你要儘快擁有『Linux主機』讓他營運起來幫你賺錢！

自己用體力與時間賺錢太辛苦啦！
每個人一天都是24小時，休息與睡覺就要八小時，更何況不可能一整年都不休假....
用『Linux主機』幫你24小時賺錢（一年365天無修→你要怎樣找到更勤勞的賺錢方式？）
再說，距離是一個難以解決的難題（唯有網路無距離，能把商品賣到任何國家）
就算自己沒有商品，掛Google或聯盟行銷的商品也能賺到佣金與獎金
管他是那裡的人，只要『訪客』有點擊你就能有收入

我時常在想，養一個兒子或女兒就有可以將來養你一輩子嗎？
不！女而會嫁出去，而兒子要養老婆、還要養孫子、還要買房子、買車子、替孫子繳學費......
這就是台語講的『世傳世』一代傳一代（物種繁衍的宿命）不能怪也不能奢望。

我寧願養一台『Linux主機』來當自己後半輩子的依靠。
不管你多老，只要你能打鍵盤，就能賺錢（還怕老了或病了就沒有收入？）

年輕時就投入經營網路，有一台機器幫你賺錢（你一定會比較輕鬆）
經過幾年後你會發現：你的網站累積多少文章、照片、影片（數位內容）
那些（數位內容）都是你的網路資源，你也會發現有多少商機是因為你有網路
所以人家找上你，機會找上你，財富找上你（除非你不去經營他）



我時常出國，跟我一起出國的朋友都羨慕我，因為不管出國多久，旅遊多少天（我都是：天天有收入）你選擇怎樣的賺錢方式，就決定你要過怎樣的生活！
因為我選擇『網路事業』，只要帶著筆電或平版電腦，走道那裡都能遙控我的事業。

mysql 的 sql 效能分析器主要用途是顯示 sql 執行的整個過程中各項資源的使用情況。分析器可以更好的展示出不良 SQL 的效能問題所在。
下面我們舉例介紹一下 MySQL SQL Profiler 的使用方法：

• 首先，開啟 MySQL SQL Profiler

mysql> SELECT @@profiling;
+-------------+
| @@profiling |
+-------------+
| 0 |
+-------------+
1 row in set (0.00 sec)
mysql> SET profiling = 1;
Query OK, 0 rows affected (0.00 sec)
mysql> SELECT @@profiling;
+-------------+
| @@profiling |
+-------------+
| 1 |
+-------------+
1 row in set (0.00 sec)
預設情況下 profiling 的值為 0 表示 MySQL SQL Profiler 處於 OFF 狀態，開啟 SQL 效能分析器後 profiling 的值為 1.

• 通過 sql 效能分析器，我們來對照一下 下列語句前後 2 次執行過程的差異，對我們瞭解 sql 的詳細執行過程是非常有說明的。

mysql> create table t_engines select * from t_engines1;
Query OK, 57344 rows affected (0.10 sec)
Records: 57344 Duplicates: 0 Warnings: 0
mysql> select count(*) from t_engines;
+----------+
| count(*) |
+----------+
| 57344 |
+----------+
1 row in set (0.00 sec)
mysql> select count(*) from t_engines;
+----------+
| count(*) |
+----------+
| 57344 |
+----------+
1 row in set (0.00 sec)
mysql> SHOW PROFILES;
+----------+------------+-------------------------------------------------+
| Query_ID | Duration | Query |
+----------+------------+-------------------------------------------------+
| 26 | 0.10213775 | create table t_engines select * from t_engines1 |
| 27 | 0.00032775 | select count(*) from t_engines |
| 28 | 0.00003850 | select count(*) from t_engines |
+----------+------------+-------------------------------------------------+
15 rows in set (0.01 sec)
mysql> SHOW PROFILE FOR QUERY 27;
+--------------------------------+------------+
| Status | Duration |
+--------------------------------+------------+
| (initialization) | 0.00000425 |
| checking query cache for query | 0.00004050 |
| checking permissions | 0.00001050 |
| Opening tables | 0.00018250 |
| System lock | 0.00000450 |
| Table lock | 0.00001775 |
| init | 0.00001075 |
| optimizing | 0.00000550 |
| executing | 0.00002775 |
| end | 0.00000450 |
| query end | 0.00000325 |
| storing result in query cache | 0.00000400 |
| freeing items | 0.00000400 |
| closing tables | 0.00000500 |
| logging slow query | 0.00000300 |
+--------------------------------+------------+
15 rows in set (0.00 sec)
mysql> SHOW PROFILE FOR QUERY 28;
+-------------------------------------+------------+
| Status | Duration |
+-------------------------------------+------------+
| (initialization) | 0.00000350 |
| checking query cache for query | 0.00000750 |
| checking privileges on cached query | 0.00000500 |
| checking permissions | 0.00000525 |
| sending cached result to client | 0.00001275 |
| logging slow query | 0.00000450 |
+-------------------------------------+------------+
6 rows in set (0.00 sec)
mysql> SELECT sum( FORMAT(DURATION, 6)) AS DURATION FROM INFORMATION_SCHEMA.PROFILING WHERE QUERY_ID =27 ORDER BY SEQ;
+----------+
| DURATION |
+----------+
| 0.000326 |
+----------+
1 row in set (0.00 sec)
mysql> SELECT sum( FORMAT(DURATION, 6)) AS DURATION FROM INFORMATION_SCHEMA.PROFILING WHERE QUERY_ID =28 ORDER BY SEQ;
+----------+
| DURATION |
+----------+
| 0.000039 |
+----------+
1 row in set (0.00 sec)
mysql>
從上面的例子中我們可以清晰的看出 2 次執行 count 語句的差別， SHOW PROFILE FOR QUERY 27 展現的是第一次 count 統計的執行過程，包括了 Opening tables 、 Table lock 等操作 。而 SHOW PROFILE FOR QUERY 28 展示了第二次 count 統計的執行過程 , 第二次 count 直接從查詢快取中返回 count 統計結果，通過對照 2 次統計的總執行時間發現，快取讀的速度接近物理讀的 10 倍。通過使用 SQL 效能分析器可以說明我們對一些比較難以確定效能問題的 SQL 進行診斷，找出問題根源。

