V2EX › yinmin 的所有回复 › 第 4 页 / 共 147 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 2 3 4 5 6 7 8 9 10 ... 147

❮

❯

82 天前

回复了 badbay 创建的主题 › 程序员 › 内网服务器和 DMZ 服务器之间只开了一个端口，但是外网需要访问内网中的 mysql， redis 和 minio

接#20 ，你也可以在内网部署 ssh 、socks5 之类，然后防火墙开放 ssh/socks5 端口给 dmz ，不过 ssh 、socks5 等于开放整个内网，安全性比较差，强烈不推荐。

“通过 sni 聚合 3 个 tcp 端口”是最安全的方式，甚至比开放 3 个 tcp 端口更安全，因为 sni 名称天然就是一个密码锁。（看不懂可以发给 ai ）

82 天前

回复了 badbay 创建的主题 › 程序员 › 内网服务器和 DMZ 服务器之间只开了一个端口，但是外网需要访问内网中的 mysql， redis 和 minio

三楼正解。

在内网部署 stunnel 软件将 mysql/redis/minio 的 tcp 转化成 tls ，然后通过 sni 聚合成 1 个端口，防火墙开放 stunnel 这个端口给 dmz 区，由于 mysql 、redis 、minio 的客户端都支持 tls ，所以可以通过不同的 sni 直连 stunnel tls 端口（也可以通过 stunnel 将 tls 还原成 tcp ）。

你也可以在 mysql 、redis 、minio 上部署 tls ，然后在内网部署 sni proxy 聚合成一个端口开放给 dmz 区。

stunnel 、sniproxy 都是可以用在生产环境，在低并发(小于 500 并发）高带宽（千兆）下能长时间稳定运行。

你可以将你的问题和我的答案发给 ai ，让 ai 详细说原理和实施步骤。

88 天前

回复了 puremaker 创建的主题 › Java › Springboot 项目部署到 docker 无法连通数据库

你的 2 个容器是不是：一个用 host 网络模式、另外一个是用 bridge 网络模式？你大概率需要配置 docker 主机防火墙开放 tcp 端口的。

其实有 1 个简单有效的方式，容器设置固定 ip 地址，然后连接这个容器固定 ip 地址。

88 天前

回复了 shendaowu 创建的主题 › 信息安全 › 有没有简单高效可靠的方法防止 web 服务半夜定时执行的耗时任务被恶意执行？

类似 openai 的 api 认证 key ，每次 web api 调用时都验证 http request header

Authorization: Bearer YOUR_API_KEY

然后客户端请求的时候加上 YOUR_API_KEY 访问你的 web api

94 天前

回复了 jk64 创建的主题 › 程序员 › 公司要换一台服务器，自己写了个大体配置，大家帮忙参谋参谋

尽量别用软 raid ，崩了后果很严重。ssd 启用 raid 后，trim 会失效，家用 ssd 很容易坏，服务器厂商通常会建议买服务器专用 ssd （ 400GB 写密集 ssd 内部其实有 500GB ，多出的 100GB 用于均衡磨损的，因此没 trim 也能长寿命）

94 天前

回复了 jk64 创建的主题 › 程序员 › 公司要换一台服务器，自己写了个大体配置，大家帮忙参谋参谋

跑 testing 还是 product ？

如果 testing 单台跑多个虚拟机也 OK ；

如果是 product ，换成多台服务器，数据库跑在实体机组成的集群上，应用层可以跑在虚拟机群上。

99 天前

回复了 ybl 创建的主题 › 问与答 › 兄弟们，有个 app 项目怎么报价比较合适？

你目前的月工资收入折成人天费用，然后乘以 1.5 或 2 ，就是你报的人天单价，然后乘以预估天数就是总价。

拉人做，对方的费用参考上面的公式。

合同上的工期完工日期：收到首付款后 xx 天完成…，别写具体日期。首付款 30%-50%吧。

运维 1 年费用按开发总价的 10%-15%算，不含新功能开发。

99 天前

回复了 leeyijie 创建的主题 › 宽带症候群 › 上海电信限速加剧，无 PCDN 无 PT 上传也会被限速。累了，现在协议拆机。

@leeyijie #7 与哪个应用无关，只和上传数据总量相关。有个人看远程 nas 的 4k 电影，点对点的流量，只看了几天的电影，远程 nas 的宽带就被限速归为 pcdn 了。

