privacyguides/i18n
1
0
Fork 0
mirror of https://github.com/privacyguides/i18n.git synced 2025-11-10 18:37:52 +00:00
Code Activity

New Crowdin translations by GitHub Action

Browse Source
This commit is contained in:
Crowdin Bot
2024-08-02 18:34:59 +00:00
parent c9f5133fcf
commit 75cc3f14c9
58 changed files with 732 additions and 816 deletions
Download Patch File Download Diff File Expand all files Collapse all files

26
i18n/zh-Hant/desktop.md
View File

@@ -17,7 +17,7 @@ cover: desktop.webp
![Fedora logo](assets/img/linux-desktop/fedora.svg){ align=right }
**Fedora Workstation** 是我們推薦給Linux新手的發行版。 Fedora 通常較其他發行版更早採用較新技術,例如 [Wayland](https://wayland.freedesktop.org/) [PipeWire](https://pipewire.org) 這些新技術通常會在安全性、隱私性和可用性方面有所改善。
**Fedora Workstation** 是我們推薦給Linux新手的發行版。 Fedora generally adopts newer technologies before other distributions e.g., [Wayland](https://wayland.freedesktop.org) and [PipeWire](https://pipewire.org). 這些新技術通常會在安全性、隱私性和可用性方面有所改善。
[:octicons-home-16: Homepage](https://fedoraproject.org/workstation){ .md-button .md-button--primary }
[:octicons-info-16:](https://docs.fedoraproject.org/en-US/docs){ .card-link title=Documentation}
@@ -37,7 +37,7 @@ Fedora 有一個半滾動的發布週期。 雖然像 [GNOME](https://gnome.org)
**openSUSE Tumbleweed** 是一個穩定滾動發行版。
openSUSE Tumbleweed 有一個 [transactional update](https://kubic.opensuse.org/blog/2018-04-04-transactionalupdates/)系統,使用 [Btrfs](https://en.wikipedia.org/wiki/Btrfs) [Snapper](https://en.opensuse.org/openSUSE: Snapper_Tutorial)來確保快照可以在出現問題時回滾。
openSUSE Tumbleweed uses [Btrfs](https://en.wikipedia.org/wiki/Btrfs) and [Snapper](https://en.opensuse.org/openSUSE:Snapper_Tutorial) to ensure that snapshots can be rolled back should there be a problem.
[:octicons-home-16: Homepage](https://get.opensuse.org/tumbleweed){ .md-button .md-button--primary }
[:octicons-info-16:](https://doc.opensuse.org){ .card-link title=Documentation}
@@ -55,7 +55,7 @@ Tumbleweed 遵循滾動發佈模式,每個更新都是快照發布。 當您
![Arch logo](assets/img/linux-desktop/archlinux.svg){ align=right }
**Arch Linux** 是一個輕量級的、自己動手(DIY)的發行版,意味著只能得到你安裝的東西。 如需更多資訊,請參閱他們的 [FAQ](https://wiki.archlinux.org/title/Frequently_asked_questions)。
**Arch Linux** is a lightweight, do-it-yourself (DIY) distribution, meaning that you only get what you install. 如需更多資訊,請參閱他們的 [FAQ](https://wiki.archlinux.org/title/Frequently_asked_questions)。
[:octicons-home-16: Homepage](https://archlinux.org){ .md-button .md-button--primary }
[:octicons-info-16:](https://wiki.archlinux.org){ .card-link title=Documentation}
@@ -73,7 +73,7 @@ Arch Linux有一個滾動發佈週期。 沒有固定的發布時間表,套件
## Atomic Distributions
**原子發行版**(有時也稱為**不可變發行版**)是透過分層處理軟體包安裝和更新的作業系統更改核心系統映像,而不是直接修改系統。 其優點包括提高穩定性和輕鬆回滾更新的能力。 請見 [*Traditional vs. Atomic Updates*](os/linux-overview.md#traditional-vs-atomic-updates) 更深入了解。
**原子發行版**(有時也稱為**不可變發行版**)是透過分層處理軟體包安裝和更新的作業系統更改核心系統映像,而不是直接修改系統。 Advantages of atomic distros include increased stability and the ability to easily roll back updates. 請見 [*Traditional vs. Atomic Updates*](os/linux-overview.md#traditional-vs-atomic-updates) 更深入了解。
### Fedora Atomic Desktops
@@ -91,15 +91,15 @@ Arch Linux有一個滾動發佈週期。 沒有固定的發布時間表,套件
