本週學習 2021/04/28

by

OSX-KVM 和 macos-Simple-KVM

  • 沒辦法直接 passthrough 單一 USB 裝置,需要利用 IOMMU 功能 passthrough 整個 PCI USB controller
  • 如果電腦上只有一個 USB controller 就不能用了
  • 如果要更新 minor OS release 的話建議先更新 bootloader (Clover/OpenCore)

隱私

科學

本週學習:fcitx vs 鼠鬚管, Nextcloud

by

fcitx vs 鼠鬚管

升級了 macOS 的鼠鬚管,踩到一個 bug ,依照 @grasonchan 的 workaround 成功解決。額外發現他寫的鼠鬚管外觀設定很不錯,是配合 macOS 內建的輸入法的外觀去設計的,他的 repo 內另有一些不錯的設定可以參考。

Linux 上 fcitx 的外觀一向醜醜的,於是研究了一下有沒有類似的主題可以用,發現沒有。要把鼠鬚管的外觀移植給 fcitx 使用也不太容易,比如說鼠鬚管可以輕易做到輸入框圓角,但 fcitx 還是得靠圖檔

我找到的 fcitx 主題:

製作主題的話可以參考 fcitx-nord-skin 的設定檔,裡面有每個設定值的註解 https://github.com/Yucklys/fcitx-nord-skin/blob/master/nord-dark/fcitx_skin.conf

Nextcloud 相片、筆記、日曆、通訊錄設定

總算是用 RPi 4 4GB 架好一套新 Nextcloud ,之前在 3b+ 上面慢到不行,在 4 上面感覺還可以接受。我是用 Nginx + Postgres + PHP-FPM 7.4。

架完之後發現 Nextcloud 最近發展的很不錯,手機 app 改進了很多。

主 app 採用了跟 Google 雲端硬碟類似的界面:

另外也有筆記 app,可以稍微取代 Google Keep :

Nextcloud 使用上還有幾個問題,像我的相片資料夾是在 NAS 上,全 NAS 是透過 NFS 掛載在 RPi 上面,但是是在 Nextcloud 資料目錄外,所以我一開始使用外部儲存功能把它加進來。但後來發現相片插件不支援外部儲存。暫時的解法是用 mount --bind 把相片資料夾 bind mount 進 Nextcloud 的使用者目錄下,這樣就算是在 Nextcloud 資料目錄裡面了。

另外我也順手修了一些翻譯

手機喇叭太小聲

似乎是第三方 ROM 常見的問題。我安裝了論壇上提供的設定檔之後,麥克風收音又變得太大聲,應該是增益調太高導致 clipping distortion ,所以又嘗試幾次調整出適當的設定

開源的手機天氣 app

https://f-droid.org/zh_Hant/packages/de.beowulf.wetter/

使用 OpenWeatherMap.org ,這個網站的天氣預報是用他們自己的機器學習演算法預測的,而且產出的結果使用開放授權。

本週學習 2021/02/28

by

Cloudflare Workers

之前有一段時間住處的網路不知道為何連到 Google 非常慢,但是到 Cloudflare 很快。(大概是因為 Cloudflare 的 edge 比較多?)

為了想要看存在 google drive 的電影,找了一下各種解決方案,後來找到這個 https://github.com/maple3142/GDIndex 。架了用了非常滿意。

Cloudflare workers 太強大,讓我一直在思考還可以拿他來幹嘛,其中一個想法是把它當 HTTP proxy server。

調查了一下, HTTP proxy server 運作是基於 CONNECT method, RFC 規定 CONNECT 之後伺服器必須和客戶端指定的上游建立 TCP 連線(不只是 HTTP 哦),然後幫忙轉遞客戶端和上游之間的 TCP 資料流。

這對於 Cloudflare worker 就很麻煩,因為它的 API 沒辦法直接建立 raw TCP socket ,只有 Fetch (HTTP)

所以結論是,不行,沒辦法用 Cloudflare workers 架設基於 HTTP CONNECT 的 proxy。

不過還是可以拿 workers 架設普通的 reverse proxy 。

我在想如果用 workers 架 reverse proxy 會不會可以繞過一些防爬蟲機制,因為畢竟是 cloudflare IP ,正常服務供應商即使做防爬蟲也可能設定 cloudflare IP 為白名單?類似於說網站不想要把來自 Google 的流量封掉因為可能是搜尋引擎的爬蟲?

ClubHouse 到底安不安全?需要先問幾個問題

by

前幾個禮拜開始, ClubHouse 在台灣蔚為風尚,隨後不久,就有台灣網友發現 ClubHouse 背後使用的音訊串流技術,是來自中國的 Agora (聲網)公司,引發一波對 ClubHouse 的資安疑慮。網友並提到,聲網公司的其中一個產品,可以對中文音頻內容進行即時偵測和審查,雖然並無證據指出 ClubHouse 有使用這個言論審查的產品,但確定的是 ClubHouse 有使用聲網的其中一個服務(至少根據媒體報導),因此略微有言論審查和監控的疑慮。

幾天之後,有台灣資訊技術圈人士分享從聲網 CTO 聽到的 ClubHouse 技術細節。也有人把 app 拆開看一下裡面有包含什麼元件。這些技術資料雖然並沒有不準確,但若要回答「ClubHouse 安不安全?」這個問題,單看這些技術資料是不夠的。

如何判斷一個應用程式安不安全?

