LUKS的配置非常灵活，能够进行对已有数据的加密。下面我将介绍如何在已经安装了Linux系统的机器中使用LUKS进行全盘加密。

准备工作

在开始之前，我们需要准备好cryptsetup工具。Arch Linux Live环境中已经预装了该工具。

评估加解密性能

首先，我们将测试系统的加解密性能。如果你的电脑的加解密速度还不如硬盘读写速度，应该考虑不要使用LUKS加密。

1

cryptsetup benchmark

确认要进行LUKS加密后，启动到Arch Linux Live环境。不要挂载分区，以便进行后续操作。

LUKS2加密推荐保留32 MB的未分配空间来存储加密头信息。准确地说，是LUKS2最小头信息大小的两倍。

在Linux中，分区与文件系统是不同的概念，我们将要缩小文件系统来为LUKS加密腾出空间。这一步可以先缩得小一些，后续可以再扩大。

缩小文件系统，为加密预留空间

例如，我们将ext4格式的根分区/dev/nvme0n1p8缩小到99G，以腾出空间用于存储LUKS加密头信息。

1
2

e2fsck -f /dev/nvme0n1p8
resize2fs /dev/nvme0n1p8 99G

完成文件系统的缩小后，应尝试启动系统，确保一切正常。

分离/boot与根分区

让GRUB解密磁盘是一件很麻烦的事情。为了使GRUB能够正常启动Linux，我们需要让/boot和/不在同一分区上。

笔者原先只是把ESP分区挂载在/efi，但ESP分区足够大，有1 GB。现在我们可以把/boot中的内容移动到ESP分区，再把/efi所在的分区挂载为/boot。

1
2
3
4
5
6
7
8
9
10
11
12
13

mount /dev/nvme0n1p8 /mnt
mount /dev/nvme0n1p6 /mnt/efi
mv /mnt/boot/* /mnt/efi/
umount /mnt/efi
rm -r /mnt/boot
rm -r /mnt/efi
mkdir /mnt/boot
mount /dev/nvme0n1p6 /mnt/boot
arch-chroot /mnt
grub-install --target=x86_64-efi --efi-directory=/boot --bootloader-id=GRUB
grub-mkconfig -o /boot/grub/grub.cfg
exit
umount -R /mnt

启动验证与文件系统检查

完成上述步骤后，应再次尝试启动系统，确保一切正常。为保险起见，应再次执行e2fsck检查文件系统。

开始加密

接下来，我们将开始对根分区进行LUKS加密。

执行原地加密

1

cryptsetup reencrypt --encrypt --reduce-device-size=32m /dev/nvme0n1p8

这意味着我们将在分区开头留出32 MB的空间用于存储LUKS加密头信息，加密后的数据将从偏移32 MB处开始存储，整个可用空间减少32 MB。因为我们已经预先缩小了文件系统，所以数据不会超出可用范围，不会丢失。

系统会询问你是否进行加密。因为我们完成了文件系统的缩小，所以不会有内容被抹去，可以输入YES继续。接下来请输入并确认加密密码。

接下来就是漫长的等待时间。笔者在一块使用QLC闪存的硬盘上加密了750 GB的数据，花费了大约3小时2分钟。

打开加密分区并扩展文件系统

完成加密后，应尝试解密分区。

1

cryptsetup open /dev/nvme0n1p8 crypt_data

输入密码后，分区将被解密并映射到/dev/mapper/crypt_data。若一切正常，我们可以扩大文件系统以恢复剩余的空间。

1

resize2fs /dev/mapper/crypt_data

挂载检查数据完整性

接下来，挂载分区并检查数据是否完好无损。

1
2

mount /dev/mapper/crypt_data /mnt
ls /mnt

完成检查后，先不要退出Live环境，接下来我们将进行必要的配置以确保系统能够正常启动。

配置系统

为了使系统能够在启动时解密LUKS分区，我们需要在初始化内存盘中包含系统解密的支持。首先挂载/boot分区，并切换到已安装的系统环境中。

挂载/boot并进入chroot环境

1
2

mount /dev/nvme0n1p6 /mnt/boot
arch-chroot /mnt

为了使用FIDO2安全密钥进行解密，我们需要使用sd-encrypt钩子，而不是传统的encrypt钩子，即添加sd-encrypt钩子到/etc/mkinitcpio.conf的HOOKS数组中。

更新mkinitcpio钩子

打开/etc/mkinitcpio.conf文件，找到HOOKS行，将原有的udev替换为systemd，再将sd-encrypt添加到filesystems之前的位置，类似下面：

1

HOOKS=(base systemd autodetect microcode modconf kms keyboard keymap consolefont block sd-encrypt resume filesystems fsck)

保存并退出后，重新生成初始化内存盘：

重新生成initramfs

1

mkinitcpio -P

接下来，我们要配置分区的自动挂载。请注意，因为我们加密的是根分区，所以不应在/etc/crypttab中配置，而是要更新GRUB配置。编辑/etc/default/grub文件：

配置GRUB内核参数

编辑/etc/default/grub文件，找到GRUB_CMDLINE_LINUX行，添加rd.luks.name=参数，指定加密分区的UUID和映射名称。可以使用blkid命令获取分区的UUID。

为了方便起见，可以在vim中使用:r !blkid /dev/nvme0n1p8命令来把命令输出插入到文件中，再把光标移到合适的位置，用36x和p命令剪切和粘贴UUID。完成后记得删除插入的行。

增加内核参数，将LUKS分区映射到/dev/mapper/root，并设为根分区。记得把UUID替换为实际的内容，如下所示：

1

GRUB_CMDLINE_LINUX="... rd.luks.name=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx=root root=/dev/mapper/root ..."

