最简单的，拿 nmap 扫全部端口，显示为 filtered 的应该就是被防火墙过滤的。其实原理就是，防火墙对于发向未开放端口的数据包会直接丢弃，对于发向开放端口的数据包则放行让内核继续处理，此时如果此开放端口没有任何进程监听，那么内核就会返回一个 RST 数据包。（应该没记错吧）

如果厨子用 AU 的话 Mac 的价格会不会降一些啊（虽然我觉得是在想屁吃）

@heyjei #4 不会啊，我以前用的 NUC 盒子，自带集显用 HDMI 2.0 接的 4k 显示器 60Hz 无压力

root 和 alias 有区别： http://www.ttlsa.com/nginx/nginx-root_alias-file-path-configuration/

@tzm41 自信点，把貌似去掉 :滑稽

想买一个高点的、能放在办公桌上的桌子，坐的时间长了可以站起来把笔记本放上去的那种。一直没找到合适的

说说你同事老家哪里的啊？还以为你同事是江西人

@20015jjw #10
@dreamxj001 #9
抱歉，我是前两天早上在地铁上随便翻 Apple store 的时候看到的，没仔细看，当时看到的应该是旧款，没看到有新款

@0xcb 无论是苹果官方和第三方扩展坞，用 HDMI 的最高分辨率都是 30hz，至少在我 17 款 13 寸上是这样，而且苹果官方扩展坞也标明最高 30hz。要 60hz 的话用 dp，不过我是用的小米的带 minidp 的扩展坞，minidp 转 dp 也是 60hz，而且很稳定

@NerverLibis #40 说话说一半？好歹说一下自带什么漏洞了？

@openbsd #35 我最近正在看的文档有：CentOS 的 HowTo： https://wiki.centos.org/HowTos/SELinux，Gentoo 的 wiki： https://wiki.gentoo.org/wiki/SELinux，RedHat 的 wiki： https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/selinux_users_and_administrators_guide/index

@xFrank #38
@iRiven #25
Android 上是默认启用的，不过不知道什么时候开始用的

@lc7029 #36 能透露一下是什么行业吗？之前问了在某大银行工作的同学，说他们的生产服务器没有开 SELinux


@dxgundam01 #34 SELinux 火不起来的原因主要是不友好，而且本身的机制比较复杂，导致难上手，而且新系统默认 enforcing，从而导致奇怪的问题。安全设备只能承担一部分的安全责任。我前面说了，刚开始的时候肯定不能 enforcing 以及生产服务器全部开启，肯定得有一段过渡期。

@MeteorCat #27
@webshe11 #28
其实 docker 的 container 默认的权限配置也有问题的。docker 以及 k8s 领域的安全问题也是今后研究的重点。
而且也不是说上来直接所有的服务器都 enforcing，应该先在 UAT 环境每个阶段选若干台设置成 permissive 过渡，边看日志边调

@DANG #26
@MeteorCat #27 其实这里的问题在于，CentOS 这种发行版 SELinux 的默认状态是 enforcing，而且以前各个软件对 SELinux 的支持可能不是太好，再加上管理人员对这玩意不熟，所以才导致一大堆坑。

@omph #29
@Mutoo #30
昨天晚上在 hacker news 搜了一下以前的文章，看了评论之后跟咱们这个贴讨论的情况差不多，大多数都是 disable，只有极少数 enforcing。而且 disable 的人基本都是这样一个循环：刚装完系统，有些服务莫名其妙跑不起来 -> 排查了半天没找到原因 -> 将 SELinux 的状态改成 permissive -> 服务成功跑起 -> F*** SELinux

@cdlnls #14
@CallMeReznov #12
其实还是因为不熟悉 SELinux 的原理以及配置，熟悉了的话排错应该是比较容易的

@lihongjie0209 #1
@dreamusername #4
@d0m2o08 #5
@sayakafs #7
@qwerthhusn #8
@MeteorCat #9
讲道理，感觉使用前好好学一下 SELinux 的基本概念和配置，然后前期先设置成 permissive 状态，然后根据日志慢慢调规则，后期再慢慢设置成 enforcing，出现问题的几率应该会小很多吧。

@JCZ2MkKb5S8ZX9pq #4
@Colorful #2

行与不行倒是把返回值打印出来，有 exception 抛出的话把 exception 也贴出来，你一句也不行谁知道是什么问题

insert_many 的得是数组吧，保存字典应该用 insert_one （忘记了是 insert 还是 insert_one，看下文档就知道了）

没用过 chronyc，我都是用 systemd 自带的 systemd-timesyncd 服务来做时间同步的。
最后这个功能自己写个脚本不就解决了

windows: tasklist 命令列出所有的进程，然后 filter 一下浏览器的名称； macOS 和 Linux 的话用 ps 列出所有进程