nanopi r4s 安装 openwrt 做主路由，外接一个或多个 wifi 路由器(切换到交换机模式)

推荐亚马逊 Lightsail 产品，可以选美国或者新加坡。

公网 IP 所在设备的问题，NAT 回流没配置好。如果公网 IP 是电信猫，大概率是没辙。

给 A 一个二维码，让 A 分享给 B ，在二维码里加自定义信息。

建议：
1. 每个人一个独立 ssh key ，有人离职了只需要去掉他的 pub key 就可，不用所有人换 key 。
2. 硬盘上的 ssh key 私钥应该有密码保护，如果觉得每次登录输入密码麻烦，可以开机用 ssh-add 指令导入密钥，输入一次密码即可。(Windows 使用 ssh-add 需要启用 OpenSSH Authentication Agent 服务)
3. 一个 ssh key 可以登录多个服务器，没啥问题。
4. 如果觉得要再安全些，可以在 sshd 里加载二次认证模块，做 Google Authenticator 的二次认证。

系统功能更新 /优化，存量数据一般不改字段名。如果是基于老系统开发新系统，是建议改字段名的。

鸡娃啊。

前端 js 是必须要学的，css 感觉麻烦可以改用 bootstrap

创业型小项目，后端程序员写前端，最简单的还是直接用 html+css+jquery 。如果觉得 css 麻烦(尤其是一个网页同时匹配手机和 PC)，也可以直接用 bootstrap+jquery ，学习成本比 css 低一些。

docker desktop 不好用。mac 用容器都离不开虚拟机。推荐 parallel desktop 安装 debian/ubuntu linux 虚拟机，在 linux 虚拟机里安装 docker ce ，然后用 portainer 管理。这种方式与生产环境最接近。

换一种思路，不折腾 iptables 。在 Docker 里安装 openwrt 旁路由。

换一种思路，不折腾 iptables 。你在 Docker 容器里的 /root/.bashrc 文件最后加上 4 行：
export use_proxy=on
export http_proxy=http://ip:port
export https_proxy=http://ip:port
export all_proxy=http://ip:port

然后容器里的应用都会走代理了，是不是也能解决实际问题？

如果服务器没法动，就只有改造网络了。

第一种方式是架 vpn 专网，服务器放专网里，然后客户端先 vpn 拨入再访问服务器。如果你熟悉 docker 的话，架设 vpn 最简单的方式是用 hwdsl2/ipsec-vpn-server 镜像(下载量超千万)，windows 客户端使用 Windows 内置的 IKEv2 协议(不推荐 l2tp 协议)，客户端无需安装第三方软件，只需要将 vpn 证书导入系统，然后配置即可。使用者是无法导出证书，也就是说，只有你安装的机器可以用 vpn ，使用者无法自己克隆一个出来，克隆硬盘也不行。

第二种方式是使用 stunnel 做双向证书认证，stunnel 稳定性很好，这个配置有点专业，你可以自己研究一下。

推荐一款设备做 vpn 服务器，软路由神器 nano pi r2s 或者 r4s ，安装 armbian linux 操作系统，安装 Docker ，安装 hwdsl2/ipsec-vpn-server 镜像，如果企业用，不推荐 openwrt ，直接上 armbian ，妥妥的 500Mbps+。

有几个改善的地方，供参考：
（ 1 ）把你手头参与的项目整理一下，有些是自己负责的，尽力做好。有些和自己没多大关系，只是别人能力问题，硬把你拽进来的，就找机会甩出去。
（ 2 ）领导任务派过来，如果不是自己本职范围的，可以试着拒掉。例如，你可以这样回复领导：目前手头上有某某项目、某某项目都在关键时间点，如果再参与这个项目，自己忙不过来，影响原有项目交付，您可以找找其他同事。

工作抓重点，杂七杂八的事少了，工作压力可以减轻。只要你能力足够强，能帮领导完成任务 /解决问题。领导不合理要求，多拒几次，领导才会照顾你的感受，才会为你升职加薪。

你目前是拿北京的工资，生活在成都。领导应该看重你的能力，才会答应全职远程。如果是普通打工人，直接让你提辞职了。你时间相对比较自由，这也是一种福利吧，可以骑驴找马，找找新工作，或者提升学历。

stunnel 双向证书认证，frp 放在 stunnel 后面。

这个问题，也困惑了几天。不过，问题已经得到解决了：等 24 小时磁盘空间就会自动恢复的。

原理大体是：
mac os high sierra 带来了新的 time machine localsnapshots 功能，本地硬盘所有文件自动保存 24 小时。

也就是文件被删除，即使废纸篓被清空，这些文件其实还是在你的电脑上的，可以通过 time machine 直接在本地硬盘找回。你外出使用电脑，没有通过 time machine 备份到外置硬盘或网络存储里，也可以找回来。

试试这个算法：

ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:AES128-GCM-SHA256:AES128-SHA:AES128-SHA256:AES256-SHA:AES256-SHA256:DES-CBC3-SHA

为提高安全性：
(1) cookie 的 HttpOnly 属性要设置为 True ，防止脚本注入后，通过 javascript 窃取 cookie 。
(2) 如果安全要求高，网站可以启用 https ，然后配置 cookie 的 Secure 属性为 True ， cookie 仅在 https 协议传输，如果 http 协议不会传输，可以防止网络窃听 Cookie ，冒用登录。

用户注册时，在用户表里保存一个随机产生的 KEY ，当用户修改密码时，更新这个 KEY 。
用户登录时选择“记住登录密码”，下发三个 cookie ： UserID 、过期时间、(UserID+过期时间+KEY)的数字签名。

用户再次登录请求时，先判断过期时间是否有效，然后通过 UserID 加载 KEY ，比对数字签名。

注意点：
(1) 不要通过设定 Cookie 过期时间的方式，限制密码保存天数，用户可以很容易篡改 Cookie 过期时间的，应该下发过期时间，并且把过期时间加到数字签名内容中。
(2) 数字签名，最简单的方式是使用 HMAC_SHA1 算法，如果金融类网站可以使用更加安全的 RSA 签名。