@YongXMan #3 sdk imagebuilder

imagebuilder

CoreOS

然后写完数据再花 2 小时同步?

低配就用 xfce 吧

Fedora Silverblue

iSH 是在 Darwin 上模拟 x86 Linux 环境, Termux 则是原生 ARM Linux 环境

注意未沙箱 App 可以通过其他途径读取键盘数据, 只靠 Wayland 无法阻止

你可以使用 Flatseal 手动管理权限, 部分权限就算打开了桌面也会在使用时弹窗二次确认(旧版本可能不行)
Xorg 下任何程序都可以可以读取键盘, Wayland 不行

VPN

普通用户的主要应用场景是 P2P 和连回家
v6 的首要目标是消除 NAT, 其次是解决 IPv4 的部分设计问题, 你有 v4 公网那区别就不大

dnsmasq 关掉 clash dns 端口改成别的 adguard home 监听 53 端口做分流
对广告屏蔽没有需求就把 adguard home 删掉, 只用 dnsmasq 分流
clash 始终并发全部 dns, 只要用它查国内就无法避免泄露
想完全避免泄露只能使用国内白名单规则

Librera F-Droid
Play Books

取决于你的威胁模型

你只是想解决软件反诈并挡住流氓 App, 那 root 确实可以满足需求, 知名 App 不可能专门攻击 Magisk
你想抵抗远程攻击, 那就最好不要 root, 自己审查代码再编译安装, 且应该选用会持续更新安全补丁的 ROM
你要抗取证, 那国产设备就无法满足你的需求, 刷机后安全启动都没了, 别人拿到手机随便就能黑进去

国内绝大多数刷机用户的需求是第一种, 他们一般不关心安全

@AoEiuV020JP #20 只有解锁状态可以更改信任根, 且上锁解锁都会清空数据
https://source.android.com/docs/security/features/verifiedboot/device-state#user-settable-root-of-trust

如果 ROM 作者可以持续更新安全补丁和系统版本, 那原生系统对远程攻击会有更好的防护
手机解锁后对取证等本地攻击没有防护, 想在刷机后保证安全必须使用支持自定义签名回锁的设备

---

P4 和 P5 已经停止更新, 想要最佳安全性建议购买 Pixel 8 系列, 预算吃紧就买 7a 或 6a
Tensor 设备不需要 root, 用 ADB 就能开 VoLTE