想分区就分区，别人有什么资格教你做人

新时代有中国特色的资本主义初级阶段……

帮 baye 解决一下装修问题，说不定他一高兴继续做个 Mac 版的 ServerCat 了

graphql 就是为这种需求而来的

国内别忘了备案

其实这两个不太适合直接对标。esxi 只是 vsphere 体系里的 hypervisor ，按定位跟它对标的应该是 kvm+qemu ，不过呢 esxi 里又有基础的 web 管理端，所以跟 kvm+qemu 对标也不合适。而 pve 的管理功能跟 esxi 又不是一个重量级，应该对标的是装了 vcenter 的 vsphere 环境。

一个公司的多个门店用不同的信息管理系统？

你们公司可能更需要的是管理架构治理先……

Monad 了解一下

0. 保护好自己干活用的桌面机是一切安全的根本。
1. 及时更新 /自动更新意义很大。
2. 改端口号意义不大，只是降低被扫到的概率，对于防范入侵本身而言没有影响。
3. 用公钥认证意义很大（其实不是证书，证书比这个复杂多了），另外公钥还可以另外加 pass pharse 再做到端的保护。
4. 在多台服务器之间人工交互操作穿梭或者拷文件时，不要服务器上生成私钥做信任，要用-A 或者-J 通过最初始的 agent 认证。
5. 高强度口令有一定意义（如果你不太能接受只允许公钥的话）。
6. PermitRootLogin 关了有一定意义。
7. 禁用 sudo 用 su 毫无意义而且可能适得其反，sudo 是可以配置很细的规则来限制访问的，而 su 就是一竿子到底。
8. fail2ban / sshguard 有一定意义，不过其实那些试口令的肉鸡不太可能突破只允许公钥认证的设置，就是图个清静。

不求全部认同，也不接受反驳。仅仅是自己的实践。

17 楼说得好，前置知识缺太多了

@zsj950618 expert 模式装，可以先不钩选 security ，装完再改 sources.list 配成国内的 security 后更新

你的前 4 跳都是 RFC1918 IP ，第 5 跳就到 google 了，这可能吗？

对了，什么叫“普通用户的服务被攻破中毒”？用普通用户登录进去启动起来的服务？严肃的生产环境下应该所有长时间运行的服务都通过 systemd unit 或其它管控机制启动，运行服务的 euid 必须是专用的，home 是 /nonexsistent ，shell 是 nologin ，不允许有交互登录的机会。能登录的用户 uid 是不允许用来运行服务的。

唔，at 错人了……是要 at @amiwrong123

@markgor 用 nohup 来跑，是（把其它计算机知识视作其它岗位才需要去学的） 24K 氪金纯程序员和（只重视算法的） 24K 氪金数据科学家们的思路……在生产环境的服务器上干活，还是要懂生产环境运维的“行规”才好。

“好奇为何服务器 ssh 到其他服务器”？

是纯程序员吗？有做非云原生传统服务器运维经验的人应该会经常有服务器之间登录 /拷数据的需求啊。

严肃的场景下，可以考虑设置 AuthorizedKeysFile none 关闭用户主目录里的 authorized_keys ，并设置 AuthorizedKeysCommand 到中心服务器（比如 LDAP ）去查询用户的 authorized_keys 项，在 LDAP 里给用户开个自己编辑的权限……不过这个配置还是挺复杂的，让用户自己编辑也多少有点复杂。

默认情况下只能到逐台服务器逐个用户扫描了。

国内这个安卓是阉卓

你需要系统地学习 Linux 服务器知识…