Arch Linux 系統全面審計報告

掃描日期：2026-03-08 | 主機名：ar | 執行時間：5 天 20 小時 | Kernel: 6.12.74-1-lts

C+

安全評分

B+

效能評分

88%

磁碟使用率

2032

已安裝套件

36.8s

開機時間

處理器

AMD Eng Sample (Phoenix)

12 核心 | 溫度 46.0°C

記憶體

25 GiB (18 GiB 已用)

Swap: 8 GiB (未使用) | Swappiness: 0

顯示卡

AMD Phoenix1 (內顯)

Vulkan + Mesa | 溫度 39.0°C | 功耗 10.25W

儲存裝置

NVMe 914G + HDD 932G

NVMe: 88% 已用(756G/914G) | HDD: 60% 已用(558G/932G)

桌面環境

Niri (Wayland 合成器)

Waybar + SwayNC + Kitty 終端機

網路

有線 enp3s0（區域網路 IP 已隱藏）

Wi-Fi 停用 | Docker 多橋接 | Cloudflared 隧道

⚡

開機啟動流程

36.8 秒 ▼

從按下電源到可以使用桌面的完整流程：

0s - 7.9s (韌體)

UEFI BIOS 初始化

主機板硬體初始化、POST 自檢、TPM 模組偵測

7.9s - 13.7s (載入器)

GRUB 開機載入器

讀取 /boot/efi (FAT32)，載入 Linux LTS 核心 6.12.74

13.7s - 14.5s (核心)

Linux Kernel 啟動

核心解壓、硬體偵測、驅動載入 (AMD GPU, NVMe, USB)

14.5s - 18.1s (initrd)

Dracut initramfs

早期使用者空間、根檔案系統掛載 (ext4 on nvme0n1p2)

18.1s - 36.8s (使用者空間)

Systemd 服務啟動

關鍵路徑：firewalld(0.8s) → NetworkManager(0.5s) → NM-wait-online(5.8s) → Docker(3.4s) → ai-net(0.3s) → graphical.target

@14.1s (graphical.target)

SDDM 登入管理器就緒

顯示登入畫面，等待使用者輸入

登入後

Niri 視窗管理器啟動

Waybar → SwayNC → Fcitx5 → KDEConnect → Cliphist → 護眼模式 → Sunshine 等使用者服務

啟動耗時前 10 名

服務	耗時	說明	必要性
`archlinux-keyring-wkd-sync`	8m 31s	同步 Arch 金鑰環	非關鍵/可延遲
`man-db`	1m 54s	更新 man 資料庫	非關鍵/定時任務
`plocate-updatedb`	14s	更新檔案索引	非關鍵/定時任務
`NM-wait-online`	5.8s	等待網路連線	被 Docker 依賴
`docker-auto-update`	5.4s	Docker 容器自動更新	開發用
`docker.service`	3.4s	Docker 引擎	開發用

🔒

安全漏洞掃描

3 高風險 / 7 中風險 / 7 良好 ▼

高風險

Sudo 免密碼設定

偵測到 sudo 免密碼提權規則。任何程式都可能在無需再次驗證的情況下取得 root 權限；若帳號被入侵，攻擊者可直接取得完整系統控制權。

建議：改為需要密碼，或僅對極少數必要指令保留免密碼

高風險

防火牆 INPUT 策略為 ACCEPT

iptables INPUT chain policy 是 ACCEPT，代表所有入站流量預設允許。系統上存在多個對外監聽的高風險服務，增加了區域網路與遠端暴露面。