</div>
[Fedora Atomic Desktop](https://fedoramagazine.org/introducing-fedora-atomic-desktops) 有多種桌面環境風格可挑選,例如 **Fedora Silverblue**[GNOME](https://gnome.org) 一起提供)、**Fedora Kinoite**(隨[KDE](https://kde.org) 提供)、**Fedora Sway Atomic** > 或**Fedora Budgie Atomic**。 但不推薦最後一個,因為 Budgie 桌面環境[仍需要 X11](https://buddiesofbudgie.org/blog/wayland)。
[Fedora Atomic Desktops](https://fedoramagazine.org/introducing-fedora-atomic-desktops) come in a variety of flavors depending on the desktop environment you prefer, such as **Fedora Silverblue** (which comes with [GNOME](https://gnome.org)), **Fedora Kinoite** (which comes with [KDE](https://kde.org)), **Fedora Sway Atomic**, or **Fedora Budgie Atomic**. 但不推薦最後一個,因為 Budgie 桌面環境[仍需要 X11](https://buddiesofbudgie.org/blog/wayland)。
這些作業系統與 Fedora Workstation 不同,它們用更高級方式替換了[DNF](https://docs.fedoraproject.org/en-US/quick-docs/dnf) 套件 管理器,其叫作[`rpm-ostree`](https://docs.fedoraproject.org/en-US/fedora/latest/system-administrators-guide/package-management/rpm-ostree)。 `rpm-ostree` 套件管理器的工作原理是下載系統的基本映像,然後將套件覆蓋在類似 [git](https://en.wikipedia.org/wiki/Git)的提交樹中。 當系統更新時,會下載新的基本影像,並將疊加層應用於該新影像。
更新完成後,您將重新啟動系統進入新的部署。 `rpm-ostree` 保留系統的兩個部署,以便在新部署中出現故障時可以輕鬆回滾。 還可以根據需要固定更多部署。
更新完成後,您將重新啟動系統進入新的部署。 `rpm-ostree` keeps two deployments of the system so that you can easily roll back if something breaks in the new deployment. 還可以根據需要固定更多部署。
[Flatpak](https://flatpak.org) 是這些發行版本的主要套件安裝方式,而 `rpm-ostree` 只用在基礎映像上疊加那些無法留在容器的套件。
作為 Flatpaks 替代品, [Toolbox](https://docs.fedoraproject.org/en-US/fedora-silverblue/toolbox)可以建立 [Podman](https://podman.io) 容器,與主機系統共用主目與仿傳統 Fedora 環境。挑剔的開發者 [喜歡這個功能](https://containertoolbx.org)。
As an alternative to Flatpaks, there is the option of [Toolbx](https://docs.fedoraproject.org/en-US/fedora-silverblue/toolbox) to create [Podman](https://podman.io) containers which mimic a traditional Fedora environment, a [useful feature](https://containertoolbx.org) for the discerning developer. These containers share a home directory with the host operating system.
### NixOS
@@ -119,9 +119,9 @@ NixOS 是基於 Nix套件管理器的獨立發行版專注於可重複性和
NixOS 套件管理器 將各個套件版本儲存在**Nix store** 底下不同的資料夾。 因此,您可以在系統上安裝相同套件的不同版本。 套件內容寫入資料夾後,該資料夾會變成唯讀。
NixOS 還提供原子更新:它會下載或(建立)新系統生成需要的套件和檔案,然後切換到新系統。 有不同的方法來切換到新代系統:讓 NixOS 重新啟動時激活它,或者在運行時切換。 也可以在運行時間切換到新代系統來 *測試*,但不將它設成當前系統。 如果更新過程中出現打斷,可以重新啟動並自動返回到系統的工作版本。
NixOS also provides atomic updates. It first downloads (or builds) the packages and files for the new system generation and then switches to it. There are different ways to switch to a new generation: you can tell NixOS to activate it after reboot or you can switch to it at runtime. 也可以在運行時間切換到新代系統來 *測試*,但不將它設成當前系統。 如果更新過程中出現打斷,可以重新啟動並自動返回到系統的工作版本。
Nix 套件管理器使用純函數式語言也稱為Nix )來定義套件。
The Nix package manager uses a purely functional language—which is also called Nix—to define packages.
