小编Kra*_*out的帖子

对于我即将实施的一些高度安全的堡垒虚拟机，我正在考虑/boot在启动后卸载 - 当然还有其他措施。仅用于更新内核时安装。

• 测试了一下，似乎没有出现问题；它有我遗漏的副作用吗？
• 该系统可能基于 Debian Linux（其他情况下，基于 Redhat）。两者都是系统化的。/boot重新启动后在 systemd 系统上卸载的正确方法是什么？为了测试我只是sudo umount /boot。
• 我正在犹豫是否要使用 BIOS 还是 UEFI。由于它们将是虚拟机，因此这是一个选择问题。UEFI 似乎是一个更明智、更现代的选择。但我不确定安全方面的好处（如果有的话）。相反，因为它更复杂，可能出现漏洞的可能性更大。
• 如果是UEFI，那么efi分区呢？它/boot默认安装在内部，尽管我认为/efi可以使用（我还没有尝试过）来将它们分开并在管理员方面更透明地处理。启动后可以卸载/boot/efi吗/efi？没有副作用吗？

我已经重新安装了 Debian 11。关于 LXC，我复制了 Debian 10 计算机的工作设置。我使用一个单独的用户，lxcuser我su要，到lxc-start。

配置，~/.config/lxc/default.conf

lxc.idmap = u 0 165536 65536
lxc.idmap = g 0 165536 65536
lxc.apparmor.profile = unconfined
lxc.mount.auto = proc:mixed sys:ro cgroup:mixed
lxc.net.0.type = veth
lxc.net.0.link = lxcbr0
lxc.net.0.flags = up
lxc.net.0.hwaddr = 00:FF:xx:xx:xx:xx
#lxc.include = /etc/lxc/default.conf

文件系统权限是使用 ACL 设置的，就像我在之前的设置中所做的那样。

lxc-checkconfig

LXC version 4.0.6
Kernel configuration not found at /proc/config.gz; searching...
Kernel configuration found at /boot/config-5.10.0-7-amd64
--- Namespaces ---
Namespaces: enabled
Utsname namespace: enabled
Ipc namespace: enabled …

我想禁用/boot/initrd.img文件压缩以加快启动速度。我的磁盘足够大，可以容纳额外的 10MB。老实说，我认为这应该是默认设置，现在谁买不起几兆字节的磁盘空间。对于嵌入式场景，可以手动启用。

查看/etc/initramfs-tools/initramfs.conf，有更改压缩类型的选项

COMPRESS: [ gzip | bzip2 | lz4 | lzma | lzop | xz ]

但没有禁用压缩的选项。我试过None了none，没有效果。

作为解决方案，我initrd.img-4.19.0-8-amd64使用手动解压缩gunzip。但每次安装内核更新时我都必须再次解压。

在 Debian 10 服务器上，它以 Debian 7 启动，并在新版本发布时进行更新，我意外地发现了这三个文件：

/etc/passwd.org, /etc/group.org,/etc/shadow.org

备份文件/etc/passwd-、/etc/group-和/etc/shadow-其他 *- 文件都存在，它们应该存在。

例如，所有passwd文件都是（同样适用于其他两个）：

$ ll /etc/passwd*\n-rw-r--r-- 1 root root 2,1K \xce\x91\xcf\x85\xce\xb3  13 14:08 /etc/passwd\n-rw-r--r-- 1 root root 2,1K \xce\x91\xcf\x85\xce\xb3  13 14:06 /etc/passwd-\n-rw-r--r-- 1 root root 2,0K \xce\x99\xce\xbf\xcf\x85\xce\xbd 20  2015 /etc/passwd.org\n

/etc/passwd他们的最后访问时间是 2015 年的某个时间。他们的内容与、/etc/group、相当/etc/shadow，因为它们可能是过去的某个时间 - 我可以看到一些已删除的用户。我找不到此类 *org 文件的任何信息。有谁知道 *org 文件是什么以及它们的用途是什么？

我正在将 LightDM 与Slick Greeter 一起使用。在我的系统中，我自己有两个用户帐户。它们具有相同的名称，但用户名不同。我想将私人工作和专业工作分开。

问题：在欢迎词中，它们之间没有视觉差异。我只看到名称（不是用户名）。

哈奇解决方案：

• 知道帐户的顺序
• 使用不同的窗口管理器（因为它们有不同的图标并且它们在用户名旁边可见）

显然，上述所有解决方案都是愚蠢的。更好的想法？我愿意更改欢迎词，但不会更改会话管理器 LightDM，也不会更改我的姓名（因为它们用于其他程序，例如电子邮件）。

我需要找到.php不.pl包含一个字符串（例如aaa）但包含另一个字符串（例如bbb）的文件。

我目前正在使用这个命令：

find /path/ \( -iname '*.php*' -or -name '*.pl*' \) -exec sh -c 'grep -l -v "aaa" {} | grep -l "bbb" {}' \; > resulttofile

大约有 50 万个文件需要搜索，所以我想知道，

• 如果我的命令正常工作 - 一些眼睛采样会给出积极的结果，
• 如果可以使用某种其他形式变得更快（目前在虚拟机上大约需要 2 分钟，但将添加更多文件），或者使用awkorsed代替grep- 或者可能只是一种组合grep而不是两种。

该系统是 Debian GNU/Linux。