 |
SAGANV2EX 第 15539 号会员,加入于 2012-01-02 23:30:33 +08:00 |
世界の中心で、愛をさけぶ
| VPS有多个IP,为什么curl指定使用某IP无效? 问与答 • SAGAN • 2012-12-24 12:47:43 PM |
| 有用27寸2560*1440显示器的同学吗,想请教一些问题。 硬件 • SAGAN • 2012-09-28 09:42:34 AM |
SAGAN 最近回复了
112 天前 回复了 samin 创建的主题 › 程序员 › 当我拿到一台全新 Linux 服务器我会做什么 |
开启 root 用户。
ssh 启用密码登录。(密码设为 32 位随机字符)
禁用防火墙、禁用 selinux 。
给服务器取个名字设为 hostname ,在自己域名的管理界面加一条 hostname.s.example.com 的 DNS 记录指向服务器 IP ,这样就不用记服务器 IP 了。
( CentOS / RHEL 系)删除 .bashrc 里默认的 alias rm="rm -i" 和 alias mv="mv -i"
ssh 启用密码登录。(密码设为 32 位随机字符)
禁用防火墙、禁用 selinux 。
给服务器取个名字设为 hostname ,在自己域名的管理界面加一条 hostname.s.example.com 的 DNS 记录指向服务器 IP ,这样就不用记服务器 IP 了。
( CentOS / RHEL 系)删除 .bashrc 里默认的 alias rm="rm -i" 和 alias mv="mv -i"
112 天前 回复了 kingofzihua 创建的主题 › 程序员 › 新冠病毒突然“消失”了? |
我理解是:
1. 这个病毒(毒性)本来就是流感级别。只是传染力强了点。
2. 现在基本每人都得过病毒了(不管有没有出现症状),体内有自然抗体。
3. 然后日常不可避免地会(通过周围人际交流)持续接触到低剂量的病毒,所以体内抗体能够一直保持,不会出现症状。(“预防性暴露”)
1. 这个病毒(毒性)本来就是流感级别。只是传染力强了点。
2. 现在基本每人都得过病毒了(不管有没有出现症状),体内有自然抗体。
3. 然后日常不可避免地会(通过周围人际交流)持续接触到低剂量的病毒,所以体内抗体能够一直保持,不会出现症状。(“预防性暴露”)
119 天前 回复了 cmhonker 创建的主题 › VPS › 便宜 VPS 还是推荐 AWS 的 LightSail 啊,配合码子将近三折吧 |
@krixaar 多谢提醒,看了下我机子上面也没有开 swap ,等我开了试试。这机子我用来做 CloudFlare 的源转发流量到真正后端的。我寻思 iptables / netfilter 做的 nat / conntrack 应该也不会占很多内存啊。
120 天前 回复了 cmhonker 创建的主题 › VPS › 便宜 VPS 还是推荐 AWS 的 LightSail 啊,配合码子将近三折吧 |
个人体验 lightsail 好像不怎么稳。。
有个东京区域的最低配(3.5 刀) lightsail ,什么东西都没跑,就用 iptables nat 转发了几个端口。
然后这个 vps 不定时失联,ip 从外部无法 ping 通。aws 后台显示状态 running 正常,web ssh 无法连接。只能在 aws 后台 force stop 然后 start 强行重启。每年大概出现个几次。一直没找出原因。
有个东京区域的最低配(3.5 刀) lightsail ,什么东西都没跑,就用 iptables nat 转发了几个端口。
然后这个 vps 不定时失联,ip 从外部无法 ping 通。aws 后台显示状态 running 正常,web ssh 无法连接。只能在 aws 后台 force stop 然后 start 强行重启。每年大概出现个几次。一直没找出原因。
121 天前 回复了 hzjseasea 创建的主题 › 问与答 › 电瓶车 25km/h 是哪个天才想出来的东西啊 |
看到楼上提到的骑电动车玩手机想到的曼昆《经济学原理》里提到的一个安全带案例,感觉如出一辙。
原理四:人们会对激励作出反应
现在来考虑安全带法律(强制汽车配备安全带的法律)如何改变了一个理性驾驶员的成本-收益计算。安全带降低了驾驶员的车祸代价,因为它们减少了伤亡的概率。因此,安全带法律减少了缓慢而谨慎地开车的收益。人们对安全带的反应和对道路状况改善的反应一样——更快更放肆地开车。这样,安全带法律最终的结果是更多的车祸次数。
经济学家萨姆 佩兹曼( Sam Peltzman )在 1975 年发表的一篇文章中说明了,实际汽车安全法有许多这类意想不到的影响。根据佩兹曼的证据,这些法律减少每次车祸的死亡人数而增加了车祸的次数。净结果是驾驶员死亡人数变动很小,而行人死亡人数增加了。
原理四:人们会对激励作出反应
现在来考虑安全带法律(强制汽车配备安全带的法律)如何改变了一个理性驾驶员的成本-收益计算。安全带降低了驾驶员的车祸代价,因为它们减少了伤亡的概率。因此,安全带法律减少了缓慢而谨慎地开车的收益。人们对安全带的反应和对道路状况改善的反应一样——更快更放肆地开车。这样,安全带法律最终的结果是更多的车祸次数。
经济学家萨姆 佩兹曼( Sam Peltzman )在 1975 年发表的一篇文章中说明了,实际汽车安全法有许多这类意想不到的影响。根据佩兹曼的证据,这些法律减少每次车祸的死亡人数而增加了车祸的次数。净结果是驾驶员死亡人数变动很小,而行人死亡人数增加了。