[Nixpkgs](https://github.com/nixos/nixpkgs) (套件的主要來源)包含在單一的 GitHub 儲存庫中。 您也可以用相同的語言定義自己的套件,然後輕鬆地將它們包含在您的配置中。
@@ -148,7 +148,7 @@ Nix是一個基於源的套件管理器如果二進位快取中沒有預先
Whonix 運行兩個虛擬機器:一個“工作站”和一個 Tor “閘道”。 來自工作站的所有通訊都必須通過 Tor 閘道。 這意味著即使工作站受到某種惡意軟體的破壞真實的IP地址仍然隱藏。
它的功能包括Tor 串流隔離、[擊鍵匿名](https://www.whonix.org/wiki/Keyrinkle_Deanonymization#Kloak)、[加密交換](https://github. com /Whonix/swap-file-creator),以及強化的記憶體分配器。 Whonix 未來版本可能包括 [完整系統 AppArmor](https://github.com/Whonix/apparmor-profile-everything) 和 [個沙盒應用程式啟動器](https://whonix.org/wiki/Sandbox-app-launcher) ,以完全限制系統上的所有進程。
它的功能包括Tor 串流隔離、[擊鍵匿名](https://www.whonix.org/wiki/Keyrinkle_Deanonymization#Kloak)、[加密交換](https://github. com /Whonix/swap-file-creator),以及強化的記憶體分配器。 Future versions of Whonix will likely include [full system AppArmor policies](https://github.com/roddhjav/apparmor.d) and a [sandboxed app launcher](https://whonix.org/wiki/Sandbox-app-launcher) to fully confine all processes on the system.
Whonix 最好[與 Qubes 結合使用](https://whonix.org/wiki/Qubes/Why_use_Qubes_over_other_Virtualizers)。 我們 [曾建議](os/qubes-overview.md#connecting-to-tor-via-a-vpn) on configuring in conjunction with a VPN 在 Qubes 底下與 ProxyVM 一起設定 Whonix 以便能對 ISP 隱瞞 Tor 的活動狀況。
@@ -175,7 +175,7 @@ Tails 關閉後[不會抹除](https://gitlab.tails.boum.org/tails/tails/-/issues
</div>
由於失憶功能(意指沒有寫入磁碟)Tails 非常適合對抗資料探集;然而,它不像 Whonix 那樣是硬化發行版。 它缺乏 Whonix 的許多匿名和安全功能,並且更新頻率較低(每六周一次)。 被惡意軟體入侵的 Tails 系統可能會繞過透明代理,使用戶去匿名化。
由於失憶功能(意指沒有寫入磁碟)Tails 非常適合對抗資料探集;然而,它不像 Whonix 那樣是硬化發行版。 它缺乏 Whonix 的許多匿名和安全功能,並且更新頻率較低(每六周一次)。 A Tails system that is compromised by malware may potentially bypass the transparent proxy, allowing for the user to be deanonymized.
Tails Tor 瀏覽器預設包含 [uBlock Origin](browser-extensions.md#ublock-origin) ,這可能會使對手更容易指紋識別 Tails 用戶。 [Whonix](desktop.md#whonix) 虛擬機器可能更為防洩漏may be more leak-proof, however they are not amnesic, ,但它沒有失憶功能,因此資料可以從儲存設備上進行恢復。
@@ -208,7 +208,7 @@ Qubes OS 作業系統將子系統例如網絡、USB等和應用程式隔
### Kicksecure
雖然我們在大多數情況下[建議不要](os/linux-overview.md#release-cycle)使用“永遠過時”的發行版,例如用於桌面的 Debian Kicksecure 是一個基於 Debian 的操作系統,其功能已強化,遠遠超出了典型的 Linux 安裝。
While we [recommend against](os/linux-overview.md#release-cycle) "perpetually outdated" distributions like Debian for desktop use in most cases, Kicksecure is a Debian-based operating system which has been hardened to be much more than a typical Linux install.
