caw's questions

在我的 Ubuntu 16.04 机器上，我已经像这样配置了 UFW：

$ sudo apt-get install ufw

$ sudo ufw limit 22/tcp
$ sudo ufw allow 80/tcp
$ sudo ufw allow 443/tcp

$ sudo ufw enable

现在，如果我运行sudo ufw status verbose，输出如下：

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22/tcp                     LIMIT IN    Anywhere                  
80/tcp                     ALLOW IN    Anywhere                  
443/tcp                    ALLOW IN    Anywhere                  
22/tcp (v6)                LIMIT IN    Anywhere (v6)             
80/tcp (v6)                ALLOW IN    Anywhere (v6)             
443/tcp (v6)               ALLOW IN    Anywhere (v6)

据我所知，这看起来不错：它允许 SSH（受限制）以及 HTTP 和 HTTPS。这是想要的。

但是几天后，调查/var/log/ufw.log显示了很多条目，例如以下示例：

Jan 1 00:00:00 <SERVER_NAME> kernel: [<UPTIME>] [UFW BLOCK] IN=eth0 OUT= MAC=<41_CHARACTERS> SRC=<IP_V4> DST=<IP_V4> LEN=40 TOS=0x00 PREC=0x00 TTL=56 ID=1234 DF PROTO=TCP SPT=17708 DPT=443 WINDOW=0 RES=0x00 RST URGP=0

Jan 2 23:59:59 <SERVER_NAME> kernel: [<UPTIME>] [UFW BLOCK] IN=eth0 OUT= MAC=<41_CHARACTERS> SRC=<IP_V4> DST=<IP_V4> LEN=52 TOS=0x00 PREC=0x00 TTL=51 ID=23456 DF PROTO=TCP SPT=29199 DPT=443 WINDOW=1061 RES=0x00 ACK FIN URGP=0

根据DPT=443，UFW 是否阻止了一些 HTTPS 请求？这是为什么？如上所述，在 UFW 配置中明确允许使用 HTTPS（即通过 TCP 的端口 443），不是吗？UFW 阻止这些请求还有什么其他原因？

（UFW 显然不会阻止所有HTTPS 请求，因为我可以在尝试时通过浏览器中的 HTTPS 打开我的网站。）

在我的 Ubuntu 16.04 桌面上，我定期（通常每周多次）通过更新管理器 GUI 检查更新并安装所有显示为可用的更新。

今天，昨天绝对不是这样，为“iproute2”（“网络和流量控制工具”）提供了更新。

有时当更新可用时，例如今天，我会去packages.ubuntu.com查看详细的更改日志及其历史记录（在 GUI 中无法访问）。

当我从 中检查包条目时xenial，更新日志说最后一次更新是在 2016 年发布的。所以我检查了来自的条目xenial-updates，确实，顶部有一个项目描述版本“4.3.0-1ubuntu3.16.04.4 ”我今天刚刚通过更新管理器 GUI 收到。

然而，该更新的日期是 2018 年 9 月 18 日。那已经是整整两个月了！这怎么可能发生？更新可能会作为分阶段推出的一部分交付到 GUI，但是对于“中等”紧急更新在发布后到达更新管理器 GUI 来说，整整两个月是相当长的时间，不是吗？

我的 Ubuntu 16.04 机器有 4 个 CPU 核心，其中一个（其中一个完全不同）总是有 90% 到 100% 的负载。

无论我在做什么，甚至当我什么都不做，没有开窗的时候，这都是真的。它发生在启动后或工作数小时后。

我在这里和这里阅读了两个流行的相关问题，但不幸的是，这些都没有帮助。

在我工作的大部分时间里，我的工作效率并没有受到这个问题的影响。我当时知道这个问题的唯一原因是风扇总是以最大功率工作，而 Ubuntu 的系统监控显示其中一个内核负载很重。

但作为额外的表现，我可能有 10% 的工作时间受到非常糟糕的响应能力的影响。

尤其是 UI（在动画期间和对点击做出反应时）非常慢。这让我想到，也许 CPU 也在做 GPU 的工作。但这可能只是一个没有根据的信念，下面的数据似乎也相互矛盾。

我担心这个问题，如果我不能解决它，是否会对我的计算机的生命周期产生（重大）影响。我不知道在数月或数年内持续负载 >90% 对 CPU 的影响。

无论如何，这是我可以从我的机器上收集的数据，这些数据可能相关或有帮助：

top：

 PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND  
 415 root      20   0       0      0      0 R  97,3  0,0   1:39.30 kworker/2:2                                                                                       
2442 john      20   0  663828  38704  29852 S   3,3  0,5   0:00.90 gnome-terminal-                                                                                   
1194 root      20   0  335728  69900  48392 S   2,3  0,9   0:08.36 Xorg                                                                                              
1821 john      20   0 1423440 114660  77600 S   1,3  1,5   0:03.77 compiz                                                                                            
6 root         20   0       0      0      0 D   0,3  0,0   0:00.84 kworker/u8:0                                           

grep . -r /sys/firmware/acpi/interrupts/：

/sys/firmware/acpi/interrupts/sci:        36
/sys/firmware/acpi/interrupts/error:       0
/sys/firmware/acpi/interrupts/gpe00:       0   invalid
/sys/firmware/acpi/interrupts/gpe01:       0   invalid
/sys/firmware/acpi/interrupts/gpe02:       0   invalid
/sys/firmware/acpi/interrupts/gpe03:      36   enabled
/sys/firmware/acpi/interrupts/gpe04:       0   invalid
(...)
/sys/firmware/acpi/interrupts/gpe1F:       0   disabled
/sys/firmware/acpi/interrupts/sci_not:     0
/sys/firmware/acpi/interrupts/ff_pmtimer:  0   invalid
/sys/firmware/acpi/interrupts/ff_rt_clk:   0   disabled
/sys/firmware/acpi/interrupts/gpe_all:    36
/sys/firmware/acpi/interrupts/ff_gbl_lock: 0   enabled
/sys/firmware/acpi/interrupts/ff_pwr_btn:  0   enabled
/sys/firmware/acpi/interrupts/ff_slp_btn:  0   invalid

