整的浏览器环境！这功能还默认开启，这种在驱动里塞完整浏览器环境的行为我就不点名还有什么软件了，个顶个都是知名流氓。
• 推销广告：打开驱动，还没看到电量，先糊一脸新品广告：“来看看我们新出的 MX Master 4 吧！”。我买你家那么贵的外设，不是买了个广告位好不！（所以我现在用《Bluetooth Battery Monitor》在任务栏看电量，尽量不打开罗技软件）。
• 罗技语音（Logitech Voice）：为了个游戏语音功能，强行整合进 Options+，不仅占用后台，还经常弹窗。问题是，谁家好人玩游戏用罗技语音啊。

罗技第三宗罪：功能冗余与逻辑混乱

• 驱动必须常驻后台：现在很多新功能（如 RGB 灯光、应用切换配置）依赖驱动常驻。一旦驱动崩溃（罗技驱动日常），鼠标键盘立马变回“智障”模式，DPI 乱跳。
• “智能”并不智能：那个 Smart Actions（宏命令） 逻辑极其死板，还不如我自己写个 AutoHotKey 脚本好用。
• 强制推行账号登录：G HUB 强制登录云同步，但大概率同步失败，或者被云端旧存档覆盖新配置。
• 功能设计鸡肋：比如那个 Actions Ring 鼠标手势，和开源工具（如 Quicker、WGestures）相比，简直是小灵通和 iPhone 16 的区别。罗技的设计下，默认你要用拇指按住那个手势按钮，然后以一个极其费手腕的姿势移动鼠标，并享受那微妙的延迟感，然后选中一些并没啥卵用的功能。

看看这界面截图，里面塞了多少不好用又很臃肿的功能。

实战教学：如何优化罗技驱动体验？三大解决方案

吐槽完罗技的糟心驱动，那我们要怎么解决这个问题呢？以下是我尝试过的 3 种不同层级的解决方案。

方案一：使用第三方工具替代罗技驱动（Mac/Linux/Windows）

如果你想彻底抛弃官方驱动，以下神器是你的首选。

1. Mac 用户：SteerMouse

Mac 上有个牛逼的软件叫 「SteerMouse」，也就是大家口中的“万能鼠标驱动”。它的平滑滚动算法比罗技官方还要丝滑，甚至能调整滚轮加速度曲线，让鼠标拥有匹配 Macbook 触摸板的体验。绝对值得付费购买的一款软件。

2. Linux 用户：LogiOps

Linux 社区的反向工程做得最好。「LogiOps」 是一个运行在命令行的非官方驱动，可以使用cfg文件完美配置键盘与鼠标的所有参数。

3. Windows 用户：组合拳

Windows 下没有单一的完美替代品，但可以通过组合软件实现官方驱动的部分功能：

• 实现按键映射和宏：使用 「X-Mouse Button Control」。
  

• 调节灯光效果：如果你只是想调你的光污染键盘，可以用 “OpenRGB”。这玩意比 G Hub 好用太多，如果只为灯效，强烈建议卸载 G Hub 只装这个。
  

方案二：利用“罗技板载内存管理器”实现免驱运行

也许是罗技仅存的良心，目前还有一些官方工具可以帮你减少垃圾驱动的影响。

1. 极简配对工具（无需安装庞大的驱动）

如果你的需求只是配对键盘鼠标，其他什么都不需要：
* Unifying 接收器（优联）：使用 「Logitech Unifying Software」，只有几兆，配对完即可卸载或关闭。

* Bolt 接收器：使用网页版工具 「logi web connect 」，连软件都不用装；如果你前边的web版不能用，可以使用 「Logi Bolt App」 独立安装包，同样配对完即可卸载或关闭。

2. 罗技板载内存管理器 (OMM)

这是罗技官方极少宣传的神器 —— Onboard Memory Manager。
对于有板载储存的键鼠，OMM 能直接读写板载内存。你可以用它设置 DPI、回报率、按键映射、灯光开关。设置完成后，即便卸载软件，配置依然保存在鼠标里。

3. 无板载内存设备的“偷鸡”技巧

对于像 MX Master 3/3S 这种号称“没有板载内存”的设备，其实 SmartShift 阈值、DPI 等参数会写入鼠标的临时寄存器。
* 操作方法：先安装 Logi Options+，把参数调好，然后禁止 Options+ 自启。只要不彻底断电（关掉底部开关）或者把鼠标键盘彻底用没电，大概率还能保持配置。

方案三：硬核瘦身！安装精简版 Logi Options+ 驱动

如果你必须使用 Options+ 的某些特定功能，但又讨厌它的臃肿，这里有一个终极解决方案。

罗技为了方便商用部署，Options+ 安装程序支持命令行禁用功能。我们可以利用这一点，只安装纯净的驱动，剔除 AI、分析、广告等垃圾组件。看下图，和文章前边那个“完整版”的Options+对比，是不是很清爽的界面。

使用 logi-options-plus-mini 脚本

原版项目主要针对Mac用户，而且脚本使用起来对国内用户不友好，所以我 Fork 并优化了项目 「tjsky/logi-options-plus-mini」，加入了中文界面和权限自动获取。

• 下载地址：GitHub | 蓝奏云

Windows 用户安装步骤：
1. 下载脚本压缩包并解压。
2. 双击运行 Run_Install.bat。
3. 脚本会自动检测网络环境并设置界面语言（支持从罗技中国服务器下载）。
4. 功能选择：脚本会询问你需要安装哪些组件。
* 建议输入：0 5 6 （仅基础驱动和键鼠固件更新功能）。
* 最多加个：10。（如果你需要简单的按键宏的话）
5. 输入 y 确认，脚本将自动备份配置、卸载旧驱动、并安装全新的精简版 Logi Options+ 再恢复你的配置。
6. PS“如果你运行脚本时看到的是英文界面，说明你开了全局代理让脚本误判你的地区了

总结

无论是选择 SteerMouse 这样的第三方神器，还是使用 罗技板载内存管理器 (OMM) 实现“配置后即焚”，亦或是通过脚本 精简安装 Logi Options+，我们都能在享受罗技优秀硬件手感的同时，摆脱其糟糕的软件体验。至于那个微动计划报废问题嘛，我的建议是：除非你动手能力极强并且有足够的焊电路板的经验或者你会先练练焊电路板，否则咸鱼和淘宝有很多寄修服务或同城维修服务，找个靠谱的比自己折腾省心省力的多。

最后，希望这篇 罗技驱动优化指南 能帮你的电脑“减负”！如果你有其他更好的罗技优化技巧，欢迎在评论区分享。

The post 告别 Logitech Options+ 臃肿！罗技驱动精简瘦身与替代全攻略 appeared first on 秋风于渭水.

缘起：从“佛系”到“崩心态”

熟悉我的朋友都知道，我一向是比较“佛系”的。

其实早在云服务器刚部署好，装好各种东西后，我就发现了这个奇怪的现象：明明我买的是 4GB 的规格，系统里怎么看都只有 3.2GB 左右。

当时看到这个数字，我心里的第一个念头是：“我去，服务商该不会是在给我搞‘缩水机’吧？” 难道这所谓的 4G 实例其实是 3.2G 的残次品？但紧接着，作为一名折腾多年的业余 DIY 玩家，这“3.2G”的诡异数字让我脑海里瞬间闪过一丝不祥的预感——这数值也太像 32 位系统的寻址上限了！

那一瞬间我甚至有点自我怀疑：“难道我手滑，给这台机器装了个 32 位的 Ubuntu？如果不小心把古董级的 32 位系统装在了现代 VPS 上，那可真是运维生涯的黑历史了……”

我赶紧敲了一行 uname -a 压压惊。看到屏幕上明明白白显示着 x86_64，我这才松了一口气：还好，系统没装错，脑子也还正常。

既然排除了“因为蠢装错系统”和“服务商虚假发货”的可能性（凉心云不至于的，况且一般哪有 3.5G 的机器），因为当时老机器上的原有服务已经全部完成迁移到这台新机器并上线运行了有几天了，我想着反正跑个 WordPress 加上几个 Docker 小容器，3GB 也绰绰有余，再加上那时候还是个 linux 萌新，面对折腾系统总有种恐惧感，也就懒得去深究那消失的 800MB 到底去了哪。这一拖，就是4年多过去了（这到底算佛系还是算拖延症呢）。

直到前几天，我遭遇了一次恶意的刷流攻击。虽然通过各种手段挡住了攻击，但那当时看着服务器内存水位线一直处于报警阈值边缘，我的心态终于崩了。

资源寸土寸金，在关键时刻，这“莫名失踪”的 内存可能就是压死骆驼的最后一根稻草。于是，我决定不再佛系，彻底查清这笔“内存烂账”。

验明正身：物理内存还在吗？

虽然早就排除了 32 位系统的嫌疑，但我还是得确认一下底层的硬件规格。使用 dmidecode 命令查看底层硬件信息：

sudo dmidecode -t memory

输出结果非常明确，物理插槽上确实是实打实的 4096 MB：

Physical Memory Array
    Location: Other
    Use: System Memory
    Maximum Capacity: 4 GB
    ...
Memory Device
    Size: 4096 MB
    Type: RAM
    ...