<div class="admonition recommendation" markdown>
@@ -233,7 +233,7 @@ Qubes OS 作業系統將子系統例如網絡、USB等和應用程式隔
- 免費且開放原始碼。
- 必須定期接收軟體和內核更新。
- [Avoids X11](os/linux-overview.md#wayland).
- 這裡值得注意的例外是 Qubes但虛擬化可以避免 X11 常發生的隔離問題。 其隔離僅適用於*在不同 qube*(虛擬機)中運行的應用程式,在*同一個* qube 運行的應用程式則無法保護。
- 這裡值得注意的例外是 Qubes但虛擬化可以避免 X11 常發生的隔離問題。 This isolation only applies to apps *running in different qubes* (virtual machines); apps running in the *same* qube are not protected from each other.
- 安裝時必須支援全磁碟加密。
- 不可將定期更新發佈凍結超過1年。
- 我們 [不建議](os/linux-overview.md#release-cycle) 桌機使用“長期支援”或“穩定”發行版。

52
i18n/zh-Hant/os/linux-overview.md
View File

@@ -20,7 +20,7 @@ description: Linux 為開源、以隱私為中心的桌面作業系統替代選
### 開源安全
人們往往[迷思](../basics/common-misconceptions.md#open-source-software-is-always-secure-or-proprietary-software-is-more-secure)認為 Linux 與其它開源軟體本較安全,因為源代碼可以公開取得。 人們期望定期進行社群驗證;然而這種情況 [並不常見](https://seirdy.one/posts/2022/02/02/floss-security)。
It is a [common misconception](../basics/common-misconceptions.md#open-source-software-is-always-secure-or-proprietary-software-is-more-secure) that Linux and other open-source software are inherently secure simply because the source code is available. 人們期望定期進行社群驗證;然而這種情況 [並不常見](https://seirdy.one/posts/2022/02/02/floss-security)。
現實中,發行版安全取決於許多因素,例如專案活動、開發人員經驗、用於代碼審查的嚴格程度以及代碼庫 特定部分的關注頻率,這些可能多年未被聞問。
@@ -30,7 +30,7 @@ description: Linux 為開源、以隱私為中心的桌面作業系統替代選
- Linux 的**驗證開機** 不如 Apple 的 [Secure Boot 安全開機](https://support.apple.com/guide/security/secac71d5623/web) 或 Androids [Verified Boot 驗證開機](https://source.android.com/security/verifiedboot)。 驗證開機可防止惡意軟體的持久篡改和 [evil maid attacks 邪惡女傭攻擊](https://en.wikipedia.org/wiki/Evil_Maid_attack),但其[仍未及於大多數進階的發行版本](https://discussion.fedoraproject.org/t/has-silverblue-achieved-verified-boot/27251/3)。
- Linux 上的應用程式嚴重缺乏**強大的沙盒**,即使便使用 Flatpaks 等容器化應用程式或 Firejail 等沙盒解決方案還是不足。 Flatpak 是迄今為止最被看好的 Linux 沙盒實用程式,但它仍存在許多缺陷,且允許[不安全的默認設置](https://flatkill.org/2020),這使得大多數應用程式可輕鬆繞過其沙盒。
- Linux 上的應用程式嚴重缺乏**強大的沙盒**,即使便使用 Flatpaks 等容器化應用程式或 Firejail 等沙盒解決方案還是不足。 Flatpak is the most promising sandboxing utility for Linux thus far, but is still deficient in many areas and allows for [unsafe defaults](https://flatkill.org/2020) which permit most apps to trivially bypass their sandbox.