跟大部分專業領域的問題一樣,若要認真回答這個問題,要先反問:「你對安全的定義為何?」這時候就會開始收到各種答案(以 ClubHouse 為例):

  1. 安全就是這個應用程式不會偷我的個資
  2. 安全就是怪人不能隨便進來我的 ClubHouse 房間
  3. 安全就是我不會因為在 ClubHouse 的發言就被查水錶

你應該已經猜到了,以上這些回答都還是很不精確、漏洞百出,可以再接著問下去:

  1. 何謂偷?何謂個資?
  2. 怪人的定義為何?
  3. 查水錶的定義為何?

這樣會沒完沒了,而且即使有問完這些問題的一天,從資安專業的角度看來這些資訊還是非常褊狹,會有各種發問者沒有考慮到的狀況,難以涵蓋「安全」的各種層面。所以通常在討論一個應用程式(或是一個線上服務、一個硬體產品等等)安不安全的時候,我們一次只能在特定範圍和情境下討論安全。如果不限定情境地去討論安全,那是沒有意義的,舉例來說,位在美國的美國公民和位在中國的中國公民,資安上要考慮的事情就差很多。

資訊安全領域中,面對此問題,通常會先進行威脅建模。也就是透過一個預先指定好的框架,去系統性的分析資訊安全的考量(甚至是人身安全可能也可以這樣分析)。威脅建模若要複雜起來可以很複雜,也有各種方法可以去輔助這個釐清的流程,但如果以最簡單的方式出發,其實只需要思考這幾個問題

  1. 我要保護什麼?
  2. 我想保護它免於誰的攻擊?
  3. 如果保護失敗了,後果是什麼?有多糟?
  4. 這攻擊發生的機率有多大?
  5. 我願意花多少心力去避免攻擊一旦成功的後果?

另外需注意到,以上這些問題,很多都牽涉「我」。這些問題很可能對於每個人來說答案都不一樣。如果把「我」這個考慮的範圍太過放大,一次考慮太多人,就會發生因為各種差異而難以討論的問題。

手機應用程式的通病

現今很多網路服務和應用程式都是使用免費來吸引使用者,然後再收集使用者有價值的個人資料來牟利,因此形成幾個大部分人應該都會在意的問題。但對大部分人和應用程式來說,資安問題通常也不會僅止於此

我隨便舉例幾個現今手機應用程式常見的問題:

  1. 收集裝置識別碼和其他裝置資料來追蹤使用者,做得好的話可以跨平臺追蹤使用者。舉例來說可能可以得知這個使用者在拍賣 App 裡面搜尋的關鍵詞,然後他又去比價網站搜尋了其他關鍵詞,然後又造訪某個新聞網站等等。
  2. 透過使用者同意上傳的通訊錄分析使用者的社交圈,以便進行更好的產品推薦,或是對使用者的社交圈的人進一步行銷產品等等。
  3. 整合各種第三方(應用程式開發者之外的)平臺到應用程式內,讓第三方平臺得以跨應用程式收集使用者資料,等於是這些應用程式讓這些第三方平臺來收集使用者個資。第三方平臺通常包含 Facebook, Google ,所以你在應用程式內的瀏覽紀錄會分享給 Facebook 。
  4. 在後端配合應用程式運行的伺服器安全設定不佳,導致資料外洩。

應用程式資安分析

以上的通病和所有其他的資安問題的實際存在與否,都需要進行分析才能得知。針對應用程式的資安分析通常是去細部地觀察應用程式執行時的行為(動態分析),還有應用程式本身的程式碼設計(靜態分析),統稱為「逆向工程」 (reverse engineering)。

逆向工程的過程通常耗時費力,因為應用程式在開發的時候所包含的所有資訊,一部分在編譯和發佈的時候就會被剔除,因此增加逆向工程師理解程式運行邏輯的難度。

更何況應用程式的資訊安全有多種面向,例如《OWASP Mobile Application Security Verification Standard》裡面就包含了八大項。或是台灣自己的行動應用資安聯盟訂立的標準

因此在短時間內,不太可能收集到完整的證據去指出一個應用程式是否安全。更何況每個人對安全的定義還不一樣。

所以我其實不知道 ClubHouse 到底安不安全,因為研究就還沒有結論。

妄下結論

現階段(2021/2/14)的資料並不能對 ClubHouse 的安全性蓋棺論定。現階段我們能做的,是就已公開的資料去評估可信度和他對我們個人資訊安全的影響。換句話說,我並不認為現階段的資料足以支持讓資安專家作出通用的建議,但如果個人硬要去考慮到底要不要用它,可以從現有的資料中就個人的狀況去評估(進行威脅建模)。

這幾年台灣很常見的狀況(網友、媒體、政府),就是把這些初步研究的資料,拿來當作是完整的證據,再下一個沒有道理的結論。舉例來說,應該有很多人聽過「抖音是中國來的軟體,資安有問題,不要用」這個說法,它其實漏洞百出:

  1. 中國來的是指他的開發人員是中國人?是指中國境內還是全世界不特定地點的中國國籍者?還是說他的公司註冊於中國?還是公司的投資者是中國人?
  2. 中國來的軟體資安一定有問題?
  3. 資安有問題的軟體一定不能用?