然而，当我切换回系统视角，使用 top 命令或者在面板一看，画风就变了：

MiB Mem :   3419.1 total

4096 – 3419 ≈ 677 MB。 既然物理内存没少，系统也是 64 位的，那只能说明一件事：这部分内存被操作系统内核在启动阶段就已经“私吞”了，导致用操作系统实际可支配的内存减少。

抽丝剥茧：谁吃掉了内存？

系统可用内存比机器规格小不少，在虚拟化环境（云服务器，VPS）中是非常常见的。一般无非是3个地方

可能吃内存的元凶一：虚拟化开销

现在云服务器，都有一些魔改虚拟化机制，可能会在客户机底层埋一些小玩意，这些“小玩意”会占用一点点客户机内存作为通信缓冲区，不过一般都非常克制，不至于直接砍下去 800 MB 吧

可能吃内存的元凶二：硬件/BIOS 保留内存

毕竟虚拟的主板 BIOS 和硬件设备也需要占用地址空间嘛，比如我还开了VNC，几十MB的虚拟显存占用总要有。但是这玩意一般最多也就吃个200M，不应该啊。
我不放心执行一下命令，看了下内存映射日志。

dmesg | grep "Memory:"

输出： Memory: 3319136K/4194304K available (14336K kernel code, ...)，嗯……这，被吃的内存可真多。

可能吃内存的元凶三：Kdump (崩溃转储机制)

1. 先检查当前状态：

kdump-config show

显示 current state: ready to kdump，说明它正在占用内存。

2. 看一眼 Grub 默认配置：

cat /proc/cmdline

返回的配置最后赫然写着：crashkernel=2G-16G:512M,16G-:768M
破案了！元凶就是它——Kdump。

什么是 Kdump？
Ubuntu 默认会启用 Kdump 。目的是在为了实现当系统内核崩溃时记录错误日志的功能。为了保证系统内存被用户打满再崩溃时，系统还有地方可以存放崩溃现场的数据。所以系统会在启动时预先强行划走一部分内存。这部分内存对普通应用是不可用也不可见的，因此 top 、php、Nginx 统统都统计不到。
不得不说，这也太狠了吧，2G-16G:512M，合着，物理内存在 2G 到 16G 之间，强制保留 512MB？？？我4G砍512MB还不太明显，2G的机器，你给人家砍 512MB，还让不让人用了？

解决问题：让服务器把内存吐出来（禁用 Kdump）

Kdump 对于像咱们这样的个人站长，服务器主要运行 Web 服务的人，是完全没有用的，咱们并不需要在系统崩溃后查看 Kdump 保留内存转储存文件，来分析为什么系统会崩溃，面对系统崩溃我们能做到只有重启，快照，重装三板斧和报告软件作者。

所以，这 512MB 的“昂贵的买路钱”，我不交了。

第一步：编辑 Grub 配置文件

 sudo vim /etc/default/grub
# 当然，你要是习惯用 nano 的话 用sudo nano /etc/default/grub

第二步：修改参数

找到 GRUB_CMDLINE_LINUX 这一行。

# 原配置：
GRUB_CMDLINE_LINUX="... crashkernel=2G-16G:512M,16G-:768M ..."
# 修改为（直接禁用）
GRUB_CMDLINE_LINUX="... crashkernel=0M ..."

注意：
1. 保留该行内原有的其他参数，只修改 crashkernel 部分
2. 如果你的参数是写在GRUB_CMDLINE_LINUX_DEFAULT里的话，那就改这里的参数。

第三步：更新 Grub 并重启

这一步至关重要，你不更新引导文件，改了配置也没用。
注意：执行后，服务器（系统）会被重启

sudo update-grub
sudo reboot

优化结果：瞬间回血

重启服务器后，第一时间打开终端输入 free -m.可用总内存从 3.2GB 瞬间跃升到了 3.9G。舒坦，这么多年拖延的问题终于解决了。虽然平时看着不起眼，但在流量高峰期或者 Docker 容器跑得比较多的时候，它就是从卡顿到流畅运行之间的那道分界线。如果你也发现你的 VPS 内存“缩水”严重，不妨检查一下 /etc/default/grub，说不定也能找回这笔“私房钱”。

总结

1. 感觉最近怎么总是在折腾一些陈年旧故障（笑哭）
2. 这次排故过程其实并不复杂，但它提醒了我：系统的默认配置（尤其是云服务商提供的系统镜像内的配置）未必就是最优配置。
3. 系统默认开启 Kdump 是为了生产环境的稳定性调试考虑的，但对于小内存（尤其是 2G/4G 档位）的 VPS 来说，这却是一种极大的资源浪费。
4. 毕竟操作了系统配置，切记操作前做好快照备份。 如果未来服务器经常莫名其妙死机且无日志可查，那时候才需要重新开启 Kdump 来抓取崩溃现场。但对于绝大多数像我一样只是跑跑博客、Docker 的用户，关了它吧，真香！
5. 熟悉运维的读者应该早已经看出来了，标题说是缺失了800MB内存，这只是我那时候不太熟悉换算得出的错误数字，实际应该是677 MB。那为什么我当时算出了800MB呢，是因为实际情况是物理内存4096MiB，其中3419Mib可用，但面板里不是这样算的，面板是用10进制算的，所以变成了3419Mib/1024/1024X1000X1000=3.26G内存可用，然后面板还隐藏了百分位，变成了3.2G，然后我（4G-3.2G）X1000=800MB，得出了“我擦，怎么少了快800MB”的结论。正确算法应该是 4096-3419=677MB 不过琢磨了下，我决定还是按照当时的实际心路历程去如实写吧。

The post VPS内存缩水排查：消失的 800MB 内存去哪了？ appeared first on 秋风于渭水.

服务器负载异常？出站流量居高不下？本文记录了我如何发现并防御一种伪装巧妙的低频分布式“刷流”攻击。通过分析Nginx日志、识别异常UA和参数，最终使用Nginx 444 状态码成功对抗刷流攻击，将服务器负载从70%降至正常水平。一起来学习这次完整的技术复盘与防御实战。

[toc]

📉 序幕：一次普通的 robots.txt SEO 优化

故事的开始非常偶然。昨天早上我本来只是看到一篇博文在介绍现代搜索引擎对robots.txt文件格式的适配，里边提到对于WordPress博客已经不再推荐屏蔽/wp-includes/，我核实了一下确实是这样的，于是计划修改一下博客的 robots.txt 文件，优化一下 SEO 策略。
然而，当我登录面板准备操作时，首页的负载引起了我的警觉。在这个本该平静的时间点，服务器的状态却显得异常亢奋，负载持续在70左右。

🔍异象：服务器负载异常——负载的“虚假繁荣”

我果断先去一眼到底是什么进程在吃我的资源，结果：

• php-fpm 加上 nginx 一直维持在 CPU 占用 50~70 %的区间内 （绝了，刚好在报警阈值以下）
• php-fpm 的 CPU 占用大概20%左右，nginx 则是在 50%左右（1、说明大部分流量都命中缓存了，2、处理网络流量占用了大量 CPU 资源，要知道平时 Nginx 很少会超过 2% 占用）
• 网站的出站流量持续维持在 2MB/s以上 （同样也压的非常精准，正好不会触发报警）
• umami统计里今天的访客到至今（我查询的时候）才300多人。

这个数据绝对有问题，而且是有大问题！先不说umami里在线访客只有2个人的情况，也不说PHP占用也不低的事情。就算是有大量真实用户访问，PHP 的负载应该会很高（毕竟 WordPress 是动态博客，缓存做的再好也不对劲）。但现在 Nginx 居然比 PHP 还忙，这种诡异的情况，一般意味着：

