2023.8.30 运维老炮工作心得（2 / 2）

13.密码输入完被人打断叫走，后电脑被控制用了软件自带的显示密码功能，被你后面的人看到密码。

14.密码加密钥，密码加二次身份验证要安全得多。

15.必要可以使用硬件密钥，硬件令牌，加密狗。

16.密码要用本地库的密码加密保存软件来加密保存。比如keepass。

17.浏览器使用匿名隐私模式，免得被人拿到cookie.和历史记录。别用操作系统自带浏览器和操作系统自带软件仓库的浏览器。

18.使用防止截屏软件，截屏的时候会黑屏。

19.出差或者出去旅游的时候在外住宿，小心有人夜里进来给你提前服用吐真剂，再利用引导式催眠让你说出密码。吐真剂有平替的药物-麻药，某宝能买到。

20.小心输入法程序泄密。输入法程序知道你输入的所有字符和文字，并上传到服务器。小心选择输入法程序。

21.有些intel笔记本电脑带vpro和AMT或者EMA功能，可以实现带外网管，换句话说，可以从硬件底层查看你的所有操作并控制你的电脑，跟你安装的操作系统无关。输入密码的时候如果会显示刚输入的字符很可能在这样的平台下会泄密。

22.intel全系cpu都内置了一个minix操作系统在intelcpu内部，是谷歌的工程师发现的，intel员工可以通过账号密码来远程访问这枚cpu的电脑的所有文件，进程和电源，并远程控制这台电脑，intel官方解释这是intel的ME引擎的基础，并且有它intel更新基于cpu的微代码的时候更方便，更新后漏洞更少。这个minix系统对整台电脑都有控制权，但是这个minix没有人可以关闭。intel有个参数，reserve_hap，是intel提供给美国fbi使用的高可信平台，设置后据说可以关闭minix。amd有一个类似的技术叫AST，所以AMD的cpu也是有这种后门的。

23.intel、AMD、高通全系列cpu都存在cpu漏洞，跟22条不同，22条是后门，而这一条是漏洞。漏洞如下:

a.Meltdown对应CVE-2017-5754

b.Spectre对应CVE-2017-5753（边界检查绕过）与CVE-2017-5715（分支目标注入）

这些漏洞在新版cpu只是被弱化，并没有被屏蔽，因为这些cpu漏洞跟cpu执行性能有关，是cpu执行效率的副产品。

24.基于21.22.23条最好使用国产cpu会更安全。

现在就想到这些。