這些問題,應該如此思考:

  1. 查查維基百科就會發現抖音和 TikTok 是不同的軟體、也是不互通的平台,兩個都同屬一家公司 ByteDance ,ByteDance 總部位於中國等等。
  2. 基於 1 得知的資訊,納入威脅建模的考慮。比如說: ByteDance 的主要開發和應用團隊位於中國,基於中國的法律環境(如國家安全法),中國政府應有法律上的權力去取得 ByteDance 旗下平台的用戶資料。而我不想要讓中國政府有機會蒐集關於我的資料,因此我不用這個 app。
  3. 威脅建模也可能會導出其他結論,比如說有人可能長住中國,已經在當地另外買了手機和門號,新手機的資料和舊手機的資料不互通,所以即使 ByteDance 配合中國政府交出用戶資料他也只能收集到新手機的部分,因此是可接受的風險,並且抖音可能提供了重要的社交功能,因此總結可接受的風險和重要生活功能,結論是可以用。

ClubHouse 現在也是類似,只有證據指出 ClubHouse 使用了 Agora 的服務,而 Agora 是一間中國公司,除此之外都是未經證實的說法。目前只能就這少少的資訊去考慮要不要用 ClubHouse 而已。

如果是一般民眾對於資安不知道該如何思考就算了,偏偏台灣政府裡面也有不少人也是使用這種無腦態度做決策。比如說「台積電是護國神山,新的數位晶片身份證就是採用了台積電製造的晶片,因此絕對安全」,這說法實在跟「抖音是中國來的軟體,資安有問題,不要用」一樣無腦。對於涉及資訊安全的公共決策,應該是要基於務實的資安技術分析、威脅建模、政策研究、成本效益分析等等,而不是用上面一句話做完結論。

2020 年 4 月關於 Zoom 資安的討論也是這樣,雖然已有眾多技術證據指出 Zoom 的資安漏洞,但教育部僅以一紙簡短公文就突然禁用,只因為「有資安疑慮」就禁用,顯然沒有經過更深一層的考慮,去思考「這些資安漏洞是否真的會影響到教育使用的情境」,實際上即使 Zoom 的加密很弱,但教育情境下會透過 Zoom 傳遞的內容本來似乎就不需要高保密性,在不需要高保密性的狀況下,也應該考量軟體本身的功能和方便性可以為教育情境帶來的好處,還有禁用之後的替代品問題。

對於一個不知道安全性如何的應用程式,我也不知道如何進行威脅建模的話,我可以用嗎?

這個就是個人選擇,有點像新出的未核准的藥物要給你加入實驗來試用,你要不要用?

以資訊安全領域來說,我自己是不會用啦,可以先等等讓別人去當白老鼠,不用這個 app 也不會死。但如果是藥物的話,考量就有可能不一樣了。

如果非用不可的話,我會買另一隻手機、註冊另一個電話號碼來用這個 app。沒錢買第二隻手機怎麼辦?沒有付出就別想要有安全啦。

免費、安全、好用三者難以同時存在,只有少數自由開源軟體是例外。

改變資安文化

台灣偶爾會有媒體把食品送到檢驗機構看看安不安全,我覺得對應用程式也應該要做類似的事情,像上述的行動應用資安聯盟應該有能力做。

廠商應該要更清楚地說明他們收集的個資、所做的安全防護、盈利模式,甚至是資安稽核報告。

使用者應該貨比三家,比較產品的功能之外,也比較產品的隱私和安全性,還有隱私政策和使用條款,而且不要只相信廠商講的,也要看獨立的資安研究。並且更主動地拒絕使用標示不清的產品。

政府主管機關應該要是基於專業的研究成果來做決策,而不是在事實不明朗的狀況下就以自己的偏好做決策,還沾沾自喜覺得超前部署。主管機關(甚至消費者保護機構也是)也應該要投注資源鼓勵更多研究。

更新

後來才看到,Stanford Internet Observatory 2/12 發佈了一篇談 ClubHouse 資安的文章,額外確認了幾項技術事實。不過仍有眾多關鍵問題尚未解答,例如:

  1. ClubHouse 傳送語音時是否有經過加密?若有,它使用的加密法是否安全?
  2. ClubHouse 是否、如何收集使用者和裝置的資料,這些資料收集侵犯隱私的程度有多大?
  3. ClubHouse 聊天室的音訊資料是否儲存在中國境內的伺服器?
  4. ClubHouse 的使用者認證機制為何?是否安全?

這些問題還有待更多研究投入去解答。

更新二

Linux 桌面調校筆記

by

這篇只是筆記看到的有趣東西,大部分我都還沒試過。

CPU

硬碟

記憶體

《在 Linux 桌面上擠出更多記憶體的各種方法、對 SWAP 常見的誤解》

Reverse engineering Cordova apps

by

Cordova allows you to develop cross-platform mobile apps using web technologies. Traditional way of decompiling Android apps using tools like jadx wouldn’t give you much useful information when dealing with Cordova apps, since most of the logic and interface is implemented in HTML and Javascript.

