到现在为止，并没有找到最合适的解决方案（目前最靠谱的是 Nextcloud Talk 和 Voce Chat）。先把过程中考虑到的一些因素，记录下来，作为借鉴。

我的目的，是如何更便捷地，和墙内小范围的朋友、家人，保持联系，在对话中不受信息审查。现有的聊天软件，能够不翻墙使用的，几乎没有了，即使有，也不是长久之计。所以最靠谱的方式，大概只有通过一台海外的 vps，自建服务，供小范围的人使用。如果传播范围不大，除非 gfw 变成白名单，否则应该都可以长期使用。

下面是选择各种自建聊天工具时，会考虑到的因素。这些因素之间，有些是互相冲突的。对不同需求的人，在这些因素之间考虑的权重，也不一样。对于我上述的需求来说，

• 不需要考虑的因素，用黑色显示；
• 希望能有，但没有也无所谓的因素，用蓝色显示；
• 非常希望能满足的因素，用绿色显示。

首先，我希望这是一个可以挂机的聊天工具，可以在收到信息时，从手机接收到通知；而不仅仅是个网页聊天室，只能在专门打开网站时，才能聊天：

• 可以持续挂机，通过 app 或者「Chrome 把网站添加到桌面」的功能，实时接收来信通知；
• 除了手机外，也能在 pc 的浏览器里使用；

要联系的人，并不擅长电脑技术和操作，因此

• 不需要翻墙使用；
• 操作简便；
• 有中文界面；

这些人，可能并不属于同一个群体。所以，需要为不同的人群，架设不同的服务地址，互相分开。

• 在一台 vps 上，同时部署多个聊天服务。一些功能更加完善的聊天服务如 xmpp，因为需要独占端口，并不能满足这一点；

安全性方面：

• 信息加密；
• 开源；
• 不和中央服务器连接，一些 self-host 的服务，会经常连接开发者的服务器，虽然只是检查升级或校验程序完整性，但还是看着心虚；
• 完全通过域名交互，不向其它服务器暴露 ip 地址；
• 用户之间的私信，对管理员也不可见，否则，其实开个 fediverse 实例，可以满足这里很多条要求；
• 用户之间不会互相暴露信息，譬如很多协同工作平台，可以互相看到所有用户的名单、email……

架设系统的便利程度：

• 支持 docker + nginx 部署，或者直接放进 php 目录就能运行；
• 系统开销小，内存上 G 的那种就算了吧；
• 不需要 mysql 等专门数据库，因为规模不大，sqlite 就足够了；
• 能部署在网站的子目录下，不需要独占一个子域名；

对聊天功能的需求：

• 是否要加入去中心化网络，和其它服务器的用户交流？对我来说，这不是必须的。而且这在部署的便利性、轻量级、安全性、同时部署多个服务……等方面，都会造成冲突；
• 可以群聊，也可以一对一私聊；
• 可以传输文件；
• 支持语音；
• 支持视频；
• 注册过程简洁，可以由管理员直接生成账户；
• 可以关闭对外注册；

……………还有什么要补充的吗？

---

已经考察过的工具

其实最理想的，应该是一个 php 的聊天室……能通过 chrome 在手机桌面接收消息通知就可以。轻量化、可以塞到任何目录下、没有中文我自己汉化也可以。但是，真的没找到靠谱的…………求推荐！！！

ps，如果联系人有一定电脑常识，也懂英文的话，用 mycryptochat 做临时沟通，蛮好用的。

目前最合适的，是 Nextcloud Talk，用 docker + sqlite + nginx，是可以做到快速部署的；占用内存不到 300MB，勉强可以接受（所以开销更高的方案，基本不考虑了）；而 nextcloud 作为一个庞大的办公平台，其 web 界面对于非技术人士，未免有些眼花缭乱。

xmpp 和 matrix 服务器，可以做到开销更小，但也在 100MB 以上，还涉及独占端口的调整，部署起来繁琐很多。似乎也可以把跨实例通信的功能关掉，做成封闭社区，配置和开销会简单一些。但还没仔细研究。

各种协同平台类，如 Mattermost、Rocket.Chat，系统开销过大，就算了。

这两年有个国人开发的 VoceChat 工具，评价很不错。可以 docker + nginx 部署，内存 30MB，有 web 界面和自己的 app。推荐大家可以试试。目前发现的一些问题：

