iAdjunct's questions

我正在尝试在企业网络环境中部署 podman 用户服务，在该环境中，所有 Linux 用户的主目录都从公共文件服务器 NFS 挂载。当我的用户在每台机器上的主目录被 nfs 挂载到同一个共享时，我不确定如何拥有特定于计算机的用户级服务。

为了让 podman 能够干净地使用网络主目录，我发现我需要将设置graphroot设置为指向每台本地机器上的某个位置，否则每台机器上的容器将尝试使用相同的存储并感到困惑。好的，我可以做到（尽管需要与 IT 部门合作进行设置）。

将 pod/容器转换为用户级服务（使用podman generate systemd）时，我通常会将.service文件放入其中，~/.config/systemd/user但这也在网络共享中，因此会影响我在每个位置的用户。

有没有解决这个问题的标准方法？我如何在每台机器上拥有用户级服务（即我可能希望不同的机器拥有不同的服务，特别是如果这些服务是由它们的 ID 引用的容器）？

奖金问题扩展：我也打算设置loginctl enable-linger. 由于 NFS 主目录是延迟挂载的，这实际上会导致服务在启​​动时启动吗？

我一直在尝试分析我家中的一些 WiFi 问题，airodump-ng并注意到以 开头的 BSSID 上有很多流量00:25:00，Wireshark 的 OUI 查找显示已分配给 Apple...但 BSSID 与我的任何网络都不匹配有，并且 SSID 与任何设备都不匹配。

我怎么知道它是 AppleTV？当我将扫描仪靠近其中一个时，它的信号从 -60 dBm 范围变为 -30 dBm 范围。我对另外两台 Apple TV 重复了一遍，它们的信号也变好了。

报告的 SSID 与我网络上的任何设备都不匹配，并且它们“连接”到的 BSSID 不是我拥有的任何设备（事实上，我目前没有任何 Apple AP）。

这些设备看起来很健谈。在一对一 AppleTV 观看 YouTube 视频时，airodump-ng报告了来自 AppleTV 的真实 SSID 的几千帧，以及其他三个 SSID 之间的 10k 帧。

为什么 AppleTV 要建立自己的网络，为什么它们如此健谈？

我工作的公司有带有TPM芯片和Windows 10 Enterprise的电脑，并使用BitLocker进行全盘加密。他们将 BitLocker 配置为在启动时需要密码（我认为这意味着 TPM 不参与解密，磁盘应该只由密码本身加密；这是错误的吗？）。

一位同事将他的计算机从网络上关闭了一段时间，他们删除了他的计算机的访问权限。要重新获得访问权限，IT 必须对其进行“处理”。

在这个过程中，他们不得不

• 使 BIOS 接受 USB 引导驱动器

• 做点什么，也许包括更新东西（他们无法解释他们运行的东西做了什么，只能说它“做了东西”）

• 启动计算机

• 注意到 BitLocker 密码不起作用

• 回到 BIOS 并重新初始化 TPM（因为“有时它会接受恢复密钥”）

但是 BitLocker 密码仍然无效......而且非常有能力的 IT 人员（重新初始化 TPM 的人员）也从他们的数据库中丢失了恢复密钥。

究竟是什么导致它拒绝正确的密码？

TPM 是否与此相关？（密码保护是否要求密码正确且 TPM 具有正确的 PCR 状态，还是独立于 TPM？）

他如何使用密码解锁驱动器？（如果上面的问题是它仍然需要TPM，那么这可能是一个毫无价值的问题，因为它是不可能的）

据我所知，当您初始化 TPM 芯片时，它会创建一个随机派生密钥（派生自其隐式根密钥）。然后其他用户将设置 PCR（即 UEFI、引导加载程序等），最终 BitLocker 将密封这些值以生成其密钥。

我必须将我的电脑送去维修。我想保存初始化的密钥（它将被这个芯片的密钥加密，这很好），重新初始化 TPM（这样保修服务商就无法访问数据），然后，当我取回它时，加载将原始密钥放回其中（以便 BitLocker 和其他服务再次工作）。

我该怎么做呢？

（注意：如果他们更换了 MOBO 并且我用不同的 TPM 取回了一台计算机，那么显然我无法恢复它。这很烦人，但没关系 - 我可以重建我的所有密钥并且我有 BitLocker 恢复密钥。如果碰巧有一种方法可以避免这种情况，如果他们不更换 MOBO，我想这样做。）