122 天前 回复了 Richard14 创建的主题 › 程序员 › 实验室想要实现让一台机器只能访问内网不能访问公网,应该用什么技术实现? |
我在自己家路由器上弄过这个(目的是阻止破解的 ps4 联网。。),就是几条 iptables 规则:
ipset create blnet hash:net
ipset create macblnet hash:mac
iptables -t mangle -I PREROUTING -m set --match-set blnet src ! -d 192.168.0.0/16 -j DROP
iptables -t mangle -A PREROUTING -m set --match-set macblnet src,src ! -d 192.168.0.0/16 -j DROP
其中 192.168.0.0/16 是你的局域网网段。
然后把想要禁止联网机器的 IP 地址或 MAC 地址加到 blnet / macblnet 的 ipset 里即可,例如:
ipset add blnet 192.168.1.100
ipset add macblnet 00:11:22:33:44:55
但是这种方式只建议用于自己控制的设备。如果要做到网络安全意义上的隔离,需要用 vlan 之类的。
ipset create blnet hash:net
ipset create macblnet hash:mac
iptables -t mangle -I PREROUTING -m set --match-set blnet src ! -d 192.168.0.0/16 -j DROP
iptables -t mangle -A PREROUTING -m set --match-set macblnet src,src ! -d 192.168.0.0/16 -j DROP
其中 192.168.0.0/16 是你的局域网网段。
然后把想要禁止联网机器的 IP 地址或 MAC 地址加到 blnet / macblnet 的 ipset 里即可,例如:
ipset add blnet 192.168.1.100
ipset add macblnet 00:11:22:33:44:55
但是这种方式只建议用于自己控制的设备。如果要做到网络安全意义上的隔离,需要用 vlan 之类的。
131 天前 回复了 Gav1nw 创建的主题 › 程序员 › 二进制文件和操作系统有联系吗? |
131 天前 回复了 edis0n0 创建的主题 › Linux › wireguard+iptables 怎么实现把一个端口流量保持来源 IP 全部转发到另一个服务器上? |
理论上应该可以做到吧。需要用到 wireguard 隧道,否则回程的流量源服务器会直接发送给客户端,然后被客户端丢弃。
假设反代(eth0: 1.2.3.4, wg0: 10.0.0.1/24) <--> 源(eth0: 2.3.4.5, wg0: 10.0.0.2/24)。服务运行在 tcp/80 端口。
首先两台服务器都需要打开 ipv4 forward (net.ipv4.ip_forward=1)
反代:
iptables -t mangle -A PREROUTING -p tcp --dport 80 -m mark --set-mark 0x1/0x1 -j ACCEPT
iptables -t nat -A PREROUTING -m mark --mark 0x1/0x1 -j DNAT --to 2.3.4.5
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
ip rule add fwmark 0x1/0x1 table 10
ip route add default via 10.0.0.1 table 10
源:
iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark
iptables -t mangle -A PREROUTING -p tcp --dport 80 -m mark --set-mark 0x1/0x1 -j ACCEPT
iptables -t mangle -A POSTROUTING -j CONNMARK --save-mark
ip rule add fwmark 0x1/0x1 table 10
ip route add default via 10.0.0.2 table 10
假设反代(eth0: 1.2.3.4, wg0: 10.0.0.1/24) <--> 源(eth0: 2.3.4.5, wg0: 10.0.0.2/24)。服务运行在 tcp/80 端口。
首先两台服务器都需要打开 ipv4 forward (net.ipv4.ip_forward=1)
反代:
iptables -t mangle -A PREROUTING -p tcp --dport 80 -m mark --set-mark 0x1/0x1 -j ACCEPT
iptables -t nat -A PREROUTING -m mark --mark 0x1/0x1 -j DNAT --to 2.3.4.5