【技術回覆】Wrong permissions on configuration file, should not be world writable! 解決之方法

學員來信問道：
想在網站主機下，多增加 phpmyadmin 版本（解決資料庫管理，發生亂碼的問題）時

在網頁形式下(phpmyadmin)瀏覽資料庫時，有時候會出現錯誤：
例如：http://網址或IP/phpmyadmin

出現：Wrong permissions on configuration file, should not be world writable! 警語
請問總教頭該如何處理？

總教頭回覆：
其實這個錯誤是mysql數據庫的權限設置成了777所造成的，解決辦法就是把數據庫的根目錄權限重新設置成755即可。
請使用FTP或WinSCP連線至你的主機
例如：資料庫管理 phpMyAdmin 的存放目錄是：/var/www/phpmyadmin
那就點選phpmyadmin按右鍵，把屬性改成775按確定即可！
如果使用終端機，則可以進行如下的操作：
sudo chmod -R 755 /var/www/phpmyadmin ,這樣重新設置後就可以了。

郵件伺服器 Postfix 功能概述

Postfix支援的環境：
Postfix 可以在 AIX、BSD、HP-UX、IRIX、LINUX、MacOS X、Solaris、 Tru64 UNIX，以及其它 UNIX 平台上執行。
它需要 ANSI C、 POSIX.1 函式庫，以及 BSD 通訊插座(sockets)。
要運行 Postfix 的檔案系統必須有以下條件：若變更檔案名稱，其 inode 編號仍能保持不變，而且，在 fsync() 函式成功回傳之後，能正常地儲存信件，甚至當檔案在稍後的時間點改變檔名時亦然。

Postfix的設定方式簡單、進階門檻低，更重要的是，Postfix採用模組化的設計，讓郵件伺服器運作穩定、效能卓越、安全性無虞。
Postfix和DNS、POP3、IMAP、資料庫、LDAP、SASL、Dovecot、SMTP授權認證、TLS憑證等組合應用。
Postfix的傳輸限制和內容過濾功能，協助網管人員阻絕垃圾郵件。
運用外部程式，建立過濾垃圾郵件及病毒信件的機制。
建立DomainKeys、DKIM，以防止網域被人偽造。
使用原始碼編譯安裝Postfix和各種模組的方法。



以下是 Postfix 主要功能列表：
其中某些功能需要搭配第三方提供的函式庫 (例如： LDAP, SQL, TLS)。
有些功能，必須是作業系統有提供支援，而且 Postfix 知道如何去運用時，才會正常可用。
(例如：IPv6，連接快取)。

Postfix支援的協定：
Postfix 2.2     Connection cache for SMTP
Postfix 2.3     DSN status notifications
Postfix 2.3     Enhanced status codes
Postfix 1.0     ETRN on-demand relay
Postfix 2.2     IP version 6
Postfix 1.0     LMTP client
Postfix 2.0     MIME (including 8BITMIME to 7BIT conversion)
Postfix 1.0     Pipelining (SMTP client and server)
Postfix 1.0     SASL authentication
Postfix 2.2     TLS encryption and authentication
Postfix 1.1     QMQP server
棄置信件控管
Postfix 2.1     Access control per client/sender/recipient/etc.
Postfix 2.1     Address probing callout
Postfix 1.1     Content filter (built-in, external before queue, external after queue)
Postfix 2.1     Greylisting plug-in
Postfix 2.1     SPF plug-in
Postfix 2.2     SMTP server per-client rate and concurrency limits
支援的資料庫
Postfix 1.0     Berkeley DB database
Postfix 2.2     CDB database
Postfix 1.0     DBM database
Postfix 1.0     LDAP database
Postfix 1.0     MySQL database
Postfix 2.0     PostgreSQL database
支援的信箱格式
Postfix 1.0     Maildir and mailbox format
Postfix 1.0     Virtual domains
位址處理
Postfix 2.2     Masquerading addresses in outbound SMTP mail
Postfix 2.2     Selective address rewriting
Postfix 1.1     VERP envelope return addresses

『將軍』你是武藝高強？膽識過人？精通騎射？您生錯時代啦！
『戰馬』你是汗血寶馬？善奔能越？躍馬中原？此戰場沒有你的舞台！
開店因為房屋很貴買不起，所以先租（等賺錢一定買下來！）
網路開店，一台Linux主機才兩萬五千元，誰都買得起！
租虛擬主機繳年租金、限制空間大小、限制語法、限制流量......
如此綁手綁腳的經營網路事業，還能有何大作為？
您的客戶資料庫（哈哈！被人家看光光啦！）
租虛擬主機，無隱密可言（主機管理業者擁有最高權限）
租用者就像『裸體』展示於人家的目光下
『商業機密』一詞，跟你的距離是無限的遙遠！
------------------------------------------------------------
大家都知道網路創業的好處：
1.初期建置網站金額較低，甚至零成本。
2.初期人事、水電成本較低。
3.網路店面比較沒有曝光的地區限制(除非產品、物流、語言的限制)。
4.消費者可以在任何時間瀏覽與選購商品(24小時營業)。
5.初期可採用眾多的網路平台，免費宣傳、曝光方式，之後再採用付費的方式，提高效益。
6.即使沒有成功，成本損失也較低。

想要網路創業自動賺錢，你應該具備那些專業技能呢？

那座而言不如起而行，如何開始您的第一步行動呢？

1.先評估自己會什麼網路技能？不會那些網路技能？
將自己的優勢寫下來，也將自己需要進修的專業技能逐一記錄下來

2.找到您需要的課程（利用下班時間，努力精研）
最好是影片課程，不要只是一般書店的書籍或網路電子書
（因為圖片與文字根本學習效率不好，無法有效迅速學會，學習中有問題要問誰？）
實際網路經營時發生網站語法錯誤或網站被駭客入侵！
那您最好有個專業『會程式語言與架設主機』的老師可以免費技術諮詢
不然，一發生問題，您的網路事業就停擺了，網站一停就無收入！
（就好像上班放無薪假一樣....悽慘！）。
有甚至網站資料全毀，資料庫也出問題，你要在第一時間內就能快速修護！
這一點你可要小心！網路創業絕對要有：技術諮詢！
迅速回覆的專業老師（或專業技術顧問）。
不然，就像大海裡頭的孤鳥，叫天天不應，叫地地也不靈
（自己閉門造車摸索是網路創業者最悲慘的失敗原因！）。



