对于那些想从舒适的 Windows 中享受 Linux 命令行的人来说，WSL（Windows Subsystem for Linux） 是一个方便的工具。

当你 在 Windows 上使用 WSL 安装 Linux 时，会要求你创建一个用户名和密码。当你在 WSL 上启动 Linux 时，这个用户会自动登录。

现在的问题是，如果你有一段时间没有使用它，你可能会忘记 WSL 的账户密码。而如果你要使用 sudo 的命令，这将成为一个问题，因为这里你需要输入密码。

不要担心。你可以很容易地重置它。

在 Ubuntu 或任何其他 Linux 发行版上重置遗忘的 WSL 密码

要在 WSL 中重设 Linux 密码，你需要：

• 将默认用户切换为 root
• 重置普通用户的密码
• 将默认用户切换回普通用户

让我向你展示详细的步骤和截图。

步骤 1：将默认用户切换为 root

记下你的普通/常规用户名将是明智之举。如你所见，我的普通帐户的用户名是 abhishek。

WSL 中的 root 用户是无锁的，没有设置密码。这意味着你可以切换到 root 用户，然后利用 root 的能力来重置密码。

由于你不记得帐户密码，切换到 root 用户是通过改变你的 Linux WSL 应用的配置，使其默认使用 root 用户来完成。

这是通过 Windows 命令提示符完成的，你需要知道你的 Linux 发行版需要运行哪个命令。

这个信息通常在 Windows 商店 中的发行版应用的描述中提供。这是你首次下载发行版的地方。

从 Windows 菜单中，启动命令提示符：

在这里，以这种方式使用你的发行版的命令。如果你使用的是 Windows 商店中的 Ubuntu 应用，那么该命令将是：

ubuntu config --default-user root

截图中，我正在使用 Windows 商店中的 Ubuntu 20.04 应用。所以，我使用了 ubuntu2004 命令。

为了减少你的麻烦，我在这个表格中列出了一些发行版和它们各自的命令：

步骤 2：重设帐户密码

现在，如果你启动 Linux 发行程序，你应该以 root 身份登录。你可以重新设置普通用户帐户的密码。

你还记得 WSL 中的用户名吗？（LCTT 译注：请使用你的“用户名”替换下列命令中的 username）如果没有，你可以随时检查 /home 目录的内容。当你有了用户名后，使用这个命令：

passwd username

它将要求你输入一个新的密码。**当你输入时，屏幕上将不会显示任何内容。这很正常。只要输入新的密码，然后点击回车就可以了。**你必须重新输入新的密码来确认，当你输入密码时，屏幕上也不会显示任何东西。

恭喜你。用户账户的密码已经被重置。但你还没有完成。默认用户仍然是 root。你应该把它改回你的普通用户帐户，否则它将一直以 root 用户的身份登录。

步骤 3：再次将普通用户设置为默认用户

你需要你在上一步中用 passwd 命令 使用的普通帐户用户名。

再次启动 Windows 命令提示符。使用你的发行版命令，方式与第 1 步中类似。然而，这一次，用普通用户代替 root。

ubuntu config --default-user username

现在，当你在 WSL 中启动你的 Linux 发行版时，你将以普通用户的身份登录。你已经重新设置了密码，可以用它来运行 sudo 命令。

如果你将来再次忘记了密码，你知道重置密码的步骤。

如果重设 WSL 密码如此简单，这难道不是一种安全风险吗？

并非如此。你需要有对计算机的物理访问权以及对 Windows 帐户的访问权。如果有人已经有这么多的访问权，他/她可以做很多事情，而不仅仅是改变 WSL 中的 Linux 密码。

你是否能够重新设置 WSL 密码？

我给了你命令并解释了步骤。我希望这对你有帮助，并能够在 WSL 中重置你的 Linux 发行版的密码。

如果你仍然遇到问题，或者你对这个话题有疑问，请随时在评论区提问。

via: https://itsfoss.com/reset-linux-password-wsl/

作者：Abhishek Prakash 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

加密货币矿工滥用迫使 Docker Hub 取消免费构建服务

本周，Docker Hub 宣布其自动构建服务不再提供给免费用户。那些滥用的加密货币矿工们在这些免费云计算平台上肆虐。这不仅让 Docker Hub 额外付出很多成本，而且还降低了他们的付费客户的性能。该公司试图通过删除大约一万个账户来解决这个问题，但这些滥用的矿工们接下来又成群结队地返回。因此，在提供免费构建服务七年之后，Docker 公司将于 6 月 18 日停止免费构建服务。

之前是利用 GitHub Action，现在又盯上了 Docker Hub 的自动构建，这些无耻的小偷们滥用了开源世界的免费服务。

我不反对花自己钱去挖矿，但是这种利用别人的免费服务或盗用别人的计算机挖矿就是一种盗窃行为。

7 年之久的 Linux 特权升级漏洞的补丁发布

Polkit 是一个包含在几乎所有现代 Linux 发行版中的 Linux 系统服务，它为非特权进程与特权进程的通信提供了一种有组织的方式，七年来它一直隐藏着一个重大的安全漏洞。该漏洞允许非特权用户通过少数的标准命令行工具获得管理权限的 Shell。任何使用 systemd 的 Linux 发行版均受影响，包括最新的 RHEL 8 和 Ubuntu 20.04。

