pure os 系统详解

1. PureOS 概述
PureOS 是由硬件厂商 Purism（以生产注重隐私的 Librem 设备闻名）开发的 Linux 发行版，定位为 完全自由开源（符合 GNU FSDG 标准）且 隐私优先 的操作系统。其核心目标是提供 安全、去中心化、无专有软件 的计算环境，尤其适合隐私敏感型用户。
关键背景
• 开发公司：Purism（美国公司，2014 年成立）。
• 基础系统：基于 Debian 的稳定分支（当前版本 PureOS 10 "Byzantium" 基于 Debian 11 "Bullseye"）。
• 认证：获得 Free Software Foundation (FSF) 认证，确保 100% 自由软件。
• 硬件绑定：预装在 Purism 的 Librem 笔记本和手机中，但也支持其他设备。

2. 核心特点
(1) 隐私与安全
• 无追踪设计：
◦ 默认禁用遥测、位置服务和广告跟踪。
◦ 浏览器预装隐私增强版 GNOME Web (Epiphany) 或 Firefox，配置 uBlock Origin 和 HTTPS Everywhere。
• 加密通信：
◦ 强制 HTTPS 连接（通过 HSTS 预加载列表）。
◦ 集成 Tor 支持（非默认启用，需手动配置）。
• 隔离硬件：
◦ 在 Librem 设备中，硬件组件（如摄像头、麦克风）支持物理开关关闭。
◦ 独立硬件安全芯片（TPM）管理加密密钥。
(2) 自由软件合规性
• 无专有组件：
◦ 内核移除非自由固件（如某些 WiFi/GPU 驱动），需用户手动添加。
◦ 不包含非自由软件仓库（如 Debian 的 non-free 仓库）。
• 软件审查：
◦ 所有软件包需通过 FSDG 审核，确保代码和依赖完全开源。
(3) 用户体验
• 桌面环境：默认使用高度定制的 GNOME，优化触控板手势和 HiDPI 支持。
• 移动融合：在 Librem 5 手机中，提供 Phosh（基于 GNOME 的移动界面）和 Calls/SMS 应用。
• 跨设备同步：通过 PureOS Store 统一管理桌面和手机应用。

3. 系统架构与技术细节
(1) 基础架构
• 内核：Linux 内核移除非自由固件模块，启用安全增强特性：
◦ Kernel Self-Protection (KSPP)：防止内核漏洞利用。
◦ AppArmor：强制访问控制（MAC），替代 SELinux。
• 初始化系统：systemd（与 Debian 保持一致），但禁用部分非必要服务。
• 文件系统：默认使用 ext4，支持全盘加密（LUKS）和分区自动挂载。
(2) 包管理系统
• 底层工具：基于 Debian 的 apt 和 dpkg，但仓库配置严格受限。
• 软件仓库：
◦ pureos：主仓库，包含自由软件。
◦ pureos-proposed：测试版软件。
◦ pureos-backports：旧版本兼容包。
• 安装限制：
◦ 无法直接添加 Debian 的非自由仓库。
◦ 专有软件（如 Steam、Zoom）需通过 Flatpak 或手动编译。
(3) 安全机制
• 固件验证：
◦ 使用 Heads 固件（替代 UEFI/BIOS），支持 TPM 验证启动完整性。
◦ 内核模块签名强制启用。
• 沙盒与隔离：
◦ 应用默认以 Flatpak 或 Firejail 沙盒运行。
◦ 浏览器使用 seccomp-bpf 限制系统调用。
• 自动更新：
◦ 安全更新通过 unattended-upgrades 自动安装。
◦ 用户可配置更新策略（如仅安全更新或全量更新）。

4. 安装与配置
(1) 安装过程
1. 镜像获取：从 PureOS 官网 下载 ISO（支持 UEFI 和安全启动）。
2. 加密设置：安装向导强制建议全盘加密（LUKS）。
3. 分区方案：默认使用 GPT 分区表，建议 /boot 独立分区（500MB+）。
4. 硬件兼容性：
◦ Librem 设备驱动完美支持。
◦ 其他设备需手动处理无线网卡/显卡驱动（可能需安装非自由固件）。
(2) 初始配置
• 隐私设置向导：
◦ 选择是否启用位置服务、诊断报告。
◦ 配置 Tor 桥接或 VPN 连接。
• 用户账户：
◦ 默认禁用 root 账户，使用 sudo 提权。
◦ 强制要求用户密码符合复杂性规则（长度 + 混合字符）。

5. 桌面环境与预装软件
(1) GNOME 定制
• 隐私插件：
◦ Privacy Screen：快速禁用摄像头/麦克风。
◦ Tor Status：监控 Tor 连接状态。
• Librem 集成：
◦ Hardware Switch：图形化控制硬件开关（仅限 Librem 设备）。
◦ Firmware Updater：独立更新固件。
(2) 预装应用
• 办公套件：LibreOffice、Evolution（邮件/日历）。
• 通信工具：Matrix 客户端（如 Fractal）、Jitsi Meet。
• 开发工具：GNOME Builder、Git、Python 3。
• 多媒体：Totem（视频播放器）、Rhythmbox（音乐）。

6. 使用场景
(1) 隐私敏感型用户
• 记者、活动家：依赖 Tor 和端到端加密通信。
• 企业安全：隔离敏感数据，防止供应链攻击。
(2) 开发者
• 自由软件项目：确保开发环境完全符合开源协议。
• 嵌入式开发：针对 Librem 设备的应用移植。
(3) 普通用户
• 日常办公：替代 Windows/macOS，避免数据收集。
• 教育场景：教授自由软件理念和隐私保护。

7. 优缺点分析
优点
• 隐私极致：硬件/软件协同设计，超越纯软件方案。
• 自由合规：适合需遵守 GPL 或其他开源协议的场景。
• 统一生态：桌面与手机（Librem 5）无缝协作。
缺点
• 硬件依赖：非 Librem 设备可能功能受限（如硬件开关）。
•