从零开始搭建，想了解 Linux 的构成的话，还是建议用 LFS ，一切的开始。
楼上说的 Gentoo 是我日常用的，基本上过程也是从零开始，只不过是从一个已有的文件系统开始，然后自己挑选想用的软件，所有软件都是编译安装（包管理器负责下载编译脚本，下载源码进行编译安装），少数比较大型的软件或者非开源软件，可以选择安装已编译好的 bin 包。系统安装基本就是从官网下载一个文件系统的压缩包，解压到空硬盘分区，然后 chroot 到这个硬盘分区上进行系统软件的安装，比如 shell 、文本编辑器之类的。

@dcsuibian #20 > 我还从没见过实际代码中用正则、加号、减号作为行首的情况

如果是懒癌的话，应该这种情况很常见吧？举个正则的例子：
/xxx/.test(variable) && callFunc();
就是用正则判断一个字符串是否匹配，然后调一个函数，当然是可以改成 if 语句的，但是这样更简洁。
+ 和 - 到确实是不多，- 能想到的也是行首这个 负数与一个变量的判断，比如
-5 === variable || callFunc ();
但是交换一下等号两边，也是可以避免，也不会带来复杂性提升。
至于 + 号，见过有人用这个放在变量前来转数据类型的，但我是不这么用的

手机挂代理的话，两种模式，直接手动配 HTTP 代理，部分软件不认，装软件走 VPN 模式的代理，部分软件会识别并拒绝启动。（当然要是你用的软件不存在这些情况的话，那就没啥区别了）
用软路由的一个比较重要的点就是防止软件检测到你开了代理，或者部分国产软件会扫描你的代理信息。另外就是设备无需配置，新设备连上 WiFi 、插上网线就能用，规则都可以自己定。
从上面你的描述来看，除了性能问题是否能跑满带宽这个我设备不一样无法评价以外，其他的基本都是你用的系统、配置之类的问题，我这边是自己装的 Linux 然后完全自己配的，不存在你所列举的这些问题。

注：iOS 快捷指令的自动化，无法自动执行 到达位置 的任务，此类任务会在触发时弹出通知，还需要手动点一下通知才会执行。
https://support.apple.com/en-gb/guide/shortcuts/apd602971e63/ios

@Masoud2023 #28 自己动手搜一下，很难吗？又不是啥高深的技术，伸手要的话，给你个关键词 IP address spoofing

@xuanbg #24 TCP 三次握手仅仅依赖于 SYN 同步的序号。TCP 序号预测攻击，通过某种方式预测出你服务器响应的序号，然后给服务器发伪造的 ACK 即可。
另外，如我上面所说，如果在骨干网上控制了网络路由的中间节点，比如国际、省级出入口，那么就不需要预测那么麻烦了，直接在中间路由上抓响应包就行。
还有一点是，部分软件会监听 UDP 端口，如果有漏洞的话……

另外，容器化也并非完全安全，容器逃逸也是漏洞挖掘的一个方向，容器内运行的程序逃逸到主机来执行代码。之前刷 CTF 的时候有道题就是在 Linux 下用 wine 虚拟化执行的 Windows 程序，要逃逸到主机执行 Linux 下的程序。

总之，没有绝对的安全，只有提升攻击成本，降低攻击的收益，才能提高安全性。

@Masoud2023 #25 简单了解一下网络数据包的结构，数据包里面包含源地址和目的地址，你只要修改一个数据包里的源地址就行了。

@xuanbg #22 要谈安全的话，IP 白名单也不是 100% 安全，如果你其他软件有漏洞，也可能在非白名单 IP 下对你实施攻击。
没有密码都安全得不得了？你最好不要有这种想法。
因为源 IP 是可以伪造的，这个是 DDoS 常用的手段之一，也是 DNS 污染使用的手段之一。但用来单点攻击的话效率太低收益太低，但如果针对性攻击的话，也是存在被利用的可能。
假设你白名单只放行了 2.2.2.2 ，而我在 3.3.3.3 ，我只要伪造一个源地址为 2.2.2.2 的数据包就能过你的防火墙。虽然你的回包会发回给 2.2.2.2 ，我可能收不到，但是如果有其他漏洞的话，一个精心构造的包就可以利用了（甚至于你都没有密码），那实际上也就不关心回包内容了（有可能拿到你主动发过来的反弹 shell ）。
另外，如果攻击者控制了你回包的中间路由链路，比如某地区的出入口链路、或者在你家小区的 ISP ，那么回包的内容也是可以拿到的。