此外Linux 在實施[漏洞緩解措施](https://madaidans-insecurities.github.io/linux.html#exploit-mitigations)方面落後,這些緩解措施現已成為其他操作系統的標準配置,例如 Windows 上的任意代碼防護或 macOS 上的強化運行時間。 此外,大多數 Linux 程序和 Linux 本身都是用記憶體不安全語言編寫的。 記憶體損壞錯誤是造成[大多數漏洞](https://msrc.microsoft.com/blog/2019/07/a-proactive-approach-to-more-secure-code)的原因已修復並分配了CVE。 雖然 Windows 和 macOS 也是如此,但它們在使用記憶體安全語言(例如 Rust 和 Swift上正在迅速進展而Linux 方面則沒有這類以 Rust 重寫記憶體安全的投入 。
@@ -42,9 +42,7 @@ description: Linux 為開源、以隱私為中心的桌面作業系統替代選
強烈建議您選擇與穩定的上遊軟體版本保持接近的發行版,通常稱為滾動發行版。 因為凍結發行週期旳發行版通常不會更新套件版本,並且在安全性更新方面落後。
像 [Debian](https://debian.org/security/faq#handling)這樣的凍結發行版,套件維護人員預計會回移補丁修復漏洞,而不是將軟體提昇到上遊開發人員發布的“下一個版本”。 某些安全修復
根本没收到 [CVE ID](https://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures) (特别是不流行的軟體),在此種補丁模式不會放入發行版。 因此小型安全修復有時候要等到下次主要發佈時才一起進行。</p>
像 [Debian](https://debian.org/security/faq#handling)這樣的凍結發行版,套件維護人員預計會回移補丁修復漏洞,而不是將軟體提昇到上遊開發人員發布的“下一個版本”。 Some security fixes (particularly for less popular software) [do not](https://arxiv.org/abs/2105.14565) receive a [CVE ID](https://en.wikipedia.org/wiki/Common_Vulnerabilities_and_Exposures) at all and therefore do not make it into the distribution with this patching model. 因此小型安全修復有時候要等到下次主要發佈時才一起進行。
我們不認為保留軟體套件和應用臨時補丁是好主意,因為它偏離了開發者計畫讓軟體工作的方式。 [Richard Brown](https://rootco.de/aboutme) 對此有一份簡報:
@@ -52,15 +50,13 @@ description: Linux 為開源、以隱私為中心的桌面作業系統替代選
<iframe width="560" height="315" src="https://invidious.privacyguides.net/embed/i8c0mg_mS7U?local=true" title="定期發佈是錯的,滾動發佈才可救命" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe>
</div>
### 傳統 vs 原子更新
### Traditional vs Atomic Updates
傳統上 Linux 發行版的是依次更新所需的軟體套件。 如果更新時發生錯誤,傳統更新例如 Fedora, Arch Linux Debian 等發行版所用的更新將變得不太可靠。
傳統上 Linux 發行版的是依次更新所需的軟體套件。 Traditional updates such as those used in Fedora, Arch Linux, and Debian-based distributions can be less reliable if an error occurs while updating.
原子式更新的發行版要嘛全都更新要嘛完全沒更新 通常事務性更新系統也是原子式的。
Atomic updating distributions, on the other hand, apply updates in full or not at all. On an atomic distribution, if an error occurs while updating (perhaps due to a power failure), nothing is changed on the system.
