《现实一种》——第一次直观感受到文字邪典
⚠️以下读书笔记可能含有令人不适的内容。
关键词:血腥内容提及、精神污染、非普世意义遵守公序良俗的价值观
叠甲:仅为感想,不代表本人立场。
第一次了解到“文字邪典”这个词是被人推荐了《肠子》,但大概是这本书的恶心与奇诡之处并没有恶心到我,反倒看得我津津有味的。
首先说《肠子》,它整体的风格相当动人,幻想与现实交织,人们在没有爱的前提下交换锋利含刀的吻,而他们浑然不觉,就像寓言里舔锯子的狐狸一样,把舌头流出的血当做从未尝过的甜味,也像在寒冷里走入毁灭之前的失温。在此之前,他们已经把名字送给猫,把自己的人生和过往轻蔑地隔绝于即将获得的崭新价值与意义之外。
而《现实一种》和《肠子》的区别大概就像《向饭沼一家谢罪》和《珀尔》的差别吧。
在翻开《现实一种》后不久,无力,眩晕,是那种在下午两点的太阳下晒得头昏眼花后还要赶路的感觉。不像中暑或是晕车,我并不觉得想吐,只是觉得世界很陌生,在水里呼吸,隔着一层膜,一支细长的芦管去获得新鲜的空气。
:很久以后,她才站起来,于是她又听到体内有筷子被折断一样的声音。声音从她松弛的皮肤里冲出来后变得异常轻微,尽管她有些耳聋,可还是清晰地听到了。因此这时她又眼泪汪汪起来,她觉得自己活不久了,因为每天都有骨头在折断。她觉得自己不久以后不仅没法站和没法坐,就是躺着也不行了。那时候她体内已经没有完整的骨骼,却是一堆长短形状粗细都不一样的碎骨头不负责任地挤在一起。那时候她脚上的骨头也许会从腹部顶出来,而手臂上的骨头可能会插进长满青苔的胃。
这是在故事的开头几页,一家子里最老的母亲思索自己的衰老与死亡,因为人是不透明的,死去的人也无法传递经验,所以她看不见,也无法明白身体内部是如何一天又一天地衰败下去。抛弃一切常识与经验,垂垂老矣的婴儿睁开眼睛,用她第一次认识世界的目光去理解骨头的脆弱,那个时候,筷子还不叫筷子。身体里发出和长条的木头被折断时一样的声音,于是她理解了,用笨拙的类比:当搭建木屋的木板全部断裂,那些钉子将不再能维持这栋摇摇欲坠的房屋。接下来是婴儿学步的模仿:等到骨头全部碎掉的时候,我也该死去了吧。
当然这并不是故事的主要内容,只是分析故事主线有点复杂,于是以小见大拿了这个“陌生化”世界的手法举例,以体现这种让阅读无力的效果。
故事的内容是那位老太太生下的一对兄弟,其中一位的儿子皮皮年纪尚小,在抱着堂弟出去玩耍的过程中由于有了新的玩乐,随手把堂弟丢在一边,于是把堂弟给摔死了。之后则是堂弟的父亲以想要出气的名义要求殴打皮皮→皮皮的父亲答应,皮皮在懵懂和好玩中被殴打中死去→堂弟的父亲认为一切结束,皮皮的父亲牵回来一条狗→皮皮的父亲告诉堂弟的父亲:我想我还是要报复回来一点的,就像你对皮皮那样,你要怎么还给我?
他把堂弟的父亲绑在了树上,那条狗亲近地舔着他的脚,他把肉汁涂在了另一个人的脚上,于是狗也去舔另一个人的脚。堂弟的父亲承受着这简陋的笑刑,他想,说好是玩多久的游戏来着?他已经不记得了,也并不觉得自己会因此死去。
他只是看见了地上的两滩血迹,一滩来自他自己的儿子,一滩来自皮皮。
殷红色的,原来是血啊。原来他的儿子死去了,原来他是要报复才踢死了皮皮,原来那份让他感到越发疲倦、难以思考的感觉是——
明明感受到悲痛和愤怒却不知道那是什么情绪,明明恨着杀死自己儿子的兄弟,却能够状似平静地坐着,平静地和妻子大喊,平静地用和往常没有区别的态度和兄弟用仿佛和解的态度谈话,宛若商讨买卖,好像只不过是两个死了儿子的正常人,一对不相亲相爱却仍然是家人的兄弟。
我的儿子摔死了你的儿子,所以无论妻子怎么阻拦这一切,我会把我的儿子交给你。
你踢死了我的儿子,所以我要把你绑起来。
我要杀死你。
有一篇叫《蓝裙子》的短篇悬疑小故事,讲述了一位身着蓝裙的小女孩在放学回家的路上意外失踪后被杀死,她的父母疯了,不愿意承认那具尸体是女儿,终日徘徊在那条小巷里。
下一个蓝裙的女孩经过了,于是她被抓住,又在哭喊着“你们不是我的爸爸妈妈”的声音中让那对父母绝望——我们的女儿不是这样的。
我们的女儿是很乖,很可爱的,是会自己好好走回家的。不会像那具残破的尸体一样了无生气,遍体鳞伤,也不会像眼前这个女孩一样,你看啊,她在挣扎的时候都把我们弄伤了……