保存并退出。

更新fstab指向映射设备

需要进一步更新/etc/fstab文件，确保根分区指向解密后的映射设备。应将原有的根分区行中的UUID替换为/dev/mapper/root，例如：

1

/dev/mapper/root        /               ext4            rw,relatime     0 1

生成GRUB配置并重启

重新生成GRUB配置：

1

grub-mkconfig -o /boot/grub/grub.cfg

完成后，退出chroot环境并重启系统：

1
2
3

exit
umount -R /mnt
reboot

在系统启动时，应该会提示输入LUKS加密的密码。输入正确的密码后，系统将继续启动并挂载根分区。

进阶配置

完成加密后，就可以在线使用LUKS分区并进行管理操作了。

更新加密口令

要更新LUKS分区的密码，我们应先添加新密码，再删除旧密码。可以使用以下命令：

1
2
3
4

sudo cryptsetup luksAddKey /dev/nvme0n1p8
# 输入新密码
sudo cryptsetup luksRemoveKey /dev/nvme0n1p8
# 输入旧密码

注册FIDO2安全密钥

要使用FIDO2安全密钥进行解密，可以使用以下命令将硬件密钥添加到LUKS分区：

1

sudo systemd-cryptenroll --fido2-device=auto /dev/nvme0n1p8

这样，我们就完成了LUKS全盘加密的配置。

至于TPM2.0自动解密，由于涉及到安全启动的配置，笔者因使用NVIDIA硬件难以配置安全启动，故无法测试该功能。

开启TRIM支持

默认情况下，LUKS会阻止TRIM命令传递到底层存储设备，这是为了安全考虑（dm-crypt/特殊应用 § 固态硬盘的Discard/TRIM支持 — Arch Linux 中文维基）。

如果使用的是SSD，开启TRIM支持可以提升性能和延长寿命，还有利于保护对LUKS头的修改。执行：

1

sudo cryptsetup --allow-discards --persistent refresh root

请记得启用fstrim.timer systemd服务，以在后台定期运行TRIM操作。

配置交换分区

在使用LUKS时，需要搭配加密交换分区以保护交换数据。此处演示如何将已有的交换分区加密。

创建加密交换分区

首先，卸载已有的交换分区：

1

sudo swapoff /dev/nvme0n1p7

然后，清空并使用LUKS加密交换分区：

1

sudo cryptsetup luksFormat --label=swap /dev/nvme0n1p7

打开该容器，并映射到/dev/mapper/swap：

1

sudo cryptsetup open /dev/disk/by-label/swap swap

在映射设备上创建swap文件系统：

1

sudo mkswap /dev/mapper/swap

这样我们就完成了加密交换分区的创建。

配置系统使用加密交换分区

编辑/etc/fstab文件，将映射设备添加为交换分区：

1

/dev/mapper/swap        none            swap            defaults        0 0

最后，编辑/etc/default/grub文件，增加一组rd.luks.name=参数，并更改交换分区的resume参数。加密分区的UUID可以通过blkid /dev/nvme0n1p7命令获取。

编辑后的参数类似：

1

GRUB_CMDLINE_LINUX="... rd.luks.name=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx=swap resume=/dev/mapper/swap ..."

重新生成GRUB配置：

1

sudo grub-mkconfig -o /boot/grub/grub.cfg

这样就完成了加密交换分区的配置。

接下来可以为交换分区更改验证方式，例如添加TPM2.0自动解密，方法与根分区类似。

未雨绸缪

建议创建一个恢复密钥，以便在忘记密码时使用。此外，为了防止加密头信息损坏导致数据无法访问，建议备份LUKS加密头信息。

创建恢复密钥

1

sudo systemd-cryptenroll --recovery-key /dev/nvme0n1p8

请把恢复密钥妥善保管在安全的地方。

备份加密头信息

1

sudo cryptsetup luksHeaderBackup /dev/nvme0n1p8 --header-backup-file luks_header_backup.img

结语

数据无价，谨慎操作。

LUKS全盘加密为Linux用户提供了强大的数据保护手段，但在实施过程中务必小心谨慎，确保数据安全。

延伸阅读

优露清的即擦净真的有推销员说的那么好吗？ - 生知安行的回答 - 知乎

而且，部分GTK4应用，如Ptyxis，即使使用了GL作为渲染后端，也会调用Vulkan而唤醒独显。

本文将介绍如何解决这个问题。

禁止Vulkan使用独显

设置环境变量 VK_LOADER_DRIVERS_DISABLE=nvidia_icd.json，可以禁止Vulkan加载NVIDIA的驱动，从而避免唤醒独显。

把它加入 /etc/environment 文件：

1

echo 'VK_LOADER_DRIVERS_DISABLE=nvidia_icd.json' | sudo tee -a /etc/environment

让prime-run能调用独显

nvidia-prime包提供的原版/usr/bin/prime-run脚本不会取消设置VK_LOADER_DRIVERS_DISABLE：

/usr/bin/prime-run

1
2

#!/bin/bash
__NV_PRIME_RENDER_OFFLOAD=1 __VK_LAYER_NV_optimus=NVIDIA_only __GLX_VENDOR_LIBRARY_NAME=nvidia "$@"

我们需要自定义一个prime-run脚本。通过创建/usr/local/bin/prime-run文件，我们可以覆盖掉原版的prime-run脚本。脚本如下，也可在https://github.com/Kimiblock/moeOS.config/blob/master/usr/share/moeOS-Docs/bin/prime-run下载：

/usr/local/bin/prime-run

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

#!/bin/bash

if [ -d /proc/driver/nvidia/gpus ]; then
env \
-u VK_LOADER_DRIVERS_DISABLE \
__NV_PRIME_RENDER_OFFLOAD=1 \
__VK_LAYER_NV_optimus=NVIDIA_only \
__GLX_VENDOR_LIBRARY_NAME=nvidia \
VK_LOADER_DRIVERS_SELECT=nvidia_icd.json \
__EGL_VENDOR_LIBRARY_FILENAMES=/usr/share/glvnd/egl_vendor.d/10_nvidia.json \
"$@"
else
env \
-u VK_LOADER_DRIVERS_DISABLE \
DRI_PRIME=1 \
"$@"
fi

记得设置执行位。

这样，当你需要使用独显运行Vulkan应用时，只需使用prime-run <command>即可。

美中不足的是，switcheroo-control集成的「使用独立显卡启动」选项并不是直接调用prime-run，所以Vulkan应用不能通过GNOME的右键菜单选项来方便地使用独显运行了。