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
ip rule add fwmark 0x1/0x1 table 10
ip route add default via 10.0.0.1 table 10
源:
iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark
iptables -t mangle -A PREROUTING -p tcp --dport 80 -m mark --set-mark 0x1/0x1 -j ACCEPT
iptables -t mangle -A POSTROUTING -j CONNMARK --save-mark
ip rule add fwmark 0x1/0x1 table 10
ip route add default via 10.0.0.2 table 10
131 天前 回复了 Tounea 创建的主题 › 程序员 › 各位对个人电脑安全做到什么程度了? |
@silymore
如果 giftcard 是你自己信用卡 /paypal 买的,那么肯定可以啊。
@billlee
我认为 TPM+pin 并不会增加安全性。如果别人能够物理接触你的设备,完全可以把它替换为同一型号的另一台特制启动界面的电脑,然后诱使你在这台电脑上输入 pin 。获得 pin 后就可以解锁你原来的电脑了。
对于邪恶女佣攻击(Evil maid attack),唯一的防范方式是一旦设备物理离开过自己的控制(并且可能被专业攻击者接触过),就认为这台设备不再可信。
而且 TPM + pin 最大的问题是,我找到的所有资料都显示 pin 并没有成为加密硬盘的主密钥的一部分(*),而只是 TPM 提供的一种交互验证机制。TPM 里仍然单独保存着完整硬盘密钥。如果 TPM 有后门或者攻击者能够用某种方式(比如,DMA 攻击,cold boot attack 等)攻破 TPM ,就能直接解密硬盘。
* 例如微软的文档: https://learn.microsoft.com/en-us/windows/security/information-protection/bitlocker/prepare-your-organization-for-bitlocker-planning-and-policies#bitlocker-authentication-methods
TPM validates early boot components. The user must enter the correct PIN before the start-up process can continue, and before the drive can be unlocked. The TPM enters lockout if the incorrect PIN is entered repeatedly, to protect the PIN from brute force attacks. The number of repeated attempts that will trigger a lockout is variable.
如果 giftcard 是你自己信用卡 /paypal 买的,那么肯定可以啊。
@billlee
我认为 TPM+pin 并不会增加安全性。如果别人能够物理接触你的设备,完全可以把它替换为同一型号的另一台特制启动界面的电脑,然后诱使你在这台电脑上输入 pin 。获得 pin 后就可以解锁你原来的电脑了。
对于邪恶女佣攻击(Evil maid attack),唯一的防范方式是一旦设备物理离开过自己的控制(并且可能被专业攻击者接触过),就认为这台设备不再可信。
而且 TPM + pin 最大的问题是,我找到的所有资料都显示 pin 并没有成为加密硬盘的主密钥的一部分(*),而只是 TPM 提供的一种交互验证机制。TPM 里仍然单独保存着完整硬盘密钥。如果 TPM 有后门或者攻击者能够用某种方式(比如,DMA 攻击,cold boot attack 等)攻破 TPM ,就能直接解密硬盘。
* 例如微软的文档: https://learn.microsoft.com/en-us/windows/security/information-protection/bitlocker/prepare-your-organization-for-bitlocker-planning-and-policies#bitlocker-authentication-methods
TPM validates early boot components. The user must enter the correct PIN before the start-up process can continue, and before the drive can be unlocked. The TPM enters lockout if the incorrect PIN is entered repeatedly, to protect the PIN from brute force attacks. The number of repeated attempts that will trigger a lockout is variable.