于是新的尸体出现了。
于是小巷里又多了一对终日徘徊的父母。
皮皮的父亲杀死了堂弟的父亲。
堂弟的母亲满怀怨恨。
她作为原告,在没有描写的故事的边角。
在没有爱与愤怒的世界里。
在一声枪响的判决之后,堂弟的母亲来到法院,这时候她的身份就不是被杀死的那个人的妻子了。她说:我是被判处枪毙而死去的那个人的妻子,我愿意把他的尸体捐给医院,我愿意让他在死后仍能做出奉献。但没有人在意身份的变化与真假,法院对其无所谓,而医院欣然同意。
:待会儿他们还要挖个坑把山岗扔进去埋掉。
:那时的山岗由一些脂肪和肌肉以及头发牙齿这一类医生不要的东西组成。
这就是结局了。所谓你还我来把命偿,凶手与受害者的滚雪球,大概也就在此结束了吧。
接下来贴一段余华的自序:
“……这些中短篇小说所记录下来的,就是我的另一条人生之路。与现实的人生之路不同的是,它有着还原的可能,而且准确无误。
“……每一次的重新出版都让它焕然一新,重获鲜明的形象。这就是我为什么如此热爱写作的理由。”
最后说说我看完这本书后的最大感想:
禁止在没有其他成年人陪同的情况下让没有完全民事行为能力的未成年人看护另一个未成年人。
1 个帖子 - 1 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: DustinPalmer)
⚠️以下读书笔记可能含有令人不适的内容。
关键词:血腥内容提及、精神污染、非普世意义遵守公序良俗的价值观
叠甲:仅为感想,不代表本人立场。
第一次了解到“文字邪典”这个词是被人推荐了《肠子》,但大概是这本书的恶心与奇诡之处并没有恶心到我,反倒看得我津津有味的。
首先说《肠子》,它整体的风格相当动人,幻想与现实交织,人们在没有爱的前提下交换锋利含刀的吻,而他们浑然不觉,就像寓言里舔锯子的狐狸一样,把舌头流出的血当做从未尝过的甜味,也像在寒冷里走入毁灭之前的失温。在此之前,他们已经把名字送给猫,把自己的人生和过往轻蔑地隔绝于即将获得的崭新价值与意义之外。
而《现实一种》和《肠子》的区别大概就像《向饭沼一家谢罪》和《珀尔》的差别吧。
在翻开《现实一种》后不久,无力,眩晕,是那种在下午两点的太阳下晒得头昏眼花后还要赶路的感觉。不像中暑或是晕车,我并不觉得想吐,只是觉得世界很陌生,在水里呼吸,隔着一层膜,一支细长的芦管去获得新鲜的空气。
:很久以后,她才站起来,于是她又听到体内有筷子被折断一样的声音。声音从她松弛的皮肤里冲出来后变得异常轻微,尽管她有些耳聋,可还是清晰地听到了。因此这时她又眼泪汪汪起来,她觉得自己活不久了,因为每天都有骨头在折断。她觉得自己不久以后不仅没法站和没法坐,就是躺着也不行了。那时候她体内已经没有完整的骨骼,却是一堆长短形状粗细都不一样的碎骨头不负责任地挤在一起。那时候她脚上的骨头也许会从腹部顶出来,而手臂上的骨头可能会插进长满青苔的胃。
这是在故事的开头几页,一家子里最老的母亲思索自己的衰老与死亡,因为人是不透明的,死去的人也无法传递经验,所以她看不见,也无法明白身体内部是如何一天又一天地衰败下去。抛弃一切常识与经验,垂垂老矣的婴儿睁开眼睛,用她第一次认识世界的目光去理解骨头的脆弱,那个时候,筷子还不叫筷子。身体里发出和长条的木头被折断时一样的声音,于是她理解了,用笨拙的类比:当搭建木屋的木板全部断裂,那些钉子将不再能维持这栋摇摇欲坠的房屋。接下来是婴儿学步的模仿:等到骨头全部碎掉的时候,我也该死去了吧。
当然这并不是故事的主要内容,只是分析故事主线有点复杂,于是以小见大拿了这个“陌生化”世界的手法举例,以体现这种让阅读无力的效果。
故事的内容是那位老太太生下的一对兄弟,其中一位的儿子皮皮年纪尚小,在抱着堂弟出去玩耍的过程中由于有了新的玩乐,随手把堂弟丢在一边,于是把堂弟给摔死了。之后则是堂弟的父亲以想要出气的名义要求殴打皮皮→皮皮的父亲答应,皮皮在懵懂和好玩中被殴打中死去→堂弟的父亲认为一切结束,皮皮的父亲牵回来一条狗→皮皮的父亲告诉堂弟的父亲:我想我还是要报复回来一点的,就像你对皮皮那样,你要怎么还给我?