In theory web apps should be much easier to reverse engineer because there’s technically no “compiling" process, more information is preserved from the original source code. Unless the developer uses an obfuscater, the original program symbols (function names, variable names, etc) are preserved in the final app package. And, because they’re just web technologies, we should be able to just debug them using modern browsers’ amazing debugging tools.

In practice, we need a way to extract the web app part out before we can do anything with it. This doesn’t seem to be a common operation so google doesn’t give you a straight answer, but now I’ve figured it out and find it quite easy.

Note that I have no experience in Android app development, nor Cordova, so there might be more straightforward ways to do things that I don’t know. But so far these methods have served my needs well.

Extracting

Using apktool or jadx we can easily extract the web part of the source code. Cordova apps usually place them under resources/assets/www.

For the app I’m working on, simply opening index.html in a normal browser will lead to it running infinite loop in Javascript.

Running in Browser

To make the app run under normal browser, I took idea from Cordova’s app development tutorial.

First create an empty app project:

cordova create hello com.example.hello HelloWorld
cd hello

Add browser and Android platform. Some plugins will fail to install if android platform wasn’t added:

cordova platform add browser
cordova platform add android

Copy the extracted source files from the app over:

cp -r ~/apk/targetapp/resources/assets/www .

Run in browser:

cordova run browser

This should allow the app to at least start initializing, though if the app uses any Cordova plugins that we haven’t installed yet there will be an error and the initialization would fail. Next step would be to install missing plugins.

Add Missing Plugins

In this step, we need to look at the error messages from the browser console to see what plugins are missing. Below is my example, but each app will use different plugins so the process will vary.

Error: Uncaught ReferenceError: device is not defined

Quick Googling gave me this answer: 

cordova plugin add cordova-plugin-device

Add Missing Plugins – a better way

I noticed www/plugins/ contains all plugin files, and the directory names are conveniently the name of the plugin. So I can just use xargs to install all of them:

ls www/plugins/ | xargs cordova plugin add

This way all plugins included in the app are installed.

Remote Debugging with Chrome

If you connect the phone running the app to you computer and enable Android’s USB debugging, you can use Chrome’s built-in inspector at chrome://inspect to remote debug the app. This only works for apps that declares themselves to be “debuggable" in AndroidManifest.xml. However, if the app is not debuggable, you can still use this Xposed module to make the WebView debuggable without needing to modify the app.

Errors

If an app fails to load in browser, check browser console for error messages. This section notes all error messages I’ve encountered and the solutions.

“Could not find cordova.js script tag. Plugin loading may fail."

I noticed in index.html there was this line:

<script type="text/javascript" src="cordova.93551f4e1f7af4ca1581.js"></script>

And in www/ both cordova.xxx.js and cordova.js exist.

So I simply changed the src in index.html to cordova.js and the app loaded successfully.

Analyzing API Usage

One important part of security auditing apps is to see what system APIs it accesses, under what condition, and what it does with the obtained data.

In Cordova, most system API access require plugins. The app logic in Javascript would call respective plugins’ Javascript API, and in turn call the Java part of the plugin, then from there call system Java APIs.

So to answer the above questions, here’s the high level process that I usually take:

  1. Use jadx to look for Java code that calls interesting system APIs
  2. Note down the Java package name containing the code block of interest, for example: org.apache.cordova.file.FileUtils or com.rohithvaranasi.callnumber.CFCallNumber
  3. Google for these plugins’ documentation on their Javascript API. Using the above plugins as examples, I found:
    1. cordova-plugin-file : https://cordova.apache.org/docs/en/latest/reference/cordova-plugin-file/
    2. CordovaCallNumberPlugin: https://github.com/rohfosho/CordovaCallNumberPlugin
  4. Read their documentation and look for the global object name encapsulating the plugin’s functions, or the function names of interest. For example, CordovaCallNumberPlugin offers only one function here: window.plugins.CallNumber.callNumber
  5. Go back to the app’s Javascript source code, grep for use of CallNumber.callNumber

TODO: Tweak CORS

If the app wants to send any HTTP request to external servers (other than localhost, most likely due to the app calling API servers), in the browser it will fail from CORS requirements.

I didn’t investigate to fix this because I didn’t need to inspect the server response. But this should be fixable by tweaking the CORS header sent by cordova run browser .