uname -a：

Linux my-host-name 4.4.0-47-generic #68-Ubuntu SMP Wed Oct 26 19:39:52 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

cat /proc/cmdline：

BOOT_IMAGE=/vmlinuz-4.8.0-28-generic.efi.signed root=/dev/mapper/ubuntu--vg-root ro quiet splash vt.handoff=7

lspci -v：

00:00.0 Host bridge: Advanced Micro Devices, Inc. [AMD] Device 1576
    Subsystem: Hewlett-Packard Company Device 81f9
    Flags: bus master, fast devsel, latency 0

00:00.2 IOMMU: Advanced Micro Devices, Inc. [AMD] Device 1577
    Subsystem: Hewlett-Packard Company Device 81f9
    Flags: bus master, fast devsel, latency 0, IRQ 24
    Capabilities: <access denied>

00:01.0 VGA compatible controller: Advanced Micro Devices, Inc. [AMD/ATI] Carrizo (rev ca) (prog-if 00 [VGA controller])
    DeviceName: ATI EG BROADWAY
    Subsystem: Hewlett-Packard Company Carrizo
    Flags: bus master, fast devsel, latency 0, IRQ 227
    Memory at e0000000 (64-bit, prefetchable) [size=256M]
    Memory at f0800000 (64-bit, prefetchable) [size=8M]
    I/O ports at 4000 [size=256]
    Memory at f0500000 (32-bit, non-prefetchable) [size=256K]
    Expansion ROM at f0580000 [disabled] [size=128K]
    Capabilities: <access denied>
    Kernel driver in use: amdgpu
    Kernel modules: amdgpu

...

00:08.0 Encryption controller: Advanced Micro Devices, Inc. [AMD] Device 1578
    Subsystem: Hewlett-Packard Company Device 81f9
    Flags: bus master, fast devsel, latency 0, IRQ 255
    Memory at f0540000 (64-bit, prefetchable) [size=128K]
    Memory at f0300000 (32-bit, non-prefetchable) [size=1M]
    Memory at f0570000 (32-bit, non-prefetchable) [size=4K]
    Memory at f056a000 (32-bit, non-prefetchable) [size=8K]
    Capabilities: <access denied>

...

01:00.0 Ethernet controller: Realtek Semiconductor Co., Ltd. RTL8101/2/6E PCI Express Fast/Gigabit Ethernet controller (rev 07)
    Subsystem: Hewlett-Packard Company RTL8101/2/6E PCI Express Fast/Gigabit Ethernet controller
    Flags: bus master, fast devsel, latency 0, IRQ 225
    I/O ports at 3000 [size=256]
    Memory at f0400000 (64-bit, non-prefetchable) [size=4K]
    Memory at f0100000 (64-bit, prefetchable) [size=16K]
    Capabilities: <access denied>
    Kernel driver in use: r8169
    Kernel modules: r8169

02:00.0 Network controller: Realtek Semiconductor Co., Ltd. RTL8723BE PCIe Wireless Network Adapter
    DeviceName: Sanji2
    Subsystem: Hewlett-Packard Company RTL8723BE PCIe Wireless Network Adapter
    Flags: bus master, fast devsel, latency 0, IRQ 231
    I/O ports at 2000 [size=256]
    Memory at f1000000 (64-bit, non-prefetchable) [size=16K]
    Capabilities: <access denied>
    Kernel driver in use: rtl8723be
    Kernel modules: rtl8723be

有人可以帮忙吗？

我已经设置了 Ubuntu 16.04 的全新安装，并在安装过程中使用 LUKS 启用了全盘加密。

由于我的区域设置的正确键映射尚不可用，我输入了一个很容易键入的非常弱的密码，目的是在成功安装后更改它。

现在我开始怀疑这是否是一个好主意。我的问题是关于加密密钥的强度以及追溯更改密码的效果。以下两种情况哪一种是正确的？

1. 加密密钥的强度与用户选择的密码强度完全无关。加密密钥始终具有相似的强度并且是随机生成的，用户的密码只是充当某种“盐”。攻击者试图破解的不是加密密钥，而是用户的密码。因此，追溯性地将用户的密码从弱密码更改为强密码确实可以显着提高安全性。

2. 加密密钥的强度直接取决于用户选择的原始密码的强度。加密密钥的强度差异很大，并且来自用户的密码（以一种确定的方式）。攻击者试图破解的是用户密码或加密密钥本身。追溯将用户的密码从弱密码更改为强密码并不能真正提高安全性，因为攻击者不会尝试破解（现在是强密码），而是（仍然很弱的）加密密钥，其强度没有通过密码更改而改变，并且这很弱，因为初始密码很弱。

不久前，我不得不在 UEFI 中禁用安全启动才能安装第三方驱动程序。

现在不再需要此第三方驱动程序（由于内核更新），我已将其卸载。

删除了那个未签名的驱动程序后，我认为现在再次启用安全启动可能是个好主意。是吗？或者恶意软件可能在此期间造成了损害，例如添加新的安全启动密钥，因此安全启动在被禁用一次后不再“安全”？