V2EX › yinmin 的所有回复 › 第 1 页 / 共 150 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 2 3 4 5 6 7 8 9 10 ... 150

❮

❯

1 天前

回复了 qsnow6 创建的主题 › 信息安全 › 1000 万国产安卓电视设备成为僵尸网络！

@gpt5 #6 我把家里所有的 LoT 设备都接到 guest wifi ，就是不放心 LoT 安全性。guest wifi 是内网隔离的，LoT 只能连网关，连不上 guest 网络上的其他设备，防止渗透。

1 天前

回复了 hqt1021 创建的主题 › NAS › 理性讨论没有绝对安全的系统

@jocover #18 nas 上建一个带密码的 vhdx 文件，写 2 个脚本：在本地计算机自动挂接 nas 上的 vhdx 、断开 nas 上的 vhdx ，即安全又方便。

1 天前

回复了 hqt1021 创建的主题 › NAS › 理性讨论没有绝对安全的系统

接#19 ，如果 fnos 的 https 服务能校验 sni ，并直接挂断"无 sni/sni 不正确"的连接，黑客也不可能这么肆无忌惮的随意攻击。

1 天前

回复了 hqt1021 创建的主题 › NAS › 理性讨论没有绝对安全的系统

家庭/小公司的公网 ip 开放服务，有几个安全技巧推荐：

(1) 屏蔽无 sni 的 tls( https)连接。黑客盲扫是不知道你域名(sni)的，这条简单规则直接防 99.9%的黑客盲扫攻击。推荐前置 nginx ，配置 stream 模块的 map $ssl_preread_server_name ，并且不设 default 项，如果黑客发起无 sni 链接，nginx 会直接挂断 tcp 。(有个坑：如果设置不对，黑客发起无 sni 的 tls 请求后，服务器会发送证书，证书里有域名；服务器要直接挂断 tcp 不能返回证书)

(2) 对于管理平台等私有 https 网站，启用双向证书认证 mtls 。浏览器导入客户端证书后，使用起来超方便。windows 、mac 、ios 、android 浏览器都支持客户端证书认证的。推荐前置 nginx 或者 stunnel ，没有客户端证书，根本到不了后端服务。

(3) ssh over tls 。通常 ssh 仅密钥登录/关闭密码登录后是足够安全的，如果希望混淆 ssh ，或者进一步提升安全性，可以前置 nginx ，对 ssh 进行 tls 包裹。在.ssh/config 里配置 ProxyCommand 参数后，ssh 操作和原来基本一样。

(4) 公网只暴露 ssh 、tls(屏蔽"无 sni"连接)、vpn ，其他端口一律不要暴露。

抛砖引玉~~~

2 天前

回复了 xyz3210 创建的主题 › 宽带症候群 › 近期境外访问中国网站

@xyz3210 #5 你需要一个新加坡或者香港的线路。

关于招行信用卡网络问题，其实很好解决的：你到 trip.com 上查找“美国 esim”关键词，然后看 esim 资料里 apn 是 cmlink 或者 mobile.three.com.hk 的 esim 套餐，都是香港 ip 访问很快的，总量 10GB/30 天只要 6 刀左右

2 天前

回复了 xyz3210 创建的主题 › 宽带症候群 › 近期境外访问中国网站

周一开始,好像是电信到美国的线路有问题,移动/联通到美国的线路好像还行. 你 ping 移动/联通的 ip 试试

2 天前

回复了 Admstor 创建的主题 › SSH › 我不理解几乎所有 SSH 加固都提到配置公钥

私钥文件是可以加密码保护的

2 天前

回复了 happyxhw101 创建的主题 › NAS › 分享下我的 nas 安全方案

nginx 可以换一个思路保护:
(1) 必须域名访问: stream 模块里加 map $ssl_preread_server_name,不要设置 default 。如果黑客不知道 SNI,nginx 会直接挂断 TCP 连接,不会进行 TLS 协商
(2) 启用双向证书(mTLS)保护: HTTPS 网站在 nginx 里启用客户端证书认证,如果没有客户端证书 nginx 就无法建立 tls 连接,保护后端业务。windows 、macos 、ios 、android 的浏览器都是原厂支持客户端证书的