2.你的網站要自己架設！
（請人設計網站費用貴，小則三四萬高者也有十幾萬元的，往後網站維護也不方便！）
這方面你可以學習：
1.網站架設與網頁設計教學
詳細介紹：
http://por.tw/Website_Design/E_learning/index.php
長期技術支援網站：
http://por.tw/Website_Design

2.購物網站架站教學
詳細介紹：
http://por.tw/sale/cmmerse-4-all/index.php
長期技術支援網站：
http://por.tw/sale

3.部落格架站、行銷、賺錢術教學
詳細介紹：
http://por.tw/blog/E_learning/index.php
長期技術支援網站：
http://por.tw/blog

4.PHP+MySQL+PHPMaker+Dreamweaver整合教學
（PHPMaker運用設計網站教學）
詳細介紹：
http://por.tw/php/new-E_learning/index.php
長期技術支援網站：
http://por.tw/php

5.Flash-動畫製作教學
詳細介紹：
http://por.tw/flash/new-E_learning/index.php
長期技術支援網站：
http://por.tw/flash
-------------------------------------------------------------------------
3.網站圖片非常重要，你如果不會拍照與修圖，那您就要學習：
商業商品攝影教學
詳細介紹：
http://por.tw/design/photographing_Course/index.php
長期技術支援網站：
http://por.tw/design
-------------------------------------------------------------------------
4.影片能讓您的網站更出色，如果您不會錄影
或影片剪接、編輯、上字幕、做特效，那您就要學習：
【錄影影片製作】技術教學
詳細介紹：
http://por.tw/photo-video/video_Course/index.php
長期技術支援網站：
http://por.tw/photo-video
-------------------------------------------------------------------------
5.有了網站，接下來就是『如何將網站經營的有聲有色？』
這就需要專業的網路行銷技術：
A.搜尋引擎排名SEO教學
詳細介紹：
http://por.tw/seo/new-seo/index.php
長期技術支援網站：
http://por.tw/seo

B.EDM電子報製作教學
詳細介紹：
http://por.tw/edm/edm_Marketing/index.php
長期技術支援網站：
http://por.tw/edm

C.電子書製作賺錢密技教學
詳細介紹：
http://por.tw/ebook/new-ebook/index.php
長期技術支援網站：
http://por.tw/ebook

D.【訂單王】超級網路秒殺成交法-A-page 【一頁定江山】行銷賺錢術
詳細介紹：
http://por.tw/page/new-E_learning/index.php
長期技術支援網站：
http://por.tw/page
-------------------------------------------------------------------------
6.如果您想要學習『專案方式』的專業技能，您可以學習：
A.「網路創業賺錢_如何從網路創業賺錢賺到第一個100萬！」課程
詳細介紹：
http://por.tw/soho/new-E_learning/index.php
長期技術支援網站：
http://por.tw/soho

B.藉助『程式』邁向網路自動賺錢術（Auto Rich -自富課程）
詳細介紹：
http://por.tw/Rich/new-E_learning/index.php
長期技術支援網站：
http://por.tw/Rich

C.【正印家族】授權營運專案‧自動印鈔機賺錢術
詳細介紹：
http://por.tw/money/new-E_learning/index.php
長期技術支援網站：
http://por.tw/money
-------------------------------------------------------------------------
7.您的網站可以用兩種方式經營
1.是租用虛擬主機
（創業初期，如果尚無長遠規劃可租虛擬主機空間架設網站）

2.是自己擁有獨立主機！
如果您有此長遠的規劃，那您可以申購此服務：
替你架設Linux主機伺服器+影片教你維護（還有遠端技術協助）讓你自己當家作主！
http://por.tw/linux/new-E_learning/index.php
長期技術支援網站：
http://por.tw/linux
-------------------------------------------------------------------------
8.此外，如果你對國外軟體感覺不好用，那您可以學習：
軟體中文化實戰教學影片
軟體中文化實戰教學影片教學詳細介紹：
http://por.tw/f2blog/new-E_learning/index.php
長期技術支援網站：
http://por.tw/f2blog

不論是英文、日文、大陸簡體或其他軟體，能透過軟體中文化技術變成：繁體中文版
那在網路事業的經營上，所有要用到的軟體，就能通通變成：繁體中文版啦！
那是業經營起來當然是：得心應手！手到擒來！
-------------------------------------------------------------------------

Linux主機防火牆規則（Linux主機伺服器架設技術）

Linux 安裝完畢，便已內建基本的防火牆規則，它是採 IPTABLES 來進行封包過濾的動作。
預設的規則列主要在防止外面主機連線至主機，被阻擋的服務有 FTP, SSH, Samba網芳等。


Linux主機防火牆基本原理：

設定檔

設定規則列位置及套用方式是 Linux 專用的方法，與其他 Debian OS 不同。

    * 使用工具： iptables
    * 規則列位置： /etc/rc.local
    * 修改後套用
      root@dns:~# service rc.local start
    * 註： rc.local 原本設計是為開機後要手動執行特定工作的設定區，Linux 把它借來放置防火牆規則列


Linux主機防火牆基本觀念：

    * IPTABLES = "/sbin/iptables"
      這一行是指：設定 IPTABLES 這個變數，以後只要看到 $IPTABLES 這個字串，就代表 /sbin/iptables 這個指令

    * $IPTABLES -F
      這一行是指：把之前所有已設過的規則清空(flush)


Linux主機防火牆封包進出主機方向：

在 /etc/rc.local 內之「設定 filter table 的預設政策」會看到三行設定值，如下：

###-----------------------------------------------------###
# 設定 filter table 的預設政策
###-----------------------------------------------------###
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

筆者將其簡化說明如下：

    * INPUT   --> 外面要進入主機的網路封包，主要用於規範外面如何連線至主機上的各種服務，與 NAT 內網無關
    * OUTPUT  --> 從主機出去的網路封包。
    * FORWARD --> 從 B 網卡轉至 A 網卡，規範於有 NAT 主機或透通式防火牆用途時，內轉外網路封包之控管。
    * 依上例，預設所有的封包皆開放，不阻擋


