新闻出来了。

無許諾サブスク風サイト運営者を中国で初の一斉刑事摘発　２事件の運営者ら計 13 名を相次いで逮捕

https://coda-cj.jp/news/2027/

好复杂，第一次看到有人在家庭网络里用动态路由协议。。。

我觉得即使用主路由+旁路由模式，主路由最好也有一定的定制能力(aka: OpenWrt)，这样实现按需分流会更简单：

* 路由：主路由上路由表里添加 cn ip 段直连。其它路由(0.0.0.0/1 + 128.0.0.0/1)走旁路由。
* BT / PT 机器全局直连等需求可以根据 src ip 策略路由。也可以使用 dscp + iptables mark 实现更复杂的需求（例如 qbittorrent.exe 的流量强制直连）
* DNS：直接用主路由上的 SmartDNS 。国内域名 (dnsmasq-china-list) 走国内 DNS 。所有其他域名走 CF 或其他国外的 DoT 或 DoH dns：tls://1.1.1.1:853, tls://1.0.0.1:853, https://1.1.1.1/dns-query, https://1.0.0.1/dns-query 。
* 容灾：主路由上自己写脚本每分钟检测旁路由状态，炸了把 0.0.0.0/1 + 128.0.0.0/1 两条路由删了就行。DNS 不用管。

天猫精灵全都崩了，家里灯都开不了。害得我排查了半天家里网

最后我才怀疑是阿里服务器的问题。但是 twitter 上搜天猫精灵什么消息都没有。结果再 V2EX 这里才看到。。

感谢各位回复。

@gam2046

拼多多店铺的名称就是"小米官方旗舰店"，首页写着由"小米通讯技术有限公司"官方运营，也能看到营业执照。我打小米官网的 400-100-5678 客服电话对方也知道该售后纠纷事宜。所以我认为这个应该确实是小米自己运营的店铺，不是第三方。

@kelvinismartian
@tin3w5

对国产 / 国外以及各个品牌选择没有特别倾向。买这台机器只是因为性价比 /价格因素。我以为只要是正规品牌基本的售后条款应该能遵守（可能用品控差、小做工等问题退货会跟你扯皮，但是只要机器未激活且外表无损坏都可以无理由退），谁知道对方直接耍流氓。

@systemcall

我的跳过 OOBE 操作可能有问题。但这应该不是关键。如果确实是售后自己把机器联网激活以此拒绝退货，不管我是如何操作的都无济于事。

开启 root 用户。

ssh 启用密码登录。（密码设为 32 位随机字符）

禁用防火墙、禁用 selinux 。

给服务器取个名字设为 hostname ，在自己域名的管理界面加一条 hostname.s.example.com 的 DNS 记录指向服务器 IP ，这样就不用记服务器 IP 了。

（ CentOS / RHEL 系）删除 .bashrc 里默认的 alias rm="rm -i" 和 alias mv="mv -i"

我理解是：

1. 这个病毒（毒性）本来就是流感级别。只是传染力强了点。
2. 现在基本每人都得过病毒了（不管有没有出现症状），体内有自然抗体。
3. 然后日常不可避免地会（通过周围人际交流）持续接触到低剂量的病毒，所以体内抗体能够一直保持，不会出现症状。（“预防性暴露”）

@krixaar 多谢提醒，看了下我机子上面也没有开 swap ，等我开了试试。这机子我用来做 CloudFlare 的源转发流量到真正后端的。我寻思 iptables / netfilter 做的 nat / conntrack 应该也不会占很多内存啊。

个人体验 lightsail 好像不怎么稳。。

有个东京区域的最低配(3.5 刀） lightsail ，什么东西都没跑，就用 iptables nat 转发了几个端口。

然后这个 vps 不定时失联，ip 从外部无法 ping 通。aws 后台显示状态 running 正常，web ssh 无法连接。只能在 aws 后台 force stop 然后 start 强行重启。每年大概出现个几次。一直没找出原因。