事務性更新系統會在更新前後建立快照應用。 如果更新發生失敗(例如因電力故障問題),就可以輕鬆地滾動回"近期已知的良好狀態"。
原子更新法用於 Silverblue、Tumbleweed 和 NixOS 這類[發行版](../desktop.md#atomic-distributions)通過此種模式實現可靠性。 [Adam Šamalík](https://twitter.com/adsamalik) 簡報了`rpm-ostree` 如何與 Silverblue 一起運作的情況:
The atomic update method can achieve reliability with this model and is used for [distributions](../desktop.md#atomic-distributions) like Silverblue and NixOS. [Adam Šamalík](https://twitter.com/adsamalik) 簡報了`rpm-ostree` 如何與 Silverblue 一起運作的情況:
<div class="yt-embed">
<iframe width="560" height="315" src="https://invidious.privacyguides.net/embed/-hpV5l-gJnQ?local=true" title="試試 Fedora Silverblue — 一套不變的桌面 OS! - Adam Šamalik" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe>
@@ -70,17 +66,15 @@ description: Linux 為開源、以隱私為中心的桌面作業系統替代選
人們常會混淆“以安全為中心”的發行版和“滲透測試”發行版。 快速搜索“最安全的 Linux發行版”通常會得到像 Kali Linux, Black Arch 或 Parrot OS 這樣結果。 這些發行版是攻擊性的滲透測試發行版,捆綁了測試其他系統的工具。 它們不包括任何 "額外的安全 "或常規使用的防禦性緩解措施。
### 基於 Arch Linux 的發行版
不推薦 Arch 或其相關發行版(無論哪個發行版)給剛接觸 Linux 的人,因為它們需要定期進行 [系統維護](https://wiki.archlinux.org/title/System_maintenance)。 Arch沒有底層軟體選擇的發行版更新機制。 因此,必須了解當前趨勢,並在新技術取代舊有做法時予以採用。
不推薦 Arch 或其相關發行版(無論哪個發行版)給剛接觸 Linux 的人,因為它們需要定期進行 [系統維護](https://wiki.archlinux.org/title/System_maintenance)。 Arch沒有底層軟體選擇的發行版更新機制。 As a result you have to stay aware with current trends and adopt technologies on your own as they supersede older practices.
對於一個安全的系統,還應有足夠的 Linux 知識來作正確安全設置,如採用 [強制性訪問控制](https://en.wikipedia.org/wiki/Mandatory_access_control) 系統,設置 [內核模塊](https://en.wikipedia.org/wiki/Loadable_kernel_module#Security) 黑名單,硬化啟動參數,操作 [sysctl](https://en.wikipedia.org/wiki/Sysctl) 參數,並知道需要哪些組件,如 [Polkit](https://en.wikipedia.org/wiki/Polkit)。
使用 [Arch User Repository (AUR)](https://wiki.archlinux.org/title/Arch_User_Repository), **者必須** 對該服務下載的 PKGBUILD進行審計。 AUR 軟體套件是社區製作的內容,未經任何審查,很容易受到軟體供應鏈的攻擊, [事實上已發生過這類事件](https://bleepingcomputer.com/news/security/malware-found-in-arch-linux-aur-package-repository)。
應該少用 AUR而往往各種網頁有很多不好的建議指導人們盲目地使用 [AUR 幫助器](https://wiki.archlinux.org/title/AUR_helpers) 卻沒有足夠警告。 類似的警告也適用基於Debian 發行版上使用第三方個人軟體套件檔案(PPAs)或 Fedora使用社區項目(COPR)。
應該少用 AUR而往往各種網頁有很多不好的建議指導人們盲目地使用 [AUR 幫助器](https://wiki.archlinux.org/title/AUR_helpers) 卻沒有足夠警告。 Similar warnings apply to the use of third-party Personal Package Archives (PPAs) on Debian-based distributions or Community Projects (COPR) on Fedora.
如果是 Linux 老手,希望使用基於 Arch 發行版,我們只推薦主線 Arch Linux而不是任何衍生品。
@@ -89,51 +83,37 @@ description: Linux 為開源、以隱私為中心的桌面作業系統替代選
- **Manjaro**: 此發行版將軟體套件保留 2週以確保不會破壞他們自己的修改而不是確保上游的穩定。 使用AUR軟體套件時通常是根據 Arch 軟體庫中最新的 [存放庫構建](https://en.wikipedia.org/wiki/Library_(computing))。
- **Garuda**: 他們使用 [Chaotic-AUR](https://aur.chaotic.cx) ,會自動地從 AUR 編譯軟件套件。 沒有驗證程序去確保 AUR 套件不會受到供應鏈攻擊。
### Linux-libre 內核與 “Libre” 發行版
我們建議**不**使用 Linux-libre 內核,因為它[刪除安全緩解措施](https://phoronix.com/news/GNU-Linux-Libre-5.7-Released)並[抑制有關易受攻擊的微代碼的內核警告](https://news.ycombinator.com/item?id=29674846)。