INPUT規則列的寫法

規則列的寫法，是把預設政策擺在最下面一行，例外規則擺上面，如下所例

# 只有本主機所屬網段才能連到這台主機的 ssh port 22
$IPTABLES -A INPUT -p tcp -s 163.26.182.0/24 --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 203.68.102.0/24 --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 220.130.230.76 --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 127.0.0.1 --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -j DROP


上面的規則列可以用下面這張圖來表達，預設 22 埠是不被連線的，但有四個綠點例外。
Iptables sample.png



進階處理
取消某個通訊埠的阻擋

只要把所有該 port （--dport）的規則列前面加上 # 變成註解，或直接刪除即可，以 FTP 示例如下：

# 只有本主機所屬網段才能連到這台主機的 FTP SERVER port 21
# $IPTABLES -A INPUT -p tcp -s 163.26.182.0/24 --dport 21 -j ACCEPT
# $IPTABLES -A INPUT -p tcp -s 127.0.0.1 --dport 21 -j ACCEPT
# $IPTABLES -A INPUT -p tcp --dport 21 -j DROP

# 只有本主機所屬網段才能連到這台主機的 ssh port 22
$IPTABLES -A INPUT -p tcp -s 163.26.182.0/24 --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 203.68.102.0/24 --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 220.130.230.76 --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 127.0.0.1 --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -j DROP




新增例外連線範圍

若要新增例外連線點，一定要加在相同埠值區塊最後一行之前（建議第一行），假設我們要加中華電信某個網段 59.127.0.0/16 至 Port 22 的例外點上，做法如下：

    * 編輯 /etc/rc.local （紅字為新增部分）
      root@dns:~# vi /etc/rc.local

# 只有本主機所屬網段才能連到這台主機的 ssh port 22
$IPTABLES -A INPUT -p tcp -s 59.127.0.0/16 --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 163.26.182.0/24 --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 203.68.102.0/24 --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 220.130.230.76 --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 127.0.0.1 --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 22 -j DROP


    * 套用新規則
      root@dns:~# service rc.local start



新增某個通訊埠連線限制
以 TCP 1723 為例

假設主機有架 VPN 服務，經由「netstat -nlp」查詢後得知其使用的埠值為 TCP 1723。因此，為避免不具善意的網客隨便亂測密碼，我們可以在 /etc/rc.loal加上其連線限制。

假設允許的網段為

   1. 校內： 163.26.182.0/24
   2. 校外某點： 220.130.230.76

    * 編輯 /etc/rc.local，在 IPv4 的設定區(就是 /sbin/ip6tables -F 之上)，依 port 值排序，大約在網芳區塊後面加上。
      root@dns:~# vi /etc/rc.local（紅字為新增部分）

 ......

$IPTABLES -A INPUT -p tcp --dport 139 -j DROP
$IPTABLES -A INPUT -p tcp --dport 445 -j DROP
$IPTABLES -A INPUT -p udp --dport 137 -j DROP
$IPTABLES -A INPUT -p udp --dport 138 -j DROP

$IPTABLES -A INPUT -p tcp -s 163.26.182.0/24 --dport 1723 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 220.130.230.76 --dport 1723 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 127.0.0.1 --dport 1723 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 1723 -j DROP

/sbin/ip6tables -F
/sbin/ip6tables -A INPUT -p tcp --dport 21 -j DROP
/sbin/ip6tables -A INPUT -p tcp --dport 22 -j DROP
/sbin/ip6tables -A INPUT -p tcp --dport 23 -j DROP
 ......


    * 套用新規則列
      root@dns:~# service rc.local start



以 ICMP 為例

預設不讓外面網路任意點可以 PING 本主機，造就本主機不存在的假象，但選定數點開放偵測。假設允許的網段為

   1. 教網中心：163.26.200.0/24
   2. 校內： 163.26.182.0/24
   3. 校外某點： 220.130.230.76


    * 編輯 /etc/rc.local，在 IPv4 的設定區，Port 21 規則列上方。
      root@dns:~# vi /etc/rc.local（紅字為新增部分）

 ......


$IPTABLES -A INPUT -p icmp -s 163.26.182.0/24 -j ACCEPT
$IPTABLES -A INPUT -p icmp -s 163.26.200.0/24 -j ACCEPT
$IPTABLES -A INPUT -p icmp -j DROP

# 只有本主機所屬網段才能連到這台主機的 FTP server port 21
$IPTABLES -A INPUT -p tcp -s 163.26.182.0/24 --dport 21 -j ACCEPT
$IPTABLES -A INPUT -p tcp -s 127.0.0.1 --dport 21 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 21 -j DROP
 ......


    * 套用新規則列
      root@dns:~# service rc.local start



防止 DoS 攻擊

筆者朋友主機最近遭到 DoS 攻擊，我本來以 iptables -m limit 來處理，但發現它會不分來源一律阻擋，這樣無辜的 IP Address 也受到限制，非常不公平，思考並搜尋了一個晚上，後來決定以限制單一 IP 同時連線數（connlimit），來處理此類攻擊，它會把單一 IP 來源同時要求服務（--syn）的連線數，限制在一定的數量以內，正常用人工手動點網頁，就算該網頁有 FrameSet ，應也不致於大過 12（自已用手拼命點得到的結論）才對。因此在設定此限制時，以每一個 IP 同時連線數不得超過 15 為參數，並進行後續的觀察。在設定後，經過一段時間的觀察，CPU 再也不會一直維持在 90-100% 高檔了，大約只會偶而跳至 60-70% ，一般皆在 10 % 以內。重點是它只 tcp-reset 有問題的來源，無辜的人仍可享受應有的速度。

設定方式：

    * 請確認 syslog 有下列參數
          o Linux 在 /etc/syslog.conf
          o Ubuntu 在 /etc/rsyslog.d/50-default.conf

# iptables 的記錄可以寫入 /var/log/kern.log
kern.*                          -/var/log/kern.log

    * 先把可能攻擊的 ip 寫入 /var/log/kern.log ，再把它的封包無聲的丟掉；以同時 15 個連線為限。

$IPTABLES -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 -j LOG --log-level 4
$IPTABLES -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 -j REJECT --reject-with tcp-reset

