底裤有一个 TPM 日志的

但是你改不掉 UKI 和系统里存的值, 否则安全启动就会拒绝吧

其实你升级了官网包仍然会提示更新

可以用 ukify inspect dump

[m.image] Pasted image.png

我这里 public key 签了如下东西:

Pubkey 是 sign PCR policies 的)

而且安全启动也会拦住恶意 efi 吧

UKI 里的 measurement 可以用 pcr public key 签名来着

至少看一眼 https://uapi-group.org/specifications/specs/linux_tpm_pcr_registry/

而且不同的 boot phase 都可以 measure

所有组件 hash 组合起来

不是啊... 那是绑定 UKI 的各个 component

那带上 `--tpm2-public-key-pcrs=11` 就好

让 ukify 负责签名和 measure

比如这样: ``` [UKI] SecureBootSigningTool=systemd-sbsign SecureBootPrivateKey=/var/lib/sbctl/keys/db/db.key SecureBootCertificate=/var/lib/sbctl/keys/db/db.pem SignKernel=yes Cmdline="@/etc/kernel/cmdline" [PCRSignature:system] PCRPrivateKey=/var/lib/moeOS/TPM-Keys/Private.pem PCRPublicKey=/var/lib/moeOS/TPM-Keys/Public.pem ```

那你要 mask 掉 sbctl 的 hooks, 然后配置 `/etc/kernel/uki.conf`

我忘记为什么丢掉 mkinitcpio 了

用 pcr public key 的话就不需要每次更新 measure 值, 正常更新内核再重新生成 uki

* 我之前用 kernel-install 呼叫 dracut + ukify 弄了套 functional 的系统

我之前用 dracut + ukify 弄了套 functional 的系统

你用的是什么, kernel-install?

解密绑定 PCR11 就行

过两天搓两个 demo 出来玩玩

slirp4netns 功能比较基础, 又不能选择性 block 某些东西

新的 Portable instance 启动时把计算出的 cgroup 和规则 encode 并发到它的 Unix socket 里

我昨天仔细考虑了一下, 可以做个 privileged daemon 负责修改 nftables 规则 (

[m.image] 两眼一黑

mutter 那边有人在尝试加 overlay planes

现在手里的几台机器 cmdline 都没有 root 和 rd.luks.name (

我还是用的 swap 分区, 因为有自动挂载和解锁

Plasma 可以设定 suspend-then-hibernate

说起来我这里休眠完全正常, 但是 GNOME 只会 call suspend 所以从来没用过

想要大圆角可以来用 GNOME Builder (

GNOME Builder 有点难绷, 撤销重做莫名其妙爆炸了

你试试不就知道了)

also Tencent: 获取磁盘和主板信息

微信: 故意删掉 wayland module 和 portal picker

我看了一眼 systemd 还不支持 user manager 下的 IPAddressAllow

有道理, 现在就剩怎么限制了 (

对

还有 Bounjour 这类服务怎么办)

怎么越来越重了啊

因为用户的 DNS server 可能在任何地方, 不允许就炸了)

有什么可靠的方法 parse DNS server 吗 (

某些闭源软件当然想方设法阻挠你使用沙盒

我怎么可能审查网站的每个 js (

是程序就会有漏洞, 这是完全无法避免的

难道要给每个闭源程序都分配一台机器运行吗, 这显然是不合理的

而且我有自己的进程管理模型, xwayland-run 的不适合

spawn 外部程序不可控且慢

不是很想引入新包

我在想能不能直接自己实现一个 xwayland-run 用

而且怎么让用户能够方便地授权, 并且阻止打包者乱搞

这个比较合理, 但是想要避免 break stuff 会比较麻烦

打包者不可能找到所有要访问的东西, 最后大家又是 allow all

per-app firewall 最大的问题就是我不知道闭源软件想访问什么, 并且 DNS 解析会变

其它本地网络 block 掉

所以理论上可以 parse resolv.conf 把 DNS 服务器 allowlist 了

你连 DNS server 都没有它当然不能解析

...

block 本地设备还是可以考虑的... 但是怎么做到不 break 东西

你这文件里面有什么?

手机上一直是 global allow/deny 也没见有啥问题)

stat /etc/resolv.conf

我觉得作者的方案有点过于重且 fragile 了

所以桌面端防火墙的主要目的是什么呢

[m.image] Safari: Ad on start page

判断一下 $1 是 post 还是其它就可以了

可以参考 [这个](https://github.com/Kimiblock/moeOS.config/blob/master/usr/lib/systemd/system-sleep/moeOS-dae-auto)

也不知道谁加的

但实际上 mask 掉也不影响... 因为那些 service 都是 system.slice

如果你装了 nvidia-utils 那 systemd 就不会尝试 freeze slice

系统服务那确实是不会 freeze

systemd 没有 freeze 住 user.slice 吗

我不记得有这个功能 (

这些额外功能由 wechat 提供, 而 wechat-bin 可选依赖它

他说自己没用 wechat (

你用的不是 wechat? 那我不知道

问就是屎山遗留

往 /etc/environment 写 bwBindPar=路径

就这可读性问题折腾大半年了

[m.image] Liquid Ass strikes again

发错了, 这里的置顶 ( https://github.com/Kraftland/portable?tab=readme-ov-file

嘛, 至少有进度了

https://github.com/Kraftland/portable-arch 置顶 issue

好诶

* 上次某个 PM 大清洗沙盒包

上次某个 PM 大清洗沙盒报

bottles-bwrap 居然还活着啊

* Portable 会继承 systemd 给的和用户手动在沙箱家里设的变量

反正我两个 bottle 都是 Wayland

wine 支持 Wayland IM 了吗

Portable 会继承 systemd 给的和用户手动在沙箱家里的变量

Mutter 那 focus stealing prevention 至今还在吵

但是我觉得这不是很优雅, 而且容易出莫名其妙的问题

wl-paste 这种透明窗口大概也可以

那我没研究过

FileTransfer 吗, 微信不用啊

Steam Input 需要