• 免费 license 有 20 个用户的限制。 问题不大；
• nginx 不能反代到子目录，只能独占域名的根目录；
• 可以看到其它用户的 email，但用邀请码注册的话，可以填假的，不用验证；
• 最大的问题：VoceChat 的语音聊天模块，是外挂的 agora.io，——是著名的大陆运营商，当年 clubhouse 因此遭受很大质疑。所以，不要用它的语音功能谈关键的信息。进而，这个软件的文字聊天的安全性，虽然是开源，但使用官方 docker 时，也让人有些嘀咕了。

虽然大家写 blog 的频率都没那么勤了，但是，RSS 还是有其它可以玩的方式的！

很多人都有用各种 read it later、或者书签类工具，把有意思的网页保存下来。在这些工具里，可以通过某些手法，把一些想要分享的网页，生成 rss。其他好友订阅这个 rss 地址，就可以自动刷新，看到你推荐的文章啦！

下面介绍一些，常见的书签网站，生成 rss 的方式。但首先——

• 这些生成的 rss 地址里，大多都内嵌着网站的验证码，容易泄密，也冗长而不简洁。强烈建议：得到 rss 后，先用 Feedburner 之类的网站，转成新的 rss，再分享出来，可以去掉原先网址里的隐私信息。
• 很多网站，并没有专门用来 share 的分类，只能通过曲线手段，把已经 archive 或者 star 的类别分享出来。这可能会影响你原本的使用习惯。
• 一些网站生成的 rss，并没有全文，甚至只有标题和链接地址。没关系，能看到大家的推荐，就已经很好了，自己点开就可以啦。
• 大多数 rss 订阅工具里，也都有发送给 read it later 的功能，可以辗转着，把自己订阅的文章分享给他人。

我的 RSS 分享地址是：

https://feed.fivest.one/readings
或者
https://feeds.feedburner.com/fivestone/readings

有兴趣和我分享的，欢迎留言或私信交换！！

---

Instapaper 免费版

感觉 Instapaper 生成 RSS 的功能是最好用的，可以把特定的文件夹设为公开，直接得到它的 rss，形如：

https://instapaper.com/folder/1234567/rss/123456/Vciysdfsd7mod9B

• 在左边栏创建新的 Folder，存放想要分享的文章；
• 进入这个 Folder，在页面上方选择 Edit，设置成 Public；
• 点击页面右上角的下拉菜单，选择 Download；
• 下载为 RSS Feed，就得到 RSS 地址了。

Pocket 免费版

好像 Pocket 的免费用户，内容都只能是公开的（无语…），只要知道了用户名，就可以通过 RSS 查看全部的内容（所以生成的 rss 需要转录才安全）。而且不能自定义分类，只有默认的：

https://getpocket.com/users/USERNAME/feed/all
https://getpocket.com/users/USERNAME/feed/unread
https://getpocket.com/users/USERNAME/feed/read

最后一条 …/read 会返回所有 Archived 了的文章，可以勉强用它作为分类的手段。

Readwise

这个只有收费版，我就不去试了。有它家的用户，可以帮忙把生成 rss 的方法分享一下？

Wallabag

我在用 Wallabag，可以自建，也有收费的服务可用。生成的 rss 是全文输出，效果很好。在 Config – Feed 里，生成一个 token，然后点开任何一个 tag，点击列表上方的 rss 图标，就可以得到这个 tag 的 rss 订阅（生成的地址里带着统一的 token，所以需要转录才安全）：

https://wallabag.your.domain/feed/USERNAME/asdfghjkl/tags/t:share

需求：

1. 在便携硬盘盒（M.2 SATA/NVME）安装 Linux（Ubuntu/Zorin），以便在不同的电脑上都可以启动使用。
2. root 级别的系统分区加密（使用 LUKS & LVM）。
3. 不要把整块硬盘都加密，而是在硬盘上保留一个未加密分区。这样也可以作为普通的移动硬盘使用。

——这篇攻略和是否外置硬盘盒，没多大关系。普通内置硬盘也可以这样加密安装。

最新的 Ubuntu 22.04 之后的版本，在安装界面里自带了 LVM 全盘加密安装的选项。但是并不能满足第 3 条需求。所以还需要一些复杂的手动操作。

安装过程尽量围绕 ubuntu 的图形安装界面，对新人友好。参考并验证了这篇教程。但原文连同 /boot 引导分区也一起加密了，于是在配置上略显繁琐。我觉得加密 /boot 并不是很有必要，做了一些改动。最终的硬盘分区结构为（以 512GB 硬盘为例）：