他把堂弟的父亲绑在了树上,那条狗亲近地舔着他的脚,他把肉汁涂在了另一个人的脚上,于是狗也去舔另一个人的脚。堂弟的父亲承受着这简陋的笑刑,他想,说好是玩多久的游戏来着?他已经不记得了,也并不觉得自己会因此死去。
他只是看见了地上的两滩血迹,一滩来自他自己的儿子,一滩来自皮皮。
殷红色的,原来是血啊。原来他的儿子死去了,原来他是要报复才踢死了皮皮,原来那份让他感到越发疲倦、难以思考的感觉是——
明明感受到悲痛和愤怒却不知道那是什么情绪,明明恨着杀死自己儿子的兄弟,却能够状似平静地坐着,平静地和妻子大喊,平静地用和往常没有区别的态度和兄弟用仿佛和解的态度谈话,宛若商讨买卖,好像只不过是两个死了儿子的正常人,一对不相亲相爱却仍然是家人的兄弟。
我的儿子摔死了你的儿子,所以无论妻子怎么阻拦这一切,我会把我的儿子交给你。
你踢死了我的儿子,所以我要把你绑起来。
我要杀死你。
有一篇叫《蓝裙子》的短篇悬疑小故事,讲述了一位身着蓝裙的小女孩在放学回家的路上意外失踪后被杀死,她的父母疯了,不愿意承认那具尸体是女儿,终日徘徊在那条小巷里。
下一个蓝裙的女孩经过了,于是她被抓住,又在哭喊着“你们不是我的爸爸妈妈”的声音中让那对父母绝望——我们的女儿不是这样的。
我们的女儿是很乖,很可爱的,是会自己好好走回家的。不会像那具残破的尸体一样了无生气,遍体鳞伤,也不会像眼前这个女孩一样,你看啊,她在挣扎的时候都把我们弄伤了……
于是新的尸体出现了。
于是小巷里又多了一对终日徘徊的父母。
皮皮的父亲杀死了堂弟的父亲。
堂弟的母亲满怀怨恨。
她作为原告,在没有描写的故事的边角。
在没有爱与愤怒的世界里。
在一声枪响的判决之后,堂弟的母亲来到法院,这时候她的身份就不是被杀死的那个人的妻子了。她说:我是被判处枪毙而死去的那个人的妻子,我愿意把他的尸体捐给医院,我愿意让他在死后仍能做出奉献。但没有人在意身份的变化与真假,法院对其无所谓,而医院欣然同意。
:待会儿他们还要挖个坑把山岗扔进去埋掉。
:那时的山岗由一些脂肪和肌肉以及头发牙齿这一类医生不要的东西组成。
这就是结局了。所谓你还我来把命偿,凶手与受害者的滚雪球,大概也就在此结束了吧。
接下来贴一段余华的自序:
“……这些中短篇小说所记录下来的,就是我的另一条人生之路。与现实的人生之路不同的是,它有着还原的可能,而且准确无误。
“……每一次的重新出版都让它焕然一新,重获鲜明的形象。这就是我为什么如此热爱写作的理由。”
最后说说我看完这本书后的最大感想:
禁止在没有其他成年人陪同的情况下让没有完全民事行为能力的未成年人看护另一个未成年人。
1 个帖子 - 1 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: DustinPalmer)
大鱼大肉六天,明天要回去了
从除夕吃到今天,每天都是大鱼大肉,吃的肚子不舒服。
初一到初三过年,初四舅姥爷来拜访,初五老娘生日,明天总算是结束了。
回公司吃点清淡的了。
1 个帖子 - 1 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: 维尔汀)
Invalid media:
image
image
从除夕吃到今天,每天都是大鱼大肉,吃的肚子不舒服。
初一到初三过年,初四舅姥爷来拜访,初五老娘生日,明天总算是结束了。
回公司吃点清淡的了。
1 个帖子 - 1 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: 维尔汀)
Invalid media:
image
image
build your dream
图片来自网络
1 个帖子 - 1 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: 𝓵𝓮𝔃𝓲𝓼𝓱𝓮𝓷)
Invalid media: image
图片来自网络
1 个帖子 - 1 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: 𝓵𝓮𝔃𝓲𝓼𝓱𝓮𝓷)
Invalid media: image
[水期教程 && 分享配置]如何保障自己的服务器安全
闲来无事写篇教程,分享下自己配置服务器的心得和体会
虽然站里大部分佬友应该都不会需要那么基础的服务器配置教程
但是我比较注重安全嘛,这篇也主要是讲安全
本人第一次写教程所以可能分享不是很全面也可能不是很通熟易懂,望各位佬友指正
前言-“源站隐身”的哲学
最好的防御是让攻击者找不到目标,可以反人类一点
我举个例子
我之前为了让AI直接在我的手表上操作我的服务器
我写了个垫片,可以让服务器运行的本地MCP工具的stdin/stdout变成SSE远程MCP
这样我在学校也可以方便的拿手表控制服务器
但是这要暴露公网对吧。。。远程控制又root权限是很危险的对吧
所以我设置了一个长达512Bit的Token,没有的话就不服务
到这里本来也是很普通的,但是我程序设计的就是反人类
别人的话Token错了报错401/403
我返回404
还有类似fail2ban的东西,如果1分钟超过错误10次接下来一天管你对不对全部404
401/403是给人看的排查错误用的,但是如果真想不被人摸到那就应该返回看起来没有任何价值的信号,比如404/502之类的
第一节,最上层的防御策略
反向代理和相关配置
拿到服务器的话,除了自己SSH,暴露在公网环境能用CDN就不用直连
CDN这里推荐Cloudflare大家应该都没意见吧,虽然在国内可能相当于减速带,但是重在免费东西真太多了
ITDog跑的结果 (点击了解更多详细信息)
可以直接在CF买域名直接一条龙拿服务(不过可能偏贵一点,一个com差不多要10美元)
然后进入域名设置找到DNS,如果橙色云朵亮了那就是CDN启用了
这种不懂可以问Gemini这是啥()
然后CF的CDN会自动帮你签张证书,可能是GTS也可能是R3的,都差不多这个不用太在意
然后在CF仪表盘的SSL/TLS的概述页面,你可以看到这个的等级建议开严格(完全),不过这个要独立配置一张CF的证书待会讲
然后在边缘证书板块可以看到CF帮你签的证书
为了安全建议把强制HTTPS这些都勾上(反正我是连HSTS都一起开了),毕竟我连服务器的80端口都没开🤣
然后去源服务器设置那里专门生成一张15年有效期的源服务器证书,到时候你的服务器的Nginx就用这玩意和cloudflare做认证,cloudflare只认你的这个证书
可以把.pem和.key放到
偷工减料让Gemini写的Nginx配置,一个意思,可以照抄甚至让AI给你写定制的 (点击了解更多详细信息)
这样的话可以很好的保护CF到源服务器的路程不被劫持
当然,上面其实讲了一大堆屁话谁都会和你那么讲那么配
我们更需要关注的是(划重点)
就算你躲在CDN后面,源站IP藏起来了,你以为人家找不到了吗?
