信息安全

      角色互换，现在把自己当作 CCP，你发现了一个境外色情/反动站点：

1. 确定 服务器供应商、WHOIS 信息
如果服务器供应商 / 域名提供商在中共国有任何业务，那大概率被交出用户信息
2. 确定 服务器公网 IP 地址
CCP 可能会监视对此服务器的请求，尤其是 对 22 端口的 ssh 连接
3. 攻击这个站：注入/DDOS/XXS等
注入和XXS是主要的，CCP肯定会想尽方式把自己的代码嵌入站点页面当然，暴力破解 ssh-key 也是有可能的，根据斯诺登 2013年的解谜，NSA就做过这种事

对于以上措施的防范：

1. 选择服务器供应商/域名供应商时选择口碑好的，在中共国没有任何业务的
同时，为了降低攻击面的粒度，一个账号只做一件事：比如购买服务器的账户不要来买域名，另外新开一个邮箱注册一个新的账户来注册域名，同时也选择不同的供应商，不要所有东西都在一家买
2. 跳板机 + CDN，ssh连接时必须前置代理 + tor
品葱就是使用的 cloudflare 的 CDN对于 ssh 是否启用了 tor，可以检查 /var/log/secure (红帽系)，/var/log/auth.log (Debian系)里面的 ip 是否是 tor 节点里的 ip:可以先限定 tor 的出口国家，然后检查那个 ip 是否来自那个国家
3. 服务器端的安全比较复杂，系统安全、应用安全、数据库安全等等
先说系统安全：服务器的操作系统只选择最新的 LTS 版本，并随时留意安全动向，有安全补丁立刻打上。把ssh的密码登陆关闭，只允许使用ssh-key登陆，并且 ssh-key 的加密方式不要使用 rsa，推荐使用 ecdsa，密钥长度永远设置为允许长度的最长，ecdsa 最长是 521 位。只开启需要的端口，一般是 80、443、22应用安全：当然，全部开源是必须的，全部最新的 LTS 版本也是必须的，有一个东西经常被忽略，就是开启生产模式。网站的权限必须要明确，见过很多站长全程 root数据库安全：这个讨论范围同样太大了，我在这里只说一个，存密码这样的哈希之后的数据的数据，不要只哈希一下就存了，必须要用盐粒，而且最好还是动态盐粒，同时注意时序攻击，不要直接用 === 来校验用户密码
4. 关于支付
这里主要是安全获取数字货币的办法，中共国现在对于数字货币的监管已经到了变态的地步，之前见过某个交易所连进行交易都需要人脸识别，且必须在手机app上进行操作。但是现在即使是欧盟也要求用户登陆之后才能使用数字货币了（bitpay）。对于获取，可以线下直接找矿工买他挖出来的，没有经过任何交易所的btc，当然这个局限性也很大，你必须认识可信的矿工。也可以使用混币的方式来获取：我自己是在日本的交易所购买的btc，再在z-coin和门罗币之间互换，btc的交易全部都在区块上，而z-coin和门罗币这样专门为匿名设计的货币不存在这个问题。日本现在也是要求用户必须是日本国公民才可以进行数字货币买卖，但是监管得很水，只会要求手机号码，而日本的手机号码还是很好匿名获得的

当然，以上的所有涉及联网操作都需要前置代理 + tor

我觉得被抓问题不是出于网站本身的安全和加密通信上，而是很多人所忽略的国产手机/浏览器/输入法/聊天软件，这些才是信息安全的薄弱点。国产手机自不用多说大家都懂，国产软件基本全是内置各种后门监控代码的，早就有人通过抓包发现这些软件总是不定时向不明服务器上传数据，你在国产软件上干的事情基本可以被匪警看得清清楚楚，匪警还没上门只是你暂时还没被抓的价值。

尤其是一些什么QQ微信，根本是没有公钥加密的，腾讯完全掌握你的通信内容，并且后台自带AI敏感词检测+大数据身份关联。所以我现在看一些人在网上晒自己用微信约炮聊骚的聊天记录还沾沾自喜，我就觉得相当好笑，这些人不知道自己所有干的这些丑事都被后台看得清清楚楚，发的各种自拍淫照都会被存在地球上某个角落的大数据服务器里直到地老天荒，