苹果礼品卡唯一保证安全渠道就是苹果官网用自己的信用卡买（只有部分地区支持官网购买，很多低价区不支持），任何第三方无论大小平台都有风险，因为本质上都是第三方商家，货源不能保证。

@SilenceLL 第三方礼品卡就是这么捞，这种所谓大平台都是聚合第三方商家，甚至支付宝境外消费里面买礼品卡都能买到黑的。

@jackOff 说到 eclipse ，这东西真是一言难尽，记得以前网上经常有讨论空格还是 tab 缩进，有的 tab 党会说 tab 方便，按空格麻烦。我一开始还想这有什么差别，不都是配置好按 Tab 编辑器自动转换的吗？

结果后来发现，以前的 eclipse （十多年前吧，现在应该是改过了），居然是不支持退格键退空格缩进的，也就是如果用空格缩进的话按一下 tab ，要按 4 次 backspace 才能退掉刚才的一个缩进（要么就是按 shift+tab ，更麻烦）。当时其它几乎所有编辑器和 IDE 都不存在这个问题，都能一个退格退掉一个缩进无论是 tab 还是 4 个空格。

这种代理只能墙外用，就是专门给 IP 不干净的梯子换 IP 的，需要首先有能用的梯子，配置链式代理。严禁墙内直连，基本上都是秒被墙。

Podman 用 rootful 模式（ Linux 下需要用 sudo 运行，Windows 下需要在 Podman Desktop 里创建 rootful 的 machine ），使用体验几乎和 Docker 一样，兼容性问题极少。

拿 Podman 的 rootless 模式和 Docker （默认 rootful ）比兼容性本身就不公平。

如果是怕国内面板不安全的话，可以用 Cockpit 这款面板（是 RedHat 赞助项目，可靠性有保障），支持看日志、Podman 容器管理、虚拟机管理，不过 Docker 、数据库、上传文件这些不支持。比较适合虚拟化平台，或者用 Podman 代替 Docker 的容器化平台。

如果是怕面板端口暴露带来额外风险的话，可以设置面板仅监听本地 127.0.0.1 ，然后用 SSH 端口转发访问面板，如果需要远程访问的话也可以考虑配置 Tailscale.

@defunct9 这个 microwarp 就是 Linux 原生 wg 协议套壳，需要 reserved 字段的地区用不了

@digimoon 现在 MASQUE 协议的 usque 还挺稳

@defunct9 直接在 github 上搜 usque 就行，自带生成配置的功能，启动之后就是一个 socks5 服务器，之后用法就和 warp 官方客户端的 socks 代理模式一样了

@L4Linux 可以换用第三方 WireGuard 或者 MASQUE 客户端来连接 warp ，第三方客户端一般都不会有 cf 官方 warp-svc 的内存泄露问题。

注意如果用 wg 协议的话不能用 Linux 自带的客户端（包括 wg-quick 之类的配置脚本），不干净的 IP 用 wg 协议连接 warp 需要设置 3 字节的 reserved 隐藏字段值否则连不上，标准 wg 客户端不支持。

目前各种翻墙内核例如 xray 和 mihomo 都自带用户态的 wg 协议实现并且支持设置 reserved 值，用这些就可以绕过官方客户端直接连 warp 。要获取 reserved 值可以用 warp-reg.sh 这个注册脚本，以前的 wgcf 注册脚本不支持。

关于 MASQUE 协议目前第三方资源不多，可用的客户端有一个 usque ，自带 warp 注册功能。

"尝试路由器开启 ipv6 获取和 ra 通告，发现因为 sing-box 的 tun 接口直接去掉了 ipv6 的关系，并不能实现：保持核心仅 v4 的同时，还能通过 dhcpv6 或 slaac 向局域网主机下发公网 ipv6"

这个应该是 sing-box 的 strict_route 选项导致的，这个选项会自动配置系统拦截所有不通过 tun 的流量

用 tun 模式，一定要用支持“本地/远程 dns 分流+全局劫持 53 端口至内置 dns”的代理软件，比如 sing-box 或者 xray ，配置好基于 geosite 的 dns 分流（海外地址一定要走远程解析）和 53 端口全局劫持功能，几乎不会出问题。

clash 系列在 dns 的处理上属于比较差的，一个是很多教程里默认推荐的 dns-fallback 功能纯属坑人，有 dns 泄露风险，过滤污染也不准确，效果上完全不如 dns 分流+非 cn 域名走远程解析来得可靠。另外一个就是它的 redir-host 和 fake-ip 两种 dns 方案效果都不太好用，不如其它软件开启全局劫持 53 端口走内置解析来得简单粗暴。

@ccc00 podman 自启动可以用自带的 podman-restart.service 服务，开机的时候可以自动启动所有--restart=always 的容器，不需要手写脚本或配置

用容器未必能获得真实体验，因为系统内核版本可能对体验有影响。

特别是如果你用的是较新的硬件（例如 Intel/AMD 最新一代的 CPU ），旧内核兼容性就会比较差，这种情况下用 ArchLinux 或者 Ubuntu 最新版（不考虑是否是 LTS ）这些相对激进的发行版，体验反而更好，新硬件上尽量不要用偏向稳定的发行版（例如 Debian 或者较旧的 Ubuntu LTS ）

@aloxaf 密码错误锁不锁号是 pam 认证栈控制的，和用哪种 sudo 实现没关系，只能怪发行版偷懒给 sudo 和系统登录用同一套认证配置

TP-Link 国内最新的家用型号就行（不用企业版、海外版）。注意不要买旧款的，至少买 WiFi6 和更新的产品


@anytk 限制休眠是 linux 的另外一个特性 lockdown （这个特性会禁用几乎所有直接访问内核内存、影响内核内存完整性的特性，比如说休眠，因为硬盘上的内存映像有可能被篡改）。

Secure boot, kernel module signing, lockdown 这些内核安全特性不是必须一起启用的，只是说 ubuntu 这类商业公司维护的发行版魔改了内核让它们联动开启而已。

你用原生不支持 Secureboot 的社区发行版（比如 Arch Linux ），或者自己编译内核的话，不是非要启动所有安全特性。比如我自己的 Linux 工作站就是只启用 Secure boot （给 systemd-boot 和 uki 签名），不开 kernel module signing （ NVIDIA 等第三方驱动无需签名），不开 lockdown （其它功能基本都不受影响）

@w568w UDF 其实是可以给硬盘用的，不过坑很多（版本多，之间互不兼容，各个系统兼容的版本又不一样）