请尽快升级系统。

84 亿：史上最大的密码清单在网上公布

有人在网上的黑客论坛提交了一个 100GB 的文本文件，其中包含 84 亿个密码，很可能是从以前的数据泄露和安全漏洞中汇编的。上传者声称，所有密码的长度都在 6 到 20 个字符之间，并删除了所有非 ASCII 字符和空白字符。这个名为 RockYou2021 的集合包含了“众多泄露事件汇编（COMB）” 所有 32 亿个密码，以及其他已披露数据库的密码。由于全球在线用户只有 47 亿人，RockYou2021 可能包含了世界上近三分之二人口的密码。你可以通过 CyberNews 的泄漏密码检查器来检查你的密码是否已经被泄露。

几乎可以肯定你的密码已经泄露，你需要的密码之外的保护，比如双因子认证。

上线时间不到一周，鸿蒙 2 升级用户突破千万

6 月 2 日晚，华为的 HarmonyOS 2 正式发布，这是一款面向全场景的分布式操作系统，可用于物联网各种设备，除手机外，也能适配手表、平板等智能终端设备。华为称，这是华为史上最大规模的一次升级，自 6 月 2 日起，将有超过百款手机、平板和智慧屏设备升级到 HarmonyOS 2，为超过 2 亿多的用户带来全新的体验。

据华为内部人士称，发布不到一周，HarmonyOS 2 升级用户已经突破千万。鸿蒙设备数量今年的目标是 3.6 亿，后年的目标是达到 12.3 亿。

进展非常快，然而这才是挑战的开始。

Fastly 将导致全球互联网中断的事故归咎于软件漏洞

本周二，主要的 CDN 服务商 Fastly 遭遇重大故障，导致许多世界知名网站短暂下线，包括纽约时报、卫报、Twitch、Reddit、Stack Overflow、GitHub 等等。这次故障大约持续了一小时，仅亚马逊就损失了约 3400 万美元的销售额。

Fastly 称，漏洞存在于 5 月 12 日发送给客户的一个软件更新中，但直至一家客户进行了设置更改后才触发该问题，最终导致了大量网站宕机。Fastly 正试图弄清楚为什么在测试期间没有发现它。

这种全球性的基础设施厂商基本上每过一段时间就会出来凸显一下存在感，确实让人担忧全球互联网只依赖于少数几家基础设施公司。

有一半在钓鱼攻击中泄露的密码在半天内被访问

网络安全研究人员将数千伪造的登录凭证植入到传播被盗用户名和密码的网站和论坛后发现，大约一半的账户在 12 小时内被访问，20% 在一小时内被访问，40% 在六小时内被访问。

密码一旦泄露就可能给你的企业打开了一个攻击面，一些简单的技术，比如双因子认证可以有效缓解这种问题。

1Password 是一个相当不错的密码管理器（尽管不是开源的），在开源社区也有很好的口碑。他们甚至 为从事开源项目的用户提供免费的团队成员资格。

它的 Linux 桌面客户端已经处于测试阶段，但现在它已经准备好进入黄金时间。

他们已经正式 宣布 推出 1Password Linux 版，具有完整的桌面体验，可以与你的网络浏览器集成。

它还亮相了一些很快会进入 Android、iOS、Mac 和 Windows 的新功能。

在这里，我要安利一下，Linux 上的 1Password 值得期待。

1Password Linux 桌面客户端

虽然它可以作为浏览器扩展而无需考虑平台，但桌面客户端的出现使体验更好。

桌面客户端内置了基于 GTK 主题的黑暗模式支持。它还能与 GNOME、KDE 和你选择的任何其他窗口管理器很好地整合。

看起来他们也在更多的细节上花费了心思，因此桌面客户端也支持系统托盘图标，即使你关闭了它也能保持活跃。

你可以用它直接在你的默认浏览器上自动填入密码。不过，虽然它提到了 X11 剪贴板集成和支持，但没有提到 Wayland。

它还包括了对 GNOME 钥匙环和 KDE 钱包的支持、内核钥匙环的集成、与系统锁定和闲置服务的集成。

除了这些，1Password for Linux 还首次推出了新的功能，这些功能将很快用于其他平台。

• 安全文件附件
• 项目归档和删除功能，以便更好地组织文件
• Watchtower 仪表板，检查和评估你的密码安全状况
• 新的共享细节，查看谁可以访问什么
• 快速查找和智能搜索建议
• 翻新的外观和感觉

如果你想了解该版本以及他们对开源和 Linux 社区的计划，请浏览 官方公告。

在 Linux 中安装 1Password

其官方称，该桌面客户端支持几个 Linux 发行版，包括 Ubuntu、 Debian、 Arch Linux、 Fedora、 CentOS 和 RHEL。你可以得到用来安装的 .deb 和 .rpm 软件包，或者使用软件包管理器找到它们。