Instagram, Youtube 的擋廣告前端網站 Bibliogram 和 Invidious

by

Invidious / Youtube

Invidio.us 是一個開源的 Youtube 前端,簡單來說就是幫 Youtube 包一個新界面,然後行為追蹤和廣告全部都可以一起擋掉,網頁完全靜態不需要 Javascript。不過 2020/9/1 開始官方的站台就停止維護了。

其實知道這個專案很久了但以前不瞭解這個到底有什麼意義,因為要擋廣告的話就裝個瀏覽器插件就好了啊。不過後來才想到有些平臺上面是不能擋廣告的,像是 iOS 。雖然我相信 App Store 裡面大概也有幫你擋 Youtube 廣告的 app 啦,不過如果他幫你擋掉廣告然後 app 又免費的話肯定是要靠其他方法賺錢,如果用這類 app 的話只是從讓 Youtube 賺你錢變成讓其他公司賺你錢而已。

Invidio.us 的另一個問題是影片最高解析度似乎只能到 720p ,雖然 Github 上面開發者的說法是可以選擇登入之後選影片品質 “dash" ,不過我不想登入。

然後在另一個連結的 issue 裡面有人貼了他開發的 Youtube 前端 CloudTube,實測可以 1080p 。所以以後我應該就用這個了。

Hacker News 的討論串裡面還有其他相關的專案。

Bibliogram / Instagram

跟隨同樣邏輯,其他各大內容網站也有類似的前端,CloudTube 的同一個作者 cadence 做了一個 Instagram 的前端 bibliogram

Bibliogram works without browser JavaScript, has no ads or tracking, and doesn’t urge you to sign up.

對於像我一個沒有 Instagram 帳號但偶爾還是會看 Instagram 的內容的人來說,不登入的狀況下看 Instagram 體驗超差,圖片不能點開,點開會叫你註冊,使用者的貼文串往下捲一捲就會跳出註冊框強迫註冊不然不能繼續捲。前者有個解法就是按右鍵然後選在新分頁開啟連結,不過後者就一定要開開發者檢閱器了,很麻煩。

自動重導向

為了要讓使用這些替代網站方便一些,可以設定瀏覽器自動重導向,Firefox 已經有一個 Privacy Redirect 支援 Nitter (Twitter) , Invidious (Youtube), Bibliogram (Instagram), OpenStreetMap (Google Maps),還會自動隨機選擇不同站台,這樣就不會單一站台流量太大被 Instagram 封鎖。

不過 Bibliogram 似乎被 Instagram 封鎖的情況還是很常見,我經常遇到。

Xpra: GUI 界的 screen/tmux

by

會寫這篇文章的動機跟前一篇有點關係,最近有需要在電腦上並行跑幾個吃大量記憶體的程式,不過如果重新思考:並沒有一定要在本地執行啊。

大部分 Linux/BSD 伺服器和桌面環境都有內建 X Forwarding 功能,一個指令 ssh -X 就可以在 headless(沒有 X display)的伺服器上執行 X 圖形化程式,然後把視窗畫面包在本地的視窗管理器裡面顯示,看起來跟在本地執行沒兩樣。剪貼簿也不用額外設定可以直接使用。

不過, X forwarding 有一個很大的缺陷: ssh 連線斷掉的時候在遠端執行的應用程式會直接中止。

Xpra 就是專門為了解決這個問題而生的,他的用途就像是給純文字界面應用程式使用的 screen 和 tmux 一樣,只是 xpra 是給圖形應用程式。

和 tmux 一樣, xpra 會在伺服器端建立 “session" ,xpra 客戶端可以 attach / detach 一個 session,一個 session 後面是一個完整的 X server 在執行,可以跑多個圖形應用程式,然後和 X forwarding 一樣,把每一個視窗都在客戶端繪製,並且和客戶端的桌面環境整合。

即使 xpra 客戶端突然斷線,應用程式仍然在遠端伺服器繼續運行。當然也可以從一個客戶端 detach ,然後在另一個客戶端 attach。

安裝和基本使用

Xpra 官方建議不要用發行版的套件,建議直接加他們的套件源。另外根據坊間說法 Xpra 跨版本的相容性很差,所以要儘可能維持伺服器和客戶端是相近的版本。

基本使用很簡單,裝好之後不需要任何設定,在客戶端上面執行:

xpra start ssh://SERVERUSERNAME@SERVERHOSTNAME/ --start-child=xterm

就可以開一個 Xpra session ,執行 xterm ,然後自動 attach

如果斷線之後要重新接回的話:

xpra attach ssh://SERVERUSERNAME@SERVERHOST/1

後面那個 1 是 session 編號,通常都是 1 開始,在 xpra start 完成之後他的訊息會寫 session 編號。如果伺服器上面只有一個 session 的話上面那個指令可以不加 session 編號。

如果真的不知道 session 編號的話可以到伺服器上面執行:

xpra list

就會列出所有 session ,如果有當掉的 session 他也會自動清除。

我的使用方式

我通常都是先開一個 xterm 然後在 xterm 裡面開個 tmux ,再執行圖形應用程式。有時候重新 attach 之後在 xterm 裡面的 tmux 開新的 tmux window ,新的 window 會吃不到 $DISPLAY 環境變數,這個時候很簡單, detach tmux session 之後再 attach ,然後再開新的 tmux window 就正常了。

常見問題

不確定是不是我個人環境的問題, Xpra 伺服器很容易當掉,當掉之後就沒辦法 attach 。不過通常即使 Xpra 伺服器當掉, Xpra 伺服器啟動的 X server 仍然還在。

解法很簡單,先 ssh 進伺服器下 xpra list 清掉當掉的 session ,然後再執行下面這個指令,就可以開新的 Xpra 伺服器,但是使用已經存在的 X server instance :

xpra start --use-display :1

接下來在客戶端正常 attach 就可以了。

在 Linux 桌面上擠出更多記憶體的各種方法、對 SWAP 常見的誤解

by

平時有需求平行跑一些很吃記憶體的圖形應用程式,再加上現在流行 Electron app,在 Linux 桌面上我便經常遇到界面卡頓。因此花時間研究擠出更多記憶體的方法。