• 大约 800MB，EFI 引导分区
• 大约 300GB，LUKS 加密分区。在其中配置 LVM 逻辑分区：
  • 2GB，swap 交换分区
  • 大约 300GB，Ubuntu 系统分区 root /
• 大约 200GB，普通移动硬盘分区

---

操作步骤：

下载 Ubuntu，制作 USB 安装盘（过程略）。——然后，强烈建议在整个安装过程之前，在电脑的 BIOS 里，把内置的其它硬盘暂时卸载。

插上移动硬盘和 USB 启动盘。从 U 盘启动电脑，选择 Try Ubuntu。最新的 Ubuntu 22.04 安装程序里，已经内置了所需的 cryptsetup 和 cryptsetup-initramfs 软件包。因此，整个安装过程中，应该不需要连接互联网。

首先，把硬盘预分区。分区软件有很多种，可以用原文的 sgdidk，也可以直接用图形界面下的 Disk 或者 Gparted。在硬盘上创建 GPT 分区表，然后分成：

• 大约 800MB，EFI 引导分区
• 大约 300GB，要加密的系统分区
• 余下的约 200GB 移动硬盘

这些分区都先不用格式化。记住第二个分区的名字，本文假定为 /dev/sda2。

分区成功后，关闭分区软件，打开 Terminal 命令界面，执行 root 权限

sudo -i

将系统分区加密。按提示输入密码，——这个密码，就是以后每次启动时，挂在硬盘用的密码。和安装 Ubuntu 时的用户密码，并不是一回事。

cryptsetup luksFormat --type=luks1 /dev/sda2

解锁刚刚加密的分区：

cryptsetup open /dev/sda2 hd2_crypt

创建逻辑卷组（LVM），然后在其中创建 2GB 的 swap 交换分区，再把剩余的空间创建为系统分区（这两个分区的大小，大家自行调整）：

pvcreate /dev/mapper/hd2_crypt

vgcreate ubuntu--vg /dev/mapper/hd2_crypt

lvcreate -L 2G -n swap_1 ubuntu--vg

lvcreate -l 100%FREE -n root ubuntu--vg

然后，运行桌面上的 Ubuntu 安装程序（Terminal 先不要关），在磁盘分区页面，选择 Something else，进行手动分区。

• 把 /dev/mapper/ubuntu—-vg-root 格式化成 ext4，挂载为系统根目录 /
• 把 /dev/mapper/ubuntu—-vg-swap_1 设为 swap 交换分区
• 把 /dev/sda1 设为 EFI 引导分区

点击 Install Now，确认对分区的设置。注意，到了下一步创建用户的界面时，先不要继续。切换回 Terminal 命令行界面，正式安装前，在 GRUB 中启用加密（能看懂下面这些命令的话，也可以直接去编辑相应的文件）：

while [ ! -d /target/etc/default/grub.d ]; do sleep 1; done; echo "GRUB_ENABLE_CRYPTODISK=y" > /target/etc/default/grub.d/local.cfg

然后回到创建用户的页面，点击继续，开始安装系统。安装结束后，先不要 restart。而是点击 Continue Testing。

回到 Terminal 命令行界面，chroot 到新装的系统：

mount /dev/mapper/ubuntu----vg-root /target

for n in proc sys dev etc/resolv.conf; do mount --rbind /$n /target/$n; done

chroot /target

mount -a

原文说此时需要（联网）安装 apt install cryptsetup-initramfs；但我用的 ubuntu 安装程序已经自带了，并不需要联网安装软件包。

添加密钥文件相关设置：

echo "KEYFILE_PATTERN=/etc/luks/*.keyfile" >> /etc/cryptsetup-initramfs/conf-hook

echo "UMASK=0077" >> /etc/initramfs-tools/initramfs.conf

创建密钥文件并将其添加到 LUKS

mkdir /etc/luks

dd if=/dev/urandom of=/etc/luks/boot_os.keyfile bs=512 count=1

chmod u=rx,go-rwx /etc/luks

chmod u=r,go-rwx /etc/luks/boot_os.keyfile

将密钥添加到 boot_os.file 和 Crypttab

cryptsetup luksAddKey /dev/sda2 /etc/luks/boot_os.keyfile

echo "hd2_crypt UUID=$(blkid -s UUID -o value /dev/sda2) /etc/luks/boot_os.keyfile luks,discard" >> /etc/crypttab