    * 分析攻擊可能來源
          o 螢幕觀看(以 tab 鍵分隔欄位)
            root@dns:~# cat /var/log/kern.log |awk '{print $1 " " $2 " " $9}'
          o 轉至純文字，以供下載至試算表統計
            root@dns:~# cat /var/log/kern.log |awk '{print $1 " " $2 " " $9}' > /root/dosatt.txt
            呈現的結果部分截取如下：

May    10    SRC=60.250.181.66
May    10    SRC=60.250.181.66
May    10    SRC=60.250.181.66
May    10    SRC=60.251.81.94
May    10    SRC=60.251.81.94
May    10    SRC=60.251.81.94
May    10    SRC=60.251.81.94
May    10    SRC=60.251.81.94
May    10    SRC=60.251.81.94
May    10    SRC=60.251.81.94
May    10    SRC=60.251.81.94
May    10    SRC=60.251.81.94
May    10    SRC=60.250.181.66
May    10    SRC=60.250.181.66

    * 鎖了吧，可疑者！
      若某個 IP 來源您不認識，但每天常常超過，人工點網頁的極限（同時超過 15 個連線數），可以再加以下規則，把它鎖了吧！

$IPTABLES -A INPUT -i eth0 -p tcp -s 60.250.xxx.xx --dport 80 -j DROP

減少 Linux 上重複檔案的佔用空間

警告: 本文所說明之內容僅適合進階使用者應用。未經適當使用，可能會造成系統無法正常運作。

不知道有多少人計算過，其實在你的 Linux 檔案系統中，有不少重複的相同檔案。特別是圖檔、說明文件與修改說明。若是拿將檔案整併，應該可以省下些空間。

於是 Julian Andres Klode (chf) 參考 hardlink.py 的概念寫了一個 hardlink 工具，這個工具會幫你從指定的目錄中找出相同的檔案，以 Hard Link 的方式將多份檔案刪減成一份，如此便可以節省硬碟空間。白話一點說明就是刪掉多重檔案的儲存空間，在檔案系統的目錄中新增一筆連結資訊到同一份儲存位置。

我試著對我的 Debian Sid 上的 /usr 下達這個指令，共找到 11391 個檔案，省下大約 135 MiB 的空間。



由於 Hard Link 的本質特性，此指令只能用在同一個分割區下，建議不要對全系統下此指令。此外，若已經被 “hard link” 過得檔案分屬不同的軟體，未來若升級軟體時，可能會覆蓋掉共用的檔案而造成軟體無法運作，這點風險請自行承擔。建議使用在較少更新的 Debian Stable 版本。

遠端備份（Linux主機伺服器架設技術）

rSync 是遠端備份資料的機制，而且這個機制是跨平台的，也就是不限作業系統類型。
建議的作法是，用 Linux 架一台 rSync Server ，供其他 Linux Server 或 Windows 平台備份資料。



在架設上，Linux Server 的方式最簡易，但由於其預設檔名編碼為 Big5 碼，鑑於相容，筆者建議採用 Linux 系列來架設。
但是 Linux 上沒有 Linux server 的 rysnc 快速設定工具, 所以若要把 Linux 當成 rsync server, 就得依下面步驟來處理。
rSync伺服器

    * 修改 /etc/default/rsync
      RSYNC_ENABLE=false → 改成RSYNC_ENABLE=true


    * 到現有的 Linux server 產生伺服器設定檔 /etc/rsyncd.conf 及 /etc/rsyncd.secrets 複製到 Linux 的 /etc 底下。再依以下 rsyncd.conf 示例中所示, 必須建立 /mybk1 資料夾來放備份資料。
          o rsyncd.secrets 的內容為「帳號:密碼」, 示例如下

            my_backup:my_backup_passwd

          o 權限改為 400
            user@Linux:# sudo chmod 400 rsyncd.secrets

          o rsyncd.conf 檔示例

log file = /var/log/rsyncd.log
    [mybk1]                   
    path = /mybk1             
    auth users = my_backup    
    uid = root                
    gid = root                
    secrets file = /etc/rsyncd.secrets
    read only = no

    [mybk2]            
    path = /mybk2             
    auth users = my_backup    
    uid = root                
    gid = root                
    secrets file = /etc/rsyncd.secrets
    read only = no

註：[mybk1]是區段名稱, 從[mybk1]至read only = no為一區段, 而一個設定檔, 允許設定多個區段

    *
          o 建立 /mybk1 及 /mybk2 資料夾
            user@Linux:# sudo mkdir /mybk1
            user@Linux:# sudo mkdir /mybk2



rSync客戶端

    * 到現有的 Linux server 產生客戶端執行檔 bk-Linux.sh 及 rsyncd.secrets 丟至 rsync 客戶端電腦上的 /root 底下, 這兩個檔案的擁有者必須為 root , 而且必須 su 至 root 權限來執行
          o Client 端的 rsyncd.secrets 必須注意兩件事
         1. 內容只含密碼

            my_backup_passwd

         2. 檔案權限必須設定為 400 (-r--------)
          o Client 端的 bk-Linux.sh 內容示例如下

#! /bin/sh

/usr/bin/rsync -rvlHpogDtS --password-file=/root/rsyncd.secrets /var/www my_backup@rsync.server::mybk1

註：把 /var/www 備份至 rsync.server這台主機的 mybk1 區段

    * 對 bk-Linux.sh 賦予執行權
      user@Linux:# sudo chmod +x /root/bk-Linux.sh

    * 執行備份動作
      user@Linux:# sudo /root/bk-Linux.sh

    * 設定 crontab , 定時執行 /root/bk-Linux.sh
      user@Linux:# sudo crontab -e

      0 3 * * * /root/bk-Linux.sh

      註：每日 3 時執行 bk-Linux.sh 以備份資料


在 Windows 用 rsync 備份至 Linux 上的 rsync server

    * 請參考下列網址：
      http://myip.tw/itsmw/index.php/DeltaCopy

rSync還原

    * 不論您的 client 端為何種 OS，一律建議使用 FileZilla，使用 SFTP 模式取回即可。請參考下面動畫示範：
      http://myip.tw/Linuxdoc/LinuxBase/m6_filezilla_sftp.htm

