新版本不一定就代表最好，就跟 win8/10 才出来的时候一堆人要在 win7 待着不升级，win11 出来的时候一堆人要在 win10 待着一样。反而新版本常常带来不稳定。

而且实际上很多发行版都有滚动更新的版本（ debian sid/fedora rawhide ），而正式的版本可以看作是在滚动更新版本的一个 snapshot 。从这个观点来看，只有滚动更新，而不提供类似于 snapshot 的 major release 才叫奇怪。

自从 xz 事件之后，我已经把监听地址限制在一个 VPN 的地址上了

https://sansec.io/research/polyfill-supply-chain-attack

这次事件应该是故意的。

certbot+nginx ，自动更新+重启，基本就没手动管过证书。

这软件列表太哈人了

@forisra 离岸爱国就是不肯回国😅

# 删除所有没有使用的 image/volume/network 等等
`docker system prune -a`

# 删除下载下来的 deb 包
`apt clean`

# 删除自动安装但是已经不被需要的依赖
`apt autoremove`

# 清除卸载后剩余的配置文件，搜 apt-patterns 看~c 的含义
`apt purge '~c'`

# 清除 journald 的日志到只剩 512M
journalctl --vacuum-size=512M

不过我看了一下我的系统/usr + /var 也就 6G 左右，你的这么大是不是装了太多包了。`apt-mark showmanual`查看手动安装的包，然后再一个一个看，把不需要给卸载掉。

吓得我立马看了一下自己的 vscode 的插件，还好都用的微软自家出的玩意。

如果不太信任这个软件，还是不要太依赖于 flatpak 目前的沙箱机制比较好。虽然 flatpak 有沙箱机制，但实际上很多软件的权限申请几乎都可以随意绕过沙箱。包括但不限于：
1. 拥有 home 的读写权限，直接在~/.bashrc 加料就能逃出沙箱
2. 拥有 x11 socket 的权限，可以通过向终端程序写入命令来逃出沙箱
3. 拥有/dev/ttyX 的权限，可以通过向/dev/ttyX 写入命令来逃出沙箱

详情看： https://hanako.codeberg.page/

除此之外，像 talk-name=org.freedesktop.Flatpak 的权限可以随意逃出沙箱等等。

微信的权限申请 https://github.com/flathub/com.tencent.WeChat/blob/master/com.tencent.WeChat.yaml#L11 是包含 x11 的，如果害怕微信用各种恶心手段读取个人隐私的话，还是放虚拟机里吧。