另外，防火墙，比如 iptables 、Windows 的内置防火墙，设计原理都是白名单制的。也就是默认拒绝，除非添加白名单规则。Docker 这种反向设计，会导致在系统运维时，每一种有共识的设计、逻辑、代码，都需要再验证一次，那么会导致安全这个方面的工作量被迫拉满。

举个假设的例子，Intel 与 AMD ，把加法指令，定义为计算两个操作数之和，多年以来，这种设计已经成为计算机的共识。然而，docker 官方在最近几年，出品了一款 CPU ，它把加法指令与减法指令进行互换，并且称之为 [特性] ，你觉得这是不是重磅漏洞？

@0x535

我遇到太多的场景，是需要通过 OS 内的防火墙，来给 docker instance 设置 IP 白名单，比如以下 3 种经典场景：

1.云服务器并不是从平台直接拿的，而是由同事或运维给的。他们为了图方便，把平台上的防火墙给直通，然后把防火墙的控制权下放给 OS 的内部防火墙，比如 iptables 。

2.拿到的云服务器，是测试用的专用系统，默认所有的安全规则都是清空的。比如 iptables 被清空，selinux 被关闭，直接启用 root 登录等等。

3.乙方拿到甲方机房的 2 台虚拟机，第一台用于 docker db ，第二台用于 docker web server ；甲方机房的同网段内还有其他虚拟机，乙方的 docker db 只能给乙方的 docker web server 使用，因此需要通过 iptables 设置白名单，否则有可能被甲方机房内其他服务器上的病毒或木马攻击。

至于技术信心，这个话题，只是计算机工程专业而已，没任何难度...有难度的是需要依赖数学的算法、数据分析、AI 等专业。当然，docker 官方故意恶心人，对 iptable 进行反向设计，那么无论技术多牛的人，除非纪律性拉满，把测试验证做完，否则都容易被这个问题给坑了。

在安全上，这个所谓的特性，就是重磅安全漏洞，目前已经有很多忽略测试的人被坑了。

@julyclyde

因为当你需要允许某个 IP 能访问本机的某个端口，正规的做法是，写一条规则插入到 INPUT 链中，比如：

iptables --insert INPUT --protocol tcp --dport 3306 --source 11.22.33.44 --jump ACCEPT

思路错了。

你需要经常换机场，是因为机场是共享型的，它就不稳定，还会跑路，才导致你需要经常换配置的折腾。

正确的方法是，自己买个搬瓦工的 CN2 线路优化的独享 VPS ，稳得一批，根本不需要切换。

@allplay 不仅不搞笑，这问题还很严肃。没有得到管理员的认可，在 Update 完成后直接重启，这是个很严重的管理设计的漏洞。

@0x535 并不是标题党，你可以搜一下，不少人发现这个问题。更多的人可能没发现这个问题，导致了白名单端口直接暴露在整个互联网上。

Windows 11 长期开机当服务器。VMware Workstation Pro 跑 Linux 与 docker ，USB 3 硬盘柜作为外挂存储。

问题也有，早期，这玩意 Windows Update 更新完毕后会自动重启。后来我在 github 上找了禁用 Windows Update 的脚本，解决了这个问题。但是，为了安全，需要自己定期把 Windows Update 服务重新打开，进行更新，更新完成后，再禁用 Windows Update 。

我觉得，如果真要当服务器用，建议还是用 Debian 这类 OS 。最新版的 Windows 或 Windows Server 因各种设计原因，不太适合当服务器。

你这破防还不彻底。

空姐、教师、护士、银行前台等等，这些岗位是非常容易被高端群体短择的，从而造成经历奇多，眼光奇高。并且就算结婚了，仍然有被高端群体短择的可能。

虽然这个群体中也有正经人，但数量太少，赌这个概率不划算。

不看新闻综合征。

各种新闻渠道，早就说明了，这些慢充渠道，无一例外都是黑产。你通过这个渠道消费了，你就是帮信，帽子叔叔不抓你抓谁。

大概率是车价的问题。

我最近懒得开车，每天打各种品牌的滴滴。有些经济型的车型，座椅感觉很廉价，又硬又单薄，坐着就是不舒服。然后加价的优享型车，座椅大多不错，虽然达不到 BBA 的级别，但还算可以。

客厅空调设置为 26°C ，不关闭。

两个卧室，使用独立的床头温湿度传感器，设定自动化，低于 21°C 关空调，高于 23°C 开空调，每次开到 26°C 。

民用电，电费是每半个月 500 元左右。

1.女孩子之间会互相探讨这些内容。

2.女友可能有前男友或一夜情的对象，如果对方的做爱时间很持久，就会产生对比现象。

3.中国大陆的数据是平均 10 - 15 分钟。

4.经常撸管的男性，龟头的敏感度会下降，从而导致延长做爱时间。但要注意，撸管会影响生殖健康。

5.戴安全套，会降低龟头的敏感度，从而导致延长做爱时间。

6.经常看 FC 系列的片子，也会降低敏感度，从而导致延长做爱时间。

我的同事，以前也是卷王，计算机与艺术都拿了很高的成就，曾经还拿着自己原创音乐作品，指挥乐队在大型晚会上演奏，他家里也有权有钱。

后来他三十多岁，一次体检，医生给他下达了病危通知书。因为他不在乎身体，积劳成疾，他以后只能终身打针吃药，不然最多只能活 5 年。医生说，得亏了现在医疗科技发达，再早个 200 年，他这是不治之症。现在虽然还能苟活着，但每天都要给自己打一针。

虽然这只是个极端的案例，但是大家谁都不想变成这样。能混口饭吃，平平谈谈地活着，已经很不错了，太卷，伤害自己身体，得不偿失。

1. Docker 是原生于 Linux 的系统，不要在 Windows 上用 docker ，不然发生任何问题都不奇怪。推荐使用 Debian 12 系统。

2.请不要使用机场，机场是合租性质，不稳定。一定要买带有 CN2 线路优化的大厂海外 VPS ，比机场稳太多。

3.使用诸如 xShell 之类的 SSH 工具连接 VPS ，并启用 socks 隧道功能。然后去 github 搜 socks 转 http 的小程序，把 socks 隧道转换为 http 隧道。最后编辑 docker 的配置文件：
/etc/systemd/system/multi-user.target.wants/docker.service

在 [Service] 节点下加入：
Environment="HTTP_PROXY=http://socks 转 http 程序所在服务器的 IP:端口/"
Environment="HTTPS_PROXY=http://socks 转 http 程序所在服务器的 IP:端口/"
Environment="NO_PROXY=localhost,10.0.0.0/8,127.0.0.0/8,172.16.0.0/16,192.168.0.0/16"

最后
systemctl daemon-reload
systemctl restart docker
重启 docker 服务就行了。

@drymonfidelia

提文件大小，是因为计算 HASH 的代价很大，而且现实中，只有极少的文件，文件大小才会相似。所以，先对比文件大小，文件大小不一样，就不需要计算 HASH ，同时也防止了你说的那种碰撞。

另外，防碰撞依赖的是算法的安全性以及 HASH 的长度，与文件大小没啥关系。

当然不正常，机房级 UPS （一间屋子里全是电池）、工作站级小型 UPS （半个人高）以及个人 PC 的微型 UPS （ 20 斤左右的小长方体，大概 1/3 个 PC 机机箱高度），都没发生过这些问题。

1.这与品牌无关，任何品牌的存储介质都有可能突然挂掉。

2.解决方案是做好每日自动备份 + 每次更改后的手动备份。生产资料、重要数据，一定要做好自动备份 + 手动备份。