建議：啟用 firewalld 的嚴格區域規則，僅允許需要的埠

高風險

大量未受保護的監聽埠

偵測到大量 TCP 監聽埠，涵蓋遠端管理、檔案分享、容器服務、串流服務與開發用途服務。多數埠綁定在所有介面，代表這些服務會暴露在區域網路中。

建議：不需要遠端存取的服務改綁本機介面；再用防火牆限制可存取來源

中風險

SSH 使用預設設定 + VPS root 直連

sshd_config 幾乎是預設值，未明確禁用密碼認證或 root 登入；另外也發現 SSH 設定中存在高權限遠端主機連線別名。未安裝 fail2ban。

建議：停用密碼登入、禁止 root 直接登入、降低暴力嘗試次數限制，並加入登入保護機制

中風險

敏感認證檔案散布

發現多處敏感認證資料散布於家目錄，例如 cookie、環境變數檔與雲端憑證。任何能讀取家目錄的程式都可能接觸到這些資料。

建議：集中移至受保護目錄、收緊檔案權限，並減少明文憑證落地

中風險

SMB (Samba) 服務暴露

nmb.service 和 smb.service 已啟用，在所有介面監聽 139/445 埠。這是常見的攻擊向量。

建議：若僅區域網路使用，限制 smb.conf 的介面和允許主機

中風險

Docker 群組等同 root + 69 個殭屍程序

joe 在 docker 群組，任何 Docker 操作等同 root 權限。此外系統有 69 個殭屍程序，可能影響穩定性。

建議：考慮使用 rootless Docker；檢查殭屍程序來源

中風險

NVIDIA 驅動佔用空間但使用 AMD

nvidia-utils (854 MB) + lib32-nvidia-utils (411 MB) 佔用超過 1.2 GB，但系統使用 AMD Phoenix1 GPU。4 個 nvidia 休眠服務也在運行。

建議：若不需要 NVIDIA，移除相關套件可釋放 1.2 GB

中風險

RDP 埠 3389 對外開放

firewalld 允許 3389/tcp (RDP)，這是常見的攻擊向量。加上已有的 Sunshine 串流和 XRDP，遠端桌面方案過多。

建議：若不使用 RDP，從 firewalld 移除該規則

主分割區使用率 88%（756G/914G），僅剩 112G。可能隨時影響系統穩定性。

建議：清理 chatgpt-capture(76G)、桌面(213G)等大目錄

良好

SSH 金鑰權限正確

所有私鑰檔案權限為 600，公鑰為 644，~/.ssh 目錄權限為 700。符合安全規範。

良好

ASLR 已啟用

位址空間配置隨機化值為 2（完全隨機化），有效防禦記憶體攻擊。

良好

IP 轉發已停用

ip_forward = 0，防止系統被用作路由器或中間人攻擊跳板。

良好

使用 Ed25519 金鑰

SSH 使用 Ed25519 演算法，比 RSA 更安全且更快。

良好

家目錄權限正確

/home/joe 權限為 710（drwx--x---），僅擁有者可完整存取。

良好

Firewalld 正在運行

firewalld 服務已啟用並運行，使用 nftables 後端管理防火牆規則。

良好

系統更新狀況

僅有 26 個待更新的套件，系統保持相當新。

主要監聽 TCP 埠清單

埠號	服務	綁定	風險
已隱藏	SSH / 遠端管理	所有介面	中
已隱藏	RPC / 系統服務	所有介面	高
已隱藏	SMB / 檔案分享	所有介面	高
已隱藏	本機 Web 服務 A	所有介面	中
已隱藏	本機 Web 服務 B	所有介面	中
已隱藏	其他服務	所有介面	中
已隱藏	其他服務	所有介面	中
已隱藏	媒體/工具服務	所有介面	低
已隱藏	Docker 媒體服務	所有介面	中
已隱藏	本機瀏覽器除錯	本機	低(本機)
已隱藏	容器 Gateway 服務	所有介面	中
已隱藏	Overlay / VPN 類服務	所有介面	高(大量)
已隱藏	遠端串流服務	所有介面	中
已隱藏	P2P 類服務	所有介面	低

⚙

背景服務與系統服務

27 啟用 / 1 失敗 / 14 使用者級 ▼

失敗的服務

服務	狀態	說明	建議
`ai-net.service`	failed	AI Net docker-compose stack (CC-Switch & CLIProxyAPI)	檢查 Docker Compose 配置和依賴容器

系統級啟用服務 (27 個)