更新 Initialramfs 内核映像

update-initramfs -u -k all

此时全部结束。可以重启系统啦。

---

关于这个硬盘密码：

• 是用来防止，别人拿到这块硬盘时，无法查看硬盘的文件；
• 并不能防止，当你登入系统后，因为系统漏洞或操作失误，而造成的入侵；
• 这个密码，如果忘记了，硬盘里的文件，就再也无法看到了！！（有添加 recovery 的操作，但我觉得没必要）；
• 每次开机启动时，都要输入一次这个密码。所以，虽然密码需要足够复杂，但最好选一个，自己能方便记住，日常使用的方式。

如何修改硬盘密码：

最简单的方式，是在已经启动的移动硬盘系统里，先通过 disk 等分区软件，确认加密分区的名字（这里假设仍然是 /dev/sda2，但实际上不一定了），打开 Terminal 界面，

sudo -i

cryptsetup luksChangeKey /dev/sda2

按照提示，输入旧密码，再输入两遍新密码。最后，更新 initramfs，

update-initramfs -u -k all

就可以了。

最近又试了一圈 Android 上的记账软件。各种时兴的记账 app 里，仍然没有靠谱的。最终的选择，是停更了五年的：Gnucash Pocket，——Gnucash 的非官方手机版。Google Play 上早就没有了，只能自己编译，或者下载 2018 年的 apk（还很好用

---

个人需求，并非面面俱到的记账；而是针对一些小项目（譬如一次多人旅行、入门一个兴趣领域时的投入……），记录相关的开销。所以，我的核心需求，是能够在多个项目间，方便进行切换，这一点，是市面上很多记账软件，无法做到的。

一些记账软件里常见的，但我并不需要，甚至会反感的功能：

• 和其它 app、乃至和你的银行账户，对接数据
• 繁复的报表（我可以导出到 pc 后自己整理
• 实时汇率
• 多设备、多用户，实时同步信息（这个还是想要的，但不是必需
• 需要注册网站用户

很多年前我找过这样的 app，并没有找到合适的，也就放弃了。如今又把 app store 里的常见记账软件，试了一圈，仍然没找到靠谱的（一些上来就要手机号注册的，我就不试了…）。最终还是投奔鼎鼎大名的 Gnucash。——这是从上个世纪就已经存在的老牌开源记账软件了，支持 Win / Linux / Mac 平台，我在 pc 上也很常用；但是并没有官方的手机版本。官网的 wiki 介绍了一些第三方开发的手机版本。感觉最好用的，是 Gnucash Pocket，原作者从 2014 维持到 2018 年，就停更了，后来被人 fork 了继续维护，但 fork 版不提供现成的 apk。原版 2018 年的最终版本的 apk，我用起来挺好的，没什么大问题。

注意：我说的是 Gnucash Pocket，而不是 Google Play 里的 Gnucash Mobile。Gnucash 的 wiki 官网对这两个 app 都有介绍。这些都是第三方开发的项目，和 Gnucash 官网没有关系。Gnucash Mobile 感觉很难用：不支持多项目，而且似乎先要导入一个在桌面 Gnucash 建好的账户模板……以及，那几个 ios 上的版本，我没有试过，并不知道是否好用。

---

Gnucash Pocket 的优点：

• 完备的复式记账功能，——很多记账软件里眼花缭乱的功能，譬如 AA 账单之类，其实都可以通过设计合适的账目结构来实现
• 在多个项目切换
• 不依赖网络，可离线使用
• 数据可导出到 Gnucash 桌面版
• 支持多币种
• 免费，开源
• 无广告，不需要注册用户

缺点：

• 不能实时多设备/多用户同步
• 菜单里通往各个功能的入口不全，譬如缺一个一键回到首页的功能……

具体用法就不多介绍了。这里只是向那些，有类似需求和记账知识的人，介绍有这么个东西。具体用法应该很好摸索。

---

Gnucash Pocket 和 Gnucash 桌面版的数据迁移

记账的项目告一段落后，可以把数据从 app 导出，再导出到桌面版的 Gnucash，进行归档或进一步的处理。注意，如果账目里只有一种货币，那么选择 .csv .qif 格式，都可以顺利地迁移数据；但是，如果账目里有多种货币，这两种格式都会出现问题，就只能导出成 xml 格式。导出的文件有个看着很怪的 .gnca 扩展名，没关系，在桌面版的 Gnucash 里，直接 file – open – 打开这个 .gnca 文件，就可以了。桌面版的 Gnucash 项目，选择 save as 成 xml 文件，传到手机里，也可以用 app 打开继续记账。