@cnt2ex #58 你要知道大部分的安全漏洞根本没有 CVE ，也不会被 backport 。一个普通用户能提权到 root 的内核，危险性跟一个需要 jit （违反 w^x ）执行任意代码的浏览器根本不是一个量级的。同理 sshd 这些 network facing 的应用同样也是 security critical 。
不同于内核，浏览器的复杂度和攻击面摆在那里，你的 lts 厂商没有不能长期的为其维护 backport 和安全补丁，自然就不应该包含在 lts 的仓库中。

debian 系不适合做桌面，你这种情况不想折腾驱动问题直接上 opensuse 。

@cnt2ex #18 浏览器是 security critical 的，你不会想运行没有安全更新的浏览器访问一个网站直接被 RCE 。
同时浏览器的复杂度厂商也没有办法一直给你 backport 和安全补丁，除非你让 chromium 自己提供 esr 这种通道。
用 LTS 的目的就是不升级，所以原则上 LTS 源不打包浏览器合情合理，进了源他就有义务不能升级一直维护 backport 和安全更新。

@yyzh #8 @Narcissu5 #9 @cnt2ex #10
你说对了，LTS 就是为了能够长时间不升级，ubuntu 的稳定版其实也只是不那么长的 lts 。
所以官方仓库里自然不应该打包 chromium ，因为浏览器是必须要一直升级的程序，无论你通过 snap/第三方仓库等方式安装。
snap 是专为 ubuntu 的目标用户设计的，如果你发现你很讨厌它，说明你已经不再是 ubuntu 的目标用户了，继续使用 ubuntu 确实是习惯使然。

你不要 snap 那你干嘛用 ubuntu ？
还是 LTS 通道，LTS 的更新本来就只有安全更新/bugfix 和 backport ，显然不该包括浏览器这种需要一直更新的程序。
你真的知道 LTS 是干什么的，自己为什么要用 LTS 吗？

pve 其实没什么必要，你只是需要一个管理虚拟机的 gui 而已，直接用 virt-manager 或者 cockpit 就够了。

@NessajCN 就算你 review 所有 diff ，看到这样的 commit message 你会怀疑吗？
https://github.com/tukaani-project/xz/commit/6e636819e8f070330d835fce46289a3ff72a7b89

关于二进制安全，你忽视了 bootstrap 和 reproducible ，如果你的平台没有从源码 bootstrap ，可能你的编译器就已经有后门了，编译出来新的编译器及再编译出来的所有二进制都是污染的。或者你下载到的源码包存在专为你准备的后门？

用 rye ， 相当于 rustup for python

gnome46 自带的就是现有的 wayland 最先进的远程方案了，要是还不能满足你的需求别的更不行。

@cmdOptionKana #63 为什么要扣“扣帽子”的帽子？
我们都知道任何语言都有优缺点，但如果它的缺陷在你感觉而言也成了优势，这种现象将之描述为皈依者狂热。

@kuanat 其实只有一个原因，就是 simplicity 。go 是一个 dsl ，它只是为特定场景设计的，不适合其他场景很正常。你非要把 go 在这些场景的缺陷（如缺乏 sum type/null safety/checked initialization ）解释称 “the go way”更好，其实是一种皈依者狂热。

clash/机场不是设计为让你能够访问 xx 不让你访问的内容，而是为了让你能够访问你“可以”访问，但因为技术限制被“误屏蔽”的内容。因而它们在设计上就没有向任何人隐藏你的任何活动，也没有考虑“安全性”的需求。
如果你考虑“安全性”，你就并不是这些东西的目标用户。

@ysc3839 #15 你搞错了，lxd 可不是 lxc 的升级版，它俩完全是两套对容器在不同层面的封装。
另外 lxc 命令实际上是 lxd 的 client ，lxc-*才是真的 lxc 。只能说 ubuntu 整的东西不适合除了它的目标群体以外的人。

你重置就行了，现在的 android 不允许第三方应用访问硬件 id ，所有其他不变的 id 都是和用户绑定的。
iOS 不了解，不清楚有没有能够重置后仍然持久化的 id 。

@drymonfidelia #9 输入密码本身也是 vulnerable 的，如果有人看着你/拍下来/物理 keylogger 都是攻击面。
单用 tpm 的全盘加密也就只能解决硬盘换掉不用全盘擦除数据的问题，如果要授权的话，使用 ssh 等通过网络解锁的方案、或者 u 盘/硬件密钥是更合适的做法。
当然怎么也要比 OP 建议的装一个对着脸的摄像头这种重大安全隐患的方式要好。

能跑是能跑，但这可不能像 electron 每个应用都带一个 chromium 一样每个应用都带一个 llama 。

@ityspace 文档烂、包不稳定还是小问题，大问题是所有 unfree 包都是没有缓存的，配合上 nix 的静态依赖，当你需要使用 nvidia/cuda 及所有链接到它们的包时，慢慢编译吧，每次更新都要重新编译。

千万别碰 nix/nixos ，不然你就再也不用配置环境了，逐渐的你就会遗忘丧失所有 debug 各种乱七八糟环境问题的能力。