## 一般性建議
### 磁碟加密
大多數Linux 發行版安裝程序中都有啟用 [LUKS](../encryption.md#linux-unified-key-setup) FDE之選項。 如果在安裝時沒有設置這個選項,就只能重新安裝,因為在 [系統系統](https://en.wikipedia.org/wiki/File_system) 被格式化 [磁碟分區](https://en.wikipedia.org/wiki/Disk_partitioning)後進行加密。 我們還建議安全地刪除儲存設備。
- [安全資料清除 :material-arrow-right-drop-circle:](https://blog.privacyguides.org/2022/05/25/secure-data-erasure)
### Swap
考慮使用 [ZRAM](https://wiki.archlinux.org/title/Zram#Using_zram-generator) 而不是傳統的 swap 檔案或分區,以避免將潛在敏感的記憶資料寫入持久存儲(並提高性能)。 基於 Fedora 的發行版 [預設使用 ZRAM](https://fedoraproject.org/wiki/Changes/SwapOnZRAM)。
如果需要 suspend-to-disk 磁盤休眠功能則仍然需要使用傳統的swap 檔案或分區。 確保持久存儲設備上的任何交換空間予以[加密](https://wiki.archlinux.org/title/Dm-crypt/Swap_encryption),以減輕一些威脅。
### Wayland
建議使用支持 [Wayland](https://en.wikipedia.org/wiki/Wayland_(display_server_protocol)) 顯示協議的桌面環境,因為它的開發 [考慮到了安全](https://lwn.net/Articles/589147)。 其前身( [X11](https://en.wikipedia.org/wiki/X_Window_System))不支持GUI 隔離,允許所有視窗[記錄畫面、日誌和注入其他視窗的輸入](https://blog.invisiblethings.org/2011/04/23/linux-security-circus-on-gui-isolation.html),使任何沙盒嘗試都是徒勞。 雖然有一些選項可以做嵌套 X11比如 [Xpra](https://en.wikipedia.org/wiki/Xpra) 或 [Xephyr](https://en.wikipedia.org/wiki/Xephyr),但它們往往會帶來負面性能,設置也不方便,不如 Wayland 可取。
建議使用支持 [Wayland](https://en.wikipedia.org/wiki/Wayland_(display_server_protocol)) 顯示協議的桌面環境,因為它的開發 [考慮到了安全](https://lwn.net/Articles/589147)。 其前身( [X11](https://en.wikipedia.org/wiki/X_Window_System))不支持GUI 隔離,允許所有視窗[記錄畫面、日誌和注入其他視窗的輸入](https://blog.invisiblethings.org/2011/04/23/linux-security-circus-on-gui-isolation.html),使任何沙盒嘗試都是徒勞。
幸好 [wayland 組成](https://en.wikipedia.org/wiki/Wayland_(protocol)#Wayland_compositors) 例如包括在[GNOME](https://gnome.org) 與[KDE Plasma](https://kde.org) 可以妥善支援 Wayland 與其它使用[wlroots](https://gitlab.freedesktop.org/wlroots/wlroots/-/wikis/Projects-which-use-wlroots)的組件 (例如 [Sway](https://swaywm.org)). 某些發佈版本如 Fedora 和 Tumbleweed 預設使用它,有些則可能在未來也會這樣作在 X11 成為 [硬性維護模式](https://phoronix.com/news/X.Org-Maintenance-Mode-Quickly)後。 如果使用以下的桌面環境,就像在桌面顯示管理器中選擇 "Wayland "一樣簡單([GDM](https://en.wikipedia.org/wiki/GNOME_Display_Manager), [SDDM](https://en.wikipedia.org/wiki/Simple_Desktop_Display_Manager))
幸好 [wayland 組成](https://en.wikipedia.org/wiki/Wayland_(protocol)#Wayland_compositors) 例如包括在[GNOME](https://gnome.org) 與[KDE Plasma](https://kde.org) 可以妥善支援 Wayland 與其它使用[wlroots](https://gitlab.freedesktop.org/wlroots/wlroots/-/wikis/Projects-which-use-wlroots)的組件 (例如 [Sway](https://swaywm.org)). 某些發佈版本如 Fedora 和 Tumbleweed 預設使用它,有些則可能在未來也會這樣作在 X11 成為 [硬性維護模式](https://phoronix.com/news/X.Org-Maintenance-Mode-Quickly)後。 If youre using one of those environments, it is as easy as selecting the “Wayland” session at the desktop display manager ([GDM](https://en.wikipedia.org/wiki/GNOME_Display_Manager), [SDDM](https://en.wikipedia.org/wiki/Simple_Desktop_Display_Manager)).