105 天前

回复了 zyt5876 创建的主题 › NAS › 有公网 IP 如何保护自己的 RDP 和 nas 安全

对我的方案感兴趣的，可以把这个页面所有对话内容都 paste 给 gpt4/5 ，gpt 能给出详细说明和部署方案的。

105 天前

回复了 zyt5876 创建的主题 › NAS › 有公网 IP 如何保护自己的 RDP 和 nas 安全

@nkcfc #14 vnc 也出现过远程攻击的漏洞的，建议放在 vpn 后面。

最佳实践是：vpn 协议、ssh 协议（仅密钥登录）、tls 协议（开启双向证书认证或鉴别 sni ）暴露在公网上，其他协议尽量别暴露公网。tcp 协议可以包裹 tls 并开启双向证书认证/sni 鉴别，然后暴露在公网。

105 天前

回复了 zyt5876 创建的主题 › NAS › 有公网 IP 如何保护自己的 RDP 和 nas 安全

@dany663399 #11 曾经的 rdp 漏洞，有些还是很致命的，强密码对暴力破解有效，但是对协议漏洞无能为力。

CVE‑2012‑0002 漏洞
CVE‑2018‑0886 （ CredSSP RCE ）漏洞
CVE-2019-0708 （ BlueKeep ）漏洞
CVE‑2019‑1181 / CVE‑2019‑1182 漏洞
RDP 叠加输入法提权漏洞

一般都是不建议将 rdp 直接暴露在公网上的。

105 天前

回复了 zyt5876 创建的主题 › NAS › 有公网 IP 如何保护自己的 RDP 和 nas 安全

@dany663399 #11 rdp 担心 0day 漏洞。

rdp 是有成熟黑产的，目前“盲扫+破解弱密码+勒索病毒”是全自动，如果出现了 0day 漏洞加持，直接能破强密码，后果不堪设想。（ rdp 曾经出现过 0day 不用密码直接获取管理员权限）

105 天前

回复了 zyt5876 创建的主题 › NAS › 有公网 IP 如何保护自己的 RDP 和 nas 安全

web 服务可以前置 https 网关（家用 nginx 或 stunnel 等）启用客户端证书认证，超高安全，win 、mac 、android 、ios 安装上客户端证书后，使用超便捷。

rdp 服务可以躲在 ssh （密钥认证）后面，windows 、mac 都是内置 ssh ，无需安装第三方软件，一条命令直接将远程服务器的 rdp 映射到客户机 127.0.0.1 本地 tcp 端口，然后 rdp 这个 127.0.0.1 端口即可，也是超高安全的。

105 天前

回复了 JiangZeYi 创建的主题 › MySQL › MySQL 磁盘读取飙升，导致阿里云服务器卡死

加内存，内存总量大于数据库文件大小*1.5 倍

117 天前

回复了 Donahue 创建的主题 › 生活 › 空调内机积水有必要找售后吗

重新打洞

117 天前

回复了 Donahue 创建的主题 › 生活 › 空调内机积水有必要找售后吗

空调没装好。有人把空调外机放楼顶的，管子直接向上走了几米也没事。

120 天前

回复了 c2r5 创建的主题 › 问与答 › 使用私人微软账户，登录企业版的 Windows ，会不会有什么隐患？

公司电脑的 windows 不要登录自己的微软账号，包括 windows 账号、windows 邮件、edge 浏览器等。

公司管理员能远程控制公司电脑的，也就能看到同步到本地的个人微软账号的私密信息，包括 onedrive 文件、浏览器里的网站密码等