主题: 几个安全好用的 Linux / UNIX 操作系统——应用比较

[jingyue]

 Linux / UNIX 操作系统，活跃的发行版大约有 270 多种，其中安全好用的不超过 10 种，其它上百种都是属于滥竽充数，或者正处在开发测试阶段，更有许多昙花一现的东西，
全球比较流行的开源免费操作系统大致有以下几种：Debian，FreeBSD，ubuntu，openSUSE， Fedora，

Debian  <————  ubuntu
FreeBSD  <————  GhostBSD
SuSE  <————   openSUSE，
RedHat  <————  Fedora，

我们的选择标准：

< 1 >：有简体中文桌面，有简体中文输入法，
< 2 >：系统安装 wine 软件支持自由门或无界浏览翻墙软件，
< 3 >：支持全盘加密，
< 4 >：1，安全，2，稳定，
< 5 >：1，硬件兼容好，2，软件兼容好，
< 6 >：生命周期长，
< 7 >：兼顾高级用户与新手用户，兼顾 Linux 与 UNIX，


< NO.1 > Linux 操作系统：Debian 10，（ 2019年7月6日发布 ），（ 独立的正式发行版 ），（ 2019年7月6日 ——  2024年7月31日 ）
                                     Debian 12，（ 2023年6月11日发布 ），（ 独立的正式发行版 ），（ 2023年6月11日 ——  2028年6月30日 ）

< NO.2 > Linux 操作系统：（  空白  ）

（    openSUSE 15.3 不安全， openSUSE 15.4不安全， openSUSE 15.5 不安全，其防火墙强制允许外部发起的入站连接， ）

                         
< NO.1 > UNIX 操作系统：  FreeBSD 12.3-RELEASE，（ 2021年12月07日发布 ），（ 独立的正式发行版 ）                                   

< NO.2 > UNIX 操作系统：  GhostBSD-22.06.18，（ 2022年06 月发布，基于 FreeBSD 13.1-STABLE 源代码 ，滚动式发行版 ）


以上为安全好用的（基本符合上述选择标准）两大类共三种操作系统，

注意：
自由门 fg766p.exe ～～ fg770p.exe 不能通过红酒（wine）运行，
自由门 fg771p.exe 之后的版本可以通过红酒（wine）运行，

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 2023年07月编辑~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

< NO.1 > <—— Linux
Debian 固定每隔 2 年出一个正式发行版（RELEASE），每个版本官方安全更新支持 5 年，默认支持整块硬盘加密，iptables （IPv4）网络防火墙 + ip6tables （IPv6）网络防火墙，
Debian 如果使用离线安装光盘，则需要用户自己添加官方软件源。如果使用在线安装（netinst.iso）光盘，可以自动添加官方软件源。
Debian 需要用户自己【安装】和【启用 】ufw 防火墙默认规则，（用户也可以使用自行设置的个人桌面 iptables/ip6tables 网络防火墙规则而不使用 ufw，），
Debian 在安全，稳定，软件兼容，硬件兼容，生命周期，运行流畅，这几方面都是最好的，品质极高，坚如磐石，
官方网站 https://www.debian.org/
官方下载 https://www.debian.org/distrib/
官方文档 https://www.debian.org/doc/
用户手册 https://www.debian.org/doc/user-manuals#securing
选择 Debian 的理由 https://www.debian.org/intro/why_debian
安全信息 https://www.debian.org/security/
通过 HTTP/FTP 下载 Debian CD/DVD 映像 https://www.debian.org/CD/http-ftp/

 选择 Debian 的理由：
https://www.debian.org/intro/why_debian

我们的用户怎么说

    " 对我而言，这是易用性和稳定性的完美水平。这些年来，我使用了各种不同的发行版，但是 Debian 是唯一一个可以使用的发行版。 "
    " 坚如磐石的品质，提供了海量的软件包，还有优秀的社区。 "
    " 对我来说，Debian 是稳定和易于使用的代表。 "