SWAP

講到記憶體不夠當然會馬上想到 SWAP ,但對現代的電腦和應用程式,專業觀點似乎大多認為要避免使用 SWAP 。因為 SWAP 太慢,當主記憶體吃滿,系統完全卡住的時候,才開始把資料搬到 SWAP 通常也已經來不及挽救沒有回應的系統了(例如這篇這篇)。我的經驗是在這個狀況下大部分還是只能強制重開機,只有少數狀況下系統可以在幾分鐘之內回到有反應可操作的狀態。

不過這也牽涉到兩個參數:vm.swapiness 和 oom killer 的設定 。大部分 Linux 發行版預設的 swapiness 是 60,對於桌面應用來說似乎不夠。然後預設的 OOM killer 動作時間通常都太晚,砍掉程序的選擇感覺也很奇怪(實際上砍掉的程序和使用者覺得應該要被砍掉的程序不一樣)。這部分對於桌面為主的應用應該有和伺服器應用不同的調校。

另一方面, SWAP 是非常古老的設計,當時大多數應用程式的使用方式是在 shell 的前景背景切換,也沒有像現在有這麼多應用程式是基於 GC 類型的 runtime (Javascript, Java, etc)。SWAP 的設計並不適合 GC 類型的 runtime ,因為跑在 process 裡面的 virtual machine 並不知道底層的記憶體到底是主記憶體還是 SWAP(因為這個理論上應該是作業系統要去管理的),理想上我們希望在作業系統即將把某個區塊 swap out 的時候觸發 GC ,但實際上 process 不會知道這件事情。

ZRAM

ZRAM 的原理是在主記憶體中割一塊空間出來,把它變成一個壓縮的 block device ,然後在上面建 SWAP 。主要適用於沒有建置 SWAP 空間的系統。

ZSWAP

ZSWAP 是基於現有 SWAP 的改良,因此運作的前提是必須有建置 SWAP 空間。ZSWAP 的原理是去 hook kernel 裡面把 memory page swap out 的流程(這個 hook 叫做 FRONTSWAP),攔截要 swap out 的 page,然後嘗試壓縮這個 page ,如果可以壓縮,再使用 ZSWAP 特有的 page allocater ,zbud 或是 zsmalloc ,去 allocate 主記憶體上面的 physical page ,再把壓縮後的 page 放進去。以 zbud 為例,壓縮比例是固定的,2 個 virtual page 會塞進一個 physical page。如果這個 page 壓縮效果不佳,就會循正常的流程 swap out to disk。

zbud 、zsmalloc 和 kernel 裡面其他的 page allocater 的基本運作原理是一樣的,因此不像 ZRAM 是 allocate 一個固定大小的空間來放壓縮後的 page ,而是動態地配置和釋放記憶體。 ZSWAP 所使用的最大主記憶體比例是可以調整的,預設是 20% 。當這個壓縮的記憶體空間快要滿的時候,或是主記憶體耗竭的時候, ZSWAP 就會開始根據 LRU (Least Recently Used) 規則(尋找最久沒有使用的分頁)把已壓縮的 page 解壓縮後 swap out to disk 。

Mac OS X

Mac OS X 應該是主流作業系統裡面最早預設啟用記憶體壓縮的,從 10.9 版就預設啟用。在我的另一臺 Mac 筆電上即使在低可用記憶體的狀況下使用者界面仍然很流暢,我很好奇他們是怎麼做的,就做了研究,它的運作方式如下(這張投影片講得簡單明瞭):

根據研究論文:In lieu of swap: Analyzing compressed RAM in Mac OS X and Linux – ScienceDirect
投影片: pres-in_lieu_of_swap_-_analyzing_compressed_ram_in_mac_os_x_and_linux.pdf

所以看來, Mac OS X 的記憶體壓縮運作方式比較接近 ZSWAP。

KSM – Kernel Same Page Merging

要擠出更多記憶體空間,除了壓縮,另一個方法就是把資料一樣的分頁 (page) 合併只存一份,這就是 KSM 主要的想法。

目前在 mainline kernel 裡面的 KSM 設計似乎主要是給 KVM 虛擬機器使用,因為同時開很多臺一樣作業系統的 VM 顯然會有很多記憶體內容長得一樣,所以設計 KSM。

然而目前 mainline 的 KSM 功能只會去合併由應用程式特別標示「可以合併」的分頁 ,應用程式需要透過 madvise()系統呼叫將 page 標示成 MADV_MERGABLE ,KSM 才會去掃描它的內容。快速查了一下,目前除了 KVM 之外似乎沒有應用程式有使用這個功能標示。

問了一下朋友,他提到 UKSM “Ultra Kernel Samepage Merging" ,是一個第三方 kernel 模組,不像 mainline KSM 有 MADV_MERGABLE 的限制,UKSM 會主動去合併所有程序的記憶體分頁,不需要程序主動標示。

