Technical 技术专栏

在日常的网络运维和安全加固中，我们经常会面临来自内外部的自动化扫描和恶意软件威胁。尤其是近年来屡禁不止的勒索病毒（如 WannaCry）和各类蠕虫病毒，大多依赖 Windows 系统的几个高危端口进行横向传播。 今天分享一段非常经典且实用的高危端口封堵 ACL 配置，并详细拆解其背后的原理和部署排坑指南。 防勒索/高危端口封堵 ACL ip access-list extended ACL_WAN_IN_DENY_HIGH_RISK #1. 阻断 RPC 协议族 (防冲击波等蠕虫及内网探测) 10 deny tcp any any eq 135 log 20 deny udp any any eq 135 30 deny tcp any any eq 593 #2. 阻断 NetBIOS 协议族 (防信息枚举及中间人攻击) 40 deny udp any any eq 137 50 deny udp any any eq 138 60 deny tcp any any eq 139 70 deny udp any any eq 139 #3. 阻断 SMB 服务 (防 WannaCry/永恒之蓝等勒索病毒横向移动) 80 deny tcp any any eq 445 log 90 deny udp any any eq 445 #4. 阻断 RDP 远程桌面 (防针对 3389 的暴力破解) 100 deny tcp any any eq 3389 log 110 deny udp any any eq 3389 #5. 放行其余正常业务流量 200 permit ip any any (注：在 deny 语句后增加 log 关键字，可以将触发该规则的源 IP 记录到 Syslog 服务器，便于溯源真正的感染源或攻击者。部分设备不支持 ) ...

前言 因为新买的笔记本人脸识别很准很方便,就想折腾一下看能不能用Windowshello来免密登录ssh,没想到居然可以!记录一下这个配置小成就。 我的核心诉求其实很明确，就三点： 免密：用 Windows Hello（指纹/人脸）直接 SSH 登录路由。 所有服务器都用一套密钥：方便管理。 安全：私钥丢了或者被盗了别人也用不了。 本以为是个简单的 ssh-agent 或 ssh-keygen 命令就能解决的事，没想到硬生生踩到了底层的 TPM 硬件兼容性大坑。特此记录，供遇到类似问题的朋友参考。 ❌ 踩坑记录：那些看似可行实则行不通的方案 坑一：使用原生 ssh-agent 服务（权限不够） 一开始想着复用现有的 id_rsa，交给 Windows 的 ssh-agent 服务托管。结果运行 Get-Service ssh-agent | Set-Service -StartupType Automatic 直接报错 “拒绝访问”。 原因：普通用户无权修改系统全局服务的启动类型，即使勉强用伪装进程拉起，体验也不够优雅。 坑二：尝试 ed25519-sk 与“Passkey 冲突” 既然服务走不通，那就走 FIDO2 硬件安全密钥。执行了 ssh-keygen -t ed25519-sk。 结果系统提示 Overwrite (y/n)?，同时我非常担心这会向 TPM 的“驻留密钥（Resident Key）”槽位写入数据，把我辛辛苦苦攒的网站 Passkey 给顶掉。吓得我赶紧 Ctrl+C 止损。 坑三：Windows Hello 消失,让我用物理安全密钥 后来弄清楚了，只要不加 -O resident 参数，默认就是“非驻留”模式，不占用 TPM 空间。于是放心大胆地再次执行，结果弹出的 Windows 安全中心窗口里，根本没有“Windows Hello（此设备）”的选项，只能选手机或 USB 安全密钥！ ...

7.1 把 10G EPON 改成 XGPON，修改参数 obj.id = “0x00000001” ; obj.value = “5”; obj.id = “0x0000001d” ; obj.value = “5”; obj.id = “0x00000059” ; obj.value = “5”; 7.1 还原 10G EPON，修改参数 obj.id = “0x00000001” ; obj.value = “6”; obj.id = “0x0000001d” ; obj.value = “5”; obj.id = “0x00000059” ; obj.value = “6”; 7.2 将光猫主 LAN 口的 MAC 地址改成老光猫的 MAC 地址(部分地区需要，如果设备注册无障碍，则跳过)： 注：改完后尝试注册设备成功的话，跳过 设备标识号和 SN 码的修改 obj.id = “0x0000000a” ; obj.value = “8C:81:72:89:8A:B2”; obj.id = “0x00000025” ; obj.value = “8C:81:72:89:8A:B2”; ...