https://www.debian.org/intro/why_debian

~~~~~~ Debian 12 正式发布，官方安全更新支持 5 年（2023 年 6 月 11 日 ——  2028 年 6 月 30 日） ~~~~~~~

网络在线安装版本，amd64，

https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/

https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/debian-12.1.0-amd64-netinst.iso

https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/SHA256SUMS
https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/SHA256SUMS.sign

https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/SHA512SUMS
https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/SHA512SUMS.sign

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

苹果电脑__网络在线安装版本，苹果电脑 amd64，

https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/

https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/debian-mac-12.1.0-amd64-netinst.iso
https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/SHA256SUMS
https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/SHA256SUMS.sign

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

网络在线安装版本，i386，

https://cdimage.debian.org/debian-cd/12.1.0/i386/iso-cd/

https://cdimage.debian.org/debian-cd/12.1.0/i386/iso-cd/debian-12.1.0-i386-netinst.iso
https://cdimage.debian.org/debian-cd/12.1.0/i386/iso-cd/SHA256SUMS
https://cdimage.debian.org/debian-cd/12.1.0/i386/iso-cd/SHA256SUMS.sign

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Live—CD 光盘，可在光盘上试用，也可以安装到硬盘上，

https://cdimage.debian.org/debian-cd/12.1.0-live/amd64/iso-hybrid/

 
https://cdimage.debian.org/images/unofficial/non-free/images-including-firmware/

Unofficial non-free images including firmware packages

UPDATE 10 Jun 2023: As of Debian 12 (Bookworm), firmware is included in the normal Debian installer images. USERS NO LONGER NEED TO LOOK FOR SPECIAL VERSIONS HERE.

For older releases (11.x/Bullseye and older), there are are some extra images in the archive directory. These are equivalent to the normal images we produced regularly except in that they also include non-free firmware to make things easier on some systems requiring proprietary but redistributable firmware. See http://wiki.debian.org/Firmware for more details.

There are three types of image here:

    "netinst" installer CDs that also include firmware to make installation easier
    installer DVDs that also include firmware to make installation easier
    live images including firmware packages pre-installed

< NO.2 > <—— Linux             
openSUSE Leap 大约每隔 1 年出一个正式发行版（RELEASE），每个主版本官方安全更新支持 3 年，
每个小版本官方安全更新支持大约 1 年 + 6 个月，
默认支持整块硬盘加密，iptables （IPv4）网络防火墙 + ip6tables （IPv6）网络防火墙，
openSUSE  无需用户自己添加官方软件源，但用户可以添加几个多媒体相关的几个源，无需用户自己设置防火墙（默认已经设置在严格的防护状态），
openSUSE 在安全，稳定，软件兼容，硬件兼容，这几方面也是很好的，与 Debian 相比较，openSUSE 在软件包来源（其多媒体软件包有一个半官方的源，其实应该属于社区的源）方面打了一点折扣，系统运行的流畅方面也稍微逊色，安全更新下载比较频繁，下载量也比较大，
openSUSE 有 “系统快照” 功能（安装时选择 BtrFS 文件系统 —— > 选择 ”启用快照“），其 zypper install 命令也有独特之处，在本地磁盘上面安装某个已经下载到磁盘上的软件包时，它会自动上网下载所需的依赖包，这是 Debian 的 dpkg install 所没有的功能，
openSUSE Leap 属于傻瓜式安装类型，适合新手安装，官方软件源无需用户自己设置，15.2（含15.2）之前的版本，其系统网络防火墙已经默认在安全防护状态，

openSUSE Leap 15.3 /15.4 防火墙有严重 bug，用户的防火墙完全失效，强制允许外部发起的入站连接，

官方网站 https://www.opensuse.org/
官方下载 https://software.opensuse.org/distributions/leap
                https://download.opensuse.org/distribution/leap/


< NO.1 > <—— UNIX             
FreeBSD 固定每隔 2 年出一个大版本，每个大版本支持 5 年（需要在小版本内手动升级来实现），
FreeBSD 12.3-RELEASE 属于 12 分支之内的一个小版本，生命周期大约 1 年半，ZFS文件系统，默认支持 GELI 整块磁盘加密，IPFW 网络防火墙（IPv4+IPv6），
FreeBSD 在安全和稳定方面很好，在硬件兼容和软件兼容方面还不是太好，
FreeBSD 安装方法比较特殊，安装成功之后还需要用户通过终端命令配置桌面，因此不适合没有经验的新手安装，
FreeBSD 12.3 支持 “启动环境”，ZFS 文件系统，”系统快照“ 与恢复，默认支持GELI 整块磁盘加密，IPFW 网络防火墙（IPv4+IPv6），可以在线安装 Lumina 1.6.0 桌面环境，

FreeBSD 13.1-RELEASE 不支持自由门，不支持无界浏览，
FreeBSD 12.3-RELEASE 不支持新版本自由门，不支持无界浏览，

官方网站 https://www.freebsd.org/
官方下载 https://www.freebsd.org/where.html


< NO.2> <—— UNIX   
GhostBSD-22.06.18（ 2022年06 月发布，基于 FreeBSD 13.1-STABLE 源代码 ），官方 MATE 1.26.0 桌面，
官方网站 https://www.ghostbsd.org
GhostBSD 光盘映像是 Live-DVD ，可直接光盘启动，既可在电脑光驱上试用，又可以安装到硬盘上，
ZFS 文件系统，默认不支持GELI 整块磁盘加密，
注意：IPFW 网络防火墙（IPv4+IPv6）默认规则为空白，允许一切入站连接，因此需要用户从新设置才能保护电脑操作系统。
GhostBSD 软件兼容不好，几个 PGP 加密/签名/验证软件 gpa， kgpg， kleopatra 都有问题不能用， 通过红酒（ i386-wine-6.0.1,1 ）可以运行自由门，无界浏览，
GhostBSD-22.06.18 官方软件源的 wine 有 bug，不支持自由门和无界浏览，

总体而言，Linux 比 UNIX 好用得多，与 Linux 相比，UNIX 还是差得很远，UNIX 操作系统的优势主要是安全和稳定，有 IPFW 网络防火墙和 PF 网络防火墙，


解释几个概念，

1，硬件兼容，
主要与设备驱动有关，软件兼容不好也会直接影响硬件兼容效果，
硬件兼容好，是指此操作系统能够在绝大多数电脑硬件上面成功安装和成功运行，
硬件兼容不好，或硬件兼容较差，是指（1）此操作系统在这台电脑硬件上能够安装成功，而在其它电脑硬件上安装失败，（2）或者虽然安装成功，但是某个设备能够被识别却不能正常使用，

2，软件兼容，
软件兼容比较好，是指在此操作系统上面可以安装更多的应用软件并且能够成功运行这些应用软件，
软件兼容较差，是指（1）能够安装某个应用软件，但是不能成功地运行这个应用软件，（2）或者某个软件可以运行但是其部分界面打不开或不能使用，（3）或者可供此操作系统安装和使用的应用软件太少，

3，安全方面，
（1）发行版官方或公司背景如何，是否木马间谍软件，
（2）官方软件源是否纯净，如果混入了社区的软件源，那么软件包的安全就会大打折扣，恶意软件可能会乘机混入，
Debian 操作系统用的完全都是其官方的软件源，FreeBSD 操作系统用的完全都是其官方的软件源，openSUSE 默认安装也都是其官方的软件源，但是系统还提供了几个半官方的软件源（有点社区软件源性质）可供选择添加，如果安装多媒体软件一般都会添加这几个半官方的软件源。
（3）是否对官方软件源里面所有的软件包都进行安全跟踪并及时发布安全更新，
（4）对于突发的 Linux 安全漏洞，发行版官方（发布安全补丁）快速应急响应能力如何，
（5）防火墙默认设置如何，有无防火墙，

4，稳定方面，
主要与操作系统品质有关，涉及比如：打包质量好坏，测试周期长短，Linux 或 UNIX 内核，软件兼容不好也会直接影响系统稳定，
系统非常稳定，是指此系统运行过程中不出现任何软件故障，应用软件运行流畅。
系统不稳定，是指运行过程中容易因软件方面原因导致系统关机 / 重启，或者应用软件运行不流畅，或者系统下载和安装了安全补丁之后导致某个应用软件出故障或某个应用软件的某个功能不可用了，等等。

5，生命周期 （LifeTime）
生命周期是指官方对此操作系统连续提供系统安全补丁下载或更新的时间长度，
Debian 的生命周期固定为 5 年，每隔 2 年发布一个稳定版本。
openSUSE 的生命周期大约为 1 年 + 6 个月，每隔 1 年发布一个稳定版，新版发布后，上一个旧版本就剩下 6 个月的官方支持了，
FreeBSD 的生命周期为 5 年，但是需要紧跟每个小版本的升级才可以，其每个小版本的生命周期一般为 1 年多一点，

6，全盘加密，
全盘加密是指把整块硬盘加密，
Linux 操作系统的 boot（启动）分区（大约 256 MB）不能加密，
这里所说的全盘加密功能，都是操作系统自带的，在安装操作系统过程中，只需用鼠标选择和点击下一步，输入20位～30位 英文大写字母 + 英文小写字母 + 阿拉伯数字 + 符号，混合组成的密码序列，然后确认，即可完成整块硬盘加密，


仅供参考

Debian 10 官方软件源，个人桌面 iptables 网络防火墙屏蔽 TCP RST，简体中文输入法，常用软件安装与设置方法，

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        Debian 12 ( bookworm )，（ 2023年6月11日发布 ），（  生命周期 5年，2023年6月11日 ——  2028年6月30日 ）
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

GhostBSD 22.01 启用 ipfw 网络防火墙，简体中文输入法设置方法，ipfw 防火墙添加屏蔽 TCP RST 命令脚本，

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        默认安装下，ubuntu 22.04 是一个 “不安全“ 的操作系统，应该进行以下处理，之后才可安全使用，
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

[jingyue]

桌面环境，

两个比较成熟的桌面环境是 GNOME 和 KDE，
KDE桌面环境，简洁，直观，其软件功能也比 GNOME 完善，
Lumina 1.6.0 桌面环境，适合 FreeBSD 13.0-RELEASE，
Debian / openSUSE / FreeBSD / 安装光盘都同时支持多种桌面环境，用户在安装时可以任意选择，

一，Debian 认为自己的 GNOME 桌面最成熟，所以 Debian 默认安装的是 GNOME 桌面，
Debian 10 的 DVD 安装光盘在安装（在高级选项）过程中，用户可以任意选择安装以下桌面及相关组件：
1，Debian desktop environment （桌面环境）
2，GNOME （桌面）
3，Xfce（桌面）
4，KDE plasma（桌面）
5，Cinnamon（桌面）
6，MATE（桌面）
7，LXDE（桌面）
8，LXQt（桌面）
9，Web server（网站服务器）
10，Print server（打印服务器）
11，SSH server（SSH 服务器）
12，标准系统工具（，这一项可选，也可以不选，）

个人桌面电脑一般选择 “桌面环境”  和 “标准系统工具”，再加上一个 “桌面” 就可以了，（建议），
或者，选择 “桌面环境”  加上一个 “桌面” 也可以，（不选 “标准系统工具”，）
或者，仅仅选择一个 “桌面” 也可以，（不选 “桌面环境”  和 “标准系统工具”，）


二，openSUSE 认为自己的 KDE 桌面最成熟，所以 openSUSE 默认安装的是 KDE 桌面，
openSUSE Leap 的 DVD 安装光盘在安装过程中，用户可以任意选择安装以下桌面及相关组件：
GNOME 基础系统
GNOME 桌面环境
KDE Plasma 5 桌面
KDE 桌面环境
XFCE 桌面环境
LXDE 桌面环境
，
（以下省略）

三，FreeBSD 13.0-RELEASE 可以在线安装 Lumina 1.6.0 桌面环境，

freebsd_base + xorg + lumina

# pkg update

# pkg install xorg

# pkg install lumina

# start-lumina-desktop

或者
# echo "exec start-lumina-desktop" > $HOME/.xinitrc
# startx


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

在 Debian 10 版本中，GNOME 桌面默认使用 Wayland 显示服务器而不是 Xorg，
测试表明，
Debian 10 GNOME  默认桌面，不能运行 plank ，
Debian 10 KDE 桌面很好用，功能丰富，界面华丽，
Debian 10 xfce 桌面可用，界面简陋，安装 plank 之后，通过删除和添加面板，可以把桌面设置成象 Mac OS X 苹果电脑操作系统风格的桌面，
Debian 10 LXQt  桌面好用，轻量级桌面，界面简洁，

[jingyue]

参考链接 https://zh.wikipedia.org/wiki/DistroWatch

准确性
点击计数器的准确度

Bodnar 写道 “我相信那些统计数字还是有点真实性的，但老实说，它们真的并不代表一切，不应该太认真的对待” 及 “并不是市场占有率或质量的指针...” [8]。

PCWorld 写道 “DistroWatch的页面点击数的确是部分发行版感兴趣的东西，但不能以此代表真正使用或整体偏好的状况” [9]。

Muktware 写道 “DistroWatch并不是‘有多少用户’的指针，但的确可以用来观查用户正在找什么” [10]。

www.distrowatch.com 每日点击排名，截止日期：2021 年 11 月 30 日

数据来源：http://distrowatch.com/

 https://distrowatch.com/dwres.php?resource=popularity

Data span: Last 6 months ( 最近6个月平均 )

Rank    Distribution    HPD*
（排名）（发行版名称）（每日点击次数）

1    MX Linux    3450>
2    EndeavourOS    3085>
3    Manjaro    2219>
4    Mint    1976>  < ——>基于ubuntu的软件包（库），但是却坚持安装Mint自家打包编译的Firefox浏览器 ，浏览器间谍？
5    Pop!_OS    1532=
6    Ubuntu    1327> < ——>  ubuntu 软件源与 Debian 软件源无关，ubuntu 声称它基于 debian，其实 ubuntu 的安装软件包与 debian 无关，仅仅其源代码与 debian 有关。支持自由门和无界浏览，ubuntu 的背景是一家商业公司，与中共有合作，比如：麒麟，上海 “兆芯”（CPU）。
7    Debian    1308> < ——> 独立的发行版，可以滚动式升级，其稳定版 9.0 版本 / 稳定版 10.0 版本 / 稳定版 11.0 版本 ，支持自由门和无界浏览，Debian 以安全稳定坚如磐石而著称，Debian 是一个全球性的开源社区，没有任何政府和商业公司背景，
8    Garuda    1246>
9    elementary    1073=
10    Fedora    978<
11    Zorin    893>
12    openSUSE    763= <  ——> 独立的发行版， 其所有版本完全支持自由门和无界浏览，其背景是德国著名的 SuSE 公司， openSUSE Leap 15.3 防火墙有严重 bug，用户的防火墙完全失效，允许外部发起的入站连接，
13    KDE neon    688<
14    antiX    599<
15    Solus    596=
16    Slackware    520>
17    Lite    514>
18    PCLinuxOS    493=
19    Arch    471=
20    Artix    433=
21    Kali    428=
22    ArcoLinux    406>
23    Q4OS    388>
24    Puppy    386<
25    SparkyLinux    374=
26    CentOS    369=
27    Rocky    362>
28    FreeBSD    337= <  ——> 独立的发行版， 可以滚动式升级，UNIX 操作系统，美国加州大学伯克利分校—研究所，不支持自由门和无界浏览，
29    Devuan    330=
30    Void    323<
31    Alpine    322>
32    Kubuntu    321>
33    Lubuntu    310=
34    AlmaLinux    295<
35    Tails    292=
36    deepin    291=
37    Mageia    277=
38    EasyOS    271=
39    PureOS    259=
40    Bluestar    255=
41    RebornOS    253=
42    Peppermint    251=
43    Xubuntu    245=
44    Linuxfx    244=
45    GhostBSD    238  < ——> 基于 FreeBSD 13.0-STABLE 源代码，滚动式发行，支持自由门，加拿大国家社区背景，

统计数据截止日期：2021 年 11 月 30 日

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

www.distrowatch.com 每日点击排名，截止日期：2019 年 11 月 27 日

数据来源：http://distrowatch.com/

 https://distrowatch.com/dwres.php?resource=popularity

Data span: Last 6 months ( 最近6个月平均 )

Rank    Distribution    HPD*
（排名）（发行版名称）（每日点击次数）

