全新安装Arch Linux并实现SecureBoot+TPM2+LUKS系统加密+具有快照功能的Btrfs根分区+Swap加密的最佳实践
目录 前言 名词解释及作用 阅读前须知 参考文档 与Windows共存 实践过程 后续可选操作与建议 前言在数字化时代,信息安全意识的觉醒往往始于一次次刻骨铭心的数据灾难,例如著名的陈冠希“艳照门”事件。随着数字资产价值的提升,从个人照片到商业机密,数据安全已成为现代人无法回避的命题。 科技巨头们早已洞悉这一趋势。微软通过可信平台模块、BitLocker全盘加密与安全启动的三重防护,在Windows生态中构建了开箱即用的安全体系。这种“无缝安全”体验让普通用户也能轻松获得企业级的数据保护,标志着消费级计算机安全进入了新时代。然而在Linux世界,实现同等安全级别却需要穿越技术的荆棘丛林——分散的工具链、复杂的配置流程、晦涩的术语体系,这些门槛让许多向往自由软件的爱好者望而却步。 本文正是要架设这座跨越鸿沟的桥梁,循序渐进地演示如何在Arch Linux上实现:基于TPM2的自动解密机制、符合UEFI规范的安全启动、支持快照的Btrfs文件系统——这些技术的有机组合不仅能媲美商业系统的安全性,更能赋予使用者完全的技术自主权。但必须清醒认识:硬盘加密如同给保险箱上锁,只能防范物理层...
尝试缓解“VMware Workstation 不可恢复错误_ (vcpu-0)”问题
故障现象报错如下图所示,该故障很可能发生在虚拟机刚启动、切换正在运行的虚拟机的标签页、多个虚拟机运行负载较高时。不管虚拟机系统是Windows还是Linux,这个问题会出现在任何一个拥有图形化界面的客户机操作系统上,纯命令行的Linux却很少触发这个问题。最重要的是,经过搜索,该故障几乎全发生在AMD处理器(带核显)+NVIDIA独显组合的电脑上。 VMware Workstation 不可恢复错误: (vcpu-0)VERIFY bora\vmx\main\hostWin32.c:559(也可能是VERIFY bora\vmx\main\hostWin32.c:569)日志文件位于“D:\Virtual Machines\Windows 7\vmware.log”中。您可以请求支持。要收集数据提交给 VMware 技术支持,请选择“帮助”菜单中的“收集支持数据”。也可以直接在 Workstation 文件夹中运行“vm-support”脚本。我们将根据您的技术支持权利做出回应。 故障分析先大致说说笔者的笔记本电脑配置:AMD锐龙4800H处理器+NVIDIA GTX1650Ti...
解决KVM无法在NTFS分区上建立虚拟机问题
问题背景:笔者不小心弄坏了自己笔记本的Ubuntu,由于没有重要数据,便想着直接重装,顺便体验一下最新的Fedora 36。安装完后打算利用KVM创建一个Windows虚拟机用于测试。结果按照以往在Ubuntu上的KVM使用经验始终创建失败。 问题描述我习惯把虚拟机存放在机械硬盘上的大容量NTFS分区上。在初始配置好虚拟机后,点击“开始安装”准备进入虚拟机系统的安装过程时,始终无法开启虚拟机,并弹出以下错误:Process exited while connecting to monitor: Permission Denied.(如图所示) 原因分析:根据错误提示,可以判断问题出在KVM无法操作虚拟机的磁盘文件上,我首先想到的是机械硬盘在Fedora上的挂载有问题,尤其是NTFS分区很容易在Linux上出现权限问题。但排查后发现,该NTFS分区内的文件读写权限正常,一般用户都能在其中读取修改和执行文件,怎么轮到权限更高的KVM就没文件操作权限了呢?而且更匪夷所思的是,虚拟机管理器Libvirt可以在该分区中创建虚拟磁盘文件。这证明读写权限确实是有的,那为什么还会报“Perm...
解决VirtualBox Linux版无法启动的问题
故障现象:启动VirtualBox长时间未响应,最终弹窗报错,如图所示: 故障原因分析:最近在重装完Ubuntu后为了节省时间,利用第三方脚本一键部署安装了官方版的VirtualBox虚拟机平台,不料在首次启动时加载时间非常长,并最终弹出如图所示错误并异常退出。通过命令行启动VirtutalBox也是如此。根据错误代码并不能检索到有关错误原因,无奈之下打算进入位于自己账户home目录里的.config/VirtualBox配置文件目录里查找有关线索,结果发现该目录没有权限打开,便怀疑是目录权限问题。 解决方法 对于首次安装的VirtualBox,此时VirtualBox里并没有什么重要配置,可以直接通过root权限删除该文件夹,再次打开VirtualBox时程序会自动生成当前用户有权限访问的配置文件夹: 1sudo rm -rf /home/"你的用户名"/.config/VirtualBox 对于已经安装过VirtualBox,在使用过程中由于误操作或其他程序影响所致造成该配置文件夹权限异常,可以通过以下相关命令解决: 1sudo chow...
在Fedora中全自动签名英伟达驱动内核模块以支持安全启动
前言目前新出厂的电脑UEFI会默认开启安全启动(Secure Boot),以阻止不受信任的引导加载程序启动,可以在一定程度上防御RootKit病毒,不过同样会阻止一些未经微软签名的Linux发行版的安装和运行,比如Arch Linux。虽然可以直接选择在主板设置中关闭安全启动来解决一系列麻烦,但就在近期微软公布的Windows11最低硬件标准中可以看到,安全启动被微软看的越来越重。所以掌握让自己常用的Linux发行版支持安全启动的方法是有必要的。然而,让Linux本身支持安全启动,最重要的是让发行商对该Linux的内核与引导加载器进行签名。本文就已经通过安全启动认证的比较受欢迎的一个Linux发行版——Fedora,来讲解常见的英伟达驱动签名问题。 至于为什么有这个教程,是因为如果在Fedora上通过自带软件源一键安装官方的英伟达驱动,会造成这些驱动的内核模块未签名,导致在Linux启动过程中因为安全启动校验签名的存在,被阻止加载这些模块,进而无法正常驱动显卡。用过Ubuntu的伙伴们应该知道,在安全启动开启的情况下 ,Ubuntu安装程序会自动用自签密钥签名英伟达驱动内核模块,...
必过SafetyNet!
必过SafetyNet!以MIUI开发版系统为例详解Android设备通过SafetyNet校验方法作者梓沐啊_(KylinDemons) 版权声明Copyright © 2021 KylinDemons. All rights reserved. 本文将在CSDN由作者KylinDemons、在酷安由@梓沐啊_、在QQ空间由1240193326授权发布 未经许可,不得转载 免责声明本教程仅适用于学习研究用途。您的设备因本文出现的任何结果作者概不负责。请您注意数据备份并具有修复系统崩溃无法开机的能力。作者并不能保证该教程对于每个设备完全有效,该教程也具有时效性,请关注作者后期更新版本,恕不通知。作者提供的软件及工具均来自互联网,不对其版权及安全性等问题负责。 写在前面您需要明白一点,通过SafetyNet校验只有对出厂预装有GMS套件的设备才比较有意义。本教程的适用对象是那些本来有能力通过SafetyNet的设备,由于刷写了第三方ROM*(例如本文的实例:红米K30S的MIUI稳定版SafetyNet校验能通过,开发版却无法通过)*或者操作不当等原因造成的无法通过校验问题。对于...