yanqiyu

也就是说签名只保护了路径前缀，甚至文件类型 OSS 没检验反而信任用户给的 header

@wniming #7 > 我虚拟机没有特别指定是否启用 directio

就是虚拟磁盘的 cache mode ，我记得除了 writethrough 都会有 O_DIRECT 的文件操作，然后现在 btrfs 的 O_DIRECT 真的是 DIRECT 不会 cow 的更新 checksum （ 6.14 修了，被 checksum 保护的文件始终会 cow 了）

[930624.956925] BTRFS warning (device dm-2): checksum error at logical 9404088320 on dev /dev/mapper/develop-btrfs, physical 10486218752, root 257, inode 265, offset 2056241152, length 4096, links 1 (path: fedora.raw.vhost)

这不是写了出问题的 path 是 fedora.raw.vhost 吗，是不是虚拟机开了 directio 但是没关 btrfs 的 cow ？

@reayyu 要是你都用上了 cf 代理建议直接用 tunnel ，配合 access 管理访问权限

不只是谨慎赋予应用权限，应该反过来，只给应用必要的权限，比如 emby/jellyfin 只需要自己的配置文件的读写权限和媒体路径的读取权限，所以这些服务要么用容器（ SELinux confined rootless container ）要么用 systemd （ dynamicuser+ReadOnlyPaths ），只给必要的权限。

这么限制下来，除了远程访问（比如 ssh/nfs/smb ）被黑都不会造成破坏性的结果了，ssh 就关密码，nfs/smb 只开给 vpn

dedup 是让不同的文件引用同一个 extent 。当然你要是删除了这些文件中某一个，只会让共享的 extent 的引用-1 ，只有引用数清零才会真正的删除并且释放空间。

但是，你就算不开 dedup ，其他文件该占的空间也是一样的占。

唯一的问题可能是这种 shared extent 导致很难算清楚“我删除这些文件之后能释放多少空间”，得扫描一下文件引用的 extent 有多少是 shared 有多少是 exclusive 。

@YsHaNg 最大的麻烦是 fnos 扔进容器依然想要你配存储，和假定一些权限。至少在 nspawn 里面只是勉强能启动，大多数功能都不灵

自己注册个域名，用 https://github.com/favonia/cloudflare-ddns 更新解析就行了

@CapNemo >毕竟只要写入一次成功，内存里再怎么位翻转都不影响数据安全。

要写入的数据也是要先内存里面准备的，要是这时候 bitrot 了就会写坏的数据