@thinkershare
额，为啥你会认为我说的被挂马或者有后门是：SQL 注入漏洞。
你给的信息太少，不确定你是 root 账户泄露了，还是 web 应用的数据账户泄露了。
如果只有 web 应用的数据库被加密了，那么就是 web 数据库账户被泄露了，有很多中方式可以获取你 web 的数据库配置文件
1 ，查你的 web 应用是否多了什么文件或者脚本，我猜你的应用应该是 PHP 写的
2 ，128 位的密码爆破？没有人愿意做这个事情，其实就是账户密码被 hacker 获取了，具体是哪里泄露的有可能是 web 应用，你的 IDE ，或者你电脑的破解版 MySQL 连接客户端
3 ，你可以查看 MySQL 的 binlog 和 log ，可以查到相关的信息

如果是单个端口映射访问，那么推荐 2 号方案，如果是多个 IP 且多个端口访问，就用 1 号方案搭建 VPN
1 ，公司服务器上搭建各种 vpn 都可以的
2 ，家里的电脑 ssh 公司的服务器，实现反向代理
3 ，公司服务器搭建 frp 穿透

你这个环境的 MySQL 服务器安全性应该是没有问题的，毕竟你的服务器系统文件是正常的，数据库服务也是正常的，只不过数据库表被加密了，按照这个被黑的情况，问题点可能在于你的应用
1 ，你的 web 应用可能被挂马，或者有后门
2 ，连接 MySQL 的客户端工具有问题

系统没有 swap 分区的可以考虑手动加一个。

坚持使用 Arch 四五年了，也推荐你用，不用打醒，因为我始终觉得 Linux 才是未来。

同样是国产系统，麒麟 V10 ，当时我排查下来，记得是这个 audit 这个程序的锅，重启一下这个服务就好了

业务数据量在 1 亿到 10 亿之间，要达到秒级查询，而且最低 1000qps ，2500 块怕不是在开玩笑？在加两个 0 说不定可以搞定

给你的建议：鉴于 es 是高性能的 IO Java 应用程序，把 2000 买一台 CPU：内存比是 1：2 的 SSD vps 服务器，运行单节点 es
验收的时候，不走真实的业务数据的 es 查询，随便造一点数据作为验收就可以了
另外 500 块，小组的人一起吃个饭，（逃~

@yz346287786
执行一下命令：ps -ef |grep Xorg 看一下你的 Linux 系统有没有运行图形化界面，你这个应该是 Linux 没有装图形化界面

所有远程的前提：Linux 要有装图形化界面，一般的 Linux 默认是没装，这个要注意。
1 ，有了图形化界面，那可以用 ssh X11-forwarding ，或者控制台的 vnc
2 ，也可以装各种远程桌面软件，比如各家的 xrdp ，vnc-server ，向日葵等等

另：
1 ，一般 linux 软件安装是有命令行安装的，不需要图形化界面，你可以查询你这个软件的```命令行安装```方式。
2 ，如无必要，不要在 Linux 服务器上安装图形化界面，容易挂

@alanying 黑 iOS 其实是有的，Corellium 了解一下

@findwho 微信即 ID ，你这个还没搞定么，可以远程的话，我远程给你弄

@findwho 是的，有可能是路由器那个禁止了 ping ，你可以在 openVPN 服务器上 ping 192.168.10.2

@findwho
1 ，有几个比较怪的路由，不知道是你手动添加的，还是啥，要删除
0.0.0.0 128.0.0.0 10.8.0.1 10.8.0.3 257 #这个很怪，要删除
192.168.10.0 255.255.255.0 在链路上 192.168.2.210 281 #这个路由就 client1 的路由给抢走了，要删除
192.168.10.0 255.255.255.0 10.8.0.2 10.8.0.3 2 #这个是 client1 没问题
192.168.10.200 255.255.255.255 在链路上 192.168.2.210 281 #这个路由就 client1 的路由给抢走了，要删除
192.168.10.255 255.255.255.255 在链路上 192.168.2.210 281 #这个路由就 client1 的路由给抢走了，要删除
2 ，永久路由: 这个要删掉，上面已经有了，不需要重复添加。
192.168.10.0 255.255.255.0 10.8.0.2 1


删除命令：
route DELETE 0.0.0.0 MASK 128.0.0.0 10.8.0.1
route DELETE 192.168.10.0 MASK 255.255.255.0 192.168.2.210
route DELETE 192.168.10.200 MASK 255.255.255.0 192.168.2.210
route DELETE 192.168.10.255 MASK 255.255.255.0 192.168.2.210
route -p DELETE 192.168.10.0 MASK 255.255.255.0 192.168.2.210

@findwho openVPN 服务的路由表没问题，加了 openVPN 配置，你的 client1 ，client2 要重连一下 openVPN 。
如果还不通的，可以贴一下 client1 ，client2 的路由表

@findwho
你的 openVPN 服务器开启了 ip 转发没有？命令如下：
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf

不可以这么理解，我上面那个是暴露 192.168.10.0/24 的网络。
以下是路由 192.168.2.0/24 的网络。
正确的是：
client-config-dir /etc/openvpn/ccd #这条是开启 client 配置项
route 192.168.2.0 255.255.255.0 #这条是开启 openVPN 的允许的路由条目
push "route 192.168.2.0 255.255.255.0" #这条是推送给 client1 的路由，告诉 client1 访问 client2 的网络要走 openVPN

然后增加一个文件：/etc/openvpn/ccd/<client2(192.168.2.200 的电脑）>
iroute 192.168.2.0 255.255.255.0 #这条表明 192.168.2.0 是 client2 的内部网络

上面都是单向的网络，如果你想两个网段互通，网段内客户端无感知互相访问，把这两个配置加起来就可以了。
由于 client2 不是网关就需要要在路由器加一条路由 192.168.10.0/24 下一跳：client2 （ 192.168.2.200 ）

1 ，服务器配置要增加这些：
client-config-dir /etc/openvpn/ccd
route 192.168.10.0 255.255.255.0
push "route 192.168.10.0 255.255.255.0"
2 ，然后增加一个文件：/etc/openvpn/ccd/<4G 路由器的 openvpn 证书名称>
iroute 192.168.10.0 255.255.255.0