@xxb 看蒙了，我看别的帖子说是镜像连不上，fallback 到官方源了

@williamfzc 其实你这个思路挺好的，但是引入的复杂度(pip install )，似乎大于得到的收益。另外，还是要 IDE 支持才能正常使用，比如#2 提到的 debug 。

@williamfzc 例子就是项目负责人创建 Dockerfile 和 docker-compose.yml 的同时，顺便写上“如何启动并进入容器的脚本或 makefile”。

@keventseng 这个思路很好，其实就是读取短信+推送。

这个似乎直接预置 docker-compose 与用于启动的 makefile 就可以做到呀

@naohion
@shunconf

那其实就是 AD 下推送软件了，AD 下最好封装成*.msi ，自动化可以用 python 。

@shunconf 用 python 不是很合适，毕竟 python 程序要独立运行还得用 pyinstaller 之类的打包，还得加上 GUI 编程。

打包工具可以试试 nsis 、inno 。

为什么 不用成熟的安装器呢

@takemeaway 是的，这也是为什么我发帖提问

@locoz
@CallMeReznov 动态修改防火墙，iptable 和云服务器 API 其实都可以做到。我还是想找找能不能在建立连接时，产生一个 callback 给我的脚本，我的脚本再发送邮件，让我可以感知到有人在尝试建立连接，并远程修改白名单。攻击者使用我的 IP 确实也不现实。


@flypei @xingyue 舍弃便利去换取一点点安全感吧


@jilu171990 把 fail2ban 忘记了，那基本上是可以了



总结一下，

1. ipset + iptable 做 port knocking 。 或者通过另一个服务器以某种形式动态调用 iptable 或云服务器 API

2. VPN / zerotier / frp (stcp + socks) / jumpserver

3. fail2ban 监控

@love 也对啊 😄确实是强迫症

@CallMeReznov 根据上面大佬的回复，是可以通过 port knocking + iptable 做到的，frp 的话也可以使用 stcp+socks5 代理做，似乎性能有点低。

不知道 #10 提到的能不能做到

@locoz 就是 VPN 之外再套一层，会不会很多余

@mikeguan 和#7 说的是一样的，我测试看看


@opengps @ly4572615 但是问题在于需要通过一种方法动态修改白名单，和 /t/684494 说的差不多，他的做法是通过一台公网服务器主动请求修改白名单。能不能有人连接时产生一个 callback，通知用户进行添加到白名单这个操作，同时可以看到有人在尝试连接。

支持一下，很有用。

@loading 嗯，基本的安全措施还是可以做的，主要是想避免被扫

可以用操作系统 API 写一个，只针对 VSCode 似乎有点浪费。

@no1xsyzy 临时文件就是系统运行过程中，各种读写 C 盘把虚拟磁盘撑大的这个过程中产生的文件

我的需求应该就是 ramdisk 了

@cheng6563
@zzzmh
@laqow 好吧，我试试，感觉还是自己的想法过于复杂了，要是能花点钱解决就直接挂块 1T SSD 了 :)

@leimao ;)


@shunconf 可以接受，直接虚拟机挂载文件夹，大多是绿色软甲