DNS雙向解析服務（Linux主機伺服器架設技術）Domain Name Server

本文並不在介紹從無到有寫出 dns 完整的設定檔，主要還是先利用 Linux/Linux Server 提供的工具，產生基本設定檔，再進一步解釋其中涵義，以及如何修改新增／修改主機名稱對映。

DNS開啟Port

    * TCP anynet 53
    * UDP anynet 53
    * TCP localhost 953 (管理指令用)

全球DNS管理

DNS是 Domain Name Server 的簡稱，它的功能在於把 IP(v4 and v6) 位址與英文網址建立起對照表，以提供雙向解析的服務。
在 InterNet 上，所有的 DNS Server 是以階層的方式，層層授權，層層管理。例如：「edu.tw」是教育部電算中心的網域，電算中心會為其架 DNS Server，管理所有的學術網路。
由此，教育部的 DNS Server 授權縣教育網路中心的 DNS Server 自行管理【tnc.edu.tw】的網域。
最後再由 dns.tnc.edu.tw 授權各校的 DNS Server 自行管理學校網域。更詳細的資料，請參考上面所列兩篇文章。

 Domain Name 皆是由 dns.tnc.edu.tw (163.26.200.1) 授權出去的【網域】，所以務必要建置 DNS Server 啟用該網域。
至於特定用途的網站，才由 dns.tnc.edu.tw 指定網址。如：《 xoops.tnc.edu.tw 》、《 x.tnc.edu.tw 》、《 freesf.tnc.edu.tw 》等，皆在 163.26.200.1 中直接指定網址。

安裝與初步設定
DNS 查詢指令簡介
Client DNS 查詢過程

在介紹查詢指令前，我們要先了解什麼是 DNS Cache，而它又和 Client 的 DNS 有關，因此本文在此做一簡單說明。
Client 端的 IP查詢過程

別台 DNS Server 會 cache 學校 dns 記錄，因此 dns server 若做任何變動，Client 電腦並不會立即知道(被 cache 騙了)。
因此，若有變更 dns 記錄，除了要修改 serial 外，想查詢是否設定成功，只得對自己查，這也是為何 dig 指令後面必須加上 @163.26.xxx.xxx 參數的原因。

在 Linux 上常用的 DNS 查詢指令

    * nslookup dc1es.tnc.edu.tw
      直接查詢 dc1es.tnc.edu.tw 的 IP 位址
    * dig dc1es.tnc.edu.tw
      查詢 dc1es.tnc.edu.tw 網域狀況，詢問的對象視 /etc/resolv.conf 內 nameserver 的設定值而異
    * dig @163.26.200.1 dc1es.tnc.edu.tw
      向 163.26.200.1 查詢 dc1es.tnc.edu.tw 網域狀況
    * dig @163.26.200.1 dns.dc1es.tnc.edu.tw AAAA
      向 163.26.200.1 查詢 dns.dc1es.tnc.edu.tw 的 IPv6 網址
    * dig -x 163.26.182.1
      查詢 163.26.182.1 的反解記錄
    * dig @163.26.200.1 -x 163.26.182.1
      向 163.26.200.1 查詢 163.26.182.1 的反解記錄
    * dig @163.26.200.1 -x 2001:288:75a6::1
      向 163.26.200.1 查詢 IPv6 2001:288:75a6::1 的反解記錄
    * dig @163.26.182.1 dc1es.tnc.edu.tw MX
      向 163.26.182.1 查詢收件人為 xxx@dc1es.tnc.edu.tw 的信件會轉送至何處
    * dig @163.26.182.1 dns.dc1es.tnc.edu.tw MX
      向 163.26.182.1 查詢收件人為 xxx@dns.dc1es.tnc.edu.tw 的信件會轉送至何處
    * dig @168.95.1.1 yahoo.com NS
      向 168.95.1.1（中華電信 DNS Server） 查詢 yahoo.com 網域是由那些 Name Server 來服務



DNS Server套件

Linux/Linux Server 已預設裝妥 Bind9 這一套 DNS Server 套件及其設定工具 ols3dns ，使用其產生器，所製造出的設定檔結構解釋如下：

    * 設定檔位置在 /etc/bind/ 底下


    * 無限制遞迴查詢（預設值）
          主控檔： named.conf
            其功能在於指定各網域(Zones)的設定檔名稱暨位置，以下各設定檔是以 ols3dns 產生器為例來進行說明，實務上，檔名只要在 named.conf 定義清楚即可，不一定要遵循下面的範例

rndc.key     

遠端控制(Remote Name Daemon Control)金鑰

RNDC詳解： http://dns-learning.twnic.net.tw/bind/security.html#two
named.ca     最頂層 dns server 定義，在 named.conf 設定時必須使用 type hint 來指定
db.xxxx.tnc.edu.tw     IPv4/IPv6共用正解檔
db.163.26.xxx     IPv4反解檔
2001.288.75xx.rev     IPv6反解檔
localhost     IPv4/IPv6 localhost 正解檔
rev-127.0.0     IPv4 localhost 反解檔
rev.local6     IPv6 localhost 反解檔


    * 限制遞迴查詢設定檔結構
          主控檔： named.conf + auth_zones.conf
            named.conf 主內容在限制遞迴查詢，而可查詢的網域改放在 auth_zones.conf
          其他檔案與上面一致


    * port 值： TCP/UDP 53 ; localhost: 953
    * 手動啟動 | 停止 DNS 服務： /etc/init.d/bind9 start | stop | restart


設定檔內關鍵用語解說

筆者整理了 Bind9 各設定檔常出現的關鍵用語如下，請參考：
$TTL 86400     對方主機查詢完畢，其值要保留（快取）的秒數，例：86400秒
$ORIGIN     宣告本設定檔所列之所有記錄出自於那個網域，最後必須以「.」做結尾，否則會自動再加上網域名稱
$ORIGIN subnet     授權自己的子網域給另一台 DNS Server
@     代表「Zone」

以 db.xxx.tnc.edu.tw 設定檔為例，【@】指的是 xxx.tnc.edu.tw。
以 localhost 設定檔為例，【@】指的是　localhost
IN SOA     開始授權（Star of Authority），後面接了兩個參數是指「本 zone 的管理主機名」及「本 zone 的管理者」
IN NS     負責的 Name Server 主機名稱為何?
IN A     為主機名稱賦予 IPv4 位址
IN AAAA     為主機名稱賦予 IPv6 位址
IN CNAME -->　別名     例： www,ftp,s1...皆是 dns 的分身
IN PTR --> 反解     某 IP 所代表的主機名稱
IN MX -->Mail eXchange     轉信，例：
    mail.tw IN MX 0 spamgw.tw
    mail.tw IN MX 10 mail.tw