1. 我被恶意抓取了？
2. 我被盗链了？
3. 我被 CC 攻击了？
4. 亦或者我的服务器被植入恶意脚本了？

直觉告诉我： 恶意爬虫或 CC 攻击的可能性最高，于是先从这个方向查。

🧐侦查：从 access.log 中寻找蛛丝马迹

常规起手，先看 Nginx 的 access.log

1. 实时查看日志（看看现在正在疯狂刷新的请求是什么）：

# 我这里打的默认路径，如果你想参考，请根据你的实际情况调整
tail -f /var/log/nginx/access.log

这屏幕日志刷的哗哗的，滚动的飞快，1秒怕不是有10条以上了，我还没看清就刷上去了，额，算了，还是统计一下吧，直接看日志超过我的目力限制了。

🤔疑点：Nginx日志分析——IP分散、参数固定、流量精准控制

1. 统计攻击 IP Top 20（找出攻击者IP）：

awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -n 20

粗看一切正常，并没有哪个IP在疯狂请求我的站点。

2. 统计被请求最多的 URL（找出受害文件）：

awk '{print $7}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -n 10

返回结果的前几条是这样的：

 129007 /
 60547 /?local_ga_js=f78e59fd91e18c7a2940a914030e9743
 1620 /feed
 246 /tutorial/971
 88 /robots.txt
 80 /favicon.ico

啊，这……对于我这个日均几百人的博客，8个小时内，首页 / 被访问 12.9 万次，带特定参数的 URL 被访问 6 万次，这显然是有人在疯狂刷我的首页和特定资源。

3. 针对性看一下请求来源 （都有谁在请求异常文件）

首页的日志不好分析，毕竟有正常人在，那个奇怪的local_ga_js就好分析多了，让我看看都有谁在请求这个文件

grep "local_ga_js" /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 50

所有 IP 的请求次数都是8次，这也过于稳定了吧！

我追溯了本周的历史日志，他一直维持着一个大概有 400 个 IP 的 IP 池，用这些 IP 轮询，每个 IP 使用了 7~8 次后就弃用，重新拨号获取新的 IP 。既然这是正常的家宽 IP 而且攻击者释放 IP 的速度也很快，直接屏蔽整个广东电信的 IP 或者封禁 IP 一段时间就显得不合适且毫无意义了。

⚔️ 破局：Nginx防御配置——拦截特定查询字符串

先干死请求local_ga_js=XXXXX的，攻击特征这么统一不干你干谁，首页的问题先放到一边。

先改一下站点的 nginx 配置

# 放在 location / 之前
if ($query_string ~* "local_ga_js=") {
    return 444;
}

这里使用 Nginx 特有的 444 状态码。相比返回 403，444 会直接关闭连接且不返回任何数据包，能最大限度节省出站流量以及服务器性能。（Nginx官方关于444状态码的介绍）

😏追击：对抗刷流攻击——伪造的浏览器指纹

前边的规则配置后效果立竿见影， 几个查询扔出去，果然看到 CPU 压力已经大幅下降了。
有效果就好，我先去喝口水，大早上这么半天连口水都没喝呢，喝水时脑内复盘了一下目前的现状：

• Nginx还是保持在15%左右的占用
• php-fpm保持4%左右的CPU占用。
• RX（入站）基本维持在几十KB/s，
• TX（出站）还是持续在500KB/s到2MB/s之间。

第一阶段的防御（拦截恶意 PHP 请求）已经大获全胜！首页的 Redis 缓存被命中。Nginx 直接吐出了静态 HTML，没有调用 PHP，PHP 不再处理那些垃圾请求了。但是他一直在刷首页，还是有点烦人的，毕竟这依然会造成一个持续的 0.5MB/s 的出站流量，虽然这和整体带宽相比并不大，但一天下来也 40 GB 了。倒完水回来喝一口，和同事聊几句工作，咱们继续处理。

1. 首先清空日志，不然日志太大了不好分析

echo "" > /var/log/nginx/access.log

2. 等 60 秒

3. 查看文件大小：

ls -lh /var/log/nginx/access.log

额，短短60秒，日志文件就有100KB了，一行请求基本是 200 B，一秒内还是有接近10次请求……

4. 先看下60秒内的拦截和放行的比例（看状态码）确保前边的措施生效了。

> awk '{print $9}' /var/log/nginx/access.log | sort | uniq -c | sort -nr
    842 444
    744 200
    712 301
    8 304
    5 414
    3 302
    1 404

• 拦截成功 (444): 842 次。说明前边针对 JS 的规则生效了，拦住了 36% 的攻击。
• 重定向 (301): 712 次。说明攻击者很蠢，在访问 HTTP 或者非 www 域名，被 Nginx 自动纠正到 HTTPS。
• 穿透防线 (200): 744 次。这是我唯一需要担心的。这意味着有 744 个请求被认为是“合法”的，Nginx 处理了它们（返回了网页）。

5. 再次看看它在访问什么 URL （再看一次新的日志）

> awk '{print $7}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -n 10
1941 /
1160 /?local_ga_js=f78e59fd91e18c7a2940a914030e9743
19 /feed
9 /robots.txt
5 /?local_ga_js=1
4 /music/
4 /favicon.ico
3 /tutorial/971
3 /music/fonts/element-icons.535877f5.woff
2 /wp-content/themes/JieStyle-Two-2.6.2/webfonts/fa-solid-900.woff2

看来不是自动化的脚本，因为针对JS的规则已经生效了，444这种直接断开的行为，在对方看来应该类似于对方关机了，我倒水喝水都过去10分钟了，他还在请求那个JS。

6. IP太分散，我们来看看User-Agent

grep "local_ga_js" /var/log/nginx/access.log | awk -F'"' '{print $6}' | sort | uniq -c | sort -nr | head -n 10
1292 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36
1290 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36
1289 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36
78 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/142.0.0.0 Safari/537.36
64 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/138.0.0.0 Safari/537.36
18 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36 Edg/143.0.0.0
7 Mozilla/5.0 (Macintosh; Intel Mac OS X 12_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 YaBrowser/22.7.0 Yowser/2.5 Safari/537.36
7 Bun/1.3.0

额，这Chrome版本号是不是有点过于统一了。现在的最新 Chrome 版本已经是 140+ 了。就算为了MV2扩展，也不应该停留在 113、110、129这种版本上吧。
至于最后那个Bun/1.3.0，也非常眼熟嘛，明显是个脚本。

7. 直接Nginx屏蔽这3个版本号试试，反正看了眼统计数据除了攻击者，压根就没人用。

# 屏蔽特定的虚假 Chrome 版本
if ($http_user_agent ~* "Chrome/(110|113|129)\.0\.0\.0") {
    return 444;
}

🎉 最终战果：立竿见影

配置重载后，重新看一下系统占用

• Nginx CPU： 从 25% 瞬间暴跌至 1%~2%。
• 出站流量 (TX)： 从 700KB/s 降至 20KB/s（偶尔跳动至 500KB/s，应该是真实用户的访问）。
• 应用层： PHP-FPM 继续保持 4% 的养老状态。

这才正常嘛，搞定收工。

🕵️‍♂️真相大白：这不是攻击，而是“刷流”

战局已定，服务器恢复了往日的宁静。但作为一个技术人，好奇心驱使我必须把这件事琢磨透：这到底是个啥？
回顾整个事件，它和传统意义上的DDoS或CC攻击截然不同
1. 目的非致死：攻击者精准地将负载和流量控制在报警阈值之下，显然不想让我立刻发现并全力封堵。他的目的不是“打死”我的网站或者一次性薅干我的流量包，而是“持续地、悄悄地偷走”我的出站带宽。
2. 技术特征诡异：固定且无意义的 local_ga_js 参数、集中且陈旧的 Chrome User-Agent（110，113，129）、完全由广东家宽IP构成的庞大且轮换的IP池……这不像黑客工具，更像某种为了模拟“真实用户浏览行为”而设计的工具。
3. 流量流向：我的服务器 RX（接收）: TX（发送） 比例严重失衡，高达1:10以上。这意味着攻击者在用极小的请求成本（入站），换取我服务器返回的大量网页数据（出站）。

