博客 (65)

1. 一般地，在路由器上启用 UPnP 就可以了。

2. 如果局域网中有多台监控设备，或有多层局域网，可以尝试直接端口映射。

3. 在监控控制面板中查看主机 IP（注意不是各通道的 IP），或者在同一层局域网通过电脑浏览器中访问监控控制面板（http://主机ip）。

4. 然后就可以在路由器上配置端口映射了（有些路由器的菜单项为“NAT 服务”）。

5. 一般配置 554（RTSP 端口）和 8000（服务端口）就可以了，80（HTTP 端口）和 443（HTTPS 端口）用于通过浏览器管理监控系统，不需要在外网配置的话不需要映射，暴露在公网有安全风险。另外 9010（平台命令端口）和 9020（平台数据端口）作用未知，可不映射。

6. 当然，为了防止端口冲突或提高安全性，映射的外部端口和内部端口可以不相同。
   

如果用后端代码实现，必须替换 \r\n、\r、\n 这些换行符为 <br />。

这时，如果前端绑定时是自动编码的，那么 <br /> 会直接显示出来，起不到换行效果。

如果前端绑定时是原文输出的，那么当数据源不可信时会引发 XSS 漏洞。

推荐一个既简单又安全的方法，用前端的 CSS 就能轻松实现：

<div style="white-space: pre-line">内容</div>

原理：CSS 的 white-space: pre-line 属性会保留换行符（\r\n或\n），自动渲染为可视换行，无需修改数据源且无安全风险。

Ollama 默认是仅本地访问，接口地址是：http://localhost:11434

开放外部访问需要设置两个环境变量：

OLLAMA_HOST=0.0.0.0
OLLAMA_ORIGINS=*

第一步，设置环境变量

macOS：

在终端中运行命令

launchctl setenv OLLAMA_HOST "0.0.0.0"
launchctl setenv OLLAMA_ORIGINS "*"

Windows：

打开“环境变量”配置框

添加两个用户变量：

Linux：

使用 systemctl 设置环境变量

调用 systemctl edit ollama.service 编辑 systemd 服务配置

在 [Service] 下方添加：

[Service]
Environment="OLLAMA_HOST=0.0.0.0"
Environment="OLLAMA_ORIGINS=*"

第二步，重启 Ollama

环境变量配置完成后，重启 Ollama。

第三步，开放防火墙端口

Windows：

进入“高级安全 Windows Defender 防火墙” → “入站规则” → 新建规则 → 允许 TCP 端口 11434。

第四步，验证

获取本机局域网 IP。

Windows：ipconfig

Linux/macOS：ifconfig

访问网址：http://<ip>:11434

若返回 Ollama is running 则表示连接正常。

本文介绍 Token 认证和 HMAC 认证两种方式。

一、Token 接口认证方式

原理：

客户端使用账号密码等信息登录，服务器验证通过后生成一个 Token 发送给客户端。客户端在后续的请求中携带这个 Token，服务器通过验证 Token 来确认用户的身份和权限。

应用场景：移动应用、Web 应用（特别是 SPA）

优点：

无状态性，即服务器不需要存储用户的会话信息。

易于实现跨域认证。

缺点：

Token 可能被窃取，应使用 HTTPS、不暴露在 URL 中、使用 HttpOnly 的 Cookie、对 Session ID 进行验证、设置合理过期时间、对 Token 进行加密等措施加强防范。

二、HMAC 接口认证方式

原理：

客户端将消息M与密钥K连接起来，通过哈希函数计算得到 HMAC 值，发送给服务器。服务器收到请求后，使用相同的密钥和请求参数重新计算 HMAC 值，如果与客户端发送的签名一致，即是合法请求。

优点：

安全性较高，攻击者很难伪造 HMAC 值，截获并篡改数据也无法通过服务端验证。

计算效率较高，哈希函数（如 MD5、SHA-1、SHA-256 等）计算效率比较高。

缺点：

密钥的更新和管理比较麻烦。

扩展：

在消息体中添加时间戳以防止重放攻击。

加密隐私数据：可以使用对称加密算法（如 AES）或非对称加密算法（如 RSA、ECC 等）对部分隐私数据进行加密。非对称算法虽然更安全，但速度较慢，如需加密大量数据，可以考虑使用对称加密算法进行加密，然后使用非对称加密算法对对称密钥进行加密。