說明如下：

   1. 把【xxx@mail.tw】信件先轉給【spamgw.tw】(註： 有兩筆 MX 記錄時，數值低的有較高的優先權）
   2. 【spamgw.tw】收了信之後（並處理之），發現原來指定收信人是在【mail.tw】，因此再把它轉回給【mail.tw】
   3. 如果 spamgw 故障，理論上會送至第二優先 mail.tw（它自己），但依游戲規則，就算是 mail.tw 它自己，它還是會去問 dns.tw ，信件 xxx@mail.tw 的 MX 為何？結果 dns.tw 說，要優先送 spamgw.tw。簡言之，設了 MX 之後，最優先的那台主機一定不可以故障，否則會收不到信件

    * 注意：mail 與 dns 同位址時，不可以採用 CNAME 的設法，一定要用 IN A，才可正常收發信件

限制遞迴查詢 vs 不限制

限制遞迴查詢的意思是，本 DNS Server 只回答所轄網域的問題，其餘不答。不限制的話，就沒有上述限制。例如：當一台 client 向 DNS Server(163.26.182.1)詢問 tw.yahoo.com 時，若有做限制，那麼它不會回答，因為 tw.yahoo.com 不歸 dc1es.tnc.edu.tw 所管。反之，若不做任何限制，它會依其根設定檔(named.ca)一層層往上問，幫 client 找到 tw.yahoo.com 的 IP Address 並回覆之。

可是，貴校可能已設妥限制，而且學校的電腦也都以本校的 DNS Server 為查詢主機，為何還是可以查得到 tw.yahoo.com ？那是因為在 named.conf 內的：「acl allow_clients { 127.0.0.1; 163.26.182.0/24; 2001:288:75a6::/48; };」設定中有說明，要開放給校內的機器查詢。

限制遞迴查詢雖然會造成一些不方便，但它會有較高的安全性，尤其是對 ARP 類病毒偽造網址攻擊，有較高的防禦能力。不過未來若 IPv6 only 實施（沒有 ARP 機制，改用 fe80:...機制），其實限制遞迴查詢，就比較沒有存在意義（目前是 IPv4 與 IPv6並存）。


Linux Server初步設定方法

有兩個方式來設定 DNS 參數

   1. 在設定管理密碼（Linux-setup）時勾選【這台主機要擔任 DNS Server 嗎 ?】，就會在 /etc/bind/ 底下產生不限遞迴查詢的相關設定檔
      注意：本方式僅適用於裝完 Linux Server，第一次登入時。因為 Linux-setup 本身會改變很多設定值（不只 dns），若機器已順利運作多時，勿用。
   2. 直接在終端機介面下指令

   1. 不限遞迴查詢：　root@dns~# ols3dns
   2. 限制遞迴查詢：　root@dns~# ols3dns --no-recursive
   3. 以大成國小為例
      #-----------------------------------------------------#

      # 臥龍小三 工 具 箱 (1.0.7Linux) Copyright 2006 OLS3　　#
      # DNS 自動產生器 1.0.7Linux for Linux　　　　　　　　　 #
      # All rights Reserved.　　　　　　　　　　　　　　　　#
      #-----------------------------------------------------#

      請輸入網域名稱? 例如: jmjh.tnc.edu.tw
      dc1es.tnc.edu.tw
      請輸入IP前三個數字? 例如: 163.26.167
      163.26.182
      請輸入第一台主機的第四個IP?
      例如: 163.26.167.1 的 1
      1
      您要架設第二部 DNS 嗎?(Y/N)
      N

      Done!


Linux初步設定方法

與 Linux Server 一樣，有兩個方式來產生基本的 DNS 設定檔

   1. 在設定管理密碼（Linux-csetup-utf8/Linux-csetup）時，在最後一個問題【這台主機要擔任 DNS Server 嗎 ?】回答「Y」，就會在 /etc/bind/ 底下產生不限遞迴查詢的相關設定檔。
      注意：本方式僅適用於裝完 Linux Server，第一次登入時。因為 Linux-setup 本身會改變許多設定值，若機器已順利運作多時勿用。
   2. 先把終端機的字元編碼改為 Big5 ，再下指令

   1. 不限遞迴查詢：　root@dns~# ols3dns
   2. 限制遞迴查詢：　root@dns~# ols3dns --no-recursive
   3. 設定過程與上例一樣，請參考上面文件



進階設定
IPv4 的正反解
新增一筆IPv4位址正解

要新增一筆正解記錄只要在正解檔「 /etc/bind/db.xxx.tnc.edu.tw 」內，加上一筆 IN A 的記錄，再把 serial n加１，並重新啟動 DNS Server 即可。 下文，筆者以新增 spamfilter.dc1es.tnc.edu.tw 網址，指向 163.26.182.250 IPv4 位址為例進行解說。

   1. 編輯 /etc/bind/db.xxx.tnc.edu.tw

      $TTL 86400
      @  IN  SOA dns.dc1es.tnc.edu.tw. admin.dns.dc1es.tnc.edu.tw. (
                 2006030801 ; 這個數字是序號(serial no.) , 每修改一次就要加 1 號
                 86400 ; refresh
                 1800 ; retry
                 1728000 ; expire
                 1200 ; Negative Caching
                 )
         IN   NS dns.dc1es.tnc.edu.tw.
      dns IN A 163.26.182.1
      @ IN MX 0 mail.dc1es.tnc.edu.tw.
      ;網域名稱 dc1es.tnc.edu.tw 也要賦予一組 IPv4 位址
      dc1es.tnc.edu.tw. IN A 163.26.182.1
      ;
      s1     IN   CNAME dns.dc1es.tnc.edu.tw.
      www    IN   CNAME dns.dc1es.tnc.edu.tw.
      ftp    IN   CNAME dns.dc1es.tnc.edu.tw.
      proxy  IN   CNAME dns.dc1es.tnc.edu.tw.
      ;
      mail  IN  A  163.26.182.1
      s2    IN  A  163.26.182.2
      nt    IN  A  163.26.182.3
      s4    IN  A  163.26.182.4
      s5    IN  A  163.26.182.5
      nat   IN  A  163.26.182.234
      ;為 spamfilter 加上 IN A 的記錄
      spamfilter IN A 163.26.182.250  
      註1：正反解設定檔是用「；」來標示註解文字，不是「＃」，請勿用錯
      註2：每一行都要靠左，除非本行是上一行的附屬設定