把这些线索拼起来，一个合理的推测浮出水面：这很可能是一种新的 “PCDN流量平衡” 又名 “刷下行” 行为。

攻击者（或其背后的平台）控制着一个庞大的家庭宽带设备网络（就是那些“广东电信”IP）。这些设备在使用 PCDN 设备赚钱或 获取 PT 站的积分的时候，为了防止因为上行带宽的比例过高而被运营商发现。于是设备被指令去“访问”一些目标网站（比如我的博客），通过持续请求首页和本地谷歌统计代码这类缓存良好的资源，产生大量的下行流量数据。这些流量数据被记录为“他的正常访问”，而我的服务器则成了默默奉献带宽的“奶牛”。
所以，这不是一场充满恶意的破坏，更像是一次精打细算的“白嫖”。我的服务器，不幸成为了别人赚取小钱钱的一个高质量、稳定的下行带宽资源。这种新型刷下行的手段，抛弃了之前单(几个) IP 直接拉满线程，一晚薅干流量包的行为，不再竭泽而渔，而是改为使用大量 IP 轮换，请求的也是体积不太大的资源，请求频率也控制在适当的范围。

对此我只想说：

对我来说，分享行为在于有效传递信息，即使对方是个伸手怪，白嫖党（虽然我不赞同这种白嫖行为），但只要他真的使用了我的数据。无论是看了一个教程解决了问题，还是看到了我的碎碎谈有了一些启发，还是发现了一个有趣的程序，哪怕他不同意我的看法和我激情对线。我的付出兑现了价值就行！数据发挥了作用，成为了他人的养料。这是一种基础但实实在在的价值实现，我可以接受数据服务于个体价值。
而刷流者呢，他们伪装成一个正常的用户，欺骗我宝贵的上行带宽和服务器资源。他们根本没有对数据的实际需求，其唯一目的就是制造虚假流量来应对 ISP 的监控，给他自己获取利益。这是一种彻头彻尾的欺诈性索取。本质上是将个人利益（无论合理与否）粗暴地建立在牺牲、欺骗、并摧毁其他真正分享者的有限资源之上。它非但不是对抗 ISP 强权的“侠客行为”，反而是对同行者的“背后捅刀”，是数字世界的公敌与污点。对于这类披着 P2P 外衣的流量刷子、电子垃圾虫、损人不利己的赛博脑残，必须予以最强烈的鄙视、唾弃和防范！

🛡️ 尾声：系统恢复与安全启示

1. 监控的阈值，也是攻击者的标尺：攻击者显然针对性研究过参数，将攻击力度精准控制在阈值之下。这提醒我，需要设置更复杂的异常检测规则（如流量同比暴增、非常规时间段的活跃度），而不能只依赖静态阈值。
2. “低频分布式”攻击成为新常态：高调、暴力的攻击容易发现也容易防御。但这种低频、IP海量轮换、模仿正常行为的“慢性消耗”更难察觉。防御思路必须从“封堵单点”转向“识别行为模式”。本次是通过固定参数和异常User-Agent进行拦截。
3. 444状态码是个好东西啊：面对明确定义的恶意请求，直接返回 444（连接关闭） 而非403或404，能最大程度节省服务器资源（尤其是出站流量），让攻击者“偷不到”任何数据包，把损失降到最低。
4. 那个/?local_ga_js=XXXX其实是本地化 Google Analytics 统计代码，这样谷歌分析才能对中国用户生效（虽然谷歌分析的域名没被墙，但访问并不稳定）所以实际上最后用的 Nginx 配置文件是

# 放在 location / 之前
if ($arg_local_ga_js = "f78e59fd91e18c7a2940a914030e9743") {
    return 444;
}

要放过正常用户嘛。
5. 不过鉴于这位刷量的说不好也是订阅了我的博客，所以我又做了一些监控措施，以防他变招。

The post 对抗刷流攻击：我是如何通过Nginx防御“绅士刷流”并拯救服务器性能的 appeared first on 秋风于渭水.

最近我的 FreshRSS 阅读器出了一个怪现象：用来实现智能刷新订阅源的 AutoTTL 扩展在这个月初突然“罢工”了。具体表现为，我手动点击刷新后，它能按调整后的 TTL 时间更一次，之后就彻底“躺平”。所有订阅源的「下次更新时间」都卡在 pending，关掉 AutoTTL 反而能恢复正常自动刷新。

这问题有点意思，像是某个环节的状态机卡住了。作为一个喜欢刨根问底的人，我花了点时间深入排查，最终发现问题的根源竟是一个看似不相关的数据库警告。记录一下这次排查的全过程，给遇到类似问题的博友一个排故参考。

[toc]

FreshRSS 自动更新问题描述

FreshRSS 部署情况

• 运行环境：FreshRSS 与 PostgreSQL 均部署在 Docker 容器中。
• 软件版本：FreshRSS：V 1.27.1；PostgreSQL：V 15.15；AutoTTL： V 0.5.9。

FreshRSS 诡异现象

1. 在 FreshRSS 管理页面点击“手动更新”，所有订阅源能正常刷新。
2. AutoTTL 插件会在设定的 TTL 时间到达后，成功执行一次自动更新，刷新全部订阅源（其实并不，只是当时我以为是全刷新了）
3. 但在此之后，所有订阅源的“下次更新时间”全部显示为 pending，AutoTTL 的自动调度机制似乎完全停止工作。
4. 关键线索：关闭 AutoTTL 扩展后，FreshRSS 基础的计划任务反而能正常定时刷新。

FreshRSS 自动更新问题初步判断

问题的核心矛盾点很明确：

• 手动刷新有效：说明 FreshRSS 的核心更新脚本 actualize_script.php 和网络连接本身没问题。
• AutoTTL 自动调度失效：说明负责定时触发更新的“闹钟”——也就是 Cron 服务，或者 AutoTTL 扩展自身出了问题。
• 关闭 AutoTTL 后正常：这几乎将矛头直接指向了 AutoTTL 扩展。我第一感觉是插件冲突或者插件本身 Bug 了。

FreshRSS 自动更新问题排查

最讨厌这种“时灵时不灵”的问题，因为手动刷新后，AutoTTL 扩展居然还能正常工作一次（其实并不是正常工作，只是当时我没发现而已。其实这次会在更新到一半时卡住，但因为会更新一部分订阅源所以我当时一直以为订源被全部更新了）

第一步：先确保自己是在用最新版的软件

首先重新拉取一次镜像，并检查AutoTTL 扩展的实际版本，确保他们都是最新版，以防这个 bug 其实早就被修复了，只是我没更新，或者是两者某一方更新后，另一方没更新导致的兼容性问题。
经过检查，确认目前，FreshRSS、PostgreSQL、AutoTTL都是他们各自的最新版本了。

第二步：看眼前端日志

看眼日志里都有点啥问题，是不是某个订阅源有问题，导致卡死在它上边了
虽然日志中有很多类似报错

cURL error 28: Operation timed out
HTTP 503 Service Unavailable!
HTML+XPath Web scraping failed for 
Error fetching content: HTTP code 0: Could not resolve host:

但这基本都是订阅源本身的问题，比如触发了源的抓取频率限制，源站服务器卡了。并没有发现会引起订阅源无法更新的故障。于是这时我感觉肯定是扩展的锅，于是就跑去 github 给 AutoTTL 发了个 issues。
扩展作者mgnsk的回复提醒了我“How often does your cron run? A pending status means that the time for updating the feed has arrived but cron has not run yet.（cron 每隔多久运行一次？挂起状态意味着更新 feed 的时间已到，但 cron 尚未运行。）”

第三步：检查 Docker 内的 Cron 服务

FreshRSS 的自动更新依赖于容器内的 Cron 服务定时执行任务，既然自动更新卡住，那就先检查 cron 是不是正常工作。

1. 这里为了行文方便，先假定一些配置

   FreshRSS本体容器名：freshrss-app
   PostgreSQL数据库容器名：freshrss-db
   PostgreSQL数据库用户名：freshrss
   PostgreSQL数据库密码：freshrss
   

2. 进入容器：首先得进到容器内部看看。

   docker exec -it freshrss-app /bin/bash
   

3. 检查 Cron 状态：看下是不是 cron 服务宕了
   输入 service cron status，结果显示 cron is running.。嗯，系统级的 cron 在正常走，没问题。

4. 查看定时任务：看看具体定时任务是什么

   执行 crontab -l，看到了关键配置：

   */21 * * * * . /var/www/FreshRSS/Docker/env.txt; su www-data -s /bin/sh -c 'php /var/www/FreshRSS/app/actualize_script.php' 2>> /proc/1/fd/2 > /tmp/FreshRSS.log
   

这个配置设计得很周到：先加载环境变量文件，然后切换到 www-data 用户执行更新脚本，还把日志重定向了。

5. 手动执行定时任务：
   先不带参数执行一下试试
   • 直接键入 php /var/www/FreshRSS/app/actualize_script.php ：结果直接罢工了，好吧看来环境变量是必须的。
   • 那就带上参数试试. /var/www/FreshRSS/Docker/env.txt; su www-data -s /bin/sh -c 'php /var/www/FreshRSS/app/actualize_script.php' 结果订阅源正确刷新了！ 这说明Docker内，cron设置的更新命令本身和权限设置都是正确的，所以如果不使用 AutoTTL 时能正常更新是理所应当的。