132 天前 回复了 nnucfemi 创建的主题 › Windows › Windows 有没有路径防护的软件? |
我有过同样需求,除了火绒也没找到其它软件。但我不想使用(非开源)国产安全软件,所以找了些其它曲线方式。
如果必须用某些国产软件,又不想让这些软件窃取隐私。除了虚拟机,有几种方案:
1. sandboxie-plus. 在 sandbox 配置里可以设置某些路径对于沙盒里程序不可访问。缺点是路径需要自己一个个手动添加,默认配置下所有路径都可以访问。
2. 在 windows 用户管理 (lusrmgr.msc)里创建专门的普通权限("Users" group)用户,然后在当前桌面会话里用这个用户身份安装 /运行程序。Windows 自带的 runas 工具可以命令行形式以其它用户身份运行命令,但是每次必须从 stdin 输入该用户的密码。建议使用微软出的 PSTools 里的 PsExec.exe 命令行工具:
PsExec -accepteula -d -user user -p "123456" "C:\programs\qq\qq.exe"
即可以 user 用户(密码 123456 )身份运行 qq.exe 。写个 bat 脚本就可以自动化。
这种方式好处是,非 administrators 用户默认配置下即无法访问其它用户的主目录(%USERPROFILE%, 浏览器历史记录等信息都在这里),如果需要保护其它目录,也可以通过配置 D:\ 等各盘符根目录的 NTFS 权限轻易实现。
3. Windows sandbox. 这个本质上也是(Hyper-V)虚拟机。但是打开和启动速度很快。 使用 *.wsb 文件可以配置 Windows Sandbox 很多参数。双击 .wsb 直接用指定的参数启动沙盒。可以在 .wsb 里把 host 里的某个目录挂载到 sandbox 里,或配置 sandbox 启动时自动运行命令,例如:
<Configuration>
<VGpu>Disable</VGpu>
<Networking>Disable</Networking>
<MappedFolders>
<MappedFolder>
<HostFolder>C:\programs\qq</HostFolder>
<SandboxFolder>C:\qq</SandboxFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>C:\qq\qq.exe</Command>
</LogonCommand>
</Configuration>
然后双击 *.wsb 就直接在 sandbox 里打开 qq 了。
这种方式可以提供最佳的保护能力。缺点是一般只能用来运行绿色软件。需要安装的软件必须每次启动 sandbox 时安装一次,体验不可接受。
如果必须用某些国产软件,又不想让这些软件窃取隐私。除了虚拟机,有几种方案:
1. sandboxie-plus. 在 sandbox 配置里可以设置某些路径对于沙盒里程序不可访问。缺点是路径需要自己一个个手动添加,默认配置下所有路径都可以访问。
2. 在 windows 用户管理 (lusrmgr.msc)里创建专门的普通权限("Users" group)用户,然后在当前桌面会话里用这个用户身份安装 /运行程序。Windows 自带的 runas 工具可以命令行形式以其它用户身份运行命令,但是每次必须从 stdin 输入该用户的密码。建议使用微软出的 PSTools 里的 PsExec.exe 命令行工具:
PsExec -accepteula -d -user user -p "123456" "C:\programs\qq\qq.exe"
即可以 user 用户(密码 123456 )身份运行 qq.exe 。写个 bat 脚本就可以自动化。
这种方式好处是,非 administrators 用户默认配置下即无法访问其它用户的主目录(%USERPROFILE%, 浏览器历史记录等信息都在这里),如果需要保护其它目录,也可以通过配置 D:\ 等各盘符根目录的 NTFS 权限轻易实现。
3. Windows sandbox. 这个本质上也是(Hyper-V)虚拟机。但是打开和启动速度很快。 使用 *.wsb 文件可以配置 Windows Sandbox 很多参数。双击 .wsb 直接用指定的参数启动沙盒。可以在 .wsb 里把 host 里的某个目录挂载到 sandbox 里,或配置 sandbox 启动时自动运行命令,例如:
<Configuration>
<VGpu>Disable</VGpu>
<Networking>Disable</Networking>
<MappedFolders>
<MappedFolder>
<HostFolder>C:\programs\qq</HostFolder>
<SandboxFolder>C:\qq</SandboxFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>C:\qq\qq.exe</Command>
</LogonCommand>
</Configuration>
然后双击 *.wsb 就直接在 sandbox 里打开 qq 了。
这种方式可以提供最佳的保护能力。缺点是一般只能用来运行绿色软件。需要安装的软件必须每次启动 sandbox 时安装一次,体验不可接受。
Select Language