快速跳转到防范建议

诈骗文档的传播

诈骗分子首先通过盗号获取QQ账号，以该账号的名义创建腾讯文档，并通过群内临时会话发送文档链接。由于是同学、熟人发送，受害者更容易信任并点击链接：

点击链接后，受害者会看到一个腾讯文档，所述内容贴近真实通知的情境，而且通常包含一些诱导性的信息，如「收到邮件的同学请立即打开查询登记」等：

文档中故意插入模糊的图片，并故意写入相关提示，诱导用户打开链接：

如文件过大导致图片模糊打不开，请复制上方链接地址到手机浏览器上打开[登录个人腾讯文档信息版面自行查看认证]

导航到文档中提供的诈骗网站后，受害者会被引导至一个伪装成正规登录页面的钓鱼网站，开始诈骗流程。

从这一步开始，你不再在腾讯所控制的页面中操作，而是进入了由第三方控制的伪造页面。

对诈骗网站的分析

诈骗网站的设计非常粗糙，骗的就是不仔细看、觉得事情很重要哗哗哗连底裤都给出去了的笨蛋！

落地页：/

首先看到的是一个虚假的贴图页面，贴图都不好好贴，用的是CSS background: url('./images/School.png') no-repeat center;。贴图比较宽，如果你眼尖，在手机上应该也能发现画面拉伸、字体不对等问题了。

点击图片的任意位置就能看到弹窗，提示你进入登录页面：

点击确定按钮后，用户进入伪造的登录页面。

登录页：/step_in/

值得一提的是，这玩意儿的键盘是照着旧版iOS的键盘自己搓的，如果你在电脑上打开就会看到很惊悚的画风：

自己搓键盘有一个好处，就是在微信、QQ里打开时，不会弹出「非腾讯官方页面」的警告。缺点么……如果你走点心，可能就发现这键盘和你手机上的不一样了。

下面的代码是登录页的核心验证逻辑：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53

function sameChar(str) {
var result = true;
var c = str.charAt(0);
for (var i = 0; i < str.length; i++) {
if (c != str.charAt(i)) {
result = false;
break;
}
}
return result;
}
function error(msg) {
$("#error_message").html(msg);
$("#error_tips").show().delay(3000).hide(0);
var err = true;
}
function Login() {
var p = $("#p").val();
var u = $("#u").val();
if (u == '') {
error('&#24744;&#36824;&#27809;&#26377;&#36755;&#20837;&#24080;&#21495;！');
return false;
}
if (p == '') {
error('&#24744;&#36824;&#27809;&#26377;&#36755;&#20837;&#23494;&#30721;！');
return false;
}
if (u.length < 6 || u.length > 11) {
error("&#24744;&#36755;&#20837;&#30340;&#24080;&#21495;&#26684;&#24335;&#19981;&#27491;&#30830;&#65292;&#35831;&#37325;&#26032;&#36755;&#20837;。");
$("#u").val('');
return false;
}
if (p.length < 6 || p.length > 16) {
error('&#24744;&#36755;&#20837;&#30340;&#23494;&#30721;&#26684;&#24335;&#19981;&#27491;&#30830;&#65292;&#35831;&#37325;&#26032;&#36755;&#20837;。');
$("#p").val('');
return false;
}
if (sameChar(u)) {
error("&#24744;&#36755;&#20837;&#30340;&#24080;&#21495;&#26684;&#24335;&#19981;&#27491;&#30830;&#65292;&#35831;&#37325;&#26032;&#36755;&#20837;。");
$("#u").val('');
return false;
}
if (sameChar(p)) {
error("&#24744;&#36755;&#20837;&#30340;&#23494;&#30721;&#26684;&#24335;&#19981;&#27491;&#30830;&#65292;&#35831;&#37325;&#26032;&#36755;&#20837;。");
$("#p").val('');
return false;
}
ds('sv', {
user: u,
pass: p
});
if (window.cess) cess.init('登记');
}

对用户输入的限制还挺严格，在前端就排除了乱填的那些人。通过验证后调用的ds函数是这样的：

1
2
3
4
5
6

function ds(act,data){
console.log(data);
$.get('../app/data.php','sv='+encodeURIComponent(b6(b6(JSON.stringify({act:act||'sv',data:data})))),function(d){
d = dejson(d);
});
}

输入账号密码并点击登录按钮后，数据会被双重Base64编码，并通过GET请求发送到服务端：

1

/app/data.php?sv=ZXlKaFkzUWlPaUp6ZGlJc0ltUmhkR0VpT25zaWRYTmxjaUk2SWpFeE5EVXhOQ0lzSW5CaGMzTWlPaUp4ZDJWeWRIbDFhVzl3SW4xOQ==

解码后：

1

{"act":"sv","data":{"user":"114514","pass":"qwertyuiop"}}

手机号输入页：/step_phone/

在这一页，网站欺骗用户需要验证，并要求输入手机号。提交手机号时，数据经过双重Base64编码通过GET请求发送到服务端：

1

/app/data.php?sv=ZXlKaFkzUWlPaUp6ZGlJc0ltUmhkR0VpT25zaWNHaHZibVVpT2lJeE1UUTFNVFF4T1RFNU9DSjlmUT09

解码后：

1

{"act":"sv","data":{"phone":"11451419198"}}

验证码输入页：/step_code/

这一步，网站会在后台轮询后端。总之，验证码提交后，数据依然是经过双重Base64编码通过GET请求发送到服务端：

1

/app/data.php?sv=ZXlKaFkzUWlPaUp6ZGlJc0ltUmhkR0VpT25zaVkyOWtaU0k2SWpFeE1UUTFNU0o5ZlE9PQ==

解码后：

1

{"act":"sv","data":{"code":"111451"}}

完成页：/step_done/

恭喜，你被骗了！🎉

上面这个腾讯的图标是会转的，其实就是一张GIF，让你以为页面在加载。尽管网站提示「请勿操作！文档加载中…」，但是你永远也看不到文档了；一同变得永远也看不到的还有你的QQ，它马上就要变成下一个用于钓鱼的账户了……

多提一句

如果你成功找回了QQ号，记得看一下自己是不是被学校的很多群踢掉了。记得加回来哦！

防范建议

1. 提高警惕：不要轻易点击陌生人发送的链接，哪怕是腾讯文档的连接。腾讯他妈的哪有客服，就算有人举报，我看一周之内都未必能下掉。问我咋知道的？问就是我真的还收到过一次……
   