打错特错
每时每刻每分每秒都有扫描器对着所有IP(不看域名)扫描试图访问
要是你的服务器IP正好被摸到了,乖乖把证书交出去了,扫描器一看你证书里面SAN字段那么大一个域名,那么到时候源站IP一样露,和域名关联那就很有辨识度了
我们应该开启CF的回源验证,路径在SSL/TLS>源服务器>经过身份验证的源服务器拉取
我们只需要稍微对Nginx做点配置,让Nginx反向识别这个证书是不是来自CF的,不是CF的直接拒绝服务
具体这样操作 还是偷懒让Gemini帮忙写的配置,可以照抄,也可以让AI写 (点击了解更多详细信息)
然后扫描器的连接可以被掐断在第四层打不到应用层,虽然知道你的IP和开放端口,但是没法直接访问不能和域名关联那么扫到了也没啥意义
这样相当于服务器和CDN直接做了双向TLS验证,杜绝扫描器关联你的域名和IP
毕竟要是源站IP漏了那么在有攻击的情况下有没有CDN都没用了
对了,套了CDN,特别CF的CDN的时候
Nginx最好加上
这样可以让Nginx记录客户端而CF边缘节点的IP
第二节,系统安全防护
首先对于你最最最亲爱的服务器
ssh要好好保护,防护等级从小到大依次是
1.建议是使用非标准的端口去ssh,只要避开默认的22可以杜绝80%以上的无脑爆破攻击
2.其次就是最好可以装个fail2ban,不然人家高频爆破蒙对密码了呢?
3.上非对称密钥,而且禁用密码登录
这里讲怎么生成非对称密钥和配对,虽然这是基操但是我知道你们懒得打字提前写着直接用吧 (点击了解更多详细信息)
还有一节就是防火墙的
很多小白装了ufw可能会疑惑,为什么ufw把端口ban了,但是docker跑的服务还是照样可以访问
因为docker比较霸道劫持了你的系统网关
我们不能为了安全就禁用Docker的iptables功能(那会导致容器没法上网),最优雅的办法是使用
然后这样的话docker也归防火墙管了
有特殊的语法
然后如果这样配置的话
除非万不得已,永远不要在docker-compose.yml里直接写ports:-“80:80”
不然又要专门给个防火墙配置,只要你不映射别人就不能直接进来
可以只暴露nginx的然后通过容器内网访问
加入同一个网络即可,这里不多赘述
总而言之
不想被打,那么就一定要保护好源站IP,躲在CDN后面
此外,就算你套了CDN,DNS解析也不能随便乱搞
你不能主站套了CDN,然后备用域名是解析直连。。。人家查一下你相关域名的全部DNS解析记录一关联,哎呀,防半天还是💥
特别是有想搞邮件服务器的佬友们,首先别家的邮箱能不能信你的IP是个问题,但是只要你跑SMTP了那么你的IP一定会“露出”,不如去用第三方转发省事
还有就是对于证书也是,别人可以查你域名的证书,然后可能可以和全网扫描器抓下来的其他子域名的证书做比对,也有可能可以反推出的IP和域名关系(可以像我一样mTLS服务器只挂了一个CF的源服务器证书看你怎么比对😋)
所以不要直接在源站使用公开签发的证书
还有就是如果自己能造轮子的话可以不走寻常路,只要你的设计够反人类😈那么查起来就麻烦嘻嘻
好啦打了那么多字。。。我感觉我看你一开始还有东西要讲的,但是打了那么多字,好像忘光光了(),不知道还要讲啥,就先那么多叭?后面可能补
如果我讲的东西有遗漏或者错误也欢迎佬友纠正
2 个帖子 - 2 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: Eric Terminal)
Invalid media:
image
image
image
闲来无事写篇教程,分享下自己配置服务器的心得和体会
虽然站里大部分佬友应该都不会需要那么基础的服务器配置教程
但是我比较注重安全嘛,这篇也主要是讲安全
本人第一次写教程所以可能分享不是很全面也可能不是很通熟易懂,望各位佬友指正
前言-“源站隐身”的哲学
最好的防御是让攻击者找不到目标,可以反人类一点
我举个例子
我之前为了让AI直接在我的手表上操作我的服务器
我写了个垫片,可以让服务器运行的本地MCP工具的stdin/stdout变成SSE远程MCP
这样我在学校也可以方便的拿手表控制服务器
但是这要暴露公网对吧。。。远程控制又root权限是很危险的对吧
所以我设置了一个长达512Bit的Token,没有的话就不服务
到这里本来也是很普通的,但是我程序设计的就是反人类
别人的话Token错了报错401/403
我返回404
还有类似fail2ban的东西,如果1分钟超过错误10次接下来一天管你对不对全部404
401/403是给人看的排查错误用的,但是如果真想不被人摸到那就应该返回看起来没有任何价值的信号,比如404/502之类的
第一节,最上层的防御策略
反向代理和相关配置
拿到服务器的话,除了自己SSH,暴露在公网环境能用CDN就不用直连
CDN这里推荐Cloudflare大家应该都没意见吧,虽然在国内可能相当于减速带,但是重在免费东西真太多了
ITDog跑的结果 (点击了解更多详细信息)
可以直接在CF买域名直接一条龙拿服务(不过可能偏贵一点,一个com差不多要10美元)
然后进入域名设置找到DNS,如果橙色云朵亮了那就是CDN启用了
这种不懂可以问Gemini这是啥()
然后CF的CDN会自动帮你签张证书,可能是GTS也可能是R3的,都差不多这个不用太在意
然后在CF仪表盘的SSL/TLS的概述页面,你可以看到这个的等级建议开严格(完全),不过这个要独立配置一张CF的证书待会讲
然后在边缘证书板块可以看到CF帮你签的证书
为了安全建议把强制HTTPS这些都勾上(反正我是连HSTS都一起开了),毕竟我连服务器的80端口都没开🤣
然后去源服务器设置那里专门生成一张15年有效期的源服务器证书,到时候你的服务器的Nginx就用这玩意和cloudflare做认证,cloudflare只认你的这个证书
可以把.pem和.key放到
/etc/nginx/certs这种地方去,然后让那个Nginx使用它偷工减料让Gemini写的Nginx配置,一个意思,可以照抄甚至让AI给你写定制的 (点击了解更多详细信息)
这样的话可以很好的保护CF到源服务器的路程不被劫持
当然,上面其实讲了一大堆屁话谁都会和你那么讲那么配
我们更需要关注的是(划重点)
就算你躲在CDN后面,源站IP藏起来了,你以为人家找不到了吗?
