@FrankHB 这杆子挥得有点狠...
从历史层面上来讲也确实是先有 DAC ，而后引入的 MAC ，这并没什么毛病，而从设计年代上来讲也并没什么毛病。

而从使用者的角度而言，是使用 DAC 还是 MAC ，这得使用者，也是用户本身去评估，就像 linux 已经用了 SELinux ，但并没有强制用户去使用，这也是有原因。

在用户的使用颗粒并没达到 MAC 时，强制去推行，那让非专业的用户使用起来，只是一种负担。
反之，就是强制让对安全敏感的用户去用 DAC ，只会让他们无法相信这种模式能够保证自己的数据安全。

所以抛开场景去谈论这个确实有点不公平。

而操作系统本身就是，只是保证系统运行的稳定性，健壮性，和合乎逻辑性。

再者别忘了 Unix 的初衷 KISS

一直让屏幕供电，从 LG5K 屏刚出来，16 款、18 款、M1 本换了几个了，但一直这么用，没感觉有啥问题啊

你的意思是想让“我”访问不了“我的文件”？这逻辑，好像有点不太对。

那能不能换个思路，让“其他”人访问不了“我的”文件。


为啥不考虑一下像很多服务一样添加一个新的服务用户如 mysql 和组，再配上 chroot 也算已经很 OK 了。

实在懒也可以用 nobody

事情上很多发行的 linux 在用户权限上已经做得很好了，也相对比较人性化了。
更多的时候是权限滥用引发的事故，而把责任归到操作系统上，这锅让操作系统背，是有点无辜的。

楼主的表和车🔑️比较亮眼

在我的环境里特别有用，我大概的环境是，公司一台 Mini ，算是测试机吧，上面的东西比较杂乱，另一台就是 MBP ，主要用的系统，桌子太小了，显示器堆满了，连 HHKB ，都放不下了。现在刚好，用 MBP ，横跨 4 个屏幕，就很舒服了，再也不需要用 Mini 的时候，再把 HHKB 搬到 MBP 上。

ls -altr ?

LG5k 14" 正常点亮

个人挺喜欢这个发行的，刚学的时候开始装的是 redhat ，后来无意中发现这个，后来转战 gentoo ，看到这名字感觉还是很亲切

./configure --prefix

额，好像是完全没接触过啊。netfilter 是基于内核模块处理的，也就是说你要弄一个 netfilter hook 的内核模块，在 netfilter 提供的 INPUT/OUTPUT PRE/POSTROUTING 里面实现 类似于 iptables 的 filter /nat/log 等功能，log/trace netfilter 并没有给出接口，而是自己从 pre 到 post 的流程记录一下应该算是个 trace 了吧。
关键字
netfilter kernel module
随手扒拉了个 github 的例子
https://github.com/wangm8/Netfilter-Kernel-Module

所以选无刻，就不会纠结这个问题了

会莫明的 crash.... =_=
com.apple.appkit.xpc.openAndSavePanelService

另外，有必要说一下讲一下速溶咖啡。
速溶咖啡，主要用的豆都是罗布斯塔，也就是简称的罗豆，这种豆普遍生成在低海拔产区，如越南等东南亚一带。主要的特点就是便宜+咖啡因含量比较大。因此，深加工的咖啡制品特别喜欢用。这是其一，其二就是速溶咖啡里的奶（精），可不是对身体好的什么东西。

所以常年喝速溶咖啡的同学，真要注意，偶尔没有咖啡，临时解瘾也说得过去，但是真不建议当口粮，太不健康了。

买套手冲工具，工作之余，刚好可以放松一下，手冲一泡。
手冲工具，价格从入门到玩家区异太大，可根据自己的能力来。
豆的话，某宝慢慢淘，从轻烘到深烘，都可以试。

喜欢黑咖啡口感，可以试一下，中烘曼特宁，亚洲产区，比较适合喜欢黑咖啡人的口感。主要酸度没高海拔产区那么重，所以显得没那么“娘”，哈哈哈。。。。

我都是 Aflred 里再启动一下

netfilter 有现成的 INPUT/OUPUT/NAT/FORWARD 等五个钩子

直接挂上处理就好了

export 后 curl 会走代理，git 则不会
独立配置一下~/.gitconfig

keepalived 要静态编译首先：
1. 你的依赖库得静编，包括 openssl kmod 等。
2. 依赖库静编了，也不代表一定能编过编译，因为依赖库静编的过程，有可能是有动、静交叉
3. 以上条件全符合了，也不代表就一定能在不同版本的系统上跑。因为还有个变态的 glibc 。

```C
static inline void file_start_write(struct file *file)
{
if (!S_ISREG(file_inode(file)->i_mode))
return;
__sb_start_write(file_inode(file)->i_sb, SB_FREEZE_WRITE, true);
}

static inline bool file_start_write_trylock(struct file *file)
{
if (!S_ISREG(file_inode(file)->i_mode))
return true;
return __sb_start_write(file_inode(file)->i_sb, SB_FREEZE_WRITE, false);
}

static inline void file_end_write(struct file *file)
{
if (!S_ISREG(file_inode(file)->i_mode))
return;
__sb_end_write(file_inode(file)->i_sb, SB_FREEZE_WRITE);
}

ssize_t vfs_write(struct file *file, const char __user *buf, size_t count, loff_t *pos)
{
ssize_t ret;

if (!(file->f_mode & FMODE_WRITE))
return -EBADF;
if (!file->f_op || (!file->f_op->write && !file->f_op->aio_write))
return -EINVAL;
if (unlikely(!access_ok(VERIFY_READ, buf, count)))
return -EFAULT;

ret = rw_verify_area(WRITE, file, pos, count);
if (ret >= 0) {
count = ret;
file_start_write(file);
if (file->f_op->write)
ret = file->f_op->write(file, buf, count, pos);
else
ret = do_sync_write(file, buf, count, pos);
if (ret > 0) {
fsnotify_modify(file);
add_wchar(current, ret);
}
inc_syscw(current);
file_end_write(file);
}

return ret;
}
```