2. 验证来源：学校发的通知肯定是学校的域名，收集表也不可能私聊发给你，登录QQ的时候肯定也是在qq.com域名下。
3. 换个花哨的键盘皮肤和手机字体：在钓鱼网站模仿你的操作系统元素（如键盘）时，你能够及时发现问题。同时，你也可以及时发现使用简单的贴图完成的伪装。需要注意的是，这种方法在对界面和字体不太敏感的人身上可能防范力度不大，延伸阅读中的文章谈到了这个问题，我节选一段小故事放在这里：

   Back in 2007 as the IE team was launching Extended Validation (EV) certificates, Microsoft Research was publishing a paper calling into question their effectiveness. A Fortune 500 financial company came to visit the IE team as they evaluated whether they wanted to go into the EV Certificate Authority business. They were excited about the prospect (as were we, since they were a well-known-name with natural synergies) but they noted that they thought the picture-in-picture problem was a fatal flaw.

   I was defensive– “It’s interesting,” I conceded, “but I don’t think it’s a very plausible attack.“

   They retorted “Well, we passed this screenshot around our entire information security department, and nobody could tell it’s a picture-in-picture attack. Can you?” they slid an 8.5×11 color print across the table.

   “Of course!” I said, immediately relieved. I quickly grew gravely depressed as I realized the implications of the fact that they couldn’t tell the difference.

   “How?” they demanded.

   “It’s a picture of an IE7 browser running on Windows Vista in the transparent Aero Glass theme with a page containing a JPEG of an IE7 browser running on Windows XP in the Luna-aka-Fisher Price theme?” I pointed out.

   “Oh. Huh.” they remarked as they squinted and reexamined the picture.

   My thoughts of using browser personalization as an effective mitigation died that day.

延伸阅读

• The Line of Death

外部链接

• 本例中的诈骗网站在Wayback Machine的快照

也就是说，例如私用区的生造汉字、符号等，仅自己电脑能显示，其他电脑如果不装载此私用区就无法显示，是技术不足，还是另有隐情?

原文链接：https://www.zhihu.com/question/12008172105/answer/1971686708467728921

从题主的问法可以看出来，题主对 Unicode 只是略有了解。我企图通过这个回答，来简述一些计算机字符渲染原理的基础知识。

要回答这个问题，首先要明确一点，就是「私用区字符不会在无此字体其他电脑上显示」这个问题，Unicode 不背锅。

要理解这一点，先要理解电脑是怎么渲染字符的。

电脑是怎么渲染字符的

存储：Unicode

高中信息技术课老师一定强调过，在计算机内部，所有数据都是以二进制存储的，所以你在知乎上看到的每个字，在计算机内部都是 0 和 1 的排列。

例如，题主昵称中的「稻」在以 UTF-8 编码的情况下就表示为 1110 0111 1010 1000 1011 1011。8 位二进制是 1 个字节，「稻」字占用了 3 个字节。

实际上，UTF-8 编码中有些部分是填充格式用的，计算机读到这种格式就知道这是一个 Unicode 字符。这里不展开讲，总之有用的部分我已经加粗标出，它是 0111 1010 0011 1011。

因为 4 位二进制恰好是 1 位 16 进制，人们常常也用 16 进制来表示二进制内容。再加上前缀「U+」表明这是一个 Unicode 码位，就是通行的表示 Unicode 码位的方式：U+7A3B。

显示：字体渲染引擎

电脑的操作系统得到 7A3B 这个码位之后，并不能直接把码位给你，因为你并不认识这个码位对应的是什么字，更别说目测二进制了。

操作系统中的字体渲染引擎会在用户指定的或系统安装的所有字体中找到提供这个码位的合适的字体，从中提取出字形数据。字形数据储存了一个字符「应该长什么样」，如果字体中有这个字形，字体渲染引擎会把它渲染在屏幕上，你才能看到对应的字。

总之，Unicode 只规定码位应当是什么，例如 U+7A3B 是「稻」字；而字体文件才负责规定「稻」字长什么样。对于私用区字符，因为 Unicode 里面根本没有规定具体的实现，自然就是各个字体随意发挥。事实上，如果有哪款不符合规范的字体把「稻」做成别的字形，或者根本不做「稻」字，题主的昵称就会得到私用区字符的待遇。

理解私用区

在 Unicode 中，私人使用区（英语：Private Use Areas，PUA）指其解释未在 Unicode 标准中指定，而是由合作用户之间的私人协议决定其用途的一系列码位。目前定义了三个私人使用区：一个在基本多语言平面（U+E000-U+F8FF）中，另外两个几乎包含了整个第 15 和第 16 平面（分别为 U+F0000-U+FFFFD，U+100000-U+10FFFD）。

（摘自 https://zh.wikipedia.org/wiki/私人使用区）

总之，私用区就是一块预留的区域，字体制作者可以按喜好去使用，在不同的字体中自由分配，Unicode 也不管辖它具体是什么用途。

根据我推测的题主的喜好，我做如下不太恰当的比喻：如果把每套字体当作不同玩家的原神世界，各国（平面）的地图（字符集）已经被米哈游（Unicode 协会）安排好了用处，但留出了尘歌壶（私用区）。而每个玩家可以自由安排尘歌壶世界，并不受到米哈游的制约。因为每个玩家的尘歌壶世界（不同字体的私用区）各有千秋，所以尘歌壶中每个坐标（码位）放置的东西也不同。当不同的玩家在各自不同的尘歌壶世界中位于同一坐标（不同字体调用同一码位），所看到的东西（字符）也不能保证是一样的。

考虑到私用区很大，而且和字体绑定，所以它被使用得不多，一般字体中私用区码位的内容都是空的，才有了题主所见的「私用区字符不会在无此字体其他电脑上显示」这一情况。如果恰好两款字体都使用的私用区的同一码位，也是被允许的情况，此时用户就会看到张冠李戴的效果了。

这是 Unicode 刻意留出的自由，允许组织在不申请官方编号的前提下进行内部编码。而代价就是私用区字符的字形必须随字体文件一起分发和安装，否则就没法正常显示了。