服務	用途	使用評估
`NetworkManager`	網路管理	必要
`bluetooth`	藍牙管理	必要
`sshd`	SSH 遠端連線	常用
`docker` (自啟)	容器引擎	開發用
`sddm`	登入管理器	必要
`firewalld`	防火牆	必要
`cloudflared`	Cloudflare 隧道	自建服務用
`keyd`	鍵盤重映射	自訂按鍵
`cpupower`	CPU 頻率管理	效能用
`libvirtd`	虛擬機管理	偶爾使用
`smb / nmb`	Samba 檔案分享	區域網路
`avahi-daemon`	mDNS 服務發現	區域網路
`vnstat`	流量統計	監控用
`darlinbot`	自訂機器人服務	自建服務
`autofs`	自動掛載	檔案系統
`nvidia-*` (4 個)	NVIDIA 休眠/恢復	可能不需要(使用 AMD)
`NM-wait-online`	等待網路上線	拖慢開機
`power-profiles-daemon`	電源配置	省電管理
`swayosd-libinput-backend`	OSD 輸入後端	UI 反饋

使用者級服務 (14 個)

服務	用途
`waybar`	頂部工作列
`swaync`	通知中心
`wireplumber`	PipeWire 會話管理
`cliphist`	剪貼簿歷史
`sunshine`	遊戲串流 (Moonlight)
`eye-rest-v3`	護眼模式/定時休息
`kitty-cgroup-guard`	Kitty 終端資源管理
`swayosd-server`	音量/亮度 OSD
`cursor2api`	Cursor API 代理
`cpa-quota-guard`	配額監控
`elevenlabs-linux-voice-input`	語音輸入
`quickviewer-autostart`	快速預覽器
`freebuds-volume-guard`	華為耳機音量控制
`xdg-user-dirs`	使用者目錄管理

Docker 容器 (9 個運行中)

名稱	映像	狀態	用途
claude-code-router	lie5860/claude-code-router	Up 17h	Claude Code 路由器
cli-proxy-api	eceasy/cli-proxy-api-plus	Up 17h	CLI Proxy API
cursor-api-local	cursor-api-local	Up 2d	Cursor API 本地端
easy-proxies*	easy-proxies-custom	Up 5d	代理服務 (3個容器)
openclaw-gateway	openclaw:local	Up 4d	OpenClaw 閘道
jellyfin	jellyfin/jellyfin	Up 5d	媒體伺服器
cc-switch-web	ghcr.io/laliet/cc-switch-web	Up 5d	CC-Switch 前端

排程任務 (8 個 Timer)

排程	任務	說明
每日 00:00	shadow	密碼過期檢查
每日 ~00:05	logrotate	日誌輪轉
每日 ~00:39	plocate-updatedb	更新檔案索引
每日 ~01:11	systemd-tmpfiles-clean	清理暫存檔
每週一	fstrim	SSD TRIM
每日 ~03:00	man-db	更新 man 頁面
每日 ~04:00	docker-auto-update	Docker 容器更新
每週	archlinux-keyring-wkd-sync	金鑰環同步

📦

已安裝應用程式分析

387 明確安裝 / 59 AUR / 32 孤兒 / 24.7 GiB ▼

常用應用程式（正在運行中）

應用	類別	記憶體	使用狀態
Telegram Desktop	通訊	1.1 GB	高度活躍（最佔 CPU）
Claude Code (6 實例)	開發	~3 GB 合計	重度使用中
Discord	通訊	623 MB	活躍
QQ (Linux)	通訊	425 MB	活躍
Brave 瀏覽器	瀏覽器	427 MB	活躍
Spotify	音樂	中	活躍
Kitty (7 實例)	終端機	~2 GB 合計	重度使用中
Niri (WM)	桌面	200 MB	核心元件
Chromium (headless)	自動化	312 MB	DrissionPage MCP
OpenClaw Gateway	AI 服務	528 MB	活躍

空間佔用前 10 大套件（合計 ~7.5 GiB）

#	套件	大小	評估
1	`flutter-bin`	2,345 MB	檢查是否在用
2	`nvidia-utils`	854 MB	AMD 系統不需要
3	`kiro-bin`	724 MB	IDE
4	`linuxqq`	566 MB	通訊
5	`jdk-openjdk`	547 MB	Java 25
6	`antigravity`	457 MB	遊戲
7	`visual-studio-code-bin`	456 MB	有 Cursor+Kiro 重複
8	`jdk17-openjdk`	421 MB	兩個 JDK 版本
9	`libreoffice-fresh`	417 MB	辦公套件
10	`lib32-nvidia-utils`	411 MB	AMD 系統不需要

