DOT/DOH 可能是因为证书不好签？

@Ljcbaby
> cve-2021-4034 之类的试试？

polkit 也是靠 suid 二进制提权的，这里整个 /usr 都没了 o+x 权限，估计只有进单用户想办法了

不能改 kernel cmdline 吗，可以的话先进单用户把权限改回去

软路由+NAS+计算服务器 all boom in one
安装的是 Fedora Server ，存储是 btrfs ，磁盘监控是 smartd+esmtp 通知

@Tink oracle 好像不设置成付费帐号不会扣费，于是可以愉快的玩耍，不用担心像亚马逊一样反薅

@asdasdqqq 这个路径升级会覆盖，用 systemctl edit docker 创建 drop-in 配置文件

@asdasdqqq 这种情况下给 docker 的 service 一个 RequiresMountsFor=/path/to/mount/point 的属性就行

remote-fs.target 的时机和 network-online.target 的时机应该是 systemd 会处理好的，是不是你的网络管理器的 online 检测服务没 enable

route add -host 152.69.*.* dev eth0.3 这一跳就成了 on-link 了。但实际上这一跳要发给网关。

不怕吵的话无脑 hc550

ssh key 放到硬件里面，openssh 支持 pkcs11 或者是 fido2 的硬件来存储证书，这才能做到万无一失，私钥谁也拿不到，要用私钥签名必须要用户按一下硬件按钮 /输入 pin

其他各种方式都会带来麻烦，比如 SELinux 的话你就需要给整个用户会话一个单独的上下文（默认情况下是 unconfined_t ），以及给 ssh 一个单独的上下文，分别配置权限。当然，对于系统服务的限制早就有 SELinux 的解决方案了，用户的 .ssh 文件夹是 ssh_home_t,多数系统服务的上下文(e.g. init_t)没权限访问。

要是用 systemd 的话如果你限制整个用户会话访问 ~/.ssh 那你启动的 ssh 也访问不了。你要是只限制系统服务也很简单,ProtectHome 就行，但是不够，用户自己运行有问题的程序你也没办法。

先退一步，检查下硬件型号相同的话怎样

包管理走 http 大多数情况下不是问题，中间人攻击不能塞给你投毒之后的元数据或者是包
但是有可能出现一类特殊的攻击，就是中间人服务器阻止你安装特定安全更新，从而达到攻击的目的

debian 系的做法是给安全更新单独的源，并且那个源貌似默认镜像站很少（也不建议用镜像站）于是饱受诟病

@murmur 不受控的 DNS 可能泄漏你正在访问的地址

@iGuChin 觉得整个过程挺直观的，在机器上运行 cloudflared ，设置好各个子域名指向各个服务，然后再 cloudflare 设置好 CNAME 记录，然后再 cloudflare teams 里面加上对应的域名的认证策略就行

@huangya hyperV 那边会显示增强会话

@huangya 会好很多，并且也能突破原有的分辨率限制（印象中那个 fb 最高也就 1080p ）

其实家里几个机器的管理面板就通过 cloudflare tunnel 和 cloudflare access 暴露到公网，还挺好用的，不用担心被运营商查水表，也不用折腾 ddns

要基于 Netfilter 架构岂不是要写内核模块，并且自己实现 conntrack 这些基础设施？这事情不简单啊