你可以看看mount

如果是debian系，你应该看见/tmp没有mount，因为tmp就是直接写到根分区了，但是开机时会删除/tmp的内容。
/var也没有mount，所以也在根分区
/var/run是ln到/run
而/run，在mount可以看见，是tmpfs，也就是内存fs了。

可以修改/etc/default/tmpfs（debian系），把/tmp也mount内存
systemd应该是启用tmp.mount（不确定，需验证）

一般来说pid都会放/run

@Radeon
如果一定要保存在计算机媒介上（这时已经败了），加密链上的每个保护密码的强度必须大于被保护对象才有意义
那照你这么说银行的服务器都该砸掉，NSA的服务器都该砸掉了？
有安全有秘密再正常不过，通过合理的权限管理，安全是可以保证的。如果那么容易就能绕过权限管理，Linux安全组都可以吃屎去了。

@Radeon
你怎么不说传输时还有破解呢？
密码会被加密传输，而私钥登录不会，这就是本质上的区别。

@Radeon
login用户能关掉r权限自然也能开启r权限，不存在只能用私钥不能读的情况
你看懂我用sudo的作用了么？你只能sudo用，只能ssh用，除非ssh有bug否则安全

noligin只是对login/shell有用，写个程序不用shell轻松绕掉

我哪里说过nologin了？停用帐户只有root能解，但可以sudo。

@Radeon 保证密码强度也是管理员安全基本素养之一。
私钥密码主要还是为了减轻客户机物理接触的危害，比如我上面说的sudo法也无法阻止一个能操作客户机的恶意用户，这个恶意用户不能读取私钥，却可以直接使用，如果没密码就直接能登录了。
尽管如此，AES也不是吃素的。想穷举私钥成本不小，在发现之前能争取足够的反应时间足矣。

@Radeon
可以用ssh-add管理

@Radeon
1. “不懂你在说什么。私钥在终端机上，和服务器上的sudo没有关系”
无论是客户机还是服务器，sudo都不是无限的。如果你的管理员连自己电脑安全都无法保证的话，我建议你换个人。
我说客户机上sudo是这样用的：新建一个禁止登录的用户，把私钥chown给他，今后登录的时候用sudo ssh。文件系统的permmison可以保证任何人无法读私钥，sudoer设置则可以允许某个用户以另一个用户的身份执行某程序，sudo者，被sudo者，程序，都是可限制的。
而服务器上一般用sudo比用suid少，但是两种方法都可以实现同样的效果，即非root赋予有限的管理权限。
当然，如果你客户机root被盗那就什么都没用了，无论密码还是私钥。

2. “这就是我说的其他条件一样的情况下，不留下任何硬盘上的可供破解的原始资料更安全。今天你觉得AES是安全的，也许NSA不觉得，或者过了2年AES被曝有重大缺陷怎么办？那时候你的pass phrase保护的密钥早被人拷走了，在你修复漏洞前攻击者先出手了怎么办”

同上，正确使用不存在此问题。
另外，加密从来就不是无限的。用密码还有窃听的风险呢，你怎么不说rsa加密通道的安全性？这就是我说物理隔离，安全客户机，甚至禁止root远程的原因

3. “本地安全根本没有想象中好做到。开发调试阶段开发机往往被用作登陆终端。开发机上安装的软件鱼龙混杂，而且个个能读 ~/.ssh/*。开发机会被带着到处跑，会丢”

还是那句话：如果你的管理员连自己电脑安全都无法保证的话，我建议你换个人。专机专用，这是安全的基本

乱码配置locales包为zhutf8

@heiher 对，安卓自带的设置只支持一个代理服务器，不支持pac，drony提供了pac支持和socks代理的支持。

@SharkIng 也不对，
比如服务器可以限制穷举频率，banIP等，这是私钥做不到的。但我同意你说的如果私钥正确生成，即使拿到私钥也很难破解 因为私钥是aes加密的。尽管目前证明AES在某些情况下复杂度小于理论值，但增加密钥长度即可。
私钥登录并不多一个证书，因为即使密码登录，服务器会即时创建一个随机密钥用于通讯，你的密码是在加密通道里传输的。我的理解是：关闭私钥主要是为了防穷举
我的意见是：如果本地被攻陷，一切白搭。密码私钥唾手可得。所以本地安全是前提，而最安全就是不要root ssh，一个长期稳定运行的系统是不需要很多root操作的，这些操作应该用suid或者有限sudo解决。

@billlee
1.有个image build wizard，不用编译也能重新生成固件。如果你没太特殊的需求（比如软FPU），只是想加减几个包改改默认配置的话用官方的ibw也可以。
2.自己编译时选中image build wizard也会有。
3.重新编译不要make clean 最多只clean你改了配置的那个包就足够了

@sivacohan
pid文件是正规做法，但不是在/tmp而是在/var/run
因为有很多人，包括大多数系统的默认配置，tmp都是在硬盘上而非内存里。但run是一定在内存的。

看看楼下一半是水军

@blacktulip 不能直接装，我正在考虑，但是感觉装win也没啥用

@heiher 不需要，但是要手动设置代理到127.0.0.1某端口，看drony提示

最多每月能有个百来块

@xseven007 挖矿这年头靠CPU没戏的，洗洗睡吧

pac有drony