1    MX Linux    4708<
2    Manjaro    2536=
3    Mint    2082> <  < ——>基于ubuntu的软件包（库），但是却坚持安装Mint自家打包编译的Firefox浏览器 ，浏览器间谍？
4    Debian    1637> < ——> 独立的发行版，可以滚动式升级，其稳定版 8.0 版本 / 稳定版 9.0 版本 / 稳定版 10.0 版本 ，完全支持无界浏览，Debian 以安全稳定坚如磐石而著称，Debian 是一个全球性的开源社区，没有任何政府和商业公司背景，
5    Ubuntu    1402>< ——>  ubuntu 软件源与 Debian 软件源无关，20.04 版本桌面启动太慢（大约20妙），20.04 版本不稳定（有电脑系统更新之后黑屏）。ubuntu 声称它基于 debian，其实 ubuntu 的安装软件包与 debian 无关，仅仅其源代码与 debian 有关，ubuntu 借用了 debian 的光环。ubuntu 的背景是一家商业公司，与中共有合作，比如：麒麟，上海 “兆芯”（CPU）。
6    elementary    1232< 
7    Solus    1117<
8    Fedora    966=
9    Zorin    934>
10    deepin    837>
11    antiX    776>
12    openSUSE    736<  ——> 独立的发行版， 其所有版本完全支持无界浏览，其背景是德国著名的 SuSE 公司，
13    CentOS    699= 
14    PCLinuxOS    695>
15    KDE neon    691>
16    ArcoLinux    623<
17    Pop!_OS    616>
18    Arch    603=
19    Mageia    470<
20    ReactOS    459<
21    FreeBSD    449<  ——> 独立的发行版， 可以滚动式升级，UNIX 操作系统，美国加州大学伯克利分校—研究所，

统计数据截止日期：2019 年 11 月 27 日

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

www.distrowatch.com 每日点击排名，截止日期：2017 年 11 月 27 日

Data span: Last 6 months ( 最近6个月平均 )，

Rank    Distribution    HPD*
（排名）（发行版名称）（每日点击次数）

1    Mint    2598>
2    Debian    1825< ——> 独立的发行版，可以滚动式升级，其稳定版 7.0 版本 / 稳定版 8.0 版本 / 稳定版 9.0 版本，完全支持无界浏览，
3    Manjaro    1604<
4    Ubuntu    1449>  ——> 基于 Debian 测试版与不稳定版混合软件包源代码，其软件源与 Debian 软件源无关，18.04 版本支持无界浏览，
5    Antergos    1370> 
6    Solus    1038>
7    Fedora    958=
8    openSUSE    922< ——> 独立的发行版， 其所有版本完全支持无界浏览，
9    elementary    850> 
10    TrueOS    804>  < ——>  此项目已于2020年5月终止，
11    Zorin    759<
12    deepin    623<
13    CentOS    598<   
14    Arch    586=
15    PCLinuxOS    554=
16    Kali    523>
17    antiX    503>
18    ReactOS    478=
19    Lite    450=
20    MX Linux    448>   
21    Lubuntu    425>
22    Mageia    416<
23    FreeBSD    388= ——> 独立的发行版， 可以滚动式升级，UNIX 操作系统，

统计数据截止日期：2017 年 11 月 27 日

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

这个排名表反映了各个发行版受关注的程度，

举例来说，

Debian 每间隔 2 年才在这里（http://distrowatch.com/）发布一次消息，
Ubuntu 每间隔 6 个月就在这里发布一次消息，不仅如此，Ubuntu 的 LTS 版本每个小版本升级也会在这里发布一下消息，
显而易见， Ubuntu 发布消息的频率至少是 Debian 的 4～5 倍，从而快速刷新其点击量，
排在第 1 位的，也与尖端效应有关，

所以，排在前面的不一定安全好用，但是排在后面的一定是不好用的，（实际安装测试已经证明），或没有经过时间检验的，


参考链接 https://zh.wikipedia.org/wiki/DistroWatch

准确性
点击计数器的准确度

Bodnar 写道 “我相信那些统计数字还是有点真实性的，但老实说，它们真的并不代表一切，不应该太认真的对待” 及 “并不是市场占有率或质量的指针...” [8]。

PCWorld 写道 “DistroWatch的页面点击数的确是部分发行版感兴趣的东西，但不能以此代表真正使用或整体偏好的状况” [9]。

Muktware 写道 “DistroWatch并不是‘有多少用户’的指针，但的确可以用来观查用户正在找什么” [10]。

[jingyue]

提醒1： Debian 9 的软件库 stretch-backports 里面有 virtualbox 5.1.30 版本，
                                           2020年06月，已经更新为 virtualbox 5.2.24 版本，

Debian 9 官方软件源（ /etc/apt/sources.list ）之一，含 stretch-backports（ 仅供参考 ），

deb http://security.debian.org/debian-security stretch/updates main contrib non-free
deb http://ftp.us.debian.org/debian/ stretch main contrib non-free
deb http://ftp.debian.org/debian/ stretch-updates main contrib non-free

deb http://ftp.de.debian.org/debian stretch-backports main contrib non-free

https://packages.debian.org/stretch-backports/virtualbox

https://packages.debian.org/search?suite=default&section=all&arch=any&searchon=names&keywords=virtualbox

stretch-backports (misc): x86 virtualization solution - base binaries [contrib]
5.2.24-dfsg-4~bpo9+1: amd64 i386

提醒2：Debian 9  操作系统上面没有 ifconfig （查看网卡会用到）文件，
net-tools 已经被 iproute2 取代，可以用命令 ip a 查看网卡，

在线安装net-tools软件包（含 ifconfig）：

# apt-get install net-tools

也可以从 Debian 8 操作系统上面拷贝（复制）一个 ifconfig，放在 /bin/路径内即可，

提醒3：Debian 9  操作系统上面没有 nslookup（查看 DNS 会用到）文件，
在线安装 dnsutils 软件包（含 nslookup）：

# apt-get install dnsutils

Debian 8，（官方支持 2015年5月～2020年5月）官方下载，
Debian 各种旧版本，官方下载地址，
https://cdimage.debian.org/cdimage/archive/

Debian 9 和 Debian 8 最明显的区别是对网卡名字的定义有所不同，
Debian 8 的网卡名字都是 eth0， eth1， wlan0， wlan1， wlan2，等等，
Debian 9 的网卡名字不确定，因网卡硬件不同而不同，比如 enp2s0，wlp3s0，eno1，wlo1，等等，
       

Debian 10 设置个人桌面防火墙 iptables / ip6tables 规则，（方法之一），

[jingyue]

Debian 手动加载缺失的固件问题，参考以下官方网页就可以完全解决：
 

    https://www.debian.org/releases/stable/i386/ch02s02.html.zh-cn
     
     2.2. 需要固件的设备

    根据 Debian GNU/Linux 项目的标准，大多数情况下这些固件属于 non-free，不能被包含在主发行版或安装系统里面。如果设备驱动程序被包含到发行版里面，并且 Debian GNU/Linux 可以合法地发布固件，它通常被单独地放置在仓库的 non-free 区里面。

    然而，这并不意味着该硬件不能在安装时使用。从 Debian GNU/Linux 5.0 开始，debian-installer 支持从可移动的介质，比如 U 盘，加载固件或包含固件的软件包。参阅 第 6.4 节 “加载缺失的固件” 了解如何在安装时加载固件文件或软件包的的详细信息。

    https://www.debian.org/releases/stable/i386/ch06s04.html.zh-cn
     
     6.4. 加载缺失的固件

    如果没有设备驱动程序所需的固件，debian-installer 将显示对话框要求加载缺失的固件。假如选取了选项，debian-installer 将扫描现有设备松散的固件文件或包含固件的软件包。如果搜索到，固件会被复制到正确的位置 (/lib/firmware)，然后加载驱动程序模块。
    [注意]
    在安装的早期阶段，从 FAT 格式的 U 盘加载固件更容易成功。

     6.4.1. 准备介质

    官方的 CD 映像不含商用的固件。这些固件通常是从移动介质，比如 U 盘来加载。
    制作这种 U 盘时，固件文件或软件包必须放置在文件系统的根目录或者名为 /firmware 的目录下。推荐使用 FAT 文件系统，因为在安装过程的早期阶段它肯定能被支持。

    大多数固件的压缩包和 zip 文件可以从这里获得：

        http://cdimage.debian.org/cdimage/unofficial/non-free/firmware/

    下载对应版本的压缩包或 zip 文件，然后解压到介质的文件系统里面。

    如果您需要的固件没有包含在压缩包里面，可以从档案库(non-free 部分)下载特定的固件。以下概要列出大多数固件软件包，但不保证完整，有些还是非固件软件包：

        http://packages.debian.org/search?keywords=firmware

    也可以复制单独的固件文件到介质。要求不严的固件还可以从已经安装的系统或硬件制造商那里获得。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

https://blog.einval.com/2022/04/19#firmware-what-do-we-do

2022 年 4 月 19 日，星期二

固件 - 我们将如何处理它？

TL；DR：Debian 中的固件支持很糟糕，我们需要改变它。请参阅下面的“我的偏好和理由”部分。

在我看来，我们在 Debian 中处理（非免费）固件的方式是一团糟，这每天都在伤害我们的许多用户。很长一段时间以来，我们一直假装不需要在 Debian 系统上支持和包含（非免费）固件。我们不想向我们的用户提供（非免费）固件，在理想的世界中我们不需要。然而，当试图支持许多常见的当前硬件时，它显然不再是一条明智的道路。

背景 - 为什么（非免费）固件成为问题？

固件是旨在使硬件设备工作的低级软件。固件与硬件紧密耦合，暴露其功能，为其他软件提供更高级别的功能和接口。由于各种原因，它通常不是自由软件。

出于 Debian 的目的，我们通常通过考虑代码的执行位置（它是否在单独的处理器上运行？它对主机操作系统可见？）将固件与软件分开，但它可以是在这里很难定义一条可靠的分界线。以 Intel/AMD CPU 微码包或 U-Boot 固件包为例。

过去，所有必要的固件通常会由其供应商直接包含在设备/扩展卡中。然而，随着时间的推移，设备制造商在所有设备上不包含完整固件变得越来越有吸引力（因此也越来越普遍）。相反，一些设备只是嵌入了一组非常简单的固件，允许将更完整的固件“blob”上传到内存中。然后，设备驱动程序应在设备初始化期间提供该 blob。

此更改有几个关键驱动程序：

成本：在设备上安装较小的闪存（或根本没有闪存）通常更便宜。在许多情况下，成本差异可能看起来很小，但即使将材料清单 (BOM) 减少几美分，也会对产品的经济性产生重大影响。对于大多数供应商来说，无论如何他们都必须实现设备驱动程序，并且在该驱动程序中包含固件并不难。

灵活性：通过简单地更改为不同的 blob 来更改设备的行为要容易得多。这可能涵盖许多不同的用例：

分离制造中硬件和软件的截止日期（驱动程序和固件可以稍后编写和交付）；

错误修复和安全更新（例如 CPU 微码更改）；

为不同的用户或产品更改设备的配置（例如，可能使用不同的固件以在无线电产品上启用不同的频率）；

更改基本设备操作（例如，在磁盘控制器上的 RAID 和 JBOD 功能之间切换）。

由于这些原因，典型计算机中越来越多的设备现在需要在运行时上传固件才能正常运行。这种情况已经发展：

回溯 10 年左右，大多数计算机只需要上传固件即可使 WiFi 硬件正常工作。

现在越来越多的有线网络适配器需要固件上传。有些将以有限的方式工作，但依赖于额外的固件来允许 TCP 分段卸载 (TSO) 等高级功能。其他人将拒绝在没有固件上传的情况下工作。

现在越来越多的图形适配器也希望固件上传以提供任何非基本功能。如今，对于大多数用户来说，一个简单的基本 (S)VGA 兼容帧缓冲区是不够的；现代台式机期望 3D 加速，如果没有额外的固件，许多当前的硬件将无法提供。

当前几代基于 Intel 的普通笔记本电脑也需要上传固件才能使音频正常工作（请参阅固件签名包）。

需要任何固件 blob。无法使用 WiFi 可能很不方便，但大多数笔记本电脑都有有线以太网。安装后始终可以启用和配置 WiFi。

如今，拥有来自大多数供应商的新笔记本电脑的用户将很难通过我们的无固件 Debian 安装介质使用它。现代笔记本电脑现在通常不配备有线以太网。笔记本电脑的屏幕上不会有任何可用的图形。视障用户不会收到任何音频提示。无论如何，这些经历都是不可接受的。今天仍有一​​些新电脑可供购买，它们不需要上传固件，但它们越来越不常见。

Debian 中固件的当前状态

为了清楚起见：显然并非所有设备都需要像这样上传额外的固件。有许多设备依赖于固件进行操作，但在正常情况下我们永远不必考虑它们。该代码不太可能是自由软件，但我们在 Debian 中不必花费时间在这上面，因为我们自己并没有分发该代码。当我们的用户需要额外的固件来使他们的计算机正常工作时，我们的问题就出现了，他们需要/期望我们提供它。

我们在 Debian main 中包含一小组免费固件二进制文件，这些文件包含在我们的安装和实时媒体中。这很棒——我们都喜欢免费软件，而且这很有效。

但是，还有更多的固件二进制文件不是免费的。如果我们能够合法地重新分发这些二进制文件，我们会将它们打包并将它们包含在存档的非免费部分中。作为自由软件开发者，我们不喜欢为我们的用户提供或支持非自由软件，但我们承认这有时对他们来说是必要的。这种张力在 Debian 自由软件指南中得到承认。

这种张力延伸到我们的安装和实时媒体。由于 non-free 官方不认为是 Debian 的一部分，我们的官方媒体不能包含来自 non-free 的任何内容。这是多年来深思熟虑的政策。相反，一段时间以来，我们一直在构建一组有限的并行“非官方非免费”镜像，其中包括非免费固件。这些非免费图像是由我们用于官方图像的同一软件和同一团队制作的。

这里有许多问题让开发人员和用户不满意：

1.构建、测试和发布两组图像需要更多时间努力。

2.从哲学的角度来看，我们根本不想提供非免费图像。所以我们主要宣传和宣传首选的官方免费图片。这可能会导致用户感到困惑。我们确实链接到各个地方的非免费图像，但它们并不那么容易找到。

3.使用非自由安装介质会导致更多安装默认使用非自由软件。这对我们来说不是一个好故事，我们最终可能会有更多的用户使用非自由软件并相信这都是 Debian 的一部分。

4.一些用户和开发者抱怨我们发布官方图片是在浪费他们的时间，这些图片对很多（大多数？）用户没有用处。我们应该做得比这更好。

选项

现状是一团糟，我相信我们可以而且应该做不同的事情。

我看到图像团队可以从这里选择几个可能的选项。然而，其中一些选项可能会破坏 Debian 的原则。如果没有更广泛项目的明确支持，我们不想做出这样的根本性改变。这就是我写这篇文章的原因......

1.保留现有设置。这很可怕，但也许这是我们能做的最好的？ （我希望不会！）

2.我们可以完全停止提供非免费的非官方图像。这并不是一条真正有前途的路线——我们会让用户更难安装我们的软件。虽然意识形态纯正，但它不会推动自由软件的事业。

3.我们可以停止假装非免费图片是非官方的，也许将它们与普通免费图片一起移动，以便一起发布。这将使需要它们的人更容易找到它们，但可能会导致用户质疑为什么我们仍然制作任何没有固件的图像，如果它们在其他方面是相同的。

4.从技术上讲，图像团队可以简单地将非免费包含到官方图像中，并将固件包添加到这些图像的输入列表中。但是，这仍然会给我们留下上面的问题 3（在大多数安装中通常启用非免费）。

5.我们可以将非免费固件包拆分为存档中的一个新的非免费固件组件，并允许特定例外情况仅允许将这些包包含在我们的官方媒体上。然后我们将只生成一组官方媒体，包括那些非免费固件包。

 （近年来，我们已经看到各种建议将存档的非免费组件像这样拆分，例如分成非免费固件、非免费文档、非免费驱动程序等。不同意（自行车脱落？）关于分裂导致我们在这方面没有任何进展。我相信这个项目应该被拾起并完成。我们不必立即在这里做出完美的解决方案，只要一些对我们来说足够好的东西今天需要。如果需要，我们总是可以逐步调整和改进设置。）

在我看来，这些是最有可能的选择。如果您有更好的建议，请告诉我们！我想将这组选项带到 GR，并尽快完成。我想从更广泛的 Debian 项目中获得关于如何组织固件和安装映像的明确决定。如果我们最终改变了我们做事的方式，我希望项目有明确的授权来做到这一点。

我的偏好和理由

主要是，我想看看整个项目在这里的感受——这是一个我们迟早要解决的大问题。

我会选择做什么？我个人的偏好是选择选项 5：将非免费固件拆分为一个特殊的新组件，并将其包含在官方媒体上。

这会让我卖光吗？我不这么认为。在我大半辈子的时间里，我一直在热情地支持和开发自由软件。我在这里的理念没有改变。然而，这是一个复杂而微妙的情况。我坚信与我们的用户分享软件自由伴随着让我们的软件变得有用的责任。如果用户不能轻松安装和使用 Debian，那对任何人都没有帮助。

通过在这里拆分，我们将允许用户在他们的硬件上安装和使用 Debian，而无需推广/推送更高级别的非自由软件。我认为这是一个合理的妥协。这只是承认多年来硬件要求不断变化的一种变化。

进一步的工作

如果我们确实选择了选项 5 中的更改，我们可以在这里做其他事情来更好地控制和了解有关非自由固件的信息：

1,除了将非自由固件添加到媒体上，当安装程序（或实时图像）运行时，我们应该明确使用/安装了哪些固件包来支持检测到的硬件。我们可以链接到每个文档，也可以链接到致力于免费重新实现的项目。

2,在启动时添加一个选项以明确禁用非免费固件包的使用，以便用户可以选择避免使用它们。

致谢

感谢查看本文档早期版本和/或提出改进建议的人，特别是：

Cyril Brulebois
马修·加勒特
David Leggett
 Martin Michlmayr
 安迪·辛普金斯
尼尔·威廉姆斯

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

[jingyue]

关于 Debian 固件，——————》各种有线和无线网卡驱动，各种显卡驱动，官方下载，

属于 non-free 的那些固件，主页，（免费下载，免费使用，）

https://cdimage.debian.org/cdimage/unofficial/non-free/firmware/


Debian 11
https://cdimage.debian.org/cdimage/unofficial/non-free/firmware/bullseye/
https://cdimage.debian.org/cdimage/unofficial/non-free/firmware/bullseye/current/

Debian 10
https://cdimage.debian.org/cdimage/unofficial/non-free/firmware/buster/
https://cdimage.debian.org/cdimage/unofficial/non-free/firmware/buster/current/

Debian 9
http://cdimage.debian.org/cdimage/unofficial/non-free/firmware/stretch/