以下列出本人所遇到的情况及处理方法，肯定不全，但都有用。

1. 使用系统自带清理工具进行清理

   Windows 7 / 8 / 8.1 / 10：在 C 盘上点击右键属性 - 磁盘清理 - 清理系统文件 - 视情况勾选 - 确定

   Windows 11：在 C 盘上点击右键属性 - 详细信息 - 临时文件 - 视情况勾选 - 确定

2. 关闭“传递优化”

   设置 - Windowx 更新 - 高级选项 - 传递优化，关闭“允许从其他设备下载”

   其实前面说到的清理临时文件中已经包含了“传递优化文件”，所以这里按个人喜好选择是否关闭。

3. 更改虚拟内存路径

   可以将虚拟内存路径更改为非系统盘，但建议是固态硬盘。
   

4. 关闭系统还原

   当遇到系统问题时，如果你喜欢重装系统，而不是系统还原，那么可以关闭它。

5. 更改桌面、文档、下载等用户文件夹的位置

   将这些目录路径更改到非系统，但仍然建议是固态硬盘。以 Windows 11 的桌面目录为例：

   打开资源管理器 - 主文件夹，右键点击“桌面”属性，切换到“位置”，移动。
   

6. 将软件安装到其它盘

   有些电脑管理软件有软件迁移功能，但我还是建议先卸载软件，再安装到其它盘符。

7. 将软件文档路径更改到其它盘

   如果不想把软件安装到其它盘（譬如只有C盘是固态硬盘），那么可以将文档路径更改到其它盘，譬如：

   微信：☰ - 设置 - 文件管理 - 更改

   QQ：☰ - 设置 - 存储管理 - 更改存储路径（注意是聊天消息那个）

   企业微信：头像 - 设置 - 存储管理

   钉钉：头像 - 设置与隐私 - 通用 - 缓存目录

   千牛：设置 - 数据存储文件夹

8. 清理浏览器缓存

   Chrome：┇ - 设置 - 隐私与安全 - 删除浏览数据

   Edge：… - 设置 - 隐私、搜索和服务 - 删除浏览记录 - 选择要清除的内容

   Firefox：☰ - 设置 - 隐私与安全 - 历史记录 - 清除历史记录
   

9. VMware 虚拟机

   在已安装的镜像上点击右键 - 管理 - 清理磁盘

   把已安装的镜像复制到其它磁盘，再添加到 VMware 中，删除原镜像文件。

10. 更改 Navicat 数据库备份目录

    如果你的 Navicat 启用了自动运行的备份任务，那么可以更改备份路径。

    在连接上点击右键编辑连接，切换到高级，更改设置位置。

11. SQL Server 数据库文件瘦身

    若 SQL Server 数据目录（C:\Program Files\Microsoft SQL Server\MSSQL16.MSSQLSERVER\MSSQL\DATA）中有很多较大的数据库日志文件（.ldf），可以按需采取以下措施：

    使用 SSMS 连接到你的 SQL Server 实例；数据库恢复模式设置为“简单”；右键点击要压缩的数据库，选择“任务”->“收缩”->“文件”，选择“日志”，在“释放未使用的空间前重新组织页”一项中设置为 0MB，然后点击“确定”按钮。