重複功能分析

功能	已安裝	建議保留
瀏覽器	Brave, Chrome, Firefox, Chromium (4個, ~1.45 GiB)	Brave + Chromium(自動化)
IDE/編輯器	VS Code, Cursor, Kiro (3個, ~1.46 GiB)	保留最常用的 1-2 個
遠端桌面	Sunshine, Parsec, XRDP, RustDesk, Moonlight, Remmina, FreeRDP (7個)	Sunshine+Moonlight 或 RustDesk
檔案管理	Thunar, Dolphin, Nautilus (3個)	Thunar (Niri 綁定的)
剪貼簿	ShorinClip, ClipSync, Cliphist, (曾有 CopyQ) (4個)	ShorinClip + Cliphist

應用	類別	評估原因
Firefox	瀏覽器	已有 Brave + Chromium，可能重複
Google Chrome	瀏覽器	已有 Brave，三瀏覽器可能過多
Dolphin / Thunar	檔案管理	兩個檔案管理器，Niri 綁定的是 Thunar
Kate / Konsole	KDE 應用	Niri + Kitty 環境下可能不用
LibreOffice Fresh	辦公套件	佔用大量空間，檢查是否常用
Phoronix Test Suite	效能測試	一次性使用工具
XRDP	遠端桌面	已有 Sunshine/Moonlight，可能重複
Parsec	串流	已有 Sunshine，功能重複
Weston	Wayland	使用 Niri，不需另一個合成器
steam	遊戲	依使用頻率判斷
Flutter SDK	開發	大型 SDK，檢查是否還在開發 Flutter 專案
maliit-keyboard	虛擬鍵盤	桌面環境通常不需要

AUR 套件 (59 個)

從 AUR 安裝的第三方套件，需要手動維護更新。重要的包括：

brave-bin cc-switch-bin cursor-bin visual-studio-code-bin kiro-bin ensoai google-chrome legcord linuxqq rustdesk sunshine parsec-bin flclash-appimage-bin typora flutter-bin piper-tts fsearch easytier

孤兒套件（32 個，建議清理）

這些套件沒有被其他套件依賴，可以安全移除以節省空間：

amf-headers appstream-glib bc boost check cmocka doxygen electron34 electron37 ffnvcodec-headers help2man meson nasm opencl-headers openssl-1.1 patchelf pnpm python-build rust-bindgen scdoc yasm zip 其他 10 個...

清理指令：sudo pacman -Rns $(pacman -Qdtq)

⌨

鍵盤快捷鍵與衝突分析

2 衝突 / 80+ 快捷鍵 ▼

快捷鍵衝突

衝突

Ctrl+Space

Niri: 截圖後編輯 (satty-screenshot.sh)
Fcitx5: 預設輸入法切換鍵
結果: Niri 層級先攔截，Fcitx5 的 Ctrl+Space 在 Niri 下無效。但 keyd 也可能攔截。

潛在衝突

Ctrl+Left / Ctrl+Right

Keyd: 映射為 Home / End 鍵
大多數應用: 原本是「按單詞移動游標」
結果: 在所有應用中，Ctrl+Left/Right 變成 Home/End，無法按單詞移動。這是全域層級映射。