第四步 研究下 AutoTTL 是如何工作的

AutoTTL 的工作原理，其实就是
1. 先根据每个订阅源历史上的平均更新间隔，最短更新间隔，计算出每个不同的订阅源，最合适的刷新间隔。
2. 拦截系统的cron，让他不是刷新所有订阅源，而是改为触发 AutoTTL，由 AutoTTL 去判断本次 cron 应该去刷新哪些订阅源。
3. 就在这时，我注意到了一个事情：AutoTTL 会往数据库里写数据并计算排序他们 既然刚才手动执行系统级 Cron 任务能成功，为什么自动运行时 AutoTTL 就不行呢？差别就在于“手动”和“自动”之间的环境差异。我意识到，刚才的输出信息我还没仔细看。

第五步：回头再看一眼刚才被忽略的警告日志

再次手动执行 Cron 任务，但这次我紧紧盯着终端输出。果然，在一堆刷新成功的提示信息之间，发现了一条 WARNING：

WARNING: database "freshrss" has a collation version mismatch
DETAIL: The database was created using collation version 2.36, but the operating system provides version 2.41.
HINT: Rebuild all objects in this database that use the default collation and run ALTER DATABASE freshrss REFRESH COLLATION VERSION, or build PostgreSQL with the right library version.

这个警告来自于 PostgreSQL 数据库。大意是：数据库的排序规则版本和操作系统提供的版本不匹配。通常是因为系统底层库升级了，但数据库对象还用的是旧规则。
我想起来，月初时服务器宕机了一次，被我顺势维护了一番，当属将所有能更新的 docker 都手动更新了一次，而日常docker 的自动更新是由 Watchtower 做的，为了稳定性，我并不允许 Watchtower 去更新 docker 中的数据库版本，这次我看 PostgreSQL 只是一个小版本升级（ 15.14 → 15.15 ）更新日志中没改啥东西，就顺手也给升级了。

第六步：修复数据库排序规则

根据警告信息的提示，我们需要对 PostgreSQL 数据库进行操作。

1. 连接至 PostgreSQL 数据库：

   # 进入 PostgreSQL 的容器，使用 psql 客户端连接
   docker exec -it freshrss-db psql -U freshrss -d freshrss
   

2. 重建数据库索引（重要）：
   在数据库连接中，执行以下 SQL 命令。执行以下命令，重建所有使用默认排序规则的数据库对象（主要是索引）以确保其与新版本的规则兼容。

   REINDEX DATABASE freshrss;
   

   这个过程可能会花费一些时间，取决于你数据库大小。

3. 刷新数据库的排序规则版本：
   重建完成后，重建完成后，执行 WARNING 提示中的命令，更新数据库的系统目录版本：

   ALTER DATABASE freshrss REFRESH COLLATION VERSION;
   

4. 在freshrss中手动刷新一次订阅源，耐心等待了下一个 Cron 周期…………好了 AutoTTL 正常工作了，订阅源能够按照 Adjusted TTL 定期自动更新，完成故障修复。

FreshRSS 自动更新，为什么因为“警告”就会导致故障？

我推测是这样的机制

1. 系统级 Cron 按时启动，AutoTTL拦截 Cron。
2. AutoTTL 开始工作，首先它会连接数据库，准备获取需要更新的订阅源列表。
3. AutoTTL 连接数据库执行初始查询，排序订阅源列表，确定现在哪些订阅源需要更新。
4. PostgreSQL 输出了这个排序规则不匹配的警告。这个警告信息可能被 AutoTTL 的错误处理机制捕获，导致脚本的执行流程被意外中断或挂起，但又没有抛出致命的错误，所以 FreshRSS 的日志中也不会有记录。
5. 于是，AutoTTL “静默”失败了。对 AutoTTL 插件来说，它感知到的状态就是“上一次更新任务启动后没正确结束”，所以它不敢再调度新的任务，所有状态便卡在了 pending。
6. 当我手动刷新时，绕过了 AutoTTL 的排序步骤， AutoTTL 只记录订阅源的最后刷新时刻，所以更新能成功。

总结与教训

1. 不要忽视任何警告（Warning）：尤其是数据库、系统底层的警告。它们可能不会立即导致服务崩溃，但会像“慢性病”一样，在特定条件下引发诡异的行为。
2. 日志是救命的黄金：不要感觉如果能跑 WARNING 日志就不需要，而只记录 ERROR 日志。这次如果放过日志中的 WARNING ，我可能还在插件代码里兜圈子。
3. 数据库升级需谨慎：在这之前我只锁死大版本，谁能想到这次小版本升级都能出事，Docker 官方实打实的给我上了一课。
4. Docker跑数据库需指定精确的版本号：数据库的 docker 镜像一定要写死版本，绝对不要使用 latest 标签，务必使用精确的版本号，以确保部署的一致性。最好连 Debian 版本号也指定上，也就是 17.6-bookworm 这样的版本号。为什么？比如这次的小版本更新中实际 隐含着一次 Linux 操作系统大版本升级。 你以为自己只是从 PostgreSQL 15.14 升级到 PostgreSQL 15.15 只是数据库的一次小版本号升级，但实际上 Docker 官方提供的 PostgreSQL 镜像，这次把运行 PostgreSQL 的操作系统从 Debian 12 升级到了 13 。这就导致 C 函数库 (glibc) 版本出现了跃迁 —— glibc 版本从 Debian 12 的 2.36 升级到了 Debian 13 的 2.41，而在这两个 glibc 版本中，排序规则发生了变化，这也就是本次故障产生的核心原因所在。

希望这篇记录能帮到遇到类似问题的朋友。如果你的 FreshRSS 或者其他使用了 PostgreSQL 的Docker 也出现了什么灵异现象，不妨先去检查一下数据库日志，说不定会有惊喜（或者说惊吓）。

具体这次 Docker 官方在 PostgreSQL 升级时做了什么，可以参考这篇文章《原地报废：不要在生产环境用Docker跑PostgreSQL！》

The post FreshRSS 自动更新订阅源失效排查：AutoTTL 扩展失效竟是 Docker 官方埋下的坑 appeared first on 秋风于渭水.

故障现象 为 Ubuntu 添加默认路由时，输入以下命令，系统提示「Error: Nexthop has invalid gateway」，意思为下一跳不可达。 解决方法 这是由于 Linux 系统在添加路由时，内核认为网关地址 172.16.7.1 不在 eno1 接口的本地子网内，导致报错。 实…

年更贴来啦,CloudCone 是一家提供各种虚拟私人服务器（VPS）托管服务的公司，主要特点是
便宜（总体来说挺便宜的）
IP干净（可以解锁奈飞、油管、迪士尼+ 等各种流媒体，ChatGPT、Gmini 等各种AI）
支持支付宝 （总有人没信用卡嘛）

[toc]

cloudcone IPV4 风险检测结果，不能算很好，但胜在便宜，并且视频和 AI 都是可以解锁的。
检测脚本bash <(curl -Ls IP.Check.Place)

注册 CloudCone

注册地址：https://app.cloudcone.com （可能需要魔法上网才能打开）
备用直连注册地址：https://app.cloudcone.com.cn

注册时资料信息尽量不要乱填，请符合你当时的浏览环境，以免触发风控！！！

新老用户积分领取

• 注册并登录后打开 BLACK FRIDAY 2025页面：
  https://app.cloudcone.com/events/blackfriday/ (可能需要魔法）
  https://app.cloudcone.com.cn/events/blackfriday/ （备用直连地址）

• 满足任务条件的情况下点击【Complete】即可。
  

• 积分可以兑换账户余额或者实物奖励。
  

CloudCone 黑五 VPS 闪购促销

目前 CloudCone 黑五闪购还未开始，建议提前注册账号，并收藏活动页面：https://app.cloudcone.com/events/blackfriday/，准点的时候去刷新页面，有各种不同的闪购促销，预计会有10~12$左右的年费VPS

2025年 CloudCone 黑五“攒积分兑礼品“活动答案

• How many data center locations does CloudCone currently operate in?
  CloudCone 目前在多少个数据中心位置运营？
  答案：3

• In which year was our Hosted Email service introduced？
  我们的托管电子邮件服务是在哪一年推出的？
  答案：2023