我在自己家路由器上弄过这个（目的是阻止破解的 ps4 联网。。)，就是几条 iptables 规则：

ipset create blnet hash:net
ipset create macblnet hash:mac

iptables -t mangle -I PREROUTING -m set --match-set blnet src ! -d 192.168.0.0/16 -j DROP
iptables -t mangle -A PREROUTING -m set --match-set macblnet src,src ! -d 192.168.0.0/16 -j DROP

其中 192.168.0.0/16 是你的局域网网段。

然后把想要禁止联网机器的 IP 地址或 MAC 地址加到 blnet / macblnet 的 ipset 里即可，例如：

ipset add blnet 192.168.1.100
ipset add macblnet 00:11:22:33:44:55

但是这种方式只建议用于自己控制的设备。如果要做到网络安全意义上的隔离，需要用 vlan 之类的。

理论上应该可以做到吧。需要用到 wireguard 隧道，否则回程的流量源服务器会直接发送给客户端，然后被客户端丢弃。

假设反代(eth0: 1.2.3.4, wg0: 10.0.0.1/24) <--> 源(eth0: 2.3.4.5, wg0: 10.0.0.2/24)。服务运行在 tcp/80 端口。

首先两台服务器都需要打开 ipv4 forward (net.ipv4.ip_forward=1)

反代:
iptables -t mangle -A PREROUTING -p tcp --dport 80 -m mark --set-mark 0x1/0x1 -j ACCEPT
iptables -t nat -A PREROUTING -m mark --mark 0x1/0x1 -j DNAT --to 2.3.4.5
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
ip rule add fwmark 0x1/0x1 table 10
ip route add default via 10.0.0.1 table 10

源:
iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark
iptables -t mangle -A PREROUTING -p tcp --dport 80 -m mark --set-mark 0x1/0x1 -j ACCEPT
iptables -t mangle -A POSTROUTING -j CONNMARK --save-mark
ip rule add fwmark 0x1/0x1 table 10
ip route add default via 10.0.0.2 table 10

@silymore

如果 giftcard 是你自己信用卡 /paypal 买的，那么肯定可以啊。

@billlee

我认为 TPM+pin 并不会增加安全性。如果别人能够物理接触你的设备，完全可以把它替换为同一型号的另一台特制启动界面的电脑，然后诱使你在这台电脑上输入 pin 。获得 pin 后就可以解锁你原来的电脑了。

对于邪恶女佣攻击(Evil maid attack)，唯一的防范方式是一旦设备物理离开过自己的控制（并且可能被专业攻击者接触过），就认为这台设备不再可信。

而且 TPM + pin 最大的问题是，我找到的所有资料都显示 pin 并没有成为加密硬盘的主密钥的一部分(*)，而只是 TPM 提供的一种交互验证机制。TPM 里仍然单独保存着完整硬盘密钥。如果 TPM 有后门或者攻击者能够用某种方式(比如，DMA 攻击，cold boot attack 等)攻破 TPM ，就能直接解密硬盘。

* 例如微软的文档： https://learn.microsoft.com/en-us/windows/security/information-protection/bitlocker/prepare-your-organization-for-bitlocker-planning-and-policies#bitlocker-authentication-methods

TPM validates early boot components. The user must enter the correct PIN before the start-up process can continue, and before the drive can be unlocked. The TPM enters lockout if the incorrect PIN is entered repeatedly, to protect the PIN from brute force attacks. The number of repeated attempts that will trigger a lockout is variable.

我有过同样需求，除了火绒也没找到其它软件。但我不想使用（非开源）国产安全软件，所以找了些其它曲线方式。

如果必须用某些国产软件，又不想让这些软件窃取隐私。除了虚拟机，有几种方案：

1. sandboxie-plus. 在 sandbox 配置里可以设置某些路径对于沙盒里程序不可访问。缺点是路径需要自己一个个手动添加，默认配置下所有路径都可以访问。

2. 在 windows 用户管理 (lusrmgr.msc)里创建专门的普通权限("Users" group)用户，然后在当前桌面会话里用这个用户身份安装 /运行程序。Windows 自带的 runas 工具可以命令行形式以其它用户身份运行命令，但是每次必须从 stdin 输入该用户的密码。建议使用微软出的 PSTools 里的 PsExec.exe 命令行工具：