打错特错
每时每刻每分每秒都有扫描器对着所有IP(不看域名)扫描试图访问
要是你的服务器IP正好被摸到了,乖乖把证书交出去了,扫描器一看你证书里面SAN字段那么大一个域名,那么到时候源站IP一样露,和域名关联那就很有辨识度了
我们应该开启CF的回源验证,路径在SSL/TLS>源服务器>经过身份验证的源服务器拉取
我们只需要稍微对Nginx做点配置,让Nginx反向识别这个证书是不是来自CF的,不是CF的直接拒绝服务
具体这样操作 还是偷懒让Gemini帮忙写的配置,可以照抄,也可以让AI写 (点击了解更多详细信息)
然后扫描器的连接可以被掐断在第四层打不到应用层,虽然知道你的IP和开放端口,但是没法直接访问不能和域名关联那么扫到了也没啥意义
这样相当于服务器和CDN直接做了双向TLS验证,杜绝扫描器关联你的域名和IP
毕竟要是源站IP漏了那么在有攻击的情况下有没有CDN都没用了
对了,套了CDN,特别CF的CDN的时候
Nginx最好加上
real_ip_header CF-Connecting-IP;这样可以让Nginx记录客户端而CF边缘节点的IP
第二节,系统安全防护
首先对于你最最最亲爱的服务器
ssh要好好保护,防护等级从小到大依次是
1.建议是使用非标准的端口去ssh,只要避开默认的22可以杜绝80%以上的无脑爆破攻击
2.其次就是最好可以装个fail2ban,不然人家高频爆破蒙对密码了呢?
3.上非对称密钥,而且禁用密码登录
这里讲怎么生成非对称密钥和配对,虽然这是基操但是我知道你们懒得打字提前写着直接用吧 (点击了解更多详细信息)
还有一节就是防火墙的
很多小白装了ufw可能会疑惑,为什么ufw把端口ban了,但是docker跑的服务还是照样可以访问
因为docker比较霸道劫持了你的系统网关
我们不能为了安全就禁用Docker的iptables功能(那会导致容器没法上网),最优雅的办法是使用
ufw-docker这个开源工具,它能强行让Docker重新听 UFW 的话。sudo wget -O /usr/local/bin/ufw-docker https://github.com/chaifeng/ufw-docker/raw/master/ufw-docker
sudo chmod +x /usr/local/bin/ufw-docker
ufw-docker install
然后这样的话docker也归防火墙管了
有特殊的语法
ufw-docker allow nginx 443 #允许nginx的443端口
ufw-docker deny nginx 8080 #禁止nginx的8080端口
然后如果这样配置的话
除非万不得已,永远不要在docker-compose.yml里直接写ports:-“80:80”
不然又要专门给个防火墙配置,只要你不映射别人就不能直接进来
可以只暴露nginx的然后通过容器内网访问
加入同一个网络即可,这里不多赘述
总而言之
不想被打,那么就一定要保护好源站IP,躲在CDN后面
此外,就算你套了CDN,DNS解析也不能随便乱搞
你不能主站套了CDN,然后备用域名是解析直连。。。人家查一下你相关域名的全部DNS解析记录一关联,哎呀,防半天还是💥
特别是有想搞邮件服务器的佬友们,首先别家的邮箱能不能信你的IP是个问题,但是只要你跑SMTP了那么你的IP一定会“露出”,不如去用第三方转发省事
还有就是对于证书也是,别人可以查你域名的证书,然后可能可以和全网扫描器抓下来的其他子域名的证书做比对,也有可能可以反推出的IP和域名关系(可以像我一样mTLS服务器只挂了一个CF的源服务器证书看你怎么比对😋)
所以不要直接在源站使用公开签发的证书
还有就是如果自己能造轮子的话可以不走寻常路,只要你的设计够反人类😈那么查起来就麻烦嘻嘻
好啦打了那么多字。。。我感觉我看你一开始还有东西要讲的,但是打了那么多字,好像忘光光了(),不知道还要讲啥,就先那么多叭?后面可能补
如果我讲的东西有遗漏或者错误也欢迎佬友纠正
2 个帖子 - 2 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: Eric Terminal)
Invalid media:
image
image
image
去新加坡旅行有什么实际能薅的IT相关的东西吗
听说可以搞:
1. 离境依然可保号的手机卡
2. 新加坡籍信用卡(不知道怎么搞)
3. 带无限制esim的手机
这几个都实际好操作吗?因为只是旅游两三天而已,感觉折腾行程已经有点累了。
1 个帖子 - 1 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: SHENZHEN I/O 挂机玩家)
听说可以搞:
1. 离境依然可保号的手机卡
2. 新加坡籍信用卡(不知道怎么搞)
3. 带无限制esim的手机
这几个都实际好操作吗?因为只是旅游两三天而已,感觉折腾行程已经有点累了。
1 个帖子 - 1 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: SHENZHEN I/O 挂机玩家)
tailscale + openclash(tun + fakeip) 在软路由上共存的解决方案
和 gpt 折腾了两天,终于实现了 tailscale + openclash 在我家软路由上的共存
他解决了什么问题呢?