只装 Routing ：通过 PowerShell 执行 Install-WindowsFeature Routing -IncludeManagementTools。 NAT 隔离 ：在 RRAS 控制台中，将外网网卡设为“公用接口”并开启 NAT，内网网卡设为“专用接口”。 Scoop 自动化 运行 Restore-Scoop.ps1 脚本： 配置文件持久化 ：因为 Mihomo (Clash Party) 的配置文件通常在 AppData 或程序目录，建议将其配置链接到 D 盘，确保重装后代理逻辑直接可用。

powershell相关: Windows hello保护ssh私钥 ssh-keygen -t ecdsa-sk -f $env:USERPROFILE\.ssh\happy_hello code %USERPROFILE%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt 历史记录 Windows 双系统 主板时差 reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TimeZoneInformation" /v RealTimeIsUniversal /d 1 /t REG_DWORD /f Hyper-V开启嵌套虚拟化 Get-Vm Set-VMProcessor -ExposeVirtualizationExtensions $true -VMName name hyper-v相关: vm管理工具 winget install –id=VMPlex.VMPlex -e -s winget 查看vm虚拟机 get-netadapter | Where-Object {$_.InterfaceDescription -match "Hyper-V"} | Select-Object Name, InterfaceAlias 查询被占用的文件进程 winget install Microsoft.Sysinternals.Handle handle "C:\path\to\your\file.txt" # 完整路径 handle test.txt # 仅文件名（会搜索所有位置） handle D:\docs # 搜索整个目录下的文件占用 Process Explorer 安装 ： Winget：winget install Microsoft.Sysinternals.ProcessExplorer docker 避免每sudo # 1. 如果 docker 用户组不存在，先创建它（通常安装 docker 时已自动创建） sudo groupadd docker # 2. 将当前用户（也就是你终端登录的用户）加入 docker 组 sudo usermod -aG docker $USER # 3. 刷新用户组权限，使其立即生效（不用退出重新登录） newgrp docker

前言: Windows的hyperv只提供虚拟交换机创建,网络NAT和DHCP都是交给插件来实现,配置起来极为麻烦和不便利,因此琢磨着创建一个简单的虚拟网络,顺便将负载和翻墙集成进去。 示意拓扑图: 参考教学 Open-WRT镜像下载(选一个): 下载OpenWrt 或者下载ImmortalWrt(一个面向中国大陆用户的开源OpenWrt变体。配置好了中文和clash源,强烈推荐!) Windows使用StarwindConverter虚拟机磁盘镜像互转 或使用qemu-img(加入环境变量) #cd到img的目录下 qemu-img convert input.img -O vhdx -o subformat=dynamic output.vhdx 创建一代虚拟机,1核,800M,2G,3个网络适配器,磁盘选择转换后的vhdx (此处省略) 创建两个虚拟交换机,外部,分别绑定两个出口网卡,我这里是wifi 和2.5G,把’允许…‘关了，让路由器独占 再创建一个内部交换机,作为主机流量入口。 分配mac,地址随意但不能重复,最好为01,02,03,这样方便记忆 内容（记得先备份原文件）： 改密码: passwd 先备份 mv /etc/config/network{,.bak} 先配置管理地址: vi /etc/config/network config interface 'lan' option device 'eth2' option proto 'static' option ipaddr '192.168.20.1' option netmask '255.255.255.0' 冒号q回车退出 运行这条命令让配置生效 /etc/init.d/uhttpd restart 物理机上配置网络: win+r输入ncpa.cpl打开网络适配器如下配置 用ssh连接Openwrt: vi /etc/config/network 将下面的配置粘贴进去 config interface 'loopback' option device 'lo' option proto 'static' option ipaddr '127.0.0.1' option netmask '255.0.0.0' config globals 'globals' option ula_prefix 'fdbe:cd76:75cf::/48' option packet_steering '1' config interface 'lan' option device 'eth2' option proto 'static' option ipaddr '192.168.20.1' option netmask '255.255.255.0' option ip6assign '60' config interface 'WAN2' option proto 'dhcp' option device 'eth1' config interface 'WAN' option proto 'dhcp' option device 'eth0' 使配置生效: ...