另外還有 PKSM ,說是 UKSM 的改良版,看來已經很久沒有更新了。不過現在 UKSM 的 repo 雖然看起來沒有新功能的開發,但經常會對新版的 Linux kernel rebase 他們的 code ,讓新版的也能使用。

除了上面的各種 KSM ,也有人嘗試直接提 patch 到 mainline ,像這位想讓 KSM 可以不受限於有標示的分頁。不過後來有位 Jann Horn (不確定他是不是 kernel 開發者)指出 KSM 有嚴重的安全性問題,如果讓 KSM 可以合併所有分頁的話那資安問題會變更嚴重,然後就沒有後續討論了。(不太確定為啥,如果 Jann 不是 kernel 開發者的話,那這個 patchset 就沒有被明確拒絕啊,原來 kernel 開發者都可以這樣收 patch 當作沒看到的哦?)(雖然 kernel 開發者沒有義務要回覆送進來的 patch ,但就這樣不明確拒絕人家,竟然是旗艦開源專案 Linux 會發生的事情?我孤陋寡聞了。)

後記一:關於 SWAP 的迷思

這篇快寫完的時候我發現一篇 Facebook 工程師寫的文章在講大家對 SWAP 的迷思。覺得清晰了不少,在這邊我直接翻譯他列的幾個重點,全文非常值得一讀:

  1. SWAP 是運作良好的系統當中合理且重要的元件,沒有它就難以達成良好的記憶體管理。
  2. 大致上來說 swap 並不應該被拿來當作「緊急記憶體」使用, swap 的目的是讓記憶體分頁的釋放更為公平和有效率。而且實際上,如果把 swap 當成緊急記憶體使用的話一般是有害的。
  3. 停用 swap 並不會解決可用記憶體稀缺的狀況下磁碟 IO 過慢而造成的問題(可用記憶體稀缺的時候會造成分頁不斷被逐出主記憶體然後又被載入,也就是 contention);停用 swap 只會使得磁碟頻寬從「被匿名分頁傳輸吃滿」變成「被快取分頁傳輸吃滿」。
    這樣可能比較沒效率,因為這樣我們在主記憶體當中可以取回的分頁的範圍就變小了(有 swap 的話我們可以選擇從主記憶體逐出匿名分頁和快取分頁,沒有 swap 的話我們就只能選擇逐出快取分頁)。更糟的是,因為沒有 swap ,永遠只能選擇逐出快取分頁,這可能反過來成為記憶體稀缺,然後 contention 的主因。
    (這邊對「快取分頁」的定義是「在其他儲存空間上有資料副本」,也就是 “backed by other storage" ;「匿名分頁」的定義是「在其他儲存空間上沒有資料副本,記憶體當中的是唯一一份」。因此,逐出匿名分頁需要先把資料複製到 SWAP,逐出快取分頁只要把這筆快取的參照刪除就可以了。)
  4. swap 模組在 kernel 4.0 以前有很多問題,例如會過度主動地 swap out 分頁,這造成很多人對 swap 的負面印象。 4.0 以後狀況改善很多。
  5. 使用 SSD 的狀況下,swap out (把分頁從主記憶體搬到 swap)匿名分頁,以及,重新取得快取分頁的內容,這兩件事情基本上效能和延遲差不多。使用機械磁碟的狀況下,swap 讀取因為是隨機存取所以會比較慢,所以把 vm.swappiness 調低是合理的。
  6. 停用 swap 並不會防止記憶體幾乎用完 (OOM) 的時候系統完全卡住,雖然,的確,如果有 swap 的話卡住的時間可能會比較長。無論 OOM killer 何時、在有或是沒有 swap 的狀況下開始動作,結果都一樣:系統會進入一個無法預測的狀態,有 swap 或是沒有 swap 都一樣。

原文另外有連結到一個 Facebook 的專案: Pressure Stall Information。 PSI 已經內建於 Linux kernel 4.20+ ,主要功能是提供一個簡單的針對系統資源的壓力測量。不過這部分我還沒有深入研究可以怎麼利用,看來 Facebook 他們是搭配 cgroup2 和 oomd 去分配資源。

後記二:ZSWAP 一個月使用心得

調查過以上這麼多解決方案之後,最後決定啟用 ZSWAP。有人寫了一個管理 ZSWAP / ZRAM 等相關功能的管理工具 systemd-swap ,為了方便管理,我使用這個。但後來發現 Ubuntu 上面裝起來不會動,有個看起來很像的問題回報,開發者說已經解決了但我還是不能用,所以我就乾脆直接手動跑了:

/usr/bin/systemd-swap start

除了他的預設設定,我額外調整了幾個參數:

  • swappiness 調整為 100:根據後記一提到的那篇文章,swappiness 其實是一個成本的比值,比較匿名分頁和快取分頁逐出再載入的成本。 swappiness 越高表示匿名分頁逐出再載入的成本和快取分頁相近,越低則表示匿名分頁逐出再載入的成本高於快取分頁。因此通常 SSD 的系統可以直接設定 100 (成本相等),機械硬碟的系統就要設低一點。
  • zswap_max_pool_percent 調整為 30 (預設是 25):主記憶體有百分之多少可以被拿來存壓縮的分頁。我有 16GB 的記憶體,想說開大一點看他可以用到多少。