http://cdimage.debian.org/cdimage/unofficial/non-free/firmware/stretch/current/

Debian 8
http://cdimage.debian.org/cdimage/unofficial/non-free/firmware/jessie/
http://cdimage.debian.org/cdimage/unofficial/non-free/firmware/jessie/current/


搜索其它固件或软件包

https://packages.debian.org/search?keywords=firmware

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

下载对应版本的压缩包或 zip 文件，然后解压到一个 FAT32 格式的 U 盘里面，备用，（必备）

在安装 Debian 操作系统过程中，DVD 安装光盘会自动检测网卡驱动，如果缺少某个网卡驱动的固件，就会跳出一个对话框，这个时候插入 U 盘，然后确认，系统就会自动从 U 盘里找到相应的固件并自动安装，

Debian 各种桌面环境 ( 含 non-free 固件 ) 的 Live-CD 光盘镜像下载地址，

[jingyue]

FreeBSD，

杀毒软件：clamtk，解决clamtk中文界面乱码问题：暂时可使用英文界面，

# rm -r /usr/local/share/locale/zh_CN/LC_MESSAGES/clamtk.mo

PDF 文档浏览工具：okular，
磁盘文件分布统计管理工具：filelight，

windows 模拟器： playonbsd ( 可以安装游戏 ,安装微软的 office 2003 /  office 2007  等等 )

虚拟机软件：virtualbox，
光盘编辑软件：isomaster，
光盘刻录软件：xfburn，

[jingyue]

UNIX 防火墙应用实例：（IPFW 防火墙规则），

IPFW 防火墙过滤规则（白名单模式），有防止 IP 地址欺骗功能，有过滤碎片攻击和 RST 攻击功能，适用于个人桌面电脑，支持 IPv4 / IPv6，
可应用于 FreeBSD，苹果电脑操作系统 Mac OS X，
   

    # ipfw list
    00100 allow ip from 127.0.0.0/8 to 127.0.0.0/8 via lo0
    00200 allow ip6 from ::1 to ::1 via lo0
    00300 deny ip from any to 127.0.0.0/8
    00400 deny ip6 from any to ::1
    00500 deny ip from 127.0.0.0/8 to any
    00600 deny ip6 from ::1 to any
    00700 deny tcp from any to any frag
    00800 deny ip from any to any not antispoof in
    00900 deny tcp from any to me tcpflags rst in
    01000 deny tcp from any to me6 tcpflags rst in
    01100 check-state
    01200 deny icmp from any to me in
    01300 deny ipv6-icmp from any to me6 in
    01400 deny tcp from any to me setup
    01500 deny tcp from any to me6 setup
    01600 deny tcp from any to any established
    01700 allow tcp from me to any setup keep-state :default
    01800 allow tcp from me6 to any setup keep-state :default
    01900 deny tcp from any to any
    02000 allow udp from me to any keep-state :default
    02100 allow udp from me6 to any keep-state :default
    02200 deny udp from any to any
    02300 allow ip from me to any out keep-state :default
    02400 allow ip6 from me6 to any out keep-state :default
    02500 allow icmp from me to any keep-state :default
    02600 allow ipv6-icmp from me6 to any keep-state :default
    02700 deny icmp from any to any
    02800 deny ipv6-icmp from any to any
    02900 deny log ip from any to any
    65535 allow ip from any to any

仅供参考

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

FreeBSD 12.0 防火墙 ipfw，

rc.conf（局部）

firewall_enable="YES"      # Set to YES to enable firewall functionality
firewall_script="/etc/rc.firewall" # Which script to run to set up the firewall
firewall_type="workstation"      # Firewall type (see /etc/rc.firewall)

添加执行权限，

# chmod +x /etc/rc.firewall

终端命令临时添加两条阻止 RST 攻击的规则，（firewall_type="workstation"）

# ipfw add 510 drop tcp from any to me tcpflags rst in
# ipfw add 520 drop tcp from any to me6 tcpflags rst in

[jingyue]

FreeBSD 11.0-RELEASE security update:

# freebsd-update fetch

# freebsd-update install

$ freebsd-version
11.0-RELEASE-p12

FreeBSD 11.0-RELEASE package update:

# pkg update

# pkg upgrade

$ freebsd-version
11.0-RELEASE-p12

$ wine --version
wine-2.0.1

[jingyue]

 FreeBSD 11.0-RELEASE upgrade to FreeBSD 11.1-RELEASE:

( 1 )

# freebsd-update -r 11.1-RELEASE upgrade

# y

# q

# freebsd-update install

# reboot

( 2 )

# freebsd-version
11.0-RELEASE-p12

# freebsd-update install

# freebsd-version
11.1-RELEASE-p1

[jingyue]

网络防火墙，Linux Firewall，
《 Linux 防火墙 》—— iptables（支持 IPv4），ip6tables（支持 IPv6），

iptables 防火墙规则，应用实例，（白名单模式），可过滤 RST 数据包攻击，适用于个人桌面电脑，支持 IPv4，
ip6tables 防火墙规则，应用实例，（白名单模式），可过滤 RST 数据包攻击，适用于个人桌面电脑，支持 IPv6，

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

run macOS software on Linux

https://www.darlinghq.org/
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Run Android applications on any GNU/Linux operating system.

https://anbox.io/

https://docs.anbox.io/userguide/install.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


关于（有图形界面的）防火墙工具：ufw <—— gufw，  firewalld <—— firewall-config

Gufw, a graphical front-end for ufw, and firewalld's graphical front-end which is called firewall-config.

* * * * *

Blocking-everyone asks: UFW is preferred by some distros and firewalld by others. How do they compare and what do you recommend?

When it comes to working with firewalls, something to keep in mind is that there are layers of tools involved. At the bottom layer we find cryptic, complicated, low-level utilities that are accessed via the command line and used to set up rules for how network traffic moves in and our of our computer. These low level tools are called iptables and nftables. Most people don't need to know anything about these low-level, cryptic utilities. If anything, it might be worth being aware that nftables is the successor to iptables and will probably gradually replace it in most situations.

Next we have the middle-level tools. These are command line programs which are designed to make working with iptables and nftables easier. Probably the best known mid-level utility is ufw, the uncomplicated firewall. Tools like ufw exist to translate simple English directives into the more complex, low-level commands used by utilities like iptables.

To understand why these mid-level tools are useful, let's look at an example. Here is how we would block access from any IP address to the OpenSSH service (on port 22) using iptables:

    iptables -A INPUT -p tcp -s 0/0 -d 0/0 --dport 22 -j DROP
    iptables-save -c > /etc/sysconfig/iptables

Now here is the same instruction using ufw:

    ufw deny 22

As you can see, the latter is a lot easier to read and much shorter to type. These two commands accomplish the same thing, but ufw acts as a friendly front-end to the experience. The firewalld equivalent is somewhere in between the two extremes:

    firewall-cmd --remove-port=22/tcp
    firewall-cmd --runtime-to-permanent

Of course, many people don't want to use the command line at all. They want to use a desktop application that makes the process point-n-click. For people who want to have a big picture, point-n-click experience and not mess about with the command line there is a third layer of utilities. These include tools like Gufw, a graphical front-end for ufw, and firewalld's graphical front-end which is called firewall-config.

These utilities are just attractive tools on top of the previous two layers which make managing the firewall an easier experience. The underlying tools are still nftables and iptables. I feel this is important because, in one sense, it doesn't matter which command line or desktop application you use to manage the firewall; underneath they use the same low-level technologies.

What does matter is your personal preference as to which command line (or graphical) utility you find the most convenient. The firewalld utility (both the command line version and the desktop application) have well deserved reputations for being flexible, powerful, and commonly deployed in business environments. You'll find enterprise distributions such as Red Hat Enterprise Linux typically deploy firewalld. On the other hand, firewall tools like ufw and Gufw are praised for their simplicity and ease of use. It's hard to find a more straight forward way to set up a simple firewall than ufw which is why it tends to be popular in desktop-oriented projects such as Ubuntu and Linux Mint

In short, if you're looking to get into being a professional system administrator then firewalld and its companion firewall-config are good tools to learn. However, if you're looking for something simple, maybe something for home or a small office, then you'll be well served by ufw and its Gufw desktop companion.

* * * * *

原文链接 https://distrowatch.com/weekly.php?issue=20221024#qa

[jingyue]

Linux 防火墙应用：过滤入站 RST 数据包，

Linux 操作系统，root 权限下，在 [ 终端 ] 内执行下面这个命令，可临时添加一条屏蔽 RST 攻击的防火墙规则，

iptables（支持 IPv4）

iptables -I INPUT 1 ! -i lo -p tcp --tcp-flags RST RST -j DROP

ip6tables（支持 IPv6）

ip6tables -I INPUT 1 ! -i lo -p tcp --tcp-flags RST RST -j DROP

操作系统重启之后，临时添加的那一条规则即会消失，


实际应用：

使用 ubuntu 18.04 操作系统，启用了 ufw 防火墙默认规则，用自由门翻墙时打开网页速度很慢，几十秒才能打开一个完整的网页，
从 [ 终端 ] 临时添加一条过滤规则之后，打开网页速度非常快，几乎1秒就打开，

sudo iptables -I INPUT 1 ! -i lo -p tcp --tcp-flags RST RST -j DROP

在局域网使用 Debian 9 操作系统，防火墙 ufw 启用默认规则，
自由门7.64版，成功连接7个服务器，端口:8580, 通道(A)
用自由门翻墙时打开网页速度很慢，几十秒才能打开一个完整的网页，
root 权限下，从 [ 终端 ] 临时添加下面这条过滤规则之后，打开网页速度非常快，几乎1秒就打开，
翻墙浏览网页非常流畅，

iptables -I INPUT 1 ! -i lo -p tcp --tcp-flags RST RST -j DROP

[jingyue]

TrueOS 可以使用 ZFS 文件系统在不到一秒的时间内备份​​或恢复快照，

ZFS是一个写时复制（CoW）文件系统，在写入数据和验证数据完整性之前，不会移动数据块。这与目前使用的大多数其他文件系统非常不同。 ZFS能够通过自动比较写入校验和来保证数据在写入之间保持一致，从而减轻位错误。 ZFS还带有原生RaidZ功能，可以实现企业数据管理和冗余，而不需要昂贵的传统RAID卡。 ZFS快照允许在瞬间的系统配置备份。你读得对。 TrueOS可以使用ZFS文件系统在不到一秒的时间内备份​​或恢复快照。

ZFS为TrueOS用户提供了他们想要的稳定的工作站体验，同时能够满足企业存储市场不断增长的需求。 TrueOS用户经常评论使用我们的内置快照实用程序来使用ZFS快照是多么容易。

[jingyue]

Debian 生态系统与 FreeBSD 生态系统在软件包维护方面的差异，（杰西·史密斯），

（杰西·史密斯），我花了大约相同的时间在Debian和FreeBSD社区，我认为虽然两者都是世界级的，稳定的操作系统，但FreeBSD团队已经找到了一种更好的方式来鼓励衍生项目将其作品提交给父项目操作系统。我认为，如果从下游发行软件到上游软件更容易获得软件，Debian和基于Debian的发行版将会受益匪浅。即使只是进入半官方，社区维护的资料库类似于用户资源库。开发人员在基于Debian的项目上做了很多很好的工作，用户从其他基于Debian的发行版中获取软件包应该会更容易，因此他们不需要切换发行版或编译自己的软件包就可以获得所需的功能。

[jingyue]

Debian 9 各种桌面环境 ( 含 non-free 固件 ) 的 Live-CD 光盘镜像下载地址，和使用方法，

[jingyue]

Debian 与 openSUSE 的生命周期，life cycle，Lifetime，

       Debian 7（wheezy），（2013 年 5 月 4 日 —— 2018 年 5 月 31 日）
       Debian 8（jessie），（2015 年 4 月 25 日 —— 2020 年 6 月 30 日）
       Debian 9（stretch），（2017 年 6 月 17 日 —— 2022 年 6 月 30 日）
       Debian 10（buster），（2019 年 7 月 6 日 ——  2024 年 7 月 31 日）
       Debian 11（Bullseye），（2021 年 8 月 14 日 ——  2026 年 8 月 31 日）
       Debian 12（ bookworm ），（2023 年 6 月 11 日 ——  2028 年 6 月 30 日）