   2. 重新啟動 bind9
      root@dns:~# service bind9 restart
   3. 檢查重新啟動的訊息是否正常
      root@dns:~# tail -50 /var/log/syslog



IPv4反解問題

IPv4正解，可以由上層 DNS Server 授權某任一 IPv4 位址來擔任 DNS 工作，不受 IPv4 網段影響。但反解就不行，因為它受到「至少要一個完整 C Class 網段」的限制。因此，所有分配到 163.26.xxx.1 的學校，可以幫其他前三個數字一致的機器做反解，但 163.26.xxx.129 就不行。這也是為什麼，我們可以向中華電信申請 dns 名稱正解管理權，但反解就不行，只能靠它幫忙代管的原因。

基於上述原因，若貴校有非反解不可的原因，又不在 163.26.xxx.0 網段上，可以連絡教網中心主任協助處理。至於 IPv6 的部分，因為所配發網段皆是完整的 prefix 48 ，所以不會有此一困擾。不過如果貴校如果剛好就分配到 163.26.xxx.0 網段，則可以經由編輯　/etc/bind/db.163.26.xxx 來新增一筆 IPv4 反解記錄。
$TTL 86400

@   IN   SOA   dns.dc1es.tnc.edu.tw.   admin.dns.dc1es.tnc.edu.tw. (
      2000082620  ; serial 要加 1
      86400  ; refresh
      1800  ; retry
      1728000  ; expire
      1200  ; Negative Caching
      )
      IN   NS   dns.dc1es.tnc.edu.tw.

1     IN   PTR   dns.dc1es.tnc.edu.tw.
2     IN   PTR   s2.dc1es.tnc.edu.tw.
3     IN   PTR   nt.dc1es.tnc.edu.tw.
4     IN   PTR   s4.dc1es.tnc.edu.tw.
5     IN   PTR   s5.dc1es.tnc.edu.tw.
234   IN   PTR   nat.dc1es.tnc.edu.tw.
250   IN   PTR   spamfilter.dc1es.tnc.edu.tw.

手動增加 IPv6 的正反解
沒限制遞迴查詢(預設)
修改 named.conf

把紅字的部分, 加至 /etc/bind/named.conf
options {

     directory "/etc/bind";
     allow-transfer {
        163.26.182.2; // Secondary DNS
     };
     listen-on-v6 { any; };
};

logging {
     category lame-servers{null;};
};

zone "." {
     type hint;
     file "named.ca";
};

zone "localhost" {
     type master;
     file "localhost";
};

zone "0.0.127.in-addr.arpa" {
     type master;
     file "rev-127.0.0";
};

zone "dc1es.tnc.edu.tw" {
     type master;
     file "/etc/bind/db.dc1es.tnc.edu.tw";
};

zone "182.26.163.in-addr.arpa" {
     type master;
     file "db.163.26.182";
};

// ::1 的反解檔
zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa."{
     type master;
     file "rev.local6";
};

// 2001.288.750b 的反解檔
zone "6.a.5.7.8.8.2.0.1.0.0.2.ip6.arpa." {
     type master;
     file "2001.288.75a6.rev";
};


繼續修改 db.xxx.tnc.edu.tw

$TTL 86400
@  IN  SOA dns.dc1es.tnc.edu.tw. admin.dns.dc1es.tnc.edu.tw. (
           2006030802 ; serial 要加 1
           86400 ; refresh
           1800 ; retry
           1728000 ; expire
           1200 ; Negative Caching
           )
   IN   NS dns.dc1es.tnc.edu.tw.
dns  IN  A    163.26.182.1
     IN  AAAA 2001:288:75a6::1
;上面 IN AAAA 前面一定要留空白, 代表是要繼續設 dns 主機的 AAAA(IPv6) 記錄
;
@ IN MX 0 mail.dc1es.tnc.edu.tw.
;
dc1es.tnc.edu.tw. IN A 163.26.182.1
      IN  AAAA  2001:288:75a6::1
;上面兩行指「網域名稱 dc1es.tnc.edu.tw 也賦予一組 IPv4 及 IPv6 位址」
;
s1     IN CNAME dns.dc1es.tnc.edu.tw.
www    IN CNAME dns.dc1es.tnc.edu.tw.
ftp    IN CNAME dns.dc1es.tnc.edu.tw.
proxy  IN CNAME dns.dc1es.tnc.edu.tw.
;
mail   IN  A     163.26.182.1
       IN  AAAA  2001:288:75a6::1
s2     IN  A     163.26.182.2
nt     IN  A     163.26.182.3
s4     IN  A     163.26.182.4
s5     IN  A     163.26.182.5
nat    IN A  163.26.182.234
       IN AAAA  2001:288:75a6::234  
spamfilter IN A  163.26.182.250  
;經過修改 spamfilter.dc1es.tnc.edu.tw 便會有 IPv4 及 IPv6 兩筆記錄


修改 localhost 新增 ::1 正解

$TTL 86400
@    IN   SOA    dns.dc1es.tnc.edu.tw.    admin.dns.dc1es.tnc.edu.tw. (
      2000082620 ; serial 要加 1
      86400 ; refresh
      1800 ; retry
      1728000 ; expire
      1200 ; Negative Caching
      )
     IN   NS   dns.dc1es.tnc.edu.tw.
;
localhost. IN  A    127.0.0.1
           IN  AAAA  ::1

    * 註：紅字為修改之處



建立 ::1 及 2001.288.75xx.rev 反解檔

    * 建立 ::1 IPv6 的 localhost 反解
      root@dns~# vi /etc/bind/rev.local6

$TTL 86400
@ IN  SOA  dns.dc1es.tnc.edu.tw. admin.dns.dc1es.tnc.edu.tw. (1 15m 