注意

Ctrl+音量鍵

Keyd: 映射為亮度調整
影響: Ctrl+VolumeUp/Down 變成亮度調整。如果 Ctrl 鍵被意外按住時調音量會變成調亮度。

Niri 快捷鍵總覽（4 層架構）

快捷鍵	功能	類別
應用啟動
`Mod+Return`	新 Kitty 視窗	終端機
`Mod+K`	開啟 Kitty	終端機
`Mod+B`	Brave 瀏覽器	瀏覽器
`Mod+T`	Typora	編輯器
`Mod+E`	Thunar 檔案管理	檔案
`Mod+Space / Mod+Z`	Fuzzel 程式選單	啟動器
`Mod+V`	剪貼簿 (ShorinClip)	工具
`Mod+P`	Hyprpicker 取色器	工具
`Mod+/ (Slash)`	臨時浮動終端	終端機
視窗管理（方向鍵 / WASD / HJKL 三套）
`Mod+方向鍵`	切換聚焦	導航
`Mod+Ctrl+方向鍵`	移動視窗/列	移動
`Mod+A / Mod+D`	向左/右移動視窗(跨列)	移動
`Mod+W / Mod+S`	上下切換聚焦(含跨工作區)	導航
`Mod+Q`	智慧關閉視窗	管理
`Mod+F`	最大化	管理
`Mod+H`	切換浮動	管理
`Mod+X`	切換標籤頁模式	管理
`Mod+C`	置中列	排列
工作區
`Mod+1~9`	切換工作區	導航
`Mod+Ctrl+1~9`	移動到工作區	移動
`Mod+U / Mod+I`	上下切換工作區	導航
`Mod+O / Mod+G`	總覽 Overview	導航
螢幕 / 多顯示器
`Mod+Shift+方向鍵`	切換顯示器聚焦	多螢幕
`Mod+Shift+Ctrl+方向鍵`	移動列到其他顯示器	多螢幕
`Mod+Shift+Alt+方向鍵`	移動整個工作區到其他顯示器	多螢幕
系統功能
`Mod+Alt+A`	區域截圖	截圖
`Mod+Shift+S`	截圖後編輯 (Satty)	截圖
`Mod+Alt+L / Ctrl+Alt+Del`	鎖屏	安全
`Mod+F9`	護眼模式	健康
`Mod+F4`	開關工作列	UI
`XF86Audio*`	音量調節	媒體
`XF86MonBrightness*`	亮度調節	顯示
`Print`	語音轉文字 (11labs)	輸入

Keyd 全域鍵盤映射

原始按鍵	映射結果	影響範圍
`Ctrl+Right`	End	全域 - 所有應用
`Ctrl+Left`	Home	全域 - 所有應用
`Ctrl+VolumeUp`	亮度增加	全域 - 硬體控制
`Ctrl+VolumeDown`	亮度減少	全域 - 硬體控制

Kitty 快捷鍵

快捷鍵	功能
`Ctrl+V`	智慧貼上 (smart_paste.py)
`Ctrl+C`	複製或中斷 (copy_or_interrupt)
`F2`	重新命名分頁
`Ctrl+Left/Right/Shift+Left/Right`	已停用 (no_op)，避免與 keyd 衝突

Tmux 設定

設定	值
scrollback 大小	100,000 行
滑鼠支援	開啟
escape-time	10ms (適合 SSH)
色彩	tmux-256color + RGB

📈

系統效能分析

整體良好 ▼

資源使用概覽

CPU 負載	1.01 / 12 核心
記憶體使用	18 GiB / 25 GiB (72%)
NVMe 主分割區	756G / 914G (88%)
HDD 外接磁碟	558G / 932G (60%)
Swap	0B / 8 GiB (未使用)

溫度監控

感測器	溫度	狀態
CPU (Tctl)	46.0°C	正常
GPU (edge)	39.0°C	正常
NVMe SSD	41.9°C	正常 (上限 84.8°C)
記憶體 SPD #1	44.2°C	正常
記憶體 SPD #2	45.2°C	正常

記憶體消耗前 10 名程序

程序	記憶體	備註
Telegram Desktop	1.1 GB	大量聊天記錄/媒體快取
Discord (renderer)	624 MB	Electron 應用，記憶體佔用偏高
OpenClaw Gateway	528 MB	AI 服務
Claude Code (每個)	~450 MB	6 個實例合計 ~3 GB
Kitty (每個)	~250 MB	7 個實例合計 ~1.8 GB
QQ	425 MB	Electron 應用
Brave	427 MB	瀏覽器（單一渲染程序）
Chromium (headless)	312 MB	DrissionPage 自動化

記憶體 72% 使用率偏高的主要原因：6 個 Claude Code 實例 (~3GB) + 多個 Electron 應用 (Telegram+Discord+QQ ~2.1GB) + 7 個 Kitty 終端 (~1.8GB)。 Swappiness 設為 0 代表幾乎不使用 swap，全部吃 RAM。

