@orzfly 对... 我的电信DNS劫持了NXDOMAIN，我才想起来

~$ ping static-189-206-125-34.alestra.net.mx
PING static-189-206-125-34.alestra.net.mx (202.102.110.203): 56 data bytes

这个202.102.110.203 DROP一下

关掉apache的DNS lookup。再说ping一下不就查到ip了？

@AlanZhang 又有新的IP冒出来？

http://www.cyberciti.biz/faq/how-do-i-block-an-ip-on-my-linux-server/

建议block IP而不是域名。这样节省反向域名查询的成本

iptables加一条DROP掉就行了

我初中一年级的时候一个同学就说过很有道理的话：你交的税越多说明你的收入越多，总之是好事。税金能产生外部性提升，无论平均到个人多么微小也是有益的。纠结于缴税一辈子都不开心，换个国家多半也一样，不如早点觉悟。

@TangMonk 装Windows/Linux做开发机和家用服务器

我买过3台MacBook。我觉得不是Retina屏的Mac意义不大。

@ryd994 我总结一下我的观点。任何password及其用加密链保护的变体不能保存在计算机媒介上，写在餐巾纸或者记成口诀、七言绝句都更安全。

如果一定要保存在计算机媒介上（这时已经败了），加密链上的每个保护密码的强度必须大于被保护对象才有意义

@ryd994 noligin只是对login/shell有用，写个程序不用shell轻松绕掉

@ryd994 login用户能关掉r权限自然也能开启r权限，不存在只能用私钥不能读的情况

@ryd994 ssh-add 不过是把pass phrase转移到login password上面，一样是比私钥短得多

@ryd994

我想到另外一个问题：一般人会设定多高强度的pass phrase。如果使用私钥的本意是增加密钥长度，那么使用一个短得多的pass phrase来保护它有什么意义呢？

@ryd994

本地安全根本没有想象中好做到。开发调试阶段开发机往往被用作登陆终端。开发机上安装的软件鱼龙混杂，而且个个能读 ~/.ssh/*。开发机会被带着到处跑，会丢

@ryd994

quote "比如服务器可以限制穷举频率，banIP等，这是私钥做不到的"

这就是我说的其他条件一样的情况下，不留下任何硬盘上的可供破解的原始资料更安全。今天你觉得AES是安全的，也许NSA不觉得，或者过了2年AES被曝有重大缺陷怎么办？那时候你的pass phrase保护的密钥早被人拷走了，在你修复漏洞前攻击者先出手了怎么办

@ryd994

quote "明白sudo能干啥没？有sudor到某一个用户的权限不代表有sudo到root的权限。
这样就可以避免私钥随便被拷走了。"

不懂你在说什么。私钥在终端机上，和服务器上的sudo没有关系

@SharkIng 说了半天说的是私钥被其他程序轻易拷走的风险啊