另，我觉得终极安全是让攻击者看不到收益，对你发动攻击的性价比太低，以致于没人愿意攻击你，那才是最安全的。

@jin7 #13 如果在没有其他安全措施的情况下，那么放在 body 里，并且不接受 application/x-www-form-urlencoded 或者 multipart/form-data 作为 body 的话，而是使用类似于 application/json 之类的，可以在一定程度上防 CSRF ，因为即便是 POST ，符合简单请求 simple request 条件的话，也是不会进行 preflight 预检的。

各种技术的综合吧，简单的比如接口加混淆参数，前端代码混淆，这样可以提高门槛。
另外就是服务端做风控，举个例子，比如你访问网站的时候给你下发一个看起来没用的 cookie ，接口提交的时候没有这个 cookie 貌似也可以成功，但服务端已经知道接口请求不正常了，就会“以让你看起来正常的方式”失败，比如还有票，就给你说票没了，或者降低你这个接口的权重，票量充足就成功，票不足的时候优先让给其他用户。如果一直用这样的方式来发请求，就会把账号标记为黑号等。
当然，也不一定是用 cookie ，也可以用行为，比如正常操作抢票的话，会按顺序调用哪几个接口，但到你这里没有这些前序步骤了，也会标记为不正常。

@ahhtree #29 Linux 下对 NTFS 的支持有两个驱动，旧驱动是只读的，新驱动已经合入内核，支持写入。
试试 mount 的时候指定 -t ntfs3 （前提是有安装 ntfs3 内核模块）

头猪 可还行……
试一下改系统时间到那个时间，会复现吗？
试一下改系统时间，提前或延后一小时，看看复现时间会变吗？

@patrickyoung #10
setup.exe 干的事情的确可能比 setup.pkg 多，但是 setup.pkg 是在主机系统执行的，重装成本高，而 setup.exe 是放在虚拟机里执行的呀，只要他别搞虚拟机逃逸，其他的他爱干啥干啥。。。

@alexleee #15 我觉得 HTTP 不算的原因是，HTTP 只是一个传输协议，在这个概念上可以看作是和 TCP 一个层面的东西，它本身不能算 RPC 。（注：不是按 OSI 模型去划分的
而 RPC 字面意思就是调用远程的函数就像调用本地的函数一样，那么至少得有一个“调用本地函数”这样一个动作。
所以，一个算是 传输层 的概念，一个算是 表示层 /应用层 的概念。
所以，我觉得可以基于 HTTP 这个协议来封装成 RPC ，比如写一堆 function ，然后内容就是 fetch xxx ，这可以算作是 RPC 。但至于这个 fetch 下面是 HTTP 还是 TCP UDP ，甚至你愿意的话用 ICMP ping 来传输都没啥问题。
比如 gRPC Web 也是基于 HTTP 的，但重点强调的不是基于 HTTP 传输，而是传输的内容是经过编码的“函数调用”，使用者就像调用本地函数一样。

居家远程正常办公，没有影响项目进展，工资正常发，甚至周末居家远程办公也算加班。

首先，读懂错误是啥：
the HTTP XSLT module requires the libxml2/libxslt libraries. You can either do not enable the module or install the libraries.
是说 HTTP XSLT 这个模块依赖 libxml2/libxslt 库，你要么别启用 HTTP XSLT 这个模块，要么把依赖库装上。

你的笨办法是复制整条错误语句去搜，那肯定是不好的，搜索引擎按照关键词去搜会比较高效，这里读懂这个错误原因了，那么就有两种解法，取决于你需不需要 HTTP XSLT 这个模块。
如果你不需要 HTTP XSLT 模块的话，那么就在 ./configure 的时候加参数去禁用，不知道加啥参数的话，一般 --help 或者打开 configure 文件搜关键词 http 和 xslt ，或者以“你要编译的这个软件名 disable HTTP XSLT”为关键词去搜索引擎搜。
如果你需要 HTTP XSLT 模块，那么根据错误提示，你需要安装 libxml2/libxslt ，那么你到搜索引擎只搜这两个关键词就行了。
如果你不知道 HTTP XSLT 这个模块是啥，或者你不知道你要不要，那么就以这个模块名为关键词去搜索引擎搜，了解这个模块干嘛用的再说。或者简单点，如果这个模块不是你手动在 ./configure 的时候专门启用的，那么就是默认启用的模块，那你就保持默认就好。如果默认没启用，那就先不要这个模块了，编译完先用一下，如果缺少你需要的功能了，那再来把这个模块打开重新编译安装一次。

@xinh #13 ，PT 是 BT 的一种，可以理解为是 BT 的一种使用方式。
BT 因为是公开共享的，所以下载者的素质没法保证，很多类似于迅雷这种吸血的。
PT 实际上就是 BT ，但是使用 Private Tracker ，属于小范围内的资源共享，加入 PT 的人都要符合约定，所以质量会比公共的 BT 要高很多。而因为要遵守约定，所以通常需要专门的设备来挂机上传。
具体可以自己再去了解一下。