• How many Locations are available on our $56/Year CDN plan?
  我们的 56 美元/年 CDN 计划提供多少个地点？
  答案：15

• How much storage (GB) is available with the ‘Corporate’ subscription of our Hosted Email service？
  托管电子邮件服务的“企业”订阅提供多少存储空间 （GB）？
  答案：100

• What is the maximum number of disk bays that can be configured on your dedicated server?
  专用服务器上可以配置的最大磁盘托架数是多少？
  答案：6

• How much of RAID-10 SSD Disk comes with the SC2 Business Plan?
  SC10 商业计划附带多少 RAID-2 SSD 磁盘
  答案：80

结语

总的来说呢，CloudCone 的 VPS 价格实惠。如果您需要性价比高的美国解锁流媒体 VPS ，可以考虑关注一下。此外，在BLACK FRIDAY 2025 期间，您可以领取积分并兑换奖励。这个活动对新老用户都开放，简单凑一下可以换1刀出来，如果是老用户凑到5、10刀也很容易。建议提前注册账号，并等待黑五闪购促销。

我主要是买来做流媒体解锁，大硬盘中转数据的，放一点需要美国IP的小工具。
他家主要优势是便宜，大碗，注意这家是印度人开的，所以你懂的。只要你不需要找客服，那他家的体验就很完美。适合动手能力比较强，技术问题基本可以自己解决的用户。

CloudCone 注册地址：https://app.cloudcone.com （可能需要魔法上网）
CloudCone 备用直连注册地址：https://app.cloudcone.com.cn

The post CloudCone VPS 2025年黑五闪购积分活动答案 appeared first on 秋风于渭水.

本文本来是要写如何偶然修了一台街机跳舞机的网络故障，本来是个叙事故事，结果加上前因后果后就变成了一篇奇怪的散文了。

对付看吧。

只能说自己的书写能力变差了，写内容越写越歪，越写越跑题。

（注：修复网络故障的事件发生于2023年）

我的街机游戏史

我大概小学五年级才敢进游戏厅，那时候已经是1999年了，一年之后本地网吧就遍地开花了。所以我对街机游戏兴趣不大，就算是有电脑和模拟器之后，街机游戏翻来覆去也就那几个合金弹头而已。

跳舞机小时候就更是没玩过了。小时候我应该是比较标准的社恐，主要原因还是小时候的生活环境过于弱肉强食了，把人打到头破血流，或者选择当别人的狗腿子，或者选择自己蹲在角落抠泥巴（被前两种抓到了就要挨揍），三选一。

当然贵也是一个借口，本地街机一直是1毛钱1个币，赛车摩托车跳舞机都是多个币玩一把的。当时我兜里能有5毛钱就算宽裕了，更别说去街机厅的路上被拦路抢劫的概率高得离谱。一个币能把合金弹头X打到第四关，然后全死那，5毛钱我能玩一个星期。打个游戏都抠抠嗖嗖。

再后来网吧火起来之后，街机厅全改为赌博机了。再再后来本地就剩下一个正常点有游戏玩的街机厅，价格是一块钱一个币，这价格实在是太吓人了，但是好处是按键坏了立刻就有人修，没有以前那种机器坏了永远不修纯骗币的情况。但是这价格我实在承受不起，没去过。

再一次进街机已经是2013年了，当时去广州出差，见见网上认识的朋友，基本都是高中生，就在正佳广场楼上看他们打游戏，当时看他们是玩的那个 Konami 的 Kinect 体感跳舞机 Dance Evolution。我当时当然没敢玩，只觉得 Kinect 有意思。结果回去研究了一下，发现 Kinect 除了在 Dance Evolution 上产品化了之外，就只有 水果忍者。微软在 Kinect 上不仅把游戏机和PC分开，而且两边都没做什么开发，甚至还出了一个 Kinect2 ，最后都死了。

后来几年街机音游重新兴起，但我在北京没见过正版的，连太鼓达人我都只在奥体公园地下的游戏厅见到过山寨版（有中文歌却是个优点）。当时在北京的朋友每天坐地铁去长春桥站的金源玩音游，北京那破交通，出门一天几个小时全在地铁里，也就北京土著才有这个心情这么玩。

后来在广州的半年，我也是一个一个以前的广州网友都没见到。没了学生的单纯之后，广州佬基本都是势利眼，没权没势的话生活就没有交集了，人家对你一点兴趣都起不来。

2019年回了黑龙江之后，这地方落后是综合性的，所有方面平均比一般城市落后5年左右，新鲜事物妥妥的啥都没有，5年前是新鲜的玩意在这没了线上支持，也是落灰的废铁。

初次接触E舞成名

我家里人都是那种闲时就无事可做的人。小时候也经常把我一个人反锁在房间里，一锁就是一个寒暑假。现在也是一样，唯独现在难受的是他们，啥也干不了+啥也不会干，一点娱乐手段都不会，现在就只能扭曲的躺在床上用手机刷短视频，一刷就是几个小时。

只不过他们觉得这种生活才是正常的。在老家，所有节假日都得去我外公家，外公家现在只是一个一居室大开间（进屋就是卧室，厨房阳台就是三块落地玻璃墙，只有厕所是单独房间），于是所有节假日都是全天候至少两台手机以最大音量外放短视频，偶尔还要打开电视大音量放电视里的广告。

纯煎熬。

只能出门，又不能远走。

外公家的位置属于全区里老年人最多的区域，虽然有一个高中和一个小学，但是这个高中是全是最差的，生源太蠢完全没有消费力；小学院子里甚至在养鹅，根本看不出来是否还有学生。整个区域出了开几个月就倒闭的大中小饭店之外，连个冷饮店奶茶店都没有。

好在1.5公里之外就是市中心，全市唯一的商圈。有公共自行车的话骑过去也就10分钟。家里人有事同样骑公共自行车的话10分钟也能赶回去。

但市中心也是屁玩的东西都没有。寸土寸金的地方，全都坐起来极为难受的送客椅，就更别说人多的地方外放短视频的人更多。

有个商场的顶楼开了个游戏厅，爬上去看了下，虽然赌博机还在，传统街机（名为月光宝盒的模拟器）只有5台，坏了2太。但店里大部分都是抓娃娃机，非节假日人特别少。

我的原则是，自己能在家玩的东西，就不在外面浪费钱。（但还是玩了合金弹头、俄罗斯方块大师2、魔法气泡2、Shock Troopers 2）

然后发现这家街机厅有个国产的跳舞机，E舞成名，设计很人性化，尤其是，最初的Sega跳舞机踏板是正十字键模式的，映射到屏幕上时上下两个箭头的位置与实际踏板根本不挨着，反直觉的。这个E舞成名的踏板是斜十字的，左上左下右上右下加上中键5个踏板，和屏幕映射是相同的，而且这机器还带有手部感应，有一丁点 Kinect 的味道（此时 Kinect 体感已经灭绝了，Komani 的跳舞游戏的体感已经移动到 NS 和 手机上了）。

也就这么个机会，开始玩 E舞成名 了。

后来还在网上买了个会员卡。

社恐？我现在不是社恐了。我现在只是个单纯的反社会份子。就现在烂短视频烂大街的社会环境，人人都跟精神病一样没事就发癫，别人有什么看法跟我没啥关系。

E舞成名网络版（旧版）

前文也说了，本地实际很落后的。

这街机厅其实也易主多次了，这机器应该是10年前买的，根据店员的说法，当时这个店面甚至都不是现在的老板，不论机器还是店面都易手过很多次

也就是说，这 E舞成名 的机器也是古董，搜了一下，最初的厂家早就没有了，整个产品线被多个厂家接盘的好多次，但现在仍然有线上服务支持，甚至有很现代化的微信小程序。（对比 SEGA/华立 的 maimai舞萌/中二 只有个微信服务号，其页面的设计理念还是20年前的Web设计模式）

前几年官方在猛推 E舞成名升级版 的机台，简单来讲：

（大前提：大量歌曲只有会员才能玩，其他权益不影响游戏性）

旧版只有个一次买断的会员卡，卡片是个NFC卡，绑定微信后，在机器上刷卡玩。想要当会员必须买实体卡。一次性买断制但是店里不一定有卡，卡片价格也可能有很大水分。
升级版是手机扫码，只要有手机微信就能获得会员资格，但是会员是 月费/年费 模式的。订阅制但不需要实体卡

作为玩家我当然是钟爱买断制的。
但是如果让我以开发者的角度考虑的话，维护一个 如此长尾 的项目，当然也会期望一直能有收入，而不是看着账上一直零收入但是天天都要烧服务端的维护费。

