valgrind 就够用了

不想折腾就买个二手的硬件防火墙吧

macOS+1
难得折腾 Linux 桌面，开发编译都在本地 Ubuntu server 上，PC 端用 vscode + remote SSH + python + clangd + vim + gitlens + 各种插件...，管你什么桌面操作系统，vscode + remote SSH 才是神器！

@raw0xff
值不值得你花费大量时间去设计复杂的密码保护措施，取决于密钥的重要程度。
假设你的云主机有防火墙，Linux 系统也及时升级了安全补丁，你认为你的系统固若金汤，几乎不可能被 hacker 攻破获取到 root 权限，那你就把密钥明文存放在 Linux 的某个文件中，将文件权限设为 root 只读，这样也不是不可以。
假设你的云主机没有防火墙，Linux 系统也没有靠谱的管理员去维护升级安全补丁，甚至这台云主机还允许开发和测试随意登陆，那你的密钥保护措施就必须设计得很复杂很严密。
前置条件不同，你的密钥保护措施也截然不同，安全不是由单个因素决定的，是多个因素共同决定，没有什么银弹方案能确保绝对的万无一失。安全性取决于你的需求以及愿意付出的成本（时间成本，管理成本，人力成本，设备成本等等），安全是有成本的，抛开成本去谈安全就是耍流氓。
所以，你这个场景是要求 root 权限即使被 hacker 获取了也无法得知密钥，本身对密钥管理方式提出了很高的要求，毕竟在 Linux 系统下 root 是最高权限，而 root 权限是系统的安全底线，root 权限都被突破了还要保证密钥安全，势必要求付出更多的成本（比如我上面提到的 TPM 芯片 + 可信计算），你不能既要安全性又不肯付出 money ，世界上可没有两全其美的事。

简单做法：对签名私钥加密生成加密文件，应用中内嵌（ hardcoded ）加密签名私钥的 passphrase ，这里假设应用程序是二进制 native 可执行文件，再加入一些混淆技术防止 hacker 轻松反编译。即使 hacker 获取了 root 权限，想获取加密签名私钥的 passphrase 也得先反汇编你的应用程序。这种内嵌 passphrase 的方式一般不推荐，不过如果是后台 daemon 程序有时候不得不这么做。当然，更安全的做法是等用户需要签名私钥时，弹出对话框提示用户输入 passphrase ，解密加密文件得到签名私钥，但这需要应用程序和用户交互。

复杂做法（可信计算）：上 TPM 芯片，签名根证书放在 TPM 中，建立从 Bootloader 到 OS ，从 OS 到 Application 的证书签名信任链。硬件启动 Bootloader 时验签，Bootloader 启动 OS 时验签，OS 启动 Application 时也验签，任一环节验签失败都不会进入下一环节。你的应用程序也需要被 TPM 中的根证书或下级证书签名，任何无签名或非 TPM 证书签名的命令行或应用程序都没法成功运行，这样即使 hacker 获取了 root 权限，也知晓了 TPM 的 API 接口，他自己写的程序也没法运行成功，因为他的程序没有被 TPM 证书或下级证书签名，不被 TPM 证书信任链信任。

公司部分产品基于 Ubuntu Server LTS ，从 12.04 -> 14.04 -> 16.04 -> 20.04 一路升级上来，稳定性不错，文档也多，强烈推荐！！！

换洛杉矶机房+BBR。

1. 方便分发和更新，动态库更新一处即可，而不必像静态库一样把所有依赖于该库的二进制文件全部更新。
2. 节省内存和硬盘，动态库代码段被所有依赖它的程序共享并在内存中只存在一份。

同在成都，说实话 IT 行业对于无钱无背景没爹可拼的小老百姓子弟已经相当友好了，中国啥子都缺就是不缺人，传统行业早已挤满了人，没有一定的积累转去其它行业一样很难做，不如发挥自己的优势，把本职工作做好再图发展。如果觉得太累，可以考虑跳槽去国企、银行、甚至趁着没到 35 岁去考公务员。

macOS, Ubuntu, FreeBSD
Python, JS, C, PostgreSQL, Shell
Vim, PyCharm

手动挡车开了 4 年了，开习惯了也就那样。

用 HTTPS 却不去校验证书就是耍流氓。

大学时曾用 VC6 写过贪吃蛇，做过课程设计。毕业后入了嵌入式的坑，用 C 写过 CGI （很多人怕不知道这玩意儿是啥，嗯，反正吧比 PHP 还古老）。写过嵌入式 Web Server，你没看错，由于硬件 Flash 和 RAM 限制，得自己实现基本的 HTTP1.0 协议，为什么不实现 HTTP1.1 协议呢，因为 1.1 太复杂了，那个时候水平不够:( 同样由于硬件限制，为了动态网页交互，还得自己实现一个类似于 PHP 的动态网页解析器。感谢摩尔定律，硬件越来越快，价格也越来越便宜，硬件上可以跑嵌入式 Linux 了，开源软件一抓一大把，应用层相对变得容易，只需要交叉编译，需要改的代码没以前那么多了。用户态解决了，可内核态呢？早期芯片商提供的驱动不完善，得自己修改，甚至有些还得自己写。公司业务又涉及到内核部分的修改，于是改吧改吧从 2.4 改到 2.6，从 2.6 又改到 3.0。Linux 内核变得越来越完善，芯片商的 turnkey 解决方案也考虑得越来越周到，对嵌入式开发人员的要求也没那么高了，行业门槛越来越低，竞争对手越来越多，产品市场逐渐从蓝海变成了一片红海，我知道是时候离开了。几年后，听闻各种智能硬件又火了，开源硬件发展得如火如荼，树莓派，各种派如雨后春笋般纷纷冒了出来，我笑了笑，这不是咱玩过的东西吗，只是换了个“智能”的壳，人生苦短，还是继续码我的 Python 吧！

newifi mini，79 元入的，可支持 2.4G+5G 双频，还带 USB 接口。拿回来刷了 OpenWRT 再插个 32G 的 USB 下载各种软件随便折腾。稳定好用又便宜。