私用区的应用

使用私用区字符大都是为了在不干扰标准编码的前提下，插入自定义符号或图形。

因为不知道题主是在哪里看到这句话的，我不能针对性地解释，所以我在下面举出其他例子，供后来者参考。

Apple 标志

在 Apple 设备上，「」（U+F8FF）会显示成苹果标志。如果 Apple 产品的用户在文档中输入这个字符，并发送给一个没有安装 Apple 系统的用户时，接收方电脑的字体文件没有 U+F8FF 这个码位，就无法显示，在一些较老的设备上似乎会显示为藏文字符。

Fira Code 字体

在广受欢迎的编程字体 Fira Code 中，就有私用区字符：

Fira Code is the first programming font to offer dedicated glyphs to render progress bars:

Fira Code 是首款提供专用字形来渲染进度条的编程字体：

In action:

We hope more programming fonts will adopt this convention and ship their own versions.

我们希望更多编程字体能够采用这种规范，并发布自己的版本。

（摘自 https://github.com/tonsky/FiraCode）

可以看到，Fira Code 漂亮的进度条就是通过在私用区的 U+EE00-U+EE0B 码位放置符号来达成的。

Twitter 的 Chirp 字体

又如，字符「」（U+EA00）位于私用区，在 Twitter 上会显示成漂亮的推特小鸟标志，这是因为它被包括在 Twitter 官方客户端所使用的 Chirp 字体中。如果通过一些不带 Chirp 字体的第三方客户端去查看，就看不到了，这是因为系统默认字体往往在 U+EA00 处没有对应的字形。顺便一提，Chirp 字体可以支持显示 Apple 标志，这也是私用区字符与字体相关的好处，安装了相应的字体就能显示。

题外话

知乎推给我这个题，我其实是不想答的，因为显然其他答主能回答得更好，我算是鲁班门前弄大斧。但我翻了一下回答，看到多数回答都在阴阳怪气，终究还是忍不住了。浅答一下，也算整理整理自己关于 Unicode 的知识，还请其他答主海涵，友好交流，有问题请指出。

从本题的其他回答也能看出，知乎的环境正在变得越来越差。这其实是很好的一道题，其他回答不懂装懂还乱比喻，不知道在阴阳怪气什么。

FFmpeg 本身是支持转换标签的（利用 -map_metadata 选项，可自行问 LLM 了解），但它的标签支持并不是很好，会丢掉一些信息，比如封面图和歌词。给手表用是够了，但是如果要用于其他场景就不太合适了。同时，本文的主要目的是教学和记录，所以接下来会通过一个 Python 脚本来实现更完整的标签复制。

转换音乐

FFmpeg 走起。保存下面的脚本为 flac2mp3.sh，然后通过命令行运行它，传入源文件夹和目标文件夹作为参数即可。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

#!/bin/bash

SOURCE_DIR="$1"
DEST_DIR="$2"

mkdir -p "$DEST_DIR"

for file in "$SOURCE_DIR"/*.flac; do
filename=$(basename -- "$file" .flac)
output_file="$DEST_DIR/$filename.mp3"
if [ -f "$output_file" ]; then
echo "跳过转换: $file -> $output_file（文件已存在）"
else
ffmpeg -i "$file" -b:a 320k "$output_file"
echo "转换完成: $file -> $output_file"
fi
done

echo "所有文件转换完成！"

上面的脚本会将指定文件夹中的所有 FLAC 文件转换为 320 kbps 的 MP3 文件。

复制标签

接下来，保存下面的 Python 脚本为 vorbis2id3.py，并确保你已经安装了 mutagen Python 库。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70

import os
from mutagen.flac import FLAC
from mutagen.id3 import ID3, TIT2, TPE1, TALB, TPE2, TCOM, TDRC, TCON, TRCK, TPOS, COMM, USLT, APIC


def copy_vorbis_to_id3(flac_path, mp3_path):
flac_tags = FLAC(flac_path)
try:
audio = ID3(mp3_path)
except:
audio = ID3()
audio.delete()
tag_map = {
'title': TIT2,
'artist': TPE1,
'album': TALB,
'albumartist': TPE2,
'composer': TCOM,
'date': TDRC,
'genre': TCON,
'tracknumber': TRCK,
'discnumber': TPOS,
'comment': COMM,
}
for key, frame_class in tag_map.items():
if key in flac_tags:
value = flac_tags[key][0]
audio.add(frame_class(encoding=3, text=value))
if 'lyrics' in flac_tags:
lyrics_text = flac_tags['lyrics'][0]
audio.add(USLT(encoding=3, lang='eng', desc='Lyrics', text=lyrics_text))
if flac_tags.pictures:
flac_cover = flac_tags.pictures[0]
mime_type = flac_cover.mime
image_data = flac_cover.data
audio.add(
APIC(
encoding=3,
mime=mime_type,
type=3,
desc='Cover',
data=image_data
)
)
audio.save(mp3_path, v2_version=3)
print(f"Copied tags for {os.path.basename(flac_path)}")


def process_music_folders(flac_dir, mp3_dir):
if not os.path.exists(mp3_dir):
os.makedirs(mp3_dir)
for root, dirs, files in os.walk(flac_dir):
for flac_file in files:
if flac_file.endswith('.flac'):
flac_path = os.path.join(root, flac_file)
relative_path = os.path.relpath(flac_path, flac_dir)
mp3_file = os.path.splitext(os.path.basename(flac_file))[0] + '.mp3'
mp3_path = os.path.join(mp3_dir, os.path.dirname(relative_path), mp3_file)
mp3_sub_dir = os.path.dirname(mp3_path)
if not os.path.exists(mp3_sub_dir):
os.makedirs(mp3_sub_dir)
if os.path.exists(mp3_path):
print(f"Processing {flac_file}...")
copy_vorbis_to_id3(flac_path, mp3_path)


if __name__ == '__main__':
flac_folder = input("请输入 FLAC 文件夹路径: ").strip()
mp3_folder = input("请输入 MP3 输出文件夹路径: ").strip()
process_music_folders(flac_folder, mp3_folder)