• 下载 1Password for Linux

它也有一个可用的 snap 包，你可以参考我们的 在 Linux 中使用 snap 的指南。

关于安装的更多信息，你也可以参考 官方说明。

via: https://news.itsfoss.com/1password-linux-released/

作者：Ankush Das 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

近三分之一的英国人使用宠物或家庭成员的名字作为密码

英国国家网络安全中心对一千多名英国成年人的调查显示，15% 的人使用宠物的名字，而 14% 的人使用家庭成员的名字作为密码。而 “123456” 和 “password” 仍然各占英国人使用的登录短语的 6%。英国国家网络安全中心说，“我们可能是一个动物爱好者的国家，但使用你的宠物的名字作为密码，可能会使你很容易成为冷酷的网络罪犯的目标。”他们建议使用由三个随机词组成的密码。

当然，我觉得最好的实践还是使用密码管理器。

DuckDuckGo 发布扩展程序阻止谷歌 FLoC 跟踪

隐私搜索引擎 DuckDuckGo 刚刚更新了面向 Chrome 浏览器用户的 Privacy Essentials 扩展，以阻止谷歌新推出的基于 FLoC 的跟踪方法。FLoC 的全称为“ 联合队列学习 Federated Learning of Cohorts ”，但这套旨在取代第三方 Cookie 的追踪系统还是引发了极大的争议。DuckDuckGo 称，“这种不经过任何人同意就强加上去的追踪机制根本不利于隐私，因为 FLoC 会在默认情况下开展行为跟踪。”不过，该扩展目前仍在等待谷歌扩展商店的审批才能被用户下载。

本质上，谷歌就是一个广告商，所以，这个会“伤害”谷歌的 FLoC 的扩展能不能得到通过，还尚未可知。

Linux 5.13 考虑为每次系统调用引入随机化的内核堆栈偏移量

该功能可以增强内核安全性、以阻止依赖内核堆栈确定性的漏洞利用。该功能已经经历了十轮的代码审查，预计会在 Linux 5.13 中发布。若这项功能顺利完成交付，那未来针对 Linux 内核堆栈的攻击将变得更加困难。不过在默认情况下，这项特性仍处于关闭的状态。因为即便在 x86\_64 平台上，该选项仍会造成约 1% 的系统资源开销。

相对于在安全方面更激进的 FreeBSD 内核，以及一些专门针对 Linux 内核安全强化的项目，Linux 内核在安全方面的举措更加保守。

你在运行树莓派 OS 吗？微软知道你

树莓派基金会官方支持的操作系统是基于 Debian 的树莓派 OS（原名 Raspbian）。然而，最近树莓派 OS 中的一个变化，让每一个运行树莓派的用户在进行 apt 更新时都会通知一下微软。

在最近的更新中，它在所有运行树莓派 OS 的机器上都安装了一个微软的 apt 存储库，并且是在无需管理员同意的情况下进行的。这主要是为了安装微软的 VS Code 编辑器。然而，其带来的副作用是，每次你在树莓派上进行 apt update 时，它都会联系一下微软的服务器。换言之，微软会知道谁正在使用树莓派 OS、他的 IP 地址等信息。

当社区质疑树莓派在做此改变时没有通知社区，而且是静默改变的，希望树莓派基金会可以更加透明时，树莓派的创始人回应称，“我不明白为什么你会认为这是一件有争议的事情。我们一直是这样做的，而从没有发布过关于如何选择不要的博文。”

开源社区对大型商业企业的警惕是可以理解的，即使是再拥抱开源的企业，也是一个商业公司，因此，总是有一些在意软件自由的人会特别在意和商业公司保持界限，尤其是那些曾经有不良历史的企业。我认为，树莓派基金会此举有些草率，而且创始人的回复略失轻佻。看来他们对树莓派 OS 所基于 Debian 追求的自由有些不以为然。

32 亿电子邮件和明文密码被泄露

近日，一个超过 30 亿的用户凭证库被发布在网上，其数据是由以往多次用户数据违规泄露事件汇编而成，这个汇编集合被称为 COMB。它包含了过 32 亿个电子邮件和明文密码，拥有像 Netflix、LinkedIn、Bitcoin 等大平台的用户数据。COMB 被放入到一个受密码保护的加密容器中，里面的内容按照数据字母顺序排列在一个树状结构中。

虽然并不是新泄露的密码，不过，无论如何，还是要经常修改你的密码，并使用双因子认证加以保护。如果你担心你的邮件和密码是否被泄露，可以在此查询：https://cybernews.com/personal-data-leak-check/ 。

Chrome 88 中普遍推出了通过二维码分享网页的功能

此前该功能已经存在于 Chrome 中已经有一段时间了，但并没有被展示出来。而在 Chrome 88 中，70% 的 Chrome 桌面用户都已经被自动开启了该功能。该功能可以通过点击地址栏，或者通过右键点击网页来调出。

这个功能是打通手机和 PC 之间分享网址的一个好方式。之前也有第三方的浏览器扩展可以做到，而现在内置的这个小功能，并不复杂，是一个方便的功能。