最后推荐一款免费软件 TreeSize Free，可以查看磁盘中各目录和文件占用空间大小，小白不要乱删文件哦，删错了可就得重装系统了。

1. 国家智慧教育公共服务平台 https://gjzwfw.www.gov.cn/

2. 中国裁判文书网 https://wenshu.court.gov.cn/

3. 国家企业信用信息公示系统 https://gs.gsxt.gov.cn/

4. 国家社会保险服务平台 https://si.12333.gov.cn/

5. 天地图 https://www.tianditu.gov.cn/

6. 国家统计局 https://www.stats.gov.cn/

7. 中国商标网 https://sbj.cnipa.gov.cn/sbj/

8. 国家法律法规数据库 https://flk.npc.gov.cn/

9. 中国专利公布公告网 http://epub.cnipa.gov.cn/

10. 国家标准全文公开系统 https://openstd.samr.gov.cn/bzgk/gb/

11. 国家药品监督管理局 https://www.nmpa.gov.cn/datasearch/

12. 食品安全抽检公布结果查询系统 https://spcjsac.gsxt.gov.cn/

13. 发票查验平台 http://inv-veri.chinatax.gov.cn/

14. 中国关键词 http://keywords.china.org.cn/

15. 工信部申诉受理中心 https://ythzxfw.miit.gov.cn/

16. 合同示范文本库 https://htsfwb.samr.gov.cn/

17. 中国法律服务网 https://www.12348.gov.cn/

18. 中国庭审公开网 https://tingshen.court.gov.cn/

非 gov 网站

1. 终身教育平台 https://le.ouchn.cn/

2. 国家数字图书馆 https://www.nlc.cn/

3. 国家哲学社会科学文献 https://www.ncpssd.cn/

4. 国家高等教育智慧教育平台 https://www.chinaooc.com.cn/

5. 职业教育专业教学资源库 https://zyk.icve.com.cn/

今天早上同事反映论坛某管理账号无法登录，于是我尝试用创始人账号登录，也不行，第一反应就是中招了。

于是进阿里云控制台，发现云安全中心有许多安全警告，类型是网站后门，幸好 nginx 中设置了仅部分文件可执行 PHP，这些后门文件无法被执行。

尝试在 config_global_default.php 文件中添加创始人，但账号必须是副站长等管理账号才能成为创始人。

于是借用一个小号，从表 pre_ucenter_members 中将这个小号的 password 和 salt 复制到创始人账号中，这样创始人账号就可以用这个小号的密码登录了。

进入论坛后台，在 工具-运行记录-系统记录-后台访问 中查看入侵时间段的记录（操作、时间、IP 等），可搜索。

发现基本上在操作模板管理和专题管理。

对比时间，发现进入后台操作在先，上传后门在后。

查询 web 访问日志，通过访问文件路径或 IP 查询，在进入论坛后台之间，他进入了 UCenter 的后台，但是再往前就没有记录了。

因此基本可以确定：

黑客从 UCenter 修改了某管理员账号的密码（可能是利用漏洞），然后登录论坛后台修改了创始人的密码（可能也是用 UCenter 改的），通过模板管理和专题管理功能的上传功能上传了后门文件。

索性他没有对数据进行破坏性处理，也没有挂马，只是发现后门文件无法执行就放弃了。

要将一个服务公开给外部访问，必须开放端口，例举一些场景的端口映射：

• VMware 实现宿主机端口映射到虚拟机端口：

  打开 VMware 的菜单中的 编辑 - 虚拟网络编辑器，

  在弹出窗口中表格中的选中“NAT”项，点击下方的“NAT设置”（若无法操作需要先点击“更改设置”允许）

  在“NAT设置”中“添加”，填写主机端口和虚拟机端口、虚拟机IP地址。

  这样，宿主机就能访问到虚拟机中的服务了。

• 在 Windows 11 的防火墙中允许端口：

  在“设置”或“控制面板”中打开防火墙，“高级设置”

  在“入站规则”中“新建规则”

  选择“端口”并填写，完成。

  这样，局域网的其它电脑就能访问到这台 Windows 的服务了。

• 小米路由器：

  登录路由器，进入“高级设置”，

  切换到“端口转发”，添加规则，

  这样，外网就能通过路由器的外网IP来访问局域网中的内网服务了。
  

• 华为路由器 AX3 Pro：

  登录路由器，进入“更多功能”，

  展开“安全设置”，选择“NAT服务”，

  点击“+”号设置端口映射。

  这样，外网就能通过路由器的外网IP来访问局域网中的内网服务了。

• H3C ER3200G2 路由器：

  登录路由器，展开“高级设置”，“地址转换”，

  切换到“虚拟服务器”，“新增”，

  填端口和内部服务器IP，完成。

  这样，外网就能通过路由器的外网IP来访问局域网中的内网服务了。

收到阿里云的短信，说明是被阿里云拦截了，并不是系统出错。

进入阿里云“云安全中心”，在“主机规则管理”临时关闭规则“操作系统账号行为”，创建用户完成后再开启。

云服务器 ECS

云服务器 ECS - 安全组

云服务器 ECS - 快照 - 自动快照策略 - 关联云盘

云监控

云监控 - 应用分组：添加对应的服务器

云监控 - 主机监控 - 主机与插件操作 - 安装/升级Agent

云安全中心

云安全中心 - 漏洞管理 - 漏洞管理设置：根据操作系统勾选对应的 ECS

云安全中心 - 漏洞管理：一键扫描

云安全中心 - 防勒索：安装客户端并配置策略资产

云安全中心 - 主机规则管理：配置主机和防御策略，防暴力破解编辑策略

* 本文提及的部分功能可能需要付费

相关内容

如何搭建一台阿里云 ECS（Alibaba Cloud Linux / CentOS）

如何搭建一台阿里云 ECS（Windows Server）