PsExec -accepteula -d -user user -p "123456" "C:\programs\qq\qq.exe"

即可以 user 用户(密码 123456 ）身份运行 qq.exe 。写个 bat 脚本就可以自动化。

这种方式好处是，非 administrators 用户默认配置下即无法访问其它用户的主目录(%USERPROFILE%, 浏览器历史记录等信息都在这里)，如果需要保护其它目录，也可以通过配置 D:\ 等各盘符根目录的 NTFS 权限轻易实现。

3. Windows sandbox. 这个本质上也是(Hyper-V)虚拟机。但是打开和启动速度很快。 使用 *.wsb 文件可以配置 Windows Sandbox 很多参数。双击 .wsb 直接用指定的参数启动沙盒。可以在 .wsb 里把 host 里的某个目录挂载到 sandbox 里，或配置 sandbox 启动时自动运行命令，例如：

<Configuration>
<VGpu>Disable</VGpu>
<Networking>Disable</Networking>
<MappedFolders>
<MappedFolder>
<HostFolder>C:\programs\qq</HostFolder>
<SandboxFolder>C:\qq</SandboxFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>C:\qq\qq.exe</Command>
</LogonCommand>
</Configuration>

然后双击 *.wsb 就直接在 sandbox 里打开 qq 了。

这种方式可以提供最佳的保护能力。缺点是一般只能用来运行绿色软件。需要安装的软件必须每次启动 sandbox 时安装一次，体验不可接受。

设备自身安全：
手机：无法保证安全。特别是国产手机。
电脑：所有电脑启用全盘 BitLocker 加密。不使用 TPM ，每次开机时自己输入密码。

网络安全：
涉及敏感操作的网络活动（从注册账户到发帖）全程使用 tor browser + 自建 vps 前置代理。使用 ProtonMail 之类的匿名邮箱。任何账户不关联手机号，不使用付费服务（支付环节保持匿名是最困难的，即使使用虚拟货币+混币器）。

高度敏感的网络安全：
在上面的基础上，使用 Tails 。

Macbook 不了解。我专门研究过 BitLocker / TPM ，结论是任何使用 TPM 的 BitLocker 都是不安全的。即使不考虑国产 TPM 芯片潜在的后门，也可以通过旁路攻击（拦截 TPM 与 CPU 直接的 LPC 总线明文传输）等方式获取 TPM 里保存的密钥。更有 Cold boot attack (冷启动攻击) 这种大杀器。

TPM + pin 这种 protector 方式并没有从本质上增加 BitLocker 安全性（参考资料：[PIN does not become part of the key]( https://security.stackexchange.com/questions/232600/why-doesnt-the-pin-become-part-of-the-encryption-key-in-bitlocker-with-tpm)）。我建议只使用 password 这种 protector (需要配置组策略)，并且在不用时完全关机（ shutdown ）或休眠(hibernation, 即 ACPI 的 S4 状态)电脑以防止 CBA 攻击。

我觉得 PT 这种类型网站毫无意义 ----

- 人为制造出邀请注册、账户考核（甚至还有连坐）等各种毫无意义障碍，妨碍信息自由流通。
- 很多 PT 网站的长期账户考核要求的上传 /下载比例 > 1 。那么所有人都在上传，谁来下载？我只能认为是站方为了卖赞助会员。

对于下载者而言：现在有无数公开免费的渠道和方式可以获取到自己想要的任何资源。我没有用任何 PT 站，但是从未因为找不到想要的资源而困扰。

对于分享者而言：由于互联网带宽成本的下降以及低价云服务的流行，现在有各种便捷而成本低廉的分享资源方式（比如：Google 网盘每个用户分享的文件每天可以被下载 10TB 而无速度限制），完全不需要借助 PT 这种方式来保证分享可持续性。我觉得伸手党也没什么不好的，人们有自己的生活，没有理由要求其他人和自己一样。重要的是信息能够得到自由传播。