接着这篇文章的回旋镖。
最近我又在想,flatpak 和 distrobox 的优先级该怎么排,经过搜索并浏览了一些帖子后,我大约有个总结:如果应用在 flathub 上带有验证标志,优先级应该排第一;即使在 flathub 上没有验证标志,但是默认权限设置的合理,优先级应该排第二;剩下 distrobox 优先级排第三。
另外我又开始彷徨:国产流氓软件到底是放在 flatpak 或者 distrobox,还是扔虚拟机里。我看到有些留言说 flatpak 的国产软件即使把有些默认权限关了也可以正常使用,我不清楚这些留言的真实性,我也不想开个虚拟机去验证这些依托的国产软件是否如那些留言一样,不过我转念一想,既然功能能正常使用,那为什么打包者不把对应的权限关掉,莫非这些shi一样的软件有什么高级功能就需要对应的权限?但我没实践过,所以也就无从说起了。所以到底怎么对待国产流氓软件,是放 flatpak,还是扔虚拟机里?答:两者皆有可能,这就是答案(我也不知道,如果我真要装这些的话,选择这两种方法的概率也55开吧
还有稍微了解了下不可变系统,基本是从 fedora 的原子桌面那了解的,不可变的理念挺触动我的,即系统根目录文件系统只可读,可升级也可回滚且不会出错,用户安装软件的途径从传统的包管理转成了三个维度:flatpak、toolbx、rpm-ostree,flatpak 是 fedora 推荐的图形化软件的安装方式,toolbx 主要用于终端的 cli 应用程序或者创造开发环境,最后 rpm-ostree 则是系统软件包的安装方式,这种安装理念不同于传统的直接包管理器安装,我也觉得这种理念有道理,因为前者在安装上基本不需要管理员权限了,所以也就不太会影响到系统方面。这和我上篇小记提到的方法有相似的地方,虽然我没有不可变系统,但我现在用没有管理员权限的用户也没遇到什么有阻碍的地方,也算别样的体验到了不可变系统的理念。
不过,连续的两篇小记都大抵是在讲权限、用户、安全这些,其实溯源到底,可以说也就是在讲安全。说实话,我其实一直挺在意安全这方面,可能是我几年前刚开始翻墙时走的路和别人不太一样吧,别人可能找到了机场这条路,但是我当时走了 *ray 系的路(大概率自建的道路),中间用了免费节点以及不明来历的 vpn 等等,然后又看了一些相关文章,了解到使用的方法的安全隐患,又看到了一些图文或者视频搭建教程,于是乎走上了一条不归路……之后去了外面后,折腾各种协议,比较哪个更安全……再然后熟悉了服务器的一些操作指令后,想着桌面也用开源的 linux 好了,又转头折腾桌面 linux,换发行版、管理系统、桌面美妆……然后就到了今天。其实回顾以往,我做的某些操作可谓是相当不安全:前期只看 github star 数就信任仓库并执行脚本;滥用免费节点和不明来历的 vpn(连上就行);某次配置 caddy 不小心把自己服务器上所有文件目录都暴露在外网上(也不知道泄露了没);前段时间使用 gemini-cli,不知道 gemini-cli 把我家目录的一些隐私文件传上去没……其实还有很多很多,只是我没说出来或者想不起来了,虽说我犯了很多致命操作,但是这些也给我留了教训,让我以后不再犯,也让我更加想提高安全性,所以我去年折腾了磁盘加密、安全启动、clamav,今年折腾了 UKI,Apparmor,但现实是,其中这些起到的作用可能不是很大,如 clamav,它和 windows 自带的安全中心或者卡巴斯基相比并不一样,它在主动防御上显然不及 windows 这些,且病毒特征库收录大概也不及 windows 这些,为此,用户可能要额外考虑安装第三方病毒特征库,即使是这样,可能效果仍不是很好;再如 apparmor,默认自带的规则显然不足以应对现实的使用情况……到了现在,我仍在考虑使用情况的安全性,不断彷徨,但我现在在这些上面感觉有点累了,然后在 reddit 上又看到了一段话,我想引用下:
在我看来,最安全的系统是......
唯一安全的系统是无法访问互联网,也没有任何可以插入 USB 接口的端口,并且装在混凝土外壳中的系统,这样就没有人可以篡改主板。
对于一般的系统,我们只能进行缓解措施,而永远无法真正感到安全。印象中在 archwiki 上也有类似的话,我也觉得有一定道理,我这些年折腾系统也从来没有感到过真正的安全,或许我应该从这里毕业,去看看其他或许我感兴趣的东西?嗯……已感觉到了,也该从这里毕业了。
5月31回旋镖:今天在虚拟机里试了下用 flatpak 安装微信,并尝试了关掉一些默认权限,确实如留言所说仍是可以运行。