断网故障和修复

这机器是个老古董，还能工作就很不错了。其实平时故障也蛮多的。

本身街机厅问题也蛮多的。他们每天下班都把网线拔掉。事实上街机厅关电源也都是直接拔电线。有一阵这跳舞机只要开机就卡死。街机厅当然也是经典的“有问题就重启”，当然没有“重装”和“换机器”这两步。

2023年秋天的时候，这机器就突然不能连网了，不论店员如何的“反复重启”和“插拔网线”都没效果。虽然不能连网最多只能造成会员不能刷卡玩会员歌曲，但貌似有会员卡的人还不少，有点影响生意了。

终于有一天，店员决定找线上客服把这问题解决了。

把机器打开，接上键盘和显示器，决定一看究竟。

然后第一步他们就卡住了。“后台一直无法登录，账号密码输入不进去”

在那卡了半个小时，第一步都进行不下去，就看着电源蹲在地上拿着手机在微信上跟客服驴唇不对马嘴的无限拉扯。我实在看不下去了，决定介入。

当时那几位店员倒是很好说话，一点也不遮掩，直接把他的手机给我看，账号密码也给我看了。

转头我拿过键盘看显示器，瞬间明白店员为啥卡住了。

界面是 Ubuntu 11.04 的底层登录界面，输入完账号 root 之后，输入密码的阶段是不显示 星号占位符 的。但是即使没有占位符问题，店员输入密码后也没成功登录，因为 密码是数字 但 Ubuntu 启动后默认 Num 是关闭的，小键盘不能直接输入数字，而店员一直尝试只用小键盘输入密码。

使用 root 账号登录到底层后，我没看文档，也没有跟客服沟通，上来直接检查了网卡状态和配置文件。 Ubuntu 11.04 这个版本是比较奇葩的，没有传统的 ifconfig 命令，默认 curl 也没有安装，连nslookup都不能用，但是有 wget。

（我也不吐嘈为什么用 Ubuntu 11.04 这种短期版本而不是 LTS 长期版本了。8.04 LTS 过于简陋根本没法用，而 10.04 就是个坑爹的玩意。其实我觉得肯用 Linux 已经很不错了）

检查了一下，这台 Ubuntu 机器有双网卡，两个网卡都是接线状态，route 能看到一条默认路由，ping IP 和 ping baidu 都能通，但是 wget www.baidu.com 时，TCP请求会被 reset。

我以为这个 tcp reset 是病根儿，于是想跟店员确认一下这跟网线上游是啥，结果店员说这跟线就插在这一个跳舞机，上游是商场网络，其他连网的游戏机都连的其他线，他们也缕不清，他们甚至自己手机上网都蹭楼下饭店的，自己店里的WiFi只给游戏机用。

（这都什么网络拓扑）

初步怀疑是这跟网线上不去网。但又不像是那种需要界面认证的情况，因为跳转认证一般是劫持 http 请求然后跳转，现在这现象只要是 TCP 请求，不论什么端口，都会被 Reset。

店员又翻出来一个古董台式机，开机插上这根网线后之后，能够正常上网。

翻车啦。

这下我也搞不定了。

把手头所有情况都整理了一下，用店员的微信把所有细节都发给了客服。结果客服让我执行几个shell脚本。执行那几个脚本之前，我用 cat | more 查看了一下脚本对应的内容（没错这系统里连vi和less都没装），结果发现就是几个检查网络状态的脚本（包括ping百度），我说这些内容我都检查过了，刚才不是全都发给你了吗。结果对面执意让我重新执行一遍这些脚本。

我才突然意识到，对面可能根本就看不懂我写的那些什么 ping 能通但是 tcp 不通，他就是只会照着个手册念经罢了。

陪他念完经之后，把所有输出，拍照发给客服，啥问题都没看出来。

本以为到这里就结束了。

结果经文竟有后续。 客服说接下来看另一台机器。

第二台PC

没错这里面不仅仅是一台PC主机，是 两台 !

仔细观察这里面的玩意后，实际里面是两台主机，一台交换机，一台功放，以及一个连外壳都没有的电路板。

实际游戏并不跑在我之前检查的的那台主机上的。

这回是把键盘鼠标插到机器里的另一个机箱上，但是另一个机箱上只有一个空闲的USB接口。

先插键盘，然后按下指定案件之后，这游戏机最上面的显示器（这游戏一共三个显示器）变成了 WindowsXP 界面。然后客服说检查这台机器的网络配置。

（于是刚才高兴游戏机是用Linux开发的观点碎了一地。当然，本身在Linux上做游戏图形开发本身就很困难，即使是现在2025年有SDL2甚至SDL3这种神器的加成下，大部分开发者也得被Linux的图形开发的性能问题恶心够呛）

店员还犯愁怎么接鼠标呢。我：WindowsXP 要啥鼠标，然后用键盘直接进了控制面板，进网络。

然后就破案了：没有网卡，这就怪不得一直没网络连接了。

但是，破案了但又没破案。

网卡怎么还能没呢，尤其是这主机用的是板载网卡，不是PCI-e网卡，更不是USB网卡，怎么网卡还能没呢。

既想不出来问题怎么出现的，也想不出来怎么解决这个问题。

最后我只能假设可能是硬件过老，网卡的芯片自己坏掉了。解决办法是网上十几块钱买个便宜的USB网卡凑合，但是由于这机器只有一个可用的USB接口，所以可能还得买个USB Hub？反正总比把主机或主板拆下来维修或者更换更划算。

真相的背后还有真相

本来以为这事情就要这么结束了。

结果微信客服那突然来了一句：“开机重启进BIOS看看网络设置”，我还纳闷儿呢这搞什么。

死马当活马医呗。

重启机器，只有最顶端的显示器亮着，不仅如此，图像还是颠倒的，搞不明白怎么回事，是在BIOS里被设置旋转了180度？

进了BIOS，结果界面语言竟是西班牙语。这要是长得和英语很像的法语我还能蒙出来，西班牙语我完全不懂。

问了下店员，店员说店里肯定没人会动这玩意，屏幕上下颠倒也是很久以前的事情了，上次进BIOS可能是几年前，而当时那个员工都离职1年了。

在旋转了180度的西班牙界面上翻了半天，终于找到了语言选项，把语言设置成简体中文，然后进外设标签页，看到集成网卡被设置成了 关闭 。

又破案了。

（但也更玄幻了）

把集成网卡设置改为启动，重启机器，网络功能就恢复了。

当时已经是晚上接近6点了，马上就没有公交车了。于是我随便聊了两句就走了。（结果还是没有赶上公交车，因为本地公交车并不按时下班收车。花3块钱骑的电动助力车回家）

下一次去街机厅的时候，店员表示很感谢，然后“给师傅来瓶冰红茶”

后续

后来本地的公共自行车没有了，想要去的话走路要很久（我的步行速度是10分钟一公里），坐公交车也需要很久（公交车平均15分钟一班），去的频率大幅减少了。

再后来当时的店员陆陆续续都看不到了。

以前聊天的时候他们说之前都是在其他外市的连锁门店工作过，我以为它们是又被调去其他店面工作了，毕竟本市也不是他们老家。

今年夏天的时候这个街机厅扩营，店面的面积翻了一倍，但是只是加了几个赛车机器和摩托车机器。原来的员工基本上全都看不见了，现在只认识打扫卫生的阿姨。我问阿姨以前那些员工都去哪了，阿姨说：“那些人不是被调走了，是离职了。”

跳舞机也是大部分时间都不连网（没插网线），有时跟前台说一下，他们会给插网线。但有几次直接说连不上网，然后看着几个看着很莽的员工就在那鼓捣网线，一个个牛逼得不行。

瞬间就没有玩下去的欲望了。

最近把电脑上面的Linux系统给重装了，同时呢也要配置新的MacBook，就整理了一个个人的dotfile，这里分享一下linux上的我主要使用的软件，以及我的dotfile内容。

什么是Dotfile

dotfile字面意思就是以.开头的文件，在Linux当中就是隐藏文件，我们大家说的一般指的就是配置文件，比如shell的.bashrc、.profile文件等。我在整理自己的dotfile的时候参考了一些网上大神的dotfile文件，这里我主要是包含我的shell的一些配置文件，vim、git、rime相关的文件。

我的 Dotfile

为了保持Linux和Mac系统的统一， 我将Linux的Shell也换成了zsh，同时为了简单并没有使用oh-my-zsh，只是添加了一些自己常用的aliases。