哇，好多代码。都是 LLM 写的。

上面的脚本会递归地处理指定文件夹中的所有 FLAC 文件，并将它们的标签复制到对应的 MP3 文件中。

导入文件

自己复制到手机上导入，这个不用我说。

需要注意几点：

1. 「华为运动健康」App 对于手机上标题重复的音乐文件会忽略掉某一个，机制不明……不要把打标签前后的文件都放在手机上。
2. 「华为运动健康」App 对于「标题」标签里面有 - 的文件，无论有没有歌手信息，都会把它拆开当作标题和歌手，例如 太陽系デスコ-初音ミク「マジカルミライ 2020」Live- (feat. 初音ミク)……最好改一下。
3. 代码里指定了 ID3 版本为 ID3v2.3。它的兼容性比较好，如果你导入其他地方的文件有问题，不妨试试把标签转换成 ID3v2.3。

结语

MP3 草案在 1991 年发布，直到 5 年后才有了 ID3v1。如果当时的人就能想到标签这回事，大概也没这么多事情吧。

后记

1. 群友推荐用 Kid3 处理和转换 ID3 标签。
2. 群友推荐用 qaac 处理 AAC 格式，比 MP3 更好。

为达到效率与性能的最佳平衡，意欲采用混合模式，NVIDIA 独立显卡按需启动。折腾过程中遇到不少问题，通过查阅 Arch Wiki 和其他资料，最终配置成功。现将过程记录为本文，以供自己和后人参考。

环境

• CPU: Intel Core i9-13900HX（不要缩缸！🙏）
• GPU: NVIDIA GeForce RTX 5070 Ti Laptop
• 操作系统: Arch Linux
• 桌面环境: GNOME on Wayland

安装 NVIDIA 驱动

这部分很快，pacman 一把梭会帮你把要配置的都配置好，而且网上教程很多，也可参考 Arch Wiki，该部分不赘述。需要注意的是，似乎 50 系 GPU 需要安装 nvidia-open 驱动，而非 nvidia 驱动。如果不确定，可先安装一个，然后用 sudo dmesg 查看。

安装之后，建议再安装 nvidia-utils 和 lib32-nvidia-utils ^multilib。

配置和测试 PRIME

本段的内容在 Arch Wiki 中均有涉及。

PRIME（nvidia-prime）是在 Linux 上使用 NVIDIA Optimus 技术的绝佳工具。本例中，我们将配置 PRIME GPU 分载，使得在通过 Intel 核芯显卡输出画面的同时能够使用 NVIDIA 独立显卡进行图形处理。

首先，安装 PRIME：

1

sudo pacman -S nvidia-prime

接下来，配置 udev 和模块参数。

你可以选择安装 nvidia-prime-rtd3pm ^AUR 包，它会自动创建所需的 udev 规则和模块参数文件。

1

yay -S nvidia-prime-rtd3pm

如果你不想从 AUR 装包，那么请根据 Arch Wiki 创建以下两个文件：

• /etc/udev/rules.d/80-nvidia-pm.rules
• /etc/modprobe.d/nvidia-pm.conf

有必要解释一下我们设置的模块参数：options nvidia "NVreg_DynamicPowerManagement=0x02"。

根据 NVIDIA 官方文档，该选项为 0x00 时表示禁用动态电源管理，0x01 时表示启用动态电源管理，0x02 时表示启用动态电源管理并允许系统在空闲时将 GPU 关机。

装完包或者创建好所需的文件之后，请重启电脑。

重启后，你可以使用以下命令来检查 NVIDIA GPU 是否已关闭。首先获取 NVIDIA GPU 的 PCI 设备 ID：

1

lspci | grep -i nvidia

笔者的输出如下：

1
2

02:00.0 VGA compatible controller: NVIDIA Corporation GB205M [GeForce RTX 5070 Ti Mobile] (rev a1)
02:00.1 Audio device: NVIDIA Corporation Device 2f80 (rev a1)

这证明笔者的 NVIDIA GPU 的 PCI 设备 ID 是 02:00.0。下面请你把命令中的 <pci_device_id> 替换为你的 NVIDIA GPU 的 PCI 设备 ID。执行：

1

cat /sys/bus/pci/devices/0000:<pci_device_id>/power/runtime_status

输出有如下可能：

• suspended：表示 NVIDIA GPU 已被挂起。
• resuming：表示 NVIDIA GPU 正在恢复运行。
• active：表示 NVIDIA GPU 正在运行。
• suspending：表示 NVIDIA GPU 正在挂起。

如果输出是 suspended，那么恭喜你，你的 NVIDIA GPU 已经成功启用了动态电源管理，并且在不使用时会自动挂起断电。如果输出非预期，请继续参考 Arch Wiki。

还需要启用 nvidia-persistenced.service 服务，以避免内核在 NVIDIA 设备资源不再使用时清空设备状态：

1
2

sudo systemctl enable nvidia-persistenced.service
sudo systemctl start nvidia-persistenced.service

测试无误后，可以安装 switcheroo-control 包并启用 switcheroo-control.service 以使用 GNOME 集成，这样就可以右击应用程序文件夹里的图标，快速地选择「使用独立显卡启动」选项，用独显运行应用程序。

1
2

sudo pacman -S switcheroo-control
sudo systemctl enable switcheroo-control.service

然后重启电脑。

问题排除：独显莫名其妙就被唤醒了？

通过使用 watch 命令，你可以实时监视独显的状态：

1

watch -n 1 cat /sys/bus/pci/devices/0000:<pci_device_id>/power/runtime_status

当你打开 GTK4 应用，或者打开基于 Electron 的应用时，可能会听到强劲的风扇声，并注意到独显的状态变为 active。

这是因为 GTK4 应用默认会使用 Vulkan 进行渲染，而 Vulkan 在启动时会导致独显被唤醒。你可以使用下面的方法来解决 GTK4 应用唤醒独显的问题。