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

       openSUSE Leap 15.2 （2020年07月03日 ——> 2022年1月xx日）

        openSUSE Leap 15.3，15.4，15.5， 防火墙有严重 bug，用户的防火墙完全失效，允许外部发起的入站连接，，

Security and Maintenance

Minor versions of the Leap 15 series have about an 18-month life cycle of maintenance and security as minor releases come roughly once a year. Users of openSUSE Leap, 15.0, which was released on May 25, 2018, should upgrade to Leap 15.1 within the next 6 months. The 15 series of Leap is expected to achieve an estimated 36 months of maintenance and security updates.

原文链接 https://news.opensuse.org/2019/05/22/opensuse-community-releases-leap-15-1-version/

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Debian 8 Long Term Support reaching end-of-life

https://www.debian.org/News/2020/20200709

[jingyue]

原文链接 https://tails.boum.org/support/faq/index.en.html#index3h2

以下为谷歌自动网页翻译，仅供参考，详见英文网页，

为什么Tails基于Debian而不是另一个发行版？

我们深深植根于Debian。我们在Debian中的友谊，关系和技术专长对于Tails有很多好处，我们还没有准备好与Ubuntu，OpenBSD或任何其他发行版建立同样的关系。有关细节，请参阅我们与上游关系的 声明。

另请参见文章为什么 Stefano Zacchiroli 有这么多Debian衍生物。


为什么不是基于Ubuntu的Tails？
首先，看一下上一个问题的答案。

Ubuntu的快速开发周期对于Tails来说太快了。
Ubuntu增加了我们发现隐私危险的方式。例如Ubuntu One（部分停产）和Amazon广告和数据泄漏。
Ubuntu由一家公司领导，该公司承担了大部分重要决定，并有能力使其发生。
我们通常从Debian的后台运送内核和视频驱动程序。结果与Ubuntu相比，支持最近的硬件。
我们认为，从安全角度来看，整套维修工作的总体质量都是重要的。Debian维护者一般是他们的包裹处理领域的专家; 而Ubuntu官方支持的数量有限的一般情况并非如此。
我们正在积极致力于改进 AppArmor在Tails中的支持 ; 一个已经在几个Ubuntu应用程序中使用的安全框架。
我们也正在努力将编译器加固选项添加到更多的包含在Tails中的Debian软件包中; Ubuntu已经提供的另一个安全功能。

原文（英文）链接 https://www.gnu.org/philosophy/ubuntu-spyware.html

以下为谷歌浏览器的自动网页翻译，仅供参考，

Ubuntu间谍软件：该怎么办？

由理查德·斯托曼（Richard Stallman）

由于Ubuntu 16.04版本，默认情况下，间谍软件搜索功能已被禁用。看来本文推出的压力运动部分成功。尽管如此，提供间谍软件搜索工具仍然是一个问题，如下所述。Ubuntu应该使网络搜索命令用户可以不时执行，而不是半永久选项，供用户启用（也可能忘记）。

即使本页其余部分描述的事实情况有所改变，页面仍然很重要。这个例子应该教会我们的社区不要再这样做了，但为了这样做，我们必须继续谈论。

免费软件的主要优点之一是社区保护用户免受恶意软件的侵扰。现在Ubuntu GNU / Linux已经成为一个反例。我们应该做什么？

专有软件与用户的恶意处理相关联：监控代码，数字手铐（DRM或数字限制管理）来限制用户，以及可以在远程控制下进行恶作剧的后门。执行任何这些操作的程序是恶意软件，应该被视为这样。广泛使用的示例包括Windows，iThings和Amazon“Kindle”产品，用于虚拟书籍刻录，它们都是三个; Macintosh和Playstation III，施加DRM; 大多数便携式手机，其间谍和后门; Adobe Flash Player，它监视和执行DRM; 以及许多适用于iThings和Android的应用程序，这些应用程序犯有一个或多个这些令人讨厌的做法。

免费软件为用户提供了保护自己免受恶意软件行为的机会。更好的是，通常社区保护每个人，大多数用户不必动摇肌肉。就是这样。

一段时间以来，知道编程的用户发现一个免费的程序有恶意代码。一般来说，他们接下来要做的是发布一个修正版本的程序; 有四种定义自由软件的自由（见http://www.gnu.org/philosophy/free-sw.html），他们可以自由地做到这一点。这被称为程序的“fork”。很快社区切换到更正的fork，恶意版本被拒绝。可耻的拒绝的前景不是很诱人; 因此，大多数时候，即使那些不被其良心和社会压力阻挡的人，也不要将自己的恶意软件置于自由软件中。

但不总是。Ubuntu是一个广泛使用和有影响力的GNU / Linux发行 版，已经安装了监控代码。当用户使用Ubuntu桌面搜索自己的本地文件以获取字符串时，Ubuntu会将该字符串发送到Canonical的服务器之一。（Canonical是开发Ubuntu的公司）

这就像我在Windows中学到的第一个监视实践。我的朋友弗拉维亚告诉我，当他在Windows系统的文件中搜索一个字符串时，它发送一个数据包到一个服务器，这是由他的防火墙检测到的。鉴于第一个例子，我注意到了解“声誉”专有软件是恶意软件的倾向。也许这不是巧合，Ubuntu发送相同的信息。

Ubuntu使用关于搜索的信息来显示用户的广告，从Amazon购买各种东西。 亚马逊犯了很多错误 ; 通过推广亚马逊，Canonical对他们做出了贡献。不过，广告不是问题的核心。主要的问题是间谍。Canonical表示，它并没有告诉亚马逊谁搜索了什么。不过，对于Canonical来说，收集您的个人信息一样糟糕，因为亚马逊会收集您的个人信息。Ubuntu监控不是匿名的。

人们一定会做一个修改版的Ubuntu没有这个监视。事实上，几个GNU / Linux发行版是Ubuntu的修改版本。当这些更新到最新的Ubuntu作为基础，我希望他们会删除这个。Canonical也肯定也期待。

大多数免费软件开发人员将放弃这样的计划，因为有可能大量切换到别人的更正版本。但Canonical并没有放弃Ubuntu间谍软件。也许Canonical的数据显示，“Ubuntu”这个名字具有如此大的动力和影响力，可以避免常见的后果，避免监视。

Canonical表示，此功能以其他方式在互联网上进行搜索。根据细节，这可能或可能不会使问题更大，但不能更小。

Ubuntu允许用户切换监控。很明显，Canonical认为许多Ubuntu用户将把这个设置保持在默认状态（on）。许多人可能会这样做，因为他们不会试图做任何事情。因此，该开关的存在不能使监视功能正常。

即使是默认禁用，该功能仍然是危险的：“一劳永逸地选择一个”风险实践，风险因细节而异，请不小心。为了保护用户的隐私，系统应该谨慎谨慎：当本地搜索程序具有网络搜索功能时，应由用户每次明确选择网络搜索。这很简单：所有它需要具有单独的按钮用于网络搜索和本地搜索，如早期版本的Ubuntu。网络搜索功能还应该清楚具体地告知用户谁将获得她的个人信息，以及何时使用该功能。

如果我们社区的意见领袖的足够部分仅以个人名义看待这个问题，如果他们自己切换监控并继续推广Ubuntu，Canonical可能会放弃。这将对自由软件社区造成巨大损失。

提供免费软件作为防御恶意软件的我们不说这是一个完美的防御。没有完美的防守是已知的。我们不说，社区将阻止恶意软件没有失败。因此，严格来说，Ubuntu的间谍软件示例并不意味着我们必须吃掉我们的话。

但是，这里有更多的关键在于我们中有些人是否要吃点话。我们的社区是否可以有效地使用基于专有间谍软件的论据。如果我们只能说，“免费的软件不会对你进行监视，除非是Ubuntu，”这不如说自由软件不会对你有任何意见。“

我们应该给Canonical做任何阻挠，以阻止它。任何借口Canonical报价不足; 即使它使用从亚马逊获得的所有资金开发免费软件，如果它不再提供有效的方式来避免滥用用户，那么几乎无法克服自由软件将会丢失的东西。

如果您推荐或重新分发GNU / Linux，请从您推荐或重新分发的发行版中删除Ubuntu。如果安装和推荐非自由软件的做法并不说服你停下来，让它说服你。在您的安装过程中，在您的软件自由日活动中，在您的FLISOL活动中，请勿安装或推荐Ubuntu。相反，告诉人们，Ubuntu对于间谍而言不屑一顾。

当你在这里，你也可以告诉他们，Ubuntu包含非免费程序，并建议其他非自由程序。（请参阅 http://www.gnu.org/distros/common-distros.html。）这将抵消Ubuntu在自由软件社区发挥的其他形式的负面影响：使非自由软件合法化。

在Ubuntu中存在非自由软件是一个单独的伦理问题。对于Ubuntu是符合道德的，那也是必须解决的。

关于 ubuntu 的安全提醒：

18.04 收集和使用电脑用户信息，
18.04 的 Snap 仓库被发现混入恶意软件，
PPA 软件源存在安全风险，

1），Ubuntu 只对官方支持的有限数量的软件包进行安全维护，

Ubuntu adds features in ways that we find dangerous for privacy. For example Ubuntu One (partly discontinued) and the Amazon ads and data leaks.

We think that the general quality of the maintenance work being done on packages matters from a security perspective. Debian maintainers generally are experts in the fields their packages deal with; while it is generally not the case outside of the limited number of packages Ubuntu officially supports .

[谷歌翻译]
Ubuntu 以我们认为对隐私有危险的方式添加功能。例如 Ubuntu One（部分停产）以及亚马逊广告和数据泄露。

我们认为从安全角度来看，在包装上进行维护工作的总体质量至关重要。 Debian 维护者通常是他们软件包处理领域的专家。而 Ubuntu 官方支持的有限数量的软件包通常不是这种情况。

参考来源：
https://tails.boum.org/support/faq/index.en.html#index3h2

But not always. Ubuntu, a widely used and influential GNU/Linux distribution, has installed surveillance code. When the user searches her own local files for a string using the Ubuntu desktop, Ubuntu sends that string to one of Canonical's servers. (Canonical is the company that develops Ubuntu.)

Ubuntu uses the information about searches to show the user ads to buy various things from Amazon.

Even if it were disabled by default, the feature would still be dangerous.

[谷歌翻译]
但不总是。 Ubuntu，一个广泛使用和有影响力的 GNU / Linux 发行版，已经安装了监控代码。当用户使用 Ubuntu 桌面搜索自己的本地文件以获取字符串时，Ubuntu 会将该字符串发送给 Canonical 的其中一个服务器。 （Canonical 是开发 Ubuntu 的公司。）

Ubuntu 使用关于搜索的信息来显示用户广告，以从亚马逊购买各种东西。

即使它被默认禁用，该功能仍然是危险的。

参考来源：
http://distrowatch.com/weekly.php?issue=20151214#news
https://www.gnu.org/philosophy/ubuntu-spyware.html
https://www.fsf.org/blogs/rms/ubuntu-spyware-what-to-do


2），ubuntu 18.04 LTS  ( GNOME 3.28.1桌面) 发行说明（摘要）

官方链接
https://lists.ubuntu.com/archives/ubuntu-announce/2018-April/000231.html

The Ubuntu team is very pleased to announce our seventh long-term support
release, Ubuntu 18.04 LTS for Desktop, Server, Cloud, and Core.

Maintenance updates will be provided for 5 years for Ubuntu Desktop,
Ubuntu Server, Ubuntu Cloud, and Ubuntu Core. Ubuntu Studio will be
supported for 9 months. All the remaining flavours will be supported
for 3 years.

3），新闻：ubuntu 18.04 的 Snap 仓库被发现混入恶意软件， Canonical 公司已经从 Snap 仓库清除，

News: Canonical purges malware from Snap repository
新闻：Canonical 公司从 Snap 仓库清除恶意软件

A collection of Snap packages have been identified which contain a hidden, cryptocurrency miner. The miner, which was bundled in Snaps such as 2048buntu, would run in the background when a Snap was activated. The Snaps were identified and removed over the weekend. The discovery of the hidden code has raised questions about the verification steps a package needs to go through before being published in the Snapcraft store.

[谷歌翻译]
已经确定了一个 Snap 包的集合，其中包含一个隐藏的加密货币矿工。矿工，这是捆绑在捕捉如 2048buntu，将启动快照时运行在后台。捕捉在周末被识别并移除。隐藏代码的发现提出了一个包在 Snapcraft 商店发布之前需要经过的验证步骤的问题。

原文链接 https://www.distrowatch.com/weekly.php?issue=20180514#news

用户评论：

3 • mining (by Romane on 2018-05-14 02:45:57 GMT from Australia)

If it can be abused, in the current society we can be certain that someones (plural) will deliberately abuse it. Sadly, all this does is place suspicion also upon the honest developers and the honest packages. This issue with Snap packages reminds me of the issue with embedded malware and so on in Windows 3rd party installable applications.

It is all a matter of trust, and when trust is breached, not only the miscreant is affected, but also the genuine contributors to the open-source world. Most users will be like me - no programming skills, unable to audit the code, thus, what the source code will make the application do. It makes me very thankful for all the reliable developers out there who are trustworthy, and whose activities help me to retain at least a reasonable level of trust in what I run.

Once trustworthiness raises it head, regaining full trust is almost impossible - there will always remain some doubt.

But then, I don't use Snap or any of the other current efforts to make packages cross-compatible. But then, Debian (Buster) has pretty well everything I need in its standard repositories.

[谷歌翻译]
3•采矿（由 Romane 于2018-05-14 02:45:57 GMT从澳大利亚）

如果它可以被滥用，在目前的社会中，我们可以确定有人（复数）会故意滥用它。可悲的是，所有这一切都让诚实的开发者和诚实的软件包也受到怀疑。 Snap 包的这个问题让我想起了 Windows 第三方安装应用程序中的嵌入式恶意软件等问题。

这完全是信任的问题，当信任遭到破坏时，不仅歹徒受到影响，而且也是开源世界的真正贡献者。大多数用户会像我一样 - 没有编程技能，无法审计代码，因此，源代码将使应用程序执行哪些操作。这让我非常感谢那些值得信任的可靠开发人员，他们的活动帮助我至少保持我运行的合理信任程度。

一旦可信度提高，重新获得充分信任几乎是不可能的 - 总会有一些疑问。

但是，我没有使用 Snap 或其他任何其他的努力来使软件包交叉兼容。但是，Debian 10 ( Buster ) 在标准存储库中有我需要的一切。

4 • @1 malware (by pengxuin on 2018-05-14 02:46:08 GMT from New Zealand)

I agree entirely, but sadly, not just Snaps or flatpaks.
Unfortunately PPA's are also at risk, by those that would poison the PPA via fair means or foul.
I have heard it rumored that crypto-miners are offering a reward to developers to poison packages for inclusion in distro's official repos, so by extension PPA's.

[谷歌翻译]
4•@ 1恶意软件（来自新西兰，时间2018-05-14 02:46:08，由pengxuin提供）

我完全同意，但可悲的是，不仅仅是快照或平板电脑。
不幸的是，PPA 的风险在于那些会通过公平的手段或犯规毒害 PPA 的人。
我听说有传闻说加密矿工正在向开发者提供奖励，以便将软件包毒化并纳入发行版的官方回购协议，因此推广 PPA。

原文网页链接
https://www.distrowatch.com/weekly.php?issue=20180514#qa

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ubuntu 18.04 ( amd64 ) 代号 bionic，简体中文 GNOME 3.28.1 桌面，生命周期 5 年（ 2018 年 4 月 ～ 2023 年 4 月  ），

在线安装 wine （稳定版）：

# apt-get install wine-stable

查看 wine  版本信息：

~$ wine --version
wine-3.0 (Ubuntu 3.0-1ubuntu1)

卸载 ubuntu-report

# apt purge ubuntu-report

卸载 snapd，

# apt purge snapd

[jingyue]

苹果电脑操作系统 Mac OS X / macOS 的生命周期，