而Vim则使用neovim，它相当于是重新开发的，我想比vim应该代码上面更加高效，毕竟少了很多的历史包袱。另外它的配置文件可以使用Lua进行编写，而不是使用vim script，这样也是它的一大优点。

除了配置之外，还增加了脚本用用于将这些配置文件自动拷贝到对应的目录，使用以下代码判断是Linux系统还是Mac系统：

1
2
3
4
5

if [ "$(uname -s)" == "Darwin" ]; then
 //action for mac
else
 //action for linux
fi

另外呢，对于Mac系统，在初始化脚本中还添加了homebrew的安装，并且通过使用Brewfile在定义需要安装的一些软件，这样在执行brew bundle的时候可以把这些软件都安装上去。

对于Linux的目前还没做啥，都是通过自己手动安装的，不过一些操作也记录到了shell文件当中了。

Linux上的软件

既然写了文章，就顺便分享一下我的Linux上面还在用的软件吧。 首先是Shell，为了跟Mac保持统一，也改用了zsh，如果你也想要设置zsh为你的默认shell，可以执行如下命令并重启（前提你已经安装的zsh):

1

 sudo chsh -s $(which zsh) $USER

编辑器目前在用的有三款，主要在用neovim，同时代码文件还会使用vscode，因为有些场景neovim操作比较麻烦（对于快捷键不太熟悉），最近也在使用阮一峰老师之前推荐过的zed，据说比vscode性能更高，目前体验是对于很多语言的支持是已经内置了，不需要在安装插件，这点是好评的。

输入法在使用Fcitx5，输入方案则是使用了Rime，Rime的配置则是参考了雾凇拼音，而我主要使用小鹤双拼。

其他还在使用的软件包括：

项目开发： Android studio

截图软件：Flameshot

启动器： ULauncher， 使用简单，支持的插件数量也比较多

文档搜索： Zeal doc，mac 上面dash的window和linux平台开源版本，支持dash的文档。

文件同步： Syncthing

局域网文件传输： LocalSend

聊天软件： Weixin, telegram

文档和博客编辑： Obsidian

网页浏览器： Edge

Linux 开启zram

我的电脑已经有32G的内存了，大部分时候是够用的，但是编译Android系统的时候就不够用了。因此需要想办法，一种方式是弄一个swap空间，但是swap的速度不是很快，经过查询资料了解到现在linux已经有了一种新的虚拟内存技术，也就是zram，它主要功能是虚拟内存压缩，它是通过在RAM中压缩设备的分页，避免在磁盘分页，从而提高性能。

而想要启用它其实很简单，在我们的Ubuntu中，只需要首先关闭原先的swap空间，编辑/etc/fstab文件，将其中的swapfile条目注释掉。之后调用如下命令：

1

sudo swapoff /swapfile

如果你本来就没有设置swap，那就不需要做上面的操作，直接安装zram-config:

1
2
3

sudo apt install zram-config
systemctl enable zram-config //设置开机启动开启zram的服务
systemctl start zram-config //启动zram服务

之后可以调用如下命令验证：

1

cat /proc/swaps

我们在系统监控里面也能看到，不过还是swap。 以上方式开启的zram为物理内存的一半大小，当然也是可以修改的。 修改/usr/bin/init-zram-swapping文件中的mem大小即可。

如果对于我的dotfile感兴趣，可以查看我的repo， 地址为： https://github.com/sangmingming/dotfiles,其中我提到的初始化脚本为script/bootstrap文件。

看完评论一下吧

好久之前便听朋友说起Sublime Text这款软件很好用，终于这几天有空折腾，把软件给装起来了。用起来确实很不错，写代码很爽。
但是用了一段时间之后，我需要输入中文了，无论怎么切换输入法，都无法切换到中文。

网上搜索了一下，原来这是Bug。找解决方法吧。下面介绍我的解决方案，是大神cjacker解决成功的啦，我只是copy一下，方便大家在遇到这个问题的时候可以方便解决。

 我的系统：ubuntu 13.04
我的输入法：fcitx
sublime版本：3059

理论上支持 sublime text2/3

1.保存代码sublime-imfix.c

/*
sublime-imfix.c
Use LD_PRELOAD to interpose some function to fix sublime input method support for linux.
By Cjacker Huang <jianzhong.huang at i-soft.com.cn>
gcc -shared -o libsublime-imfix.so sublime_imfix.c `pkg-config --libs --cflags gtk+-2.0` -fPIC
LD_PRELOAD=./libsublime-imfix.so sublime_text
*/
#include <gtk/gtk.h>
#include <gdk/gdkx.h>
typedef GdkSegment GdkRegionBox;
struct _GdkRegion
{
long size;
long numRects;
GdkRegionBox *rects;
GdkRegionBox extents;
};
GtkIMContext *local_context;
void
gdk_region_get_clipbox (const GdkRegion *region,
GdkRectangle *rectangle)
{
g_return_if_fail (region != NULL);
g_return_if_fail (rectangle != NULL);
rectangle->x = region->extents.x1;
rectangle->y = region->extents.y1;
rectangle->width = region->extents.x2 - region->extents.x1;
rectangle->height = region->extents.y2 - region->extents.y1;
GdkRectangle rect;
rect.x = rectangle->x;
rect.y = rectangle->y;
rect.width = 0;
rect.height = rectangle->height;
//The caret width is 2;
//Maybe sometimes we will make a mistake, but for most of the time, it should be the caret.
if(rectangle->width == 2 && GTK_IS_IM_CONTEXT(local_context)) {
gtk_im_context_set_cursor_location(local_context, rectangle);
}
}
//this is needed, for example, if you input something in file dialog and return back the edit area
//context will lost, so here we set it again.
static GdkFilterReturn event_filter (GdkXEvent *xevent, GdkEvent *event, gpointer im_context)
{
XEvent *xev = (XEvent *)xevent;
if(xev->type == KeyRelease && GTK_IS_IM_CONTEXT(im_context)) {
GdkWindow * win = g_object_get_data(G_OBJECT(im_context),"window");
if(GDK_IS_WINDOW(win))
gtk_im_context_set_client_window(im_context, win);
}
return GDK_FILTER_CONTINUE;
}
void gtk_im_context_set_client_window (GtkIMContext *context,
GdkWindow *window)
{
GtkIMContextClass *klass;
g_return_if_fail (GTK_IS_IM_CONTEXT (context));
klass = GTK_IM_CONTEXT_GET_CLASS (context);
if (klass->set_client_window)
klass->set_client_window (context, window);
if(!GDK_IS_WINDOW (window))
return;
g_object_set_data(G_OBJECT(context),"window",window);
int width = gdk_window_get_width(window);
int height = gdk_window_get_height(window);
if(width != 0 && height !=0) {
gtk_im_context_focus_in(context);
local_context = context;
}
gdk_window_add_filter (window, event_filter, context);
}

2.安装C/C++的编译环境和gtk libgtk2.0-dev

sudo apt-get install build-essential
sudo apt-get install libgtk2.0-dev

3.编译共享内存

gcc -shared -o libsublime-imfix.so sublime_imfix.c `pkg-config --libs --cflags gtk+-2.0` -fPIC

4.启动测试

LD_PRELOAD = ./libsublime-imfix.so sublime_text

正常的话这样是没有问题的。

然后我们在修改我们的desktop文件，使图标也可以使用

sudo vi /usr/share/applications/sublime-text.desktop

先将so文件移动到sublime text的目录

然后按照如下替换（主要是每次执行之前，去预加载我们的libsublime-imfix.so库）

[Desktop Entry]
Version=1.0
Type=Application
Name=Sublime Text
GenericName=Text Editor
Comment=Sophisticated text editor for code, markup and prose
Exec=bash -c 'LD_PRELOAD=/opt/sublime_text/libsublime-imfix.so /opt/sublime_text/sublime_text' %F
Terminal=false
MimeType=text/plain;
Icon=sublime-text
Categories=TextEditor;Development;
StartupNotify=true
Actions=Window;Document;
[Desktop Action Window]
Name=New Window
Exec=bash -c 'LD_PRELOAD=/opt/sublime_text/libsublime-imfix.so /opt/sublime_text/sublime_text' -n
OnlyShowIn=Unity;
[Desktop Action Document]
Name=New File
Exec=bash -c 'LD_PRELOAD=/opt/sublime_text/libsublime-imfix.so /opt/sublime_text/sublime_text' --command new_file
OnlyShowIn=Unity;

看完评论一下吧

回来收拾了一下我的小树莓派，又继续用上了~