1. tailscale 没有分流。手机上也没法同时开 tailscale + stash/singbox。用起来贼麻烦,要切来切去
2. 我把我家路由器下的设备都暴露给 tailscale 组的网了。用起来非常省心,不用在 lan 下每台设备再开 tailscale 了。出门在外手机就能用 termius + tmux 控制家里电脑上的 agent 开始干活了。
下面是 ai 帮我整理的文章,和大家分享一下
在 OpenWrt 上让 OpenClash 和 Tailscale 共存
我折腾这套东西的原因其实很简单。
Tailscale 很好用,组网、穿透都省心。但它的 Exit Node 太“粗暴”——
● 开了 Exit Node:所有流量都走出口。如果出口在国内,你懂的,如果出口在国外,国内的流量要绕一大圈
● 不开 Exit Node:又什么都过不去
没有分流概念。
而我家里一直用 OpenClash(开着 Fake-IP)做精细分流。所以我的目标很明确:
最后打通了,而且挺稳定。
----------------------
现在的结构
● OpenWrt 同时运行 OpenClash(Fake-IP + tun 开启)
● 同时运行 Tailscale, 而且 advertise subnet
● OpenWrt 作为 Subnet Router + Exit Node
当我在外面把 OpenWrt 选成 Exit Node 时,流量路径是:
我的手机/电脑
↓
Tailscale
↓
家里 OpenWrt
↓
OpenClash 分流
效果就是:
● 仅多一跳,就享受和家里软路由一样的分流功能
----------------------
关键点就三个
1️⃣ 解决 DNS 冲突
Fake-IP 会接管 DNS。
Exit Node 模式下,Tailscale 不走 MagicDNS。
只需要在 OpenClash 的上游 DNS 里加:
这是 Tailscale 内置 DNS。
目的就是别把 Tailnet 域名 fake 掉。
100.100.100.100
然后在 fake-ip-filter 里加
+.ts.net, 让 tailscale 不解析 tailscale 域名
----------------------
2️⃣ 启动顺序
必须:
OpenClash → Tailscale
不然路由会被覆盖。
我就是简单在 /etc/init.d/tailscale 里加了个:
sleep 10
让 Tailscale 延迟启动, 保证 clash 启动且把iptables 和 ip route 配置完
----------------------
3️⃣ 给 Tailnet 单独一条高优先级路由
这是最关键的。
Clash 本质上在用策略路由 + fwmark。
如果不处理,100.64.0.0/10 可能会被它抢走。
我在
config route
option interface ‘tailscale’
option target ‘100.64.0.0/10’
option ‘200’
config rule
option dest ‘100.64.0.0/10’
option lookup ‘200’
option priority ‘100’
重点是 priority 要够小(数字越小优先级越高)。
Clash 通常插在 1000+,我设成 100,就是为了保证:
100.64.0.0/10 → 直接走 table 200 → tailscale0
优先级必须高过 Clash 的策略规则。
可以用:
ip rule show
确认顺序。
----------------------
现在的体验
● 在家里:正常 Clash 分流
● 在外面:连回家,依然 Clash 分流
● 不需要公网 IP
● 不需要端口映射
● LAN 设备也能直接访问 Tailnet
● 开了 Tailscale 就可以访问 LAN 下的设备。然后 Termius + tmux 就可以指挥家里电脑上的 agent 开始工作了
Tailscale 解决连接问题,
Clash 解决策略问题。
职责分清之后,它们其实并不冲突。
如果你也觉得 Tailscale 的 Exit Node 太简单粗暴,又不想放弃 Fake-IP 分流,这个方案是可行的,而且不复杂。
2 个帖子 - 2 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: yuluyi)
和 gpt 折腾了两天,终于实现了 tailscale + openclash 在我家软路由上的共存
他解决了什么问题呢?
1. tailscale 没有分流。手机上也没法同时开 tailscale + stash/singbox。用起来贼麻烦,要切来切去
2. 我把我家路由器下的设备都暴露给 tailscale 组的网了。用起来非常省心,不用在 lan 下每台设备再开 tailscale 了。出门在外手机就能用 termius + tmux 控制家里电脑上的 agent 开始干活了。
下面是 ai 帮我整理的文章,和大家分享一下
在 OpenWrt 上让 OpenClash 和 Tailscale 共存
我折腾这套东西的原因其实很简单。
Tailscale 很好用,组网、穿透都省心。但它的 Exit Node 太“粗暴”——
● 开了 Exit Node:所有流量都走出口。如果出口在国内,你懂的,如果出口在国外,国内的流量要绕一大圈
● 不开 Exit Node:又什么都过不去
没有分流概念。
而我家里一直用 OpenClash(开着 Fake-IP)做精细分流。所以我的目标很明确:
用 Tailscale 负责“回家”,用 Clash 负责“怎么上网”。远程连回家之后,依然按 Clash 规则分流,而不是全局代理或全局直连二选一。
最后打通了,而且挺稳定。
----------------------
现在的结构
● OpenWrt 同时运行 OpenClash(Fake-IP + tun 开启)
● 同时运行 Tailscale, 而且 advertise subnet
● OpenWrt 作为 Subnet Router + Exit Node
当我在外面把 OpenWrt 选成 Exit Node 时,流量路径是:
我的手机/电脑
↓
Tailscale
↓
家里 OpenWrt
↓
OpenClash 分流
效果就是:
● 仅多一跳,就享受和家里软路由一样的分流功能
----------------------
关键点就三个
1️⃣ 解决 DNS 冲突
Fake-IP 会接管 DNS。
Exit Node 模式下,Tailscale 不走 MagicDNS。
只需要在 OpenClash 的上游 DNS 里加:
这是 Tailscale 内置 DNS。
目的就是别把 Tailnet 域名 fake 掉。
100.100.100.100