我們**反對**使用不支援 Wayland 的桌面環境或視窗管理器如CinnamonLinux Mint、PantheonElementary OS、MATE、Xfce 和 i3。
### 商用靭體(Microcode更新)
Linux 發行版,如 [Linux-libre](https://en.wikipedia.org/wiki/Linux-libre) 或 DIY(Arch Linux),不附帶商業專用的 [微碼](https://en.wikipedia.org/wiki/Microcode) 更新,這類更新通常會修補漏洞。 這些漏洞的一些著名例子如: [Spectre](https://en.wikipedia.org/wiki/Spectre_(security_vulnerability))、[ Meltdown ](https://en.wikipedia.org /wiki/Meltdown_(security_vulnerability))、[SSB](https://en.wikipedia.org/wiki/Speculative_Store_Bypass)、[Foreshadow](https:/ / en.wikipedia.org/wiki/Foreshadow)、[MDS](https://en.wikipedia.org/wiki/Microarchitectural_Data_Sampling)、[SWAPGS](https: //en.wikipedia.org/wiki/SWAPGS_(security_vulnerability)),以及其他[硬體漏洞](https://kernel.org/doc/html/latest/admin-guide/hw- vuln /index.html)。
我們**強烈建議**安裝微碼更新,因為它們包含重要的 CPU 安全補丁,無法僅僅靠軟體緩解。 Fedora openSUSE 都預設採用微碼更新。
我們**強烈建議**安裝微碼更新,因為它們包含重要的 CPU 安全補丁,無法僅僅靠軟體緩解。 Fedora and openSUSE both apply microcode updates by default.
### 更新
@@ -143,12 +123,8 @@ Linux 發行版,如 [Linux-libre](https://en.wikipedia.org/wiki/Linux-libre)
此外,一些發行版不會自動下載靭體更新。 為此需要安裝l [`fwupd`](https://wiki.archlinux.org/title/Fwupd)。
## 隱私微調
### MAC 地址隨機化
許多桌面 Linux 發行版Fedora、openSUSE等自帶 [網路管理員](https://en.wikipedia.org/wiki/NetworkManager),以配置以太網和 Wi-Fi設置。
@@ -161,8 +137,6 @@ Linux 發行版,如 [Linux-libre](https://en.wikipedia.org/wiki/Linux-libre)
MAC 地址隨機化主要有利於 Wi-Fi 連接。 對以太網連接,隨機化 MAC 地址幾乎沒什麼好處(如果有的話),因為網絡管理員可以通過其他方式輕鬆識別您的設備(例如檢查您在網絡交換機上連接的端口)。 隨機化 Wi-Fi MAC 地址必須有 Wi-Fi 靭體支持。
### 其他標識符
還有一些其他的系統標識符,可能要小心對待。 您應該考慮看看是否適用於您的 [威脅模型](../basics/threat-modeling.md)。
@@ -171,8 +145,6 @@ MAC 地址隨機化主要有利於 Wi-Fi 連接。 對以太網連接,隨機
- **用戶名稱 ** 。同樣地,用戶名稱會在系統中以各種方式使用。 考慮用 "用戶 "這樣一般常見字,而不是您的真實姓名。
- **機器 ID**在安裝過程中會生成一個獨特的機器ID 並存儲在您的設備上。 考慮 [將它設置為一個通用 ID](https://madaidans-insecurities.github.io/guides/linux-hardening.html#machine-id)。
### 系統計數
Fedora 專案使用[`countme`](https://fedoraproject.org/wiki/Changes/DNF_Better_Counting#Detailed_Description) 變量而非獨特 ID 來[計算多少](https://fedoraproject.org/wiki/Changes/DNF_Better_Counting)系統訪問它的鏡像。 Fedora 這樣做是為了確定負載並在必要時為更新提供更好的伺服器。