也就是说签名只保护了路径前缀，甚至文件类型 OSS 没检验反而信任用户给的 header

@wniming #7 > 我虚拟机没有特别指定是否启用 directio

就是虚拟磁盘的 cache mode ，我记得除了 writethrough 都会有 O_DIRECT 的文件操作，然后现在 btrfs 的 O_DIRECT 真的是 DIRECT 不会 cow 的更新 checksum （ 6.14 修了，被 checksum 保护的文件始终会 cow 了）

[930624.956925] BTRFS warning (device dm-2): checksum error at logical 9404088320 on dev /dev/mapper/develop-btrfs, physical 10486218752, root 257, inode 265, offset 2056241152, length 4096, links 1 (path: fedora.raw.vhost)

这不是写了出问题的 path 是 fedora.raw.vhost 吗，是不是虚拟机开了 directio 但是没关 btrfs 的 cow ？

@reayyu 要是你都用上了 cf 代理建议直接用 tunnel ，配合 access 管理访问权限

不只是谨慎赋予应用权限，应该反过来，只给应用必要的权限，比如 emby/jellyfin 只需要自己的配置文件的读写权限和媒体路径的读取权限，所以这些服务要么用容器（ SELinux confined rootless container ）要么用 systemd （ dynamicuser+ReadOnlyPaths ），只给必要的权限。

这么限制下来，除了远程访问（比如 ssh/nfs/smb ）被黑都不会造成破坏性的结果了，ssh 就关密码，nfs/smb 只开给 vpn

dedup 是让不同的文件引用同一个 extent 。当然你要是删除了这些文件中某一个，只会让共享的 extent 的引用-1 ，只有引用数清零才会真正的删除并且释放空间。

但是，你就算不开 dedup ，其他文件该占的空间也是一样的占。

唯一的问题可能是这种 shared extent 导致很难算清楚“我删除这些文件之后能释放多少空间”，得扫描一下文件引用的 extent 有多少是 shared 有多少是 exclusive 。

@YsHaNg 最大的麻烦是 fnos 扔进容器依然想要你配存储，和假定一些权限。至少在 nspawn 里面只是勉强能启动，大多数功能都不灵

自己注册个域名，用 https://github.com/favonia/cloudflare-ddns 更新解析就行了

@CapNemo >毕竟只要写入一次成功，内存里再怎么位翻转都不影响数据安全。

要写入的数据也是要先内存里面准备的，要是这时候 bitrot 了就会写坏的数据

带 pcie 开槽的蜗牛星际（逃

这个 namespace 开 forward

namespace 里面配防火墙往 veth-host 的流量开 masquerade 或者 host 这边写静态路由让 wireguard 的流量路由到那个 pair

然后 host 这边防火墙允许 veth-host 过来的流量访问这些端口

简单的说 netns 你就当作另外一台机器，veth peer 就是两台机器之间的网线，然后你该怎么配路由和防火墙就怎么配置

感觉就是 bcdboot 混沌了，建议直接扬了 EFI 下面的 bcdboot 然后用 bcdboot 命令重建

按理说 windows 启动盘始终会是 C 盘

> 容器建立后将无法更改容器设置，如:端口、储存空间、环境、连接等

正常容器不都是这么设计的吗，修改容器配置=删了再建一个

> 准备给他开几个 SUDO 命令，既能有效防止他犯错，又不被权限所干预， 用于读，或者查进程，比如 PS ,DMESG ，lsof ,问下类似的只读的系统命令有哪些，

大多数没有破坏性的命令都不需要 root ，你这几个例子就 lsof 到了别的用户上面需要 root

土制 Linux NAS
/media/storage: 80T HDD: 丢了只会不高兴的数据（电影，游戏等等可以下载回来的数据，还有自己科研的蒙卡，丢了只需要花点时间重新产生，产生蒙卡的代码和输入在/media/data ）
/media/cache: SSD 2T: 缓存盘，下载，容器的存储之类的
/media/data: SSD 4T: 丢了会伤心的数据（文档，代码，照片，每周备份到/media/cold ）
/media/cold: 40T (HM-SMR): 纯备份盘，用 btrbk send /media/data 下面各个子卷的差分快照，以及一些笔记本的/home 之类的卷的差分快照

然后真正丢了会非常伤心的数据会定期上传 onedrive

所有卷都是 btrfs ，每个月 scrub

搭个 wireguard ，所有服务都只对这个 VPN 开放

@catamaran 容器的 entrypoint 得是 systemd ，可以检查一下

@Nitroethane 其实能跑，只是容器运行时要给点额外的处理（挂载一些需要的文件系统），容器管理器可能自动做了这些事情
比如 podman 的 https://docs.podman.io/en/v5.1.1/markdown/podman-run.1.html#systemd-true-false-always
甚至还有 registry.access.redhat.com/ubi9-init:latest 这种镜像就用来跑 systemd

不过我的电脑上 centos7 的容器是跑不了的，因为老的 systemd 要求 cgroupv1...

就先检查是不是真的拉起来了 systemd ，以及 dbus.socket/service 有没有跑起来（文件位置和进程）