Easy-GPU-PV是一个显卡直通和虚拟机创建脚本。 开启hyperv功能不再赘述。记得打开intel-vt-d 下载下来，解压文件,或者用git克隆下来，进入目录,复制目录地址, git clone https://github.com/jamesstringer90/Easy-GPU-PV.git 再用管理员权限运行powershell-ISE 先运行pre-check,将输出的显卡名字复制 因为是在笔记本上跑的,所以将判断的结果改一下就行,或者直接把Get-DesktopPC这个函数注释掉 自定义配置,直接改变量 框出来的必须改 配置文件和hyperv没问题基本上脚本就一路到底success。 等一段时间自动安装完了会自动进系统，检查一下虚拟机里有没有显卡 优化性能，可选 开启SMT Set-VMProcessor -VMName Win11Preveiw -HwThreadCountPerCore 0 设置cpu-core调度程序类型为ROOT bcdedit /set hypervisorschedulertype Root

官方文档 硬件加速渲染 pacman -S mesa vulkan-dzn vulkan-icd-loader # ~/.bashrc export GALLIUM_DRIVER=d3d12 export LIBVA_DRIVER_NAME=d3d12 若 openGL 依然在英特尔 GPU 上使用 llvmpipe 软件渲染，则需要为 libedit 创建符号链接： # ln -s /usr/lib/libedit.so /usr/lib/libedit.so.2 从 Windows 桥接 SSH 代理服务 在 WSL 内使用 Windows SSH 代理。 安装yay sudo pacman -S git base-devel git clone https://aur.archlinux.org/yay-bin.git cd yay-bin cd yay makepkg -si yay wsl2-ssh-agent eval "$(/usr/sbin/wsl2-ssh-agent)" 使用 Windows Hello 进行 PAM 认证 踩坑后让AI生的手动安装指南，成功力！ yay wsl-hello-sudo-bin 欲使用 Windows Hello 进行认证，将 auth sufficient pam_wsl_hello.so 行添加到 /etc/pam.d 中相应组件的配置文件，例如 Sudo： ...

指南说明 1.1 适用场景 本指南适用于在 WSL 环境下的 Arch Linux 系统，手动完成 WSL-Hello-sudo 的部署，实现通过 Windows Hello（人脸/指纹/PIN）验证替代 sudo 密码输入的功能。 1.2 核心适配点（与 Ubuntu/Debian 差异） PAM 模块目录固定为 /lib/security（Ubuntu/Debian 为 /lib/x86_64-linux-gnu/security）； 无 pam-auth-update 工具，需手动编辑 PAM 配置文件； 依赖包通过 pacman 安装，而非 apt； 默认可能未启用 WSL Interop 功能，需手动配置以执行 Windows 可执行文件（.exe）。 1.3 前置环境要求 WSL 版本：推荐 WSL 2（WSL 1 对 Interop 支持较差，易出现执行 .exe 报错）； Windows 环境：已启用 Windows Hello（设置 > 账户 > 登录选项 中配置人脸/指纹/PIN）； Arch 权限：拥有普通用户 sudo 权限（禁止直接使用 root 用户操作）。 前置准备 2.1 确认 WSL 版本 在 Windows 终端（CMD/PowerShell）中执行以下命令，确认 Arch 对应的 WSL 版本为 2： ...