磁碟空間佔用 (家目錄)

目錄	大小	評估
/home/joe/桌面/	213 GB	建議清理大型檔案
/home/joe/文件/	167 GB	開發專案，檢查是否有廢棄的
/home/joe/chatgpt-capture/	76 GB	很大！考慮歸檔或移到 HDD
/home/joe/下載/	27 GB	定期清理
/home/joe/Android/	12 GB	Android SDK 資料
/home/joe/aur/	1.9 GB	AUR 建構快取

I/O 排程器

裝置	排程器	建議
NVMe SSD	none (直通)	最佳設定
HDD	mq-deadline	HDD 最佳選擇

近期系統錯誤

錯誤	影響	建議
`plasma-browser-integration-host` crash	Qt platform plugin 初始化失敗	在 Niri 環境下此 KDE 組件無法正常運作，可停用
`ai-net.service` failed	Docker Compose stack 啟動失敗	檢查 docker-compose.yml 配置

💡

綜合建議與改善方案

15 項建議 ▼

立即修復

1. 限制 Sudo 權限

將 sudo 免密碼提權改為需要再次驗證，或僅對極少數必要指令保留免密碼。這是最大的安全風險之一。

立即修復

2. 收緊防火牆規則

firewalld 雖已運行但 iptables INPUT policy 是 ACCEPT。執行 firewall-cmd --set-default-zone=drop 並僅開放需要的埠。

立即修復

3. 強化 SSH

在 SSH 設定中停用密碼登入、禁止 root 直接登入，並降低可重試次數。

盡快處理

4. 清理磁碟空間

NVMe 已用 88%。建議：將 chatgpt-capture(76G) 移到 HDD、清理桌面(213G)中的大檔案、移除孤兒套件 sudo pacman -Rns $(pacman -Qdtq)

盡快處理

5. 停用不需要的 NVIDIA 服務

使用 AMD GPU 但啟用了 4 個 nvidia-* 服務。執行：sudo systemctl disable nvidia-hibernate nvidia-resume nvidia-suspend nvidia-suspend-then-hibernate

盡快處理

6. 減少 EasyTier 監聽埠

Overlay / VPN 類服務佔用了大量 TCP 埠，且綁定在所有介面。建議檢查配置並縮小埠範圍與暴露面。

建議優化

7. 修復 ai-net.service

此 systemd 服務持續失敗。要麼修復其 Docker Compose 配置，要麼停用它：sudo systemctl disable ai-net.service

建議優化

8. 解決快捷鍵衝突

Ctrl+Space 同時被 Niri(截圖) 和 Fcitx5(輸入法) 使用。建議將截圖改為其他組合，保留 Ctrl+Space 給輸入法。

建議優化

9. 停用 NM-wait-online

此服務拖慢開機 5.8 秒。除非必須在網路就緒後才啟動某些服務，可安全停用：sudo systemctl disable NetworkManager-wait-online.service

建議優化

10. 記憶體管理

72% 記憶體使用率。6 個 Claude Code 實例佔 ~3GB。考慮減少同時開啟的實例數，或將 swappiness 從 0 調到 10 讓系統在壓力時使用 swap。

建議優化

11. 清理重複應用

有三個瀏覽器(Brave/Chrome/Firefox)、兩個檔案管理器(Thunar/Dolphin)、兩個遠端桌面(Sunshine/Parsec/XRDP)。保留常用的，移除其他。

建議優化

12. 停用 plasma-browser-integration

此 KDE 組件在 Niri 下持續 crash。停用 KDE 瀏覽器整合或移除 plasma-browser-integration 套件。

建議優化

13. 系統更新

26 個套件待更新，包括 pipewire、docker 等重要套件。執行 sudo pacman -Syu

做得好

14. 開機速度已優化

36.8 秒開機含韌體，使用者空間僅 14 秒到達圖形介面。LTS 核心 + Dracut initramfs 是穩定的選擇。

做得好

15. 桌面環境配置出色

Niri + Waybar + Kitty 的組合輕量高效。快捷鍵體系設計完善（三套方向鍵 + 修飾鍵分層），護眼模式、通知中心等都有考慮。Keyd 的全域按鍵映射也很實用。