然后在 fake-ip-filter 里加
+.ts.net, 让 tailscale 不解析 tailscale 域名
----------------------
2️⃣ 启动顺序
必须:
OpenClash → Tailscale
不然路由会被覆盖。
我就是简单在 /etc/init.d/tailscale 里加了个:
sleep 10
让 Tailscale 延迟启动, 保证 clash 启动且把iptables 和 ip route 配置完
----------------------
3️⃣ 给 Tailnet 单独一条高优先级路由
这是最关键的。
Clash 本质上在用策略路由 + fwmark。
如果不处理,100.64.0.0/10 可能会被它抢走。
我在
/etc/config/network 里加:config route
option interface ‘tailscale’
option target ‘100.64.0.0/10’
option ‘200’
config rule
option dest ‘100.64.0.0/10’
option lookup ‘200’
option priority ‘100’
重点是 priority 要够小(数字越小优先级越高)。
Clash 通常插在 1000+,我设成 100,就是为了保证:
100.64.0.0/10 → 直接走 table 200 → tailscale0
优先级必须高过 Clash 的策略规则。
可以用:
ip rule show
确认顺序。
----------------------
现在的体验
● 在家里:正常 Clash 分流
● 在外面:连回家,依然 Clash 分流
● 不需要公网 IP
● 不需要端口映射
● LAN 设备也能直接访问 Tailnet
● 开了 Tailscale 就可以访问 LAN 下的设备。然后 Termius + tmux 就可以指挥家里电脑上的 agent 开始工作了
Tailscale 解决连接问题,
Clash 解决策略问题。
职责分清之后,它们其实并不冲突。
如果你也觉得 Tailscale 的 Exit Node 太简单粗暴,又不想放弃 Fake-IP 分流,这个方案是可行的,而且不复杂。
2 个帖子 - 2 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: yuluyi)
各位,你们用什么软件给电脑装驱动啊?
在过年假期,想给电脑重做个系统。
但突然发现,没有一个合适的工具给电脑装驱动了。
之前一直用的是“360驱动大师”绿色提取版,还是很好用的。但不小心给弄没了。重新下载了一个,用的时候让我选择下载模式:慢的就特别慢,快的就要装360 。。。那我果断不用了。
但是,现在应该用什么呢?
驱动精灵?不给钱就别想用,这种的不行。。。
我还看到“DriverBooster”这类的,好用但是需要开梯,其实也挺麻烦的。。。
那么,各位佬,你们用啥工具给电脑装驱动啊???
1 个帖子 - 1 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: beyond510)
在过年假期,想给电脑重做个系统。
但突然发现,没有一个合适的工具给电脑装驱动了。
之前一直用的是“360驱动大师”绿色提取版,还是很好用的。但不小心给弄没了。重新下载了一个,用的时候让我选择下载模式:慢的就特别慢,快的就要装360 。。。那我果断不用了。
但是,现在应该用什么呢?
驱动精灵?不给钱就别想用,这种的不行。。。
我还看到“DriverBooster”这类的,好用但是需要开梯,其实也挺麻烦的。。。
那么,各位佬,你们用啥工具给电脑装驱动啊???
1 个帖子 - 1 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: beyond510)
各位gemini pro被扬了的佬,数据还在么
目前用gemini网页版比较多,最近看坛里的帖子,大善人不太善了,有点担心也会被扬,特来问问pro被扬了的话,之前和gemini的对话内容还在不。
要是不在了我就得准备备份下对话了。
4 个帖子 - 3 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: imcake)
目前用gemini网页版比较多,最近看坛里的帖子,大善人不太善了,有点担心也会被扬,特来问问pro被扬了的话,之前和gemini的对话内容还在不。
要是不在了我就得准备备份下对话了。
4 个帖子 - 3 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: imcake)
最近gemini3.1pro服务是不是有点问题
最近两天用gemini的pro模型,看他的思维链已经到最后一步了,但是最后就会中断,然后就要重试,好几遍都这样,但是让他立即回答的话,就可以出答案,应该不是梯子的问题,我问grok和gpt都没有任何问题。不知道是什情况。最近两天用gemini的pro模型,看他的思维链已经到最后一步了,但是最后就会中断,然后就要重试,好几遍都这样,但是让他立即回答的话,就可以出答案,应该不是梯子的问题,我问grok和gpt都没有任何问题。不知道是什么情况。
1 个帖子 - 1 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: Origin)
最近两天用gemini的pro模型,看他的思维链已经到最后一步了,但是最后就会中断,然后就要重试,好几遍都这样,但是让他立即回答的话,就可以出答案,应该不是梯子的问题,我问grok和gpt都没有任何问题。不知道是什情况。最近两天用gemini的pro模型,看他的思维链已经到最后一步了,但是最后就会中断,然后就要重试,好几遍都这样,但是让他立即回答的话,就可以出答案,应该不是梯子的问题,我问grok和gpt都没有任何问题。不知道是什么情况。
1 个帖子 - 1 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: Origin)
智谱发布 GLM Coding Plan 致歉信:GLM-5 消耗最高达 3 倍。现支持退款
官方 @quiiiii 目前仍然未发布相关内容
----------------------
智谱于 2 月 21 日发布致歉信,承认在规则透明度、模型灰度节奏及老用户升级机制方面存在不足。官方解释称 GLM-5 参数规模是 GLM-4.7 的两倍以上,因此采取高峰期 3 倍、非高峰期 2 倍的消耗策略。目前 Max 与 Pro 用户已开放使用,Lite 用户将在节后逐步灰度开放。
针对用户反馈的看板延迟问题,智谱已将刷新频率由 1 小时优化至 10 分钟。公司支持 2026 年 1 月 1 日至今受影响的 Lite 和 Pro 用户申请退款,并为特定期间升级的用户提供回滚服务。此外,购买页已全面展示规则详情以应对透明度不足的问题。