此章节的剩余内容已经过时。请参考《在你的Arch Linux笔记本上畅快使用NVIDIA显卡，包括Vulkan》以获取最新的解决方案。

Electron 应用只会唤醒独显几秒钟，不影响使用，用掩耳盗铃的方法解决。（如果你知道怎么解决，请告知。）

下面着重解决 GTK4 应用唤醒独显的问题。

参考 Arch Wiki - GTK#GTK4 applications using the dGPU on NVIDIA Optimus setups，我们知道 GTK 在枚举设备时会选择第一个可用的 GPU，而 NVIDIA 通常将独显显示为第一个，因此现在将默认使用 Vulkan 渲染器，即调用 NVIDIA 独显。

解决方案就是让 Vulkan 优先调用 Intel 核芯显卡（参考下面的 Arch Linux BBS 帖子），或者采取我选择的方式，把 GTK4 的渲染后端换回 ngl：

1

mkdir -p ~/.config/environment.d && echo GSK_RENDERER=ngl > ~/.config/environment.d/gsk.conf

然后重启电脑。

对于 Flatpak 应用，请参考 Arch Linux BBS - NVIDIA Discrete GPU/DGPU powers on on every program that opens. 中的解决方案。

延伸：实时监视独显状态

watch 命令只能在终端使用，不太方便。通过使用一个简单的 GNOME 扩展，你可以把独显的状态集成到 GNOME 顶部栏中。

安装扩展 Executor 后，可以监视命令的输出。我写了一个简单的命令，你可以将其添加到 Executor 中：

1

s=$(cat /sys/bus/pci/devices/0000:<pci_device_id>/power/runtime_status); echo "独显$(if [ "$s" = "active" ]; then echo "活动"; elif [ "$s" = "suspended" ]; then echo "挂起"; elif [ "$s" = "resuming" ]; then echo "恢复中"; elif [ "$s" = "suspending" ]; then echo "挂起中"; else echo " $s"; fi)"

注意把命令中的 <pci_device_id> 替换为你的 NVIDIA GPU 的 PCI 设备 ID。

结语

通过以上步骤，你应该能够在 Arch Linux 笔记本上成功配置并使用 NVIDIA 独立显卡。希望这篇文章能对你有所帮助，祝你在 Linux 的世界里畅游无阻！

如有任何问题或建议，请不吝赐教！

以下内容整理自我在网上聊天室中的发言。

距离 Telegram CEO Pavel Du Rove 最初被法国政府提出指控已有数周。有文章因 Telegram 不默认启用端到端加密而对其隐私性提出质疑。以下是我的观点。

Telegram 是主流聊天软件中唯一支持在众多设备上同时登录的。要么作出取舍，要么像 Matrix 一样在其他设备上干瞪眼看无法解密的提示。

当然，这些暗示着 Telegram 是个弱隐私的平台，但他们的宣传显然与实际不符。我宁愿在隐私和便利中选择后者，当然我知道有人不愿。

说实在的，我觉得追求极度隐私的人一开始便不该选择 Telegram。对于普遍隐私来说，Telegram 其实也差点火候。我倒是怀疑 Telegram 在拿用户隐私当作审查不力的挡箭牌。一个弱隐私的平台本该能很好地对付诈骗和儿童色情内容的。更何况，Telegram 上大部分的违法活动都植根频道和群组之中，没有经过端到端加密的保护。

所以，谁也不知道杜叔叔葫芦里卖的什么药。纸飞机在雨中飞，带着被淋湿的机翼。

1. 告别尘螨，呼吸更自由！

我们都知道，被子是尘螨的乐园。而每天叠被子，就如同将它们关在一个温暖潮湿的密闭空间里，让它们繁衍生息。不叠被子，让被子充分通风，尘螨无处藏身，自然也就减少了过敏和哮喘的风险。

2. 提高免疫力，远离疾病！

研究发现，人体皮肤上的益生菌对维持免疫力至关重要，而叠被子会导致益生菌数量减少。不叠被子，让被子保持自然状态，有助于益生菌的生长，提升免疫力，减少患病风险。

3. 节省时间，多睡一会儿！

你是否经常因为叠被子而迟到？不叠被子，就能节省宝贵的时间，多睡一会儿，迎接美好的一天。

4. 减轻压力，放松身心！

叠被子是一个重复性的动作，容易让人感到烦躁和压力。不叠被子，可以减少这种压力，让你更加放松，拥有一个愉悦的心情。

5. 保持被子蓬松，舒适度UP！

叠被子会导致被子变得紧实，影响舒适度。不叠被子，让被子保持蓬松状态，更加柔软舒适。

总之，早起不叠被子，不仅是时尚，更是一种健康的生活方式。快行动起来，尝试一下吧！你一定会爱上这种轻松自在的感觉！

阅读下面材料，根据要求写作。（60 分）

近些年在互联网传播场域中，“反转”式新闻连番上演。在这个时代，对同一事件的报道常常出现一次或多次显著变化，有时甚至出现反向变化。网民们也已被教育得习惯“蹲一个反转”“让子弹飞”。

有人称其为“污染井效应”，即流传的虚假言论污染了公众舆论之井。美国智库兰德公司也用“真相衰退”这个词来概括人们在公共生活中事实和基于事实的分析所占比重越来越少的现象。

对此，你有怎样的体验与思考？写一篇文章，谈谈自己的看法。

要求：① 角度自选，立意自定，题目自拟；② 明确文体，不得写成诗歌；③ 不得少于 800 字；④ 不得抄袭、套作。

“反转”不是进步，真相需要维护

随着互联网的高速发展，自媒体、短视频成为了新媒体新闻传播的关键领域。新闻传播的快速化趋势引发了“反转”的屡屡上演，更是点燃了网民们对网络信息真实性的思考。笔者认为，“反转”式新闻是事实被掩盖的危险信号，必须由多方共同努力，杜绝真相被掩盖。

“反转”式新闻的出现，在于新兴媒介一味追求“快”的共性，却忽略了准确性。时下流行的短视频便是典型的样板。短视频内容门槛低、质量低、传播速度快，用户生成内容的模式注定了其内容良莠不齐。如此的特点使它成为虚假“真相”的主要来源而为澄清事实，相关的权威部门又不得不反复采取措施，其中更是难免产生误传，导致信息需要多次修正，进而产生反转。由此观之，短视频等新媒体是“反转”式新闻的祸根。