~~~~~~~~~~~~~~~~~~~~~~~~~~_生命周期_~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 Mac 苹果电脑操作系统 OS X 和 macOS 的生命周期为大约 3 年 + 2 个月，

[jingyue]

Live-DVD 光盘镜像，既可以直接安装到电脑硬盘上，也可以用来测试而无需安装，还可以安装在移动 U 盘上使用，

https://cdimage.debian.org/images/unofficial/non-free/images-including-firmware/


～～～～～～～ 以上链接链接已经失效 ～～～～～～～～～～～


UPDATE 10 Jun 2023:

[jingyue]

Debian 13（ bookworm ） 测试版《————（ Debian 13 稳定版预计将于2025年7月正式发布 ）

离线安装版，
Debian 13（ bookworm ） 测试版 https://cdimage.debian.org/cdimage/weekly-builds/amd64/iso-dvd/
Debian 13（ bookworm ） 测试版  https://cdimage.debian.org/cdimage/weekly-builds/amd64/iso-dvd/debian-testing-amd64-DVD-1.iso

网络安装版，
Debian 13（ bookworm ）测试版 https://cdimage.debian.org/cdimage/weekly-builds/amd64/iso-cd/
Debian 13（ bookworm ）测试版 https://cdimage.debian.org/cdimage/weekly-builds/amd64/iso-cd/debian-testing-amd64-netinst.iso

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

查看 debian 版本号，

$ lsb_release -a

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

openSUSE Leap 15.2（ 2020年07月03日 ——> 2022年1月xx日 ）

官方下载链接，
https://download.opensuse.org/distribution/leap/

查看 openSUSE 版本号，

    # cat /etc/os-release

https://download.opensuse.org/distribution/leap/15.2/live/

https://download.opensuse.org/distribution/leap/15.2/live/openSUSE-Leap-15.2-KDE-Live-x86_64-Media.iso
https://download.opensuse.org/distribution/leap/15.2/live/openSUSE-Leap-15.2-GNOME-Live-x86_64-Media.iso

中国大陆国内下载地址：

https://mirrorcache.opensuse.org/distribution/leap/15.2/live/openSUSE-Leap-15.2-KDE-Live-x86_64-Media.iso.mirrorlist

[jingyue]

Mac OS X , macOS ,苹果电脑 Recovery HD 的几个参考链接，

MacBook Pro 机型列表
https://support.apple.com/zh-cn/HT201300

如何通过 macOS 恢复功能重新安装 macOS
https://support.apple.com/zh-cn/HT204904#recovery

How to use macOS Recovery
https://support.apple.com/en-us/HT201314

Create Your Own Mac Recovery HD on Any Drive
https://www.lifewire.com/create-os-x-recovery-hd-on-any-drive-2260909

