plasmetoz

为了联网监控和行为监控上一个还是可以的，至少能防止某些软件扫盘上传什么东西
比如之前看 chrome 保存的密码登录后可以被程序读，向火绒或者其他 hips 至少能挡一下
或者用来防止勒索软件？ WD 自带的那个防勒索感觉不是很好使

linux + luks 全盘加密+bios 密码+hdd 密码（不知道现在还有吗），有条件的话可以考虑安全启动+自签名内核，激进的话可以考虑增加安全密码输入后直接抹掉数据，或者输错 n 次之间抹掉数据，雷电接口那种可能有安全问题的 bios 禁用或物理屏蔽，机箱看看能不能做防入侵。
应用层的化也许可以通过 selinux 限制文件访问？或者把所有应用使用容器隔离？
网络层不可控因素太多，没什么好方法。

索尼默认调度是很奇怪，我这边 mk3 是面具 root 后删了温控，然后刷了第三方调度（ https://github.com/yc9559/uperf ）后感觉日常使用才舒服下来，不过如果跑游戏高负载该热还是热

存算分离吧，现在是单独的一个 truenas 跑 zfs 开 iscsi,然后其他的 pve/esxi 通过万兆网接进来按需划分存储盘。zfs 挂几个 ssd 做 l2arc 和 special 性能感觉还行。
当然要是有钱上纯闪架构+ceph 就更好了。。。

自己的工作机 Fedora 天天 dnf update, 管的服务器也直接定期升级就行。
现在部署东西基本都走 docker 了，底层内核不炸基本不太容易出问题

966 不过钱也符合 966 水平

我的话最外层路由是 pfsense,设置好规则就行。 而且我还加了个 suricata （虽然估计没啥用）

感觉跑题了，应该讨论怎么在现有场景下强化防护
windows 可以使用 hips （比如火绒的高级防护）设置仅运行 chrome 的相关程序访问其数据目录，包括 cookie 和密码之类的，其他程序访问之前弹窗确认，这样木马进来还有二次阻止的机会
linux 的话应该 selinux 可以起到类似的作用，我看 fedora 下默认 selinux 默认有 chrome 的规则，但是不知道具体是什么配置，好像拦不住读密码那个工具