“反转”式新闻决不是真相逐步得到修正的进步体现，而是虚假信息肆虐的预警信号。短视频出现之前，新闻的主要来源是报纸和权威性互联网媒体。其时因信息来源权威而纯粹，虚假信息较少。短视频使人人都能成为网络的中心，空洞无物的“新黄色新闻”更是佐证了短视频的短视。“污染井效应”的理论在这里得到了生动而又可悲的诠释：动动手指便能发布一条虚假内容堆积成的短视频信息，公众舆论之井被大量虚假言论污染。而作为舆论之井井底之蛙的公众在浏览短视频的被动接收过程中受大量或真或假信息以及多次、多级的“反转”影响，只能接收到扭曲和破碎的事实。

“反转”式新闻的杜绝，是势在必行、迫在眉睫的任务。互联网平台必须加强内容审核，对屡次发表相应虚假内容的用户进行处罚，立法者也应修订相应的法规，增加造谣成本。唯有杜绝虚假“真相”的产生，才能将“反转”的负面影响扼杂在摇篮之中。

诚然，“反转”式新闻的产生主要由虚假信息驱使，事实调查的不清楚也是另一种可能的原因。随着技术的进步，调查真相的手段更多，有时初步结论并非事实真相。这种情况下，“反转”则是必要而必不可少的，但也要警惕其成为滥用的理由。

“反转”式新闻不是进步的体现，真相本当一次查明。

如果你只是想了解如何扩容磁盘，请看文章最后的结论部分。

请注意，请不要效仿本文中的错误操作。只有你遇到了相似的问题，才可以运用文章中的补救措施。由于作者并不精通 Linux，不保证文章内容准确，采用文章中的方法，后果自负。本文没有配屏幕截图。

前情提要

由于 Windows 系统过于卡顿，因此最近开始使用 Linux 操作系统，选用的是 Ubuntu 22.04 LTS 发行版。使用过程中逐渐感到磁盘空间不足，遂打算扩充磁盘空间以供使用。

当前系统环境

我已有的磁盘情况如下（按照在磁盘上的顺序排列）：

• /dev/sda：机械硬盘，容量为 1 TB。
  • sda2：逻辑分区。
    • sda5：交换分区（swap），容量 16 GB。
    • sda6：Linux 根目录，容量 64 GB。
  • sda1：位于磁盘最后的 NTFS 分区，容量约 800 GB。
• /dev/sdb：SSD。sdb1 上装有 Windows 11 操作系统。

预期结果

由于交换分区过大，完全用不完，计划将交换分区缩小至 4 GB，并将 sda6 向前扩展 12 GB。

附注：后续使用证明，4 GB 交换分区有些捉襟见肘，一般来说将近吃满，长时间不关机会完全吃满导致电脑卡顿，后续又调整为 8 GB。我的电脑内存是 8 GB，供参考。

摸索过程

在 Ubuntu 主系统上的操作

我打开了 GNOME「磁盘」工具，解除挂载之后企图调节 swap 分区大小，发现不能调节，遂打算删除后重建。（请不要效仿，后果自负。）

删除 swap 之后，系统提示内核无法响应分区序号的更改，/dev/sda6 变为 /dev/sda5，让我重新启动操作系统。

我瞬间慌了，立刻找到闲置的优盘，开始烧写 Ventoy，制作启动盘。烧写完成之后，重启进入 Live CD。

在 Live CD 中的抢救工作

进入 Live CD 之后直接启动 GParted 图形界面（Ubuntu Live CD 预装）查看分区情况。创建新的 swap 分区，调节主分区大小（时间会很长），然后重启。

调节之后的分区情况如下：

• sda2：逻辑分区。
  • sda6：swap 分区，容量 4 GB。
  • sda5：Linux 根目录，容量 76 GB。
• sda1：位于磁盘最后的 NTFS 分区，容量约 800 GB。

附注：如果硬盘上有 swap 分区，Live CD 会使用它。GParted 会用「🔑」标记挂载的分区，你需要右键点击取消挂载。

引导失败 — 修复分区序号

重启之后无法进入操作系统。屏幕上显示的内容如下：

error: unknown filesystem.Entering rescue mode...grub rescue> _

这个画面显然使我不安。我用电源键关机重新进入 Live CD。通过搜索，我知道是分区序号改变的缘故。^[1]经过摸索，总结修复过程如下：

1. 执行 sudo fdisk /dev/sda；
2. 用 x 进入高级模式，f 执行分区序号调整。

调整之后，分区序号会重新排列，变成了这样：

• sda1：逻辑分区。
  • sda5：swap 分区，容量 4 GB。
  • sda6：Linux 根目录，容量 76 GB。
• sda2：位于磁盘最后的 NTFS 分区，容量约 800 GB。

sda1 和 sda2 交换了，但不影响使用^[2]。

后续收尾 — 关于交换分区

经过一番摸索和修复，系统终于可以正常启动了，但仍然会遇到下面两个问题。

问题 1 启动时控制台界面会一直跳光标，一分钟后显示：

Gave up waiting for suspend/resume device

之后才会出现 GUI 启动界面。这是交换分区被重新创建，UUID 不同造成的。

解决方法：删除 /etc/initramfs-tools/conf.d/resume，并执行 update-initramfs -u。^[3]

问题 2 重启之后，系统也不会使用这个新的交换分区。

解决方法：运行 sudo blkid，获得新建的交换分区的 UUID，输出如下：

1

/dev/sda5: UUID="********-****-****-****-************" TYPE="swap" PARTUUID="********-**"

编辑 /etc/fstab，如下：

1
2
3
4
5
6
7
8
9
10
11

# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
# / was on /dev/sda6 during installation
UUID=********-****-****-****-************ /               ext4    errors=remount-ro 0       1
# swap was on /dev/sda5 during installation
UUID=********-****-****-****-************ none            swap    sw                0       0 # 修改此处的 UUID

重启系统，终于正常了。

结论

本文主要焦点在误操作之后的恢复。一般来说，只要不贪图方便，正常操作，不会出现问题。正常的磁盘扩充过程：重启进入 Live CD，直接通过 GParted 工具调整分区大小。

以及，谨记名言：

早晚别刷机！