The OS X Recovery Partition: What It Is, Why It's There and How to Remove It
https://computers.tutsplus.com/tutorials/the-os-x-recovery-partition-what-it-is-why-its-there-and-how-to-remove-it--mac-31796

关键词，Mac OS X ，Recovery HD，

[jingyue]

“Linux Mint Debian Edition”，

LMDE4 (debbie) ，使用了 linuxmint 软件源（ 桌面，网络浏览器 ）和 Debian10 软件源，

注意：

Linuxmint 默认安装了自己打包维护的浏览器 firefox 到用户的操作系统上，一般用户会认为这个火狐浏览器是来自 Debian 软件源，其实不是，

彻底卸载 LMDE4 系统默认安装的 Linux mint 打包维护的（不可信任的） firefox 浏览器，

# apt purge firefox

会同时安装同一版本的 firefox，但这次是从 Debian 的官方软件源下载，


LMDE4 (debbie)，64bit，简体中文 cinnamon 桌面，在线安装红酒（ wine ），

$ sudo dpkg --add-architecture i386 && apt-get update && apt-get install wine32

$ wine --version
wine-4.0 (Debian 4.0-2)

[jingyue]

从系统浏览器 Firefox 默认设置的几个搜索引擎，比较了几个发行版自行编译的 firefox 浏览器对于相关信息泄露的情况，

测试内容：火狐浏览器( firefox )，搜索关键词 777

地址栏显示结果如下：

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Debian10 测试搜索关键词 777 时，地址栏显示，

https://duckduckgo.com/?q=777&t=ffab

https://www.google.com/search?client=firefox-b-e&q=777

客户端使用 firefox  ——》浏览器名字，

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

LMDE4 测试搜索关键词 777 时，地址栏显示，

https://duckduckgo.com/?q=777&t=lm

https://www.google.com/search?q=777

lm ——》发行版 Linux Mint 名字缩写，
Linux Mint 打包维护的 firefox 浏览器可信吗？

####### ####### ####### ####### ####### ####### ####### ####### #######

网络浏览器至关重要，
因为，浏览器知道用户的一切网络行为，你浏览了哪个网页，包括你输入的密码，等等，
浏览器在后台与浏览器开发者 ( 或打包编译者 ) 的服务器即时同步这些数据，还可以及时阻止用户浏览某些( 所谓 )不安全的网站，等等，

收集用户相关信息，————> 用户地理位置，浏览的网站及网页，其它信息，
建立大数据分析系统，————>  推送商业广告，其它用途，

####### ####### ####### ####### ####### ####### ####### ####### #######

Linuxmint 有两个分支，基于 ubuntu 的分支使用了 ubuntu 的软件源，但是 Linuxmint 却默认安装了一个 自己打包编译的浏览器 firefox 到用户的操作系统上，（ 用终端命令升级时，可以看到下载网址 ），
ubuntu 的软件源已经有了一个 火狐浏览器 firefox，为什么要给用户安装 Linuxmint 自己打包的那个呢，无非是获取浏览器控制权，用户信息知情权，

基于 Debian 的分支使用了 Debian 的软件源，同样默认安装了 Linuxmint 自己打包编译的一个 火狐浏览器 firefox 到用户的操作系统上，

彻底卸载 LMDE4 系统默认安装的 Linux mint 打包维护的（不可信任的） firefox 浏览器 ，

# apt purge firefox

会同时安装同一版本的 firefox，但这次是从 Debian 的官方软件源下载，

然后测试，搜索 777 时地址栏的显示如下，

https://duckduckgo.com/?q=777&t=ffab

https://www.google.com/search?client=firefox-b-e&q=777

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ubuntu20.04 测试搜索关键词 777 时，地址栏显示，

https://duckduckgo.com/?q=777&t=canonical

https://www.google.com/search?client=ubuntu&channel=fs&q=777&ie=utf-8&oe=utf-8

canonical ——》ubuntu 商业背景的公司名字，
客户端使用 ubuntu  ——》操作系统名字，
由此可见 canonical 公司打包维护的 firefox 浏览器里面加进了自己的东西，
这个 firefox 浏览器启动时其后台可能与公司联系，
ubuntu 打包维护的 firefox 浏览器还可信吗？

注意：ubuntu20.04 不稳定（ 遇到一台电脑，操作系统安装更新之后黑屏 ），

~$ dmesg
[    0.000000] Linux version 5.4.0-26-generic (buildd@lcy01-amd64-029) (gcc version 9.3.0 (Ubuntu 9.3.0-10ubuntu2)) #30-Ubuntu SMP Mon Apr 20 16:58:30 UTC 2020 (Ubuntu 5.4.0-26.30-generic 5.4.30)
[    0.000000] Command line: BOOT_IMAGE=/boot/xxxxxx-5.4.0-26-generic root=UUID=xxxxxxxxxx ro quiet splash
[    0.000000] KERNEL supported cpus:
[    0.000000]   Intel GenuineIntel
[    0.000000]   AMD AuthenticAMD
[    0.000000]   Hygon HygonGenuine
[    0.000000]   Centaur CentaurHauls
[    0.000000]   zhaoxin   Shanghai 
[    0.000000] Disabled fast string operations

“ zhaoxin   Shanghai ” 兆芯——上海，中国大陆生产的 CPU 处理器，
是否可以认为，ubuntu 已经与中共合作了？
是否可以说，中共已经技术渗透到 ubuntu 的系统内核了？

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

openSUSE leap 15.2 测试搜索关键词 777 时，地址栏显示，

https://duckduckgo.com/?q=777&t=ffab

https://www.google.com/search?client=firefox-b-e&q=777

仅供测试参考，

[jingyue]

FreeBSD 12.1 简体中文 Lumina 1.6.0 桌面，

运行命令 pkg upgrade 升级安装的软件之后，鼠标被冻结，

解决办法如下，

root 权限下，在终端里用 ee 编辑器，打开 /etc/rc.conf  文件，把下面这一行添加到 rc.conf  文件里，

moused_enable="YES"

保存，

参考：

root 权限下，用编辑器 ee 打开 /etc/rc.conf ，把下面这%行用浏览器复制/粘贴到 /etc/rc.conf  文件里面，（配合上下左右箭头）， 然后，同时按住 [control]键 + [c]键，
 输入命令 exit 按回车键，

[jingyue]

下载工具 aria2c 如何设置代理服务器，使用方法，（终端命令），

下载工具 aria2c 如何设置代理服务器，使用方法，（终端命令），

帖子 由 淨樂 » 30 8月 2013

Linux 下的命令行下载工具 aria2c ，支持多线程，支持断点续传，支持本地代理，与破网软件配合可翻墙下载 DVD 光盘镜像大文件，

查看 aria2c 使用方法帮助：

aria2c --help

一，通过本地(127.0.0.1)代理，破网下载，

1，从文件 FILE 里面自动读取链接地址列表，批量下载几百个文件，( 适合于破网下载DVD光盘镜象文件 )：

在< /home/用户名>文件夹里，新建一个文本文件，起个名字叫 FILE，把 n 个文件的IP地址一行一行地写在上面，一共 n 行。

（1），aria2c 用自由门破网批量下载：

aria2c --all-proxy='127.0.0.1:8580' -c --force-sequential=true --parameterized-uri=true --input-file=FILE

（2），aria2c 用无界浏览破网批量下载：

aria2c --all-proxy='127.0.0.1:9666' -c --force-sequential=true --parameterized-uri=true --input-file=FILE

2，aria2c 通过破网软件代理下载单个文件：

（1），aria2c 通过自由门破网下载：

aria2c --all-proxy='127.0.0.1:8580' -c 链接地址1

（2），aria2c 通过无界浏览破网下载：

aria2c --all-proxy='127.0.0.1:9666' -c 链接地址1

二，无代理，直接下载，

1，开16个线程，3 个 ( 可以1个网站，或多个网站，网址，) 下载地址：( 适合于下载 Linux / UNIX 操作系统的 DVD 光盘 ISO 镜象 )，

aria2c --max-connection-per-server=16 --split=16 -c 链接地址1  链接地址2  链接地址3

2，默认5个线程，一个下载地址：

aria2c -c 链接地址

注意：此软件包的名字为 aria2 ，而其命令的名字为 aria2c ，差一个字母 c ，

[jingyue]

aria2c 从文件里自动读取下载链接，批量下载文件

aria2c 从文件里自动读取下载链接，批量下载文件

帖子 由 淨樂 » 11 2月 2012

Linux 命令行下载工具 aria2c 通过自由门代理，自动下载 n 个文件，

1，建立批量下载的地址文件。
火狐浏览器需手动配置代理，获取 n 个文件的IP地址。在< /home/用户名>文件夹里，新建一个文本文件，起个名字，比如叫 DVD5，把 n 个文件的 IP 地址一行一行地写在上面，一共 n 行。

2，运行翻墙软件自由门（有IP分流功能）。

3，运行命令：

aria2c --all-proxy='127.0.0.1:8580' -c --force-sequential=true --parameterized-uri=true --input-file=DVD5

aria2c 会自动从那个文本文件里读取下载链接，aria2c 默认同时下载 5 个链接，如果哪一个下载完成了，aria2c 会自动添加下一个链接地址。

附件

    aria2c_通过自由门代理_批量下载.png
        Sha1校验值：fe353a803237b9de03c68a87f41646e79bcdd212   
        (2012-02-16上传 12.32 KB)

原文链接 https://tiandixing.org/viewtopic.php?f=14&t=78677&hilit=aria2c

[jingyue]

wine (红酒) 的几个额外下载地址，（仅仅作为参考备用）

在 Linux / UNIX / Mac OS X 操作系统上面运行 Windows 版本的自由门和无界浏览，需要红酒 wine，

如果遇到某个操作系统其官方软件源上面的 wine 版本不支持自由门和无界浏览翻墙软件，也可以尝试安装下面给出的 wine 软件包，

添加 wine 官方软件源和 PGP 签名密钥之后，可以从 Linux 操作系统上用终端命令在线安装 winehq （最新）稳定版，

https://wiki.winehq.org/Download_zhcn

Debian 安装 WineHQ 安装包
https://wiki.winehq.org/Debian_zhcn

Ubuntu 安装 WineHQ 安装包
https://wiki.winehq.org/Ubuntu_zhcn

Android - 适用于 Android 的 WineHQ 安装包
https://dl.winehq.org/wine-builds/android/

[jingyue]

openSUSE-Leap-15.2-KDE-Live，中国大陆国内下载地址：

https://mirrorcache.opensuse.org/distribution/leap/15.2/live/openSUSE-Leap-15.2-KDE-Live-x86_64-Media.iso.mirrorlist

openSUSE Leap 15.2，（2020年07月03日 ——> 2022年1月xx日）（ 官方安全更新支持到 2022 年 1 月 ），在线安装 wine：

( 1 ) 获取 root 权限，【终端】命令 ：（  Linux， UNIX， OS X，通用  ），

su

或者

sudo su

( 2 ) openSUSE Leap 15.2 在线下载并安装 wine 软件，root 权限下，在【终端】里执行如下命令:

zypper update

zypper install wine

查看wine版本号，

> wine --version
wine-5.0

查看suse操作系统版本号，

>  cat /etc/os-release
NAME="openSUSE Leap"
VERSION="15.2"
ID="opensuse-leap"
ID_LIKE="suse opensuse"
VERSION_ID="15.2"
PRETTY_NAME="openSUSE Leap 15.2"

[jingyue]