接下來我使用了一個多月,感到系統順暢度有明顯改善:

  • 平常如果沒有注意記憶體用量,經常會不小心開一個很吃記憶體的應用程式,主記憶體不夠用,這時候如果沒有 ZSWAP,圖形界面就會直接卡住沒辦法操作,現在有 ZSWAP,圖形界面就只會頓頓的而已,勉強還可以操作。
  • 偶爾檢查記憶體用量,發現 ZSWAP 的壓縮倍率通常都在 2~2.5
    • zswap 的相關資訊都在 /sys/kernel/debug/zswap
    • pool_total_size 是 zswap 在主記憶體當中壓縮後實際佔用的大小
    • stored_pages 是在 zswap 壓縮區當中已存的分頁數量,Linux 預設每個分頁是 4096 bytes
    • 計算壓縮率:
# cd /sys/kernel/debug/zswap
# perl -E "say $(cat stored_pages) * 4096 / $(cat pool_total_size)"

不過低記憶體用量的時候圖形界面還是會頓,這我就不是很確定是什麼問題,可能是核心排程,可能是記憶體管理。之後再發一篇記錄一下偵錯的過程。

後記三: Xpra

為了要在 Linux 桌面上並行執行更多應用程式,除了本文原本的主題,設法擠出記憶體之外,我還嘗試了另一個方法,就是直接把應用程式丟到遠端伺服器跑,然後透過網路回傳畫面。 Xpra 可以讓你方便做到這件事情,之後我再寫另一篇文章記錄。

相關閱讀

WWDAACC20 全球開發者反蘋果審查大會

by

在開發者社群關注蘋果的 WWDC 同時,人權團體將在 6/22 舉行全球開發者反蘋果審查大會 Worldwide Developers Against Apple Censorship Conference ,邀請圖博(西藏)、東突厥斯坦(新疆)、香港等地的人權團體和國際研究機構、開源軟體開發者,一起來探討蘋果在中國、香港等地以「遵循當地法規」為由,協助執政當局實行言論審查和破壞言論自由的政策。

以下是個人看法

我寫這篇文章只是希望更多人知道:

  1. 蘋果正以「遵從當地法規」為藉口協助極權政府侵害人權。
  2. 蘋果在企業社會責任的人權議題上透明度極差。

或許是因為蘋果一向把公司資訊控制的很好,內部資訊無論是政策還是產品都很少外流,宣傳手腕也比 Facebook 等公司高明,所以除了「蘋果協助極權政府限制人權」這個大方向、長久以來的批評之外,在大方向下面的小新聞比 Google, Facebook 等公司少很多。 Facebook 三不五時就會爆出醜聞,Google 三不五時就會有員工出來遊行抗議,蘋果在人權方面受到輿論的壓力是比 Facebook, Google 小很多的。

而且就我所知,蘋果對於協助極權政府限制人權,除了「我們遵從當地法規」,就沒有講其他東西了,而且極少回應外界的批評。

像是 Facebook 這公司,如果被輿論批評的很嚴重的話,八成會出個新聞稿說 XXX 是我們一向重視的理念,我們的社群守則也已經涵蓋這方面,我們會增加社群守則執行人員的培訓以確保更好地處理這些議題巴拉巴拉。雖然很爛但至少有回應,要蘋果出來回應的輿論嚴重程度得要到很高很高才有可能的。

其實蘋果侵犯人權的程度說不定比 Google Facebook 高很多,因為蘋果的不透明度高很多,沒人知道也沒人爆料實際上發生了什麼事,也就沒什麼人關心,當作一切都好,真的是很成功的公關策略。

如果簡單地去看蘋果對人權議題的回應度,已經比 Google Facebook 糟很多。聯合國商業與人權中心的企業回應比率評比,蘋果只有 31% ,Facebook 有 68%,Google 有 71%

「遵從當地法規」不是萬用藉口

很多人可以接受蘋果以「遵從當地法規」為由在中國和香港幫助中共實行言論審查,「畢竟生意還是要做嘛」。

我想指出,「遵從當地法規」並不是做生意的鐵則,它是有程度之分,而且是有彈性可以改變的。比如說,顯然極少有公司想要遵從北韓的當地法規去北韓做生意。或是,假如中共今天規定蘋果必須要竊聽全中國的蘋果手機然後找出不良份子,這在執行上顯然有各種困難,所以蘋果不可能會照做。

既然遵從當地法規是有改變可能的,那作為消費者和公民,還有什麼理由要去支持這些企業「遵從當地法規」侵害人權?

不過即使是這樣,我也不是在說買蘋果產品的人不道德啦,畢竟買產品本來就有很多考量。我只是不解,為什麼有人要幫企業侵害人權說話?講難聽點,那公司又沒付你錢,幫公司說話就交給他們領薪水的公關部門就好了。我覺得,如果至少,大家可以認可到這間公司有些有害於社會的行為,並且應該改善,這就比現狀好很多了。

相關

https://applecensorship.com/ 可以比較不同國家 app store 的搜尋結果,可以看到某些應用程式在特定國家看不到。