@asdasdqqq 这种情况下给 docker 的 service 一个 RequiresMountsFor=/path/to/mount/point 的属性就行

remote-fs.target 的时机和 network-online.target 的时机应该是 systemd 会处理好的，是不是你的网络管理器的 online 检测服务没 enable

route add -host 152.69.*.* dev eth0.3 这一跳就成了 on-link 了。但实际上这一跳要发给网关。

不怕吵的话无脑 hc550

ssh key 放到硬件里面，openssh 支持 pkcs11 或者是 fido2 的硬件来存储证书，这才能做到万无一失，私钥谁也拿不到，要用私钥签名必须要用户按一下硬件按钮 /输入 pin

其他各种方式都会带来麻烦，比如 SELinux 的话你就需要给整个用户会话一个单独的上下文（默认情况下是 unconfined_t ），以及给 ssh 一个单独的上下文，分别配置权限。当然，对于系统服务的限制早就有 SELinux 的解决方案了，用户的 .ssh 文件夹是 ssh_home_t,多数系统服务的上下文(e.g. init_t)没权限访问。

要是用 systemd 的话如果你限制整个用户会话访问 ~/.ssh 那你启动的 ssh 也访问不了。你要是只限制系统服务也很简单,ProtectHome 就行，但是不够，用户自己运行有问题的程序你也没办法。

先退一步，检查下硬件型号相同的话怎样

包管理走 http 大多数情况下不是问题，中间人攻击不能塞给你投毒之后的元数据或者是包
但是有可能出现一类特殊的攻击，就是中间人服务器阻止你安装特定安全更新，从而达到攻击的目的

debian 系的做法是给安全更新单独的源，并且那个源貌似默认镜像站很少（也不建议用镜像站）于是饱受诟病

@murmur 不受控的 DNS 可能泄漏你正在访问的地址

@iGuChin 觉得整个过程挺直观的，在机器上运行 cloudflared ，设置好各个子域名指向各个服务，然后再 cloudflare 设置好 CNAME 记录，然后再 cloudflare teams 里面加上对应的域名的认证策略就行

@huangya hyperV 那边会显示增强会话

@huangya 会好很多，并且也能突破原有的分辨率限制（印象中那个 fb 最高也就 1080p ）

其实家里几个机器的管理面板就通过 cloudflare tunnel 和 cloudflare access 暴露到公网，还挺好用的，不用担心被运营商查水表，也不用折腾 ddns

要基于 Netfilter 架构岂不是要写内核模块，并且自己实现 conntrack 这些基础设施？这事情不简单啊

用有公网的家宽搭一个 DoT 服务器就行

@Jooooooooo electron 开沙盒

@KevinChan 艹，00 后感觉又被冒犯到.jpg

还有 7x24 小时工作可能用 ecc 内存会更可靠（但是 intel core 应该不支持 ecc ？）那就看你的抉择了

最好能加一张 ipmi 卡，或者干脆买带 ipmi 的机器
有 ipmi 对于维护带来的便利非常多

用 https://wiki.nftables.org/wiki-nftables/index.php/GeoIP_matching 提到的办法对流量打标，然后按照区域走 WireGuard