实施以上 2 条后,可以不用禁止国外 ip

2 天前

回复了 Croow 创建的主题 › 问与答 › 回家的高铁要坐 8 小时，这个时间怎么度过？

整理照片

3 天前

回复了 victorysl 创建的主题 › 职场话题 › 真心吐槽我司的生成式 AI 访问政策

现在很多有密保要求的单位，都在内网部署私有的 qwen 或 deepseek 的开源模型提升员工效率

3 天前

回复了 leang521 创建的主题 › NAS › 飞牛这次漏洞有没有搞头

最易用的方式是部署 mtls （双向证书认证），在客户端系统上安装客户端证书，浏览器访问 mtls 的网站时选择使用客户端证书，用起来很方便，无需第三方软件，支持 windows 、mac 、ios 、android 浏览器。

1 月 25 日

回复了 quzard 创建的主题 › 投资 › 最近有大佬去香港办卡开港股美股的吗？现在有什么要求的吗

@Michelangelono 目前，美国不参加 CRS ，不向中国提供中国税务居民的金融数据

1 月 24 日

回复了 quzard 创建的主题 › 投资 › 最近有大佬去香港办卡开港股美股的吗？现在有什么要求的吗

别在香港炒外股，会传给你户籍的税务局，然后亏的算你自己亏，赚的让你交 20%的个人所得税

1 月 18 日

回复了 takeshima 创建的主题 ›  Pay › 国内 Visa Apple Pay 线上支付失败率好高啊

中国 visa 的 applepay 的虚拟卡 bin 号（卡号前 6 位）都是新的，影响风控判断。例如：兴业 visa 的 applepay 设备卡号前 6 位是 464759

1 月 14 日

回复了 LightofHeven 创建的主题 › 互联网 › 如果断网 132 个小时，个人有什么能用的灾备方案用上网络

中国的商业/生活已经完全依赖网络了，所以不会断网，只会境外网站白名单

1 月 11 日

回复了 peiran 创建的主题 › 职场话题 › 有什么适合宝妈在家干的网络兼职工作推荐吗？挣个零花钱就行。。

骗子瞄准了这个群体要小心。有些反常识的别弄，比如：朗读文章赚钱。

1 月 11 日

回复了 B4a1n 创建的主题 › 问与答 › 小米手机里多了一个证书（用户凭证）identity-cert-keypair-2

@pingdog #21 我有小米手机，在设置-隐私与安全-安全-更多安全设置—更多安全设置-加密与凭证-用户凭据，看到这 3 个凭据 RSA-KEY 、identity-cert-keypair 、identity-cert-keypair-2 ，这 3 个凭据都是“1 个用户密钥、1 个用户证书”，没有 ca 证书。

我特意看了自己导入的 ipsec 凭据是包含“1 个用户密钥、1 个用户证书、1 个 ca 证书”，和 RSA-KEY 、identity-cert-keypair 、identity-cert-keypair-2 有区别。

另外，我记得小米手机之前是没这 3 个凭据，最近固件升级过几次，不清楚哪里应用带来的。

1 月 10 日

回复了 B4a1n 创建的主题 › 问与答 › 小米手机里多了一个证书（用户凭证）identity-cert-keypair-2

RSA-KEY 、identity-cert-keypair 、identity-cert-keypair-2 只是用户证书不是 ca 证书，应该是没法做 tls 监听的吧

1 月 10 日

回复了 Lowlife 创建的主题 ›  Pay › 招商客服回复 1.15 推出 VISA Apple Pay 服务？🤔

@follow #13 欧美澳日新的手机支付基本都是 applepay ，普及度很高很高，留子苦于 applepay 不支持国内 visa/mastercard 久矣，国外用实体银行卡太容易被盗刷了。（ applepay 盗刷基本都是绑卡出问题，绑了黑客手机被盗刷）

1 2 3 4 5 6 7 8 9 10 ... 150

❮

❯