苹果电脑操作系统 macOS，通过虚拟机 VMware Fusion 运行自由门翻墙上网，

UNIX （ 苹果电脑 Mac OSX ）真实电脑主机通过 VMware / VirtualBox 虚拟机代理翻墙上网，

UNIX 解决方案，桥接 + Host-only 模式，测试成功，

注意！，Windows XP 操作系统上面的防火墙，必须允许来自 10.0.56.2 这个 IP 地址的访问，
注意！，虚拟机上面，自由门须监听 0.0.0.0，无界浏览须开启无界分享，

在 UNIX 真实电脑主机上面， 安装 VMwaer 虚拟机软件，虚拟 Windows XP 操作系统，
在 Windows XP 上面运行自由门，让 UNIX 主机通过 Windows XP 上面的自由门代理上网，

UNIX 真实主机（浏览器设置代理）————> Windows XP 虚拟机 （运行翻墙软件监听 0.0.0.0 ）————> 国际互联网，

虚拟机安装两个网卡，桥接 + Host-only 模式，

0），虚拟机桥接网卡 IP 地址自动获取，
1），虚拟机 Host-only 模式网卡手动设置为 10.0.56.1
2），真实主机上面 VMware 虚拟机的 vmnet1 网卡 IP 地址，手动设置为 10.0.56.2

（ 补充： 如果安装使用的是VirtualBox 虚拟机，那么真实主机上面 VirtualBox 虚拟机的 vboxnet0 网卡 IP 地址，手动设置为 10.0.56.2，
vmnet1 和 vboxnet0 这两个虚拟网卡，对应于虚拟机的 Host-only 网卡，）

#  ifconfig vmnet1 10.0.56.2 netmask 0xffffff00 broadcast 10.0.56.255

真实主机上面，浏览器代理设置：IP地址：10.0.56.1 端口：8580（自由门）
真实主机上面，浏览器代理设置：IP地址：10.0.56.1 端口：9666（无界浏览）

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Linux 解决方案，可以参考本例，
如果使用的是默认安装的 ufw 防火墙，因为没有特殊指定网卡名称，因此 iptables / ip6tables 防火墙无需修改任何规则，
因为我们是主机向外访问，防火墙默认都是允许的，

[jingyue]

GProxy Plus 3.1 版（2018年5月23日）<—— 代理服务器(地址/端口)切换工具 gproxy_plus

GProxy Plus 3.1 增加了代理白名单的功能。欢迎反馈使用意见。

安装
https://addons.mozilla.org/zh-CN/firefox/addon/gproxy-plus/

注意事项
1. 需要 Firefox 60.0 以上
2. 选用的代理(视情况)会出现在浏览器代理设置里
3. 请点击蓝色箭头图标，阅读说明文档看完整介绍

GProxy Plus 3.1 版（5月23日）——> Firefox 浏览器代理服务器 ( IP地址/端口 ) 切换工具

谢谢 dweb，

预先设置的自由门和无界浏览代理参数，用户可以编辑 IP 地址和端口了，

https://addons.mozilla.org/firefox/downloads/file/965718/gproxy_plus-3.1.0.4-an+fx.xpi

火狐浏览器 Mozilla Firefox 78.6.1esr (64位) 版本，安装代理服务器(地址/端口)切换工具 gproxy_plus-3.1.0.4 成功，

[jingyue]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        默认安装下，ubuntu 22.04 是一个 “不安全“ 的操作系统，应该进行以下处理，之后才可安全使用，
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


ubuntu 22.04（ 生命周期 5年， 2022年04月 ～ 2027年4月 ），amd64，简体中文 gnome 42.0 桌面，默认支持 ZFS 文件系统，默认支持磁盘加密，

$ lsb_release -a
No LSB modules are available.
Distributor ID:   Ubuntu
Description:   Ubuntu 22.04 LTS
Release:   22.04
Codename:   jammy

1）启用网络防火墙 iptables+ip6tables 设置工具ufw，

【启用】和【激活】电脑操作系统网络防火墙 ufw 默认防护规则，（ iptables / ip6tables 防火墙，操作系统与网络安全所必需 ），

$ sudo ufw enable
在系统启动时启用和激活防火墙

查看电脑操作系统网络防火墙规则（ IPv4 部分 ），

$ sudo iptables -S

查看电脑操作系统网络防火墙规则（ IPv6 部分 ），

$ sudo ip6tables -S

2）更新软件包列表：

$ sudo apt update

更新软件包：

$ sudo apt upgrade

3）安装 ufw 防火墙的图形界面 gufw  :

$ sudo apt install gufw

4）安装红酒（ wine ）: wine-6.0.3

$ sudo apt install wine

【终端】内用红酒（ wine ）运行自由门 fg797p.exe ：

$ wine fg797p.exe

 
【终端】内用红酒（ wine ）运行无界浏览 u2132.exe ：

$ wine u2132.exe

 第一次手动运行 firefox 官方原版的绿色版本之后，以后每次用终端命令运行无界浏览时，这个无界浏览会自动调用 （运行）firefox 绿色版本，（ 无界浏览很神奇，）


<——————以下用户隐私安全相关，仅供参考——————>


<< 第一 >>，更换浏览器，


删除 ubuntu22.04 系统默认安装的浏览器 firefox snap 版本，（ ubuntu 22.04 操作系统上面用 # apt install firefox 命令，会强制用户安装  firefox snap 版本，），

ubuntu 有商业公司背景，现在又开始强制用户使用他们的 snap 火狐浏览器，

为避免电脑用户上网时浏览的信息被他们收集和泄露，删除浏览器 firefox snap 版本 ，改用 firefox 浏览器官方原版的绿色版本 firefox（无需安装），

1）下载  firefox 官方提供的绿色版本浏览器，Linux 64-bit，

https://www.mozilla.org/en-US/firefox/all/#product-desktop-esr

Chinese (Simplified) 中文 (简体)
   

Linux 64-bit

https://download.mozilla.org/?product=firefox-latest-ssl&os=linux64&lang=zh-CN

解压 firefox-xx.x.x.tar.bz2 后，单击 firefox 齿轮图标即可直接运行，无需安装，


2）删除 firefox snap 版本，

$ sudo snap remove firefox

3）卸载 snapd

$ sudo apt purge snapd

<< 第二 >>，卸载 "远程桌面" 组件，


ubuntu 22.04 在用户不知情的情况下，在系统底层安装了 "远程桌面"，"远程桌面服务器"，（  这是严重的安全隐患 ！！，必须彻底卸载，）

彻底卸载 gnome-remote-desktop （远程桌面），libfreerdp-server2-2（远程桌面服务器） ，

可用如下【终端】命令卸载，

sudo apt purge gnome-remote-desktop libfreerdp2-2 libfreerdp-client2-2 libfreerdp-server2-2

sudo apt autoremove

<< 第三 >>，卸载 ubuntu-report


卸载 ubuntu-report

# sudo apt purge ubuntu-report

   

# rm -R /etc/systemd/user/default.target.wants/

<——————版本信息——————>

$ zfs --version
zfs-2.1.2-1ubuntu3
zfs-kmod-2.1.2-1ubuntu3

$ gnome-shell --version
GNOME Shell 42.0

$ wine --version
wine-6.0.3 (Ubuntu 6.0.3~repack-1)

<—————— 防火墙 — 屏蔽 — 中间人 — RST 攻击 ——————>


iptables / ip6tables 网络防火墙，添加屏蔽 RST 攻击的防火墙规则，即刻生效，（ 临时起作用，系统从新启动之后会失效，）

    sudo iptables -I INPUT 1 ! -i lo -p tcp --tcp-flags RST RST -j DROP

    sudo ip6tables -I INPUT 1 ! -i lo -p tcp --tcp-flags RST RST -j DROP

[jingyue]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        Debian 12 ( bookworm )，（ 2023年6月11日发布 ），（ 生命周期 5年， 2023年6月11日 ——  2028年6月30日 ）
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Debian 12，支持自由门 fg799p.exe，


1），在线安装 gufw 网络防火墙，

# apt install gufw

2），启用 ufw 网络防火墙，

# su -

# ufw enable

# exit

3），Debian 12 -amd64 在线安装（红酒） wine32:i386

终端命令：

# apt update

# dpkg --add-architecture i386 && apt-get update && apt-get install wine32:i386

4），查看 wine版本：

~$ wine --version
wine-8.0 (Debian 8.0~repack-4)

5），用 wine 运行自由门 fg799p.exe，

$ wine fg799p.exe

[自由门7.99专业版]成功连接服务器，端口:8580, 通道(M)


6），查看操作系统版本号，

~$ lsb_release -a
No LSB modules are available.
Distributor ID: Debian
Description:    Debian GNU/Linux 12 (bookworm)
Release:        12
Codename:       bookworm

7），查看火狐浏览器版本号，

~$ firefox --version
Mozilla Firefox 102.14.0esr

使用火狐浏览器通过自由门代理翻墙，需手动设置火狐浏览器本地代理 127.0.0.1:8580


8），Linux 防火墙 iptables (IPv4)，ip6tables (IPv6) ，添加<屏蔽入站 RST 数据包>的防火墙规则，即刻生效，（ 临时起作用，系统从新启动之后会失效，），

<—————— 网络防火墙 — 屏蔽 — 中间人 — RST 攻击 ——————>

终端命令，

# iptables -I INPUT 1 ! -i lo -p tcp --tcp-flags RST RST -j DROP

# ip6tables -I INPUT 1 ! -i lo -p tcp --tcp-flags RST RST -j DROP

9），在线安装——应用程序防火墙 opensnitch ，（ 著名应用程序防火墙 Little Snitch 的开源版本，从 Debian 12 开始，首次加入官方软件源。）

# apt update

# apt install opensnitch

10），（可选），彻底——卸载——应用程序防火墙 opensnitch

# apt purge opensnitch

11），手动对 Debian 操作系统（包括已经安装的各种应用软件）进行在线安全更新，

$ su

# apt update

# apt upgrade

####################################################################################

Debian 11 ，amd64 ， 官方软件源 + gufw 网络防火墙 + 红酒 （ wine ），

####################################################################################


苹果电脑 Mac Mini 安装 Debian 12  （只适合搭载 Intel 的 CPU 处理器的苹果电脑），

The mac netinst CD here is a special version of the netinst CD image that is targeted specifically at older 64-bit Intel Macintosh machines. It will likely work on most other amd64 machines too, but it does not contain UEFI boot files that some people need. See the Debian Wiki for more information.

   官方下载地址，

    https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    苹果电脑__网络在线安装版本，苹果电脑 amd64，（只适合搭载 Intel 的 CPU 处理器的苹果电脑），

https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/debian-mac-12.1.0-amd64-netinst.iso
https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/SHA256SUMS
https://cdimage.debian.org/debian-cd/current/amd64/iso-cd/SHA256SUMS.sign

   官方维基文档，

   https://wiki.debian.org/MacMiniIntel#Macmini_2.2C1
   
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   
（苹果电脑）未经测试，仅供参考，

Debian 每个版本的生命周期为 5 年，

       Debian 7（wheezy），（2013 年 5 月 4 日 —— 2018 年 5 月 31 日）
       Debian 8（jessie），（2015 年 4 月 25 日 —— 2020 年 6 月 30 日）
       Debian 9（stretch），（2017 年 6 月 17 日 —— 2022 年 6 月 30 日）
       Debian 10（buster），（2019 年 7 月 6 日 ——  2024 年 7 月 31 日）
       Debian 11（Bullseye），（2021 年 8 月 14 日 ——  2026 年 8 月 31 日）
       Debian 12（bookworm），（2023 年 6 月 10 日 ——  2028 年 6 月 30 日）

https://wiki.debian.org/DebianReleases