----------------------
SRC:
ORI:
1 个帖子 - 1 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: 多玩幻灵qwq)
Invalid media:
image
image
官方 @quiiiii 目前仍然未发布相关内容
----------------------
智谱于 2 月 21 日发布致歉信,承认在规则透明度、模型灰度节奏及老用户升级机制方面存在不足。官方解释称 GLM-5 参数规模是 GLM-4.7 的两倍以上,因此采取高峰期 3 倍、非高峰期 2 倍的消耗策略。目前 Max 与 Pro 用户已开放使用,Lite 用户将在节后逐步灰度开放。
针对用户反馈的看板延迟问题,智谱已将刷新频率由 1 小时优化至 10 分钟。公司支持 2026 年 1 月 1 日至今受影响的 Lite 和 Pro 用户申请退款,并为特定期间升级的用户提供回滚服务。此外,购买页已全面展示规则详情以应对透明度不足的问题。
----------------------
SRC:
ORI:
1 个帖子 - 1 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: 多玩幻灵qwq)
Invalid media:
image
image
初五.碎碎念 | 最近拍的一些杂七杂八
农村的年味
体感最深的时候就是
拜访很亲但是由于太久没见仍感到一丝尴尬的亲人时,往往会转移话题至眼前可达视线内的其他事物 like 周围的花木 and 动物 各种鸡鸭鹅以及小狗小猫小到熊蜂
所以过年的时候也是观察周围事物最仔细的时候
不过看得真得很舒心了 暂时忘却现实生活与网络的繁杂,享受当下的自然
早春开了一些花苞的桃花 还有家里的迎春花忘记拍了awa
家里这边一堆黄油油的油菜花
正面看肥肥的,在吸山茶花花粉
这鸭傻傻胖胖的
外婆家每年必备缺口瓷碗 这两天天气真好! 阳光暖暖的
嗯? 年夜饭呢 当然是来不及拍就已经开吃了 :tieba_003:
3 个帖子 - 2 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: Noospic)
Invalid media:
image
image
image
image
image
image
image
image
image
image
image
image
农村的年味
体感最深的时候就是
拜访很亲但是由于太久没见仍感到一丝尴尬的亲人时,往往会转移话题至眼前可达视线内的其他事物 like 周围的花木 and 动物 各种鸡鸭鹅以及小狗小猫小到熊蜂
所以过年的时候也是观察周围事物最仔细的时候
不过看得真得很舒心了 暂时忘却现实生活与网络的繁杂,享受当下的自然
早春开了一些花苞的桃花 还有家里的迎春花忘记拍了awa
家里这边一堆黄油油的油菜花
正面看肥肥的,在吸山茶花花粉
这鸭傻傻胖胖的
外婆家每年必备缺口瓷碗 这两天天气真好! 阳光暖暖的
嗯? 年夜饭呢 当然是来不及拍就已经开吃了 :tieba_003:
3 个帖子 - 2 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: Noospic)
Invalid media:
image
image
image
image
image
image
image
image
image
image
image
image
Anthropic 公司正式规定(下图),它的 API 令牌只能用于 Claude Code 和官网,第三方工具一律不得使用。
【Anthropic】限制Claude Code第三方工具集成,引发开发者社区争议_平台_访问_方案
科学网—你把AI订阅给第三方工具用,Anthropic、OpenAI和Google的反应天差地别 - 王树义的博文
3 个帖子 - 3 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: 𝓵𝓮𝔃𝓲𝓼𝓱𝓮𝓷)
Invalid media: image
【Anthropic】限制Claude Code第三方工具集成,引发开发者社区争议_平台_访问_方案
科学网—你把AI订阅给第三方工具用,Anthropic、OpenAI和Google的反应天差地别 - 王树义的博文
3 个帖子 - 3 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: 𝓵𝓮𝔃𝓲𝓼𝓱𝓮𝓷)
Invalid media: image
300美金一个月的Grok 4.2 Heavy天气卡片
模型:Grok 4.2 Heavy(这个模型只有300刀的Heavy订阅才能用,对标ChatGPT-Pro或Gemini-Ultra)
很难想象,作为世界第四大人工智能公司,xAI在Coding领域甚至没上桌…
5 个帖子 - 4 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: Dax)
Invalid media: image
模型:Grok 4.2 Heavy(这个模型只有300刀的Heavy订阅才能用,对标ChatGPT-Pro或Gemini-Ultra)
很难想象,作为世界第四大人工智能公司,xAI在Coding领域甚至没上桌…
5 个帖子 - 4 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: Dax)
Invalid media: image
智谱支持退款了!!!
如题,刚才智谱发布道歉信,不过我不关心这个,重要的是承诺过几天开放退款窗口.
想要退的佬抓紧,搞不好人一多也得搞延迟退.
1 个帖子 - 1 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: 0.6)
Invalid media: image
如题,刚才智谱发布道歉信,不过我不关心这个,重要的是承诺过几天开放退款窗口.
想要退的佬抓紧,搞不好人一多也得搞延迟退.
1 个帖子 - 1 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: 0.6)
Invalid media: image
初二人山人海的古城,今天补上
虽然人多,但绝对值得一去,大家猜猜是哪里?
2 个帖子 - 2 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: lzy1216)
Invalid media: image
虽然人多,但绝对值得一去,大家猜猜是哪里?
2 个帖子 - 2 位参与者
阅读完整话题
via LINUX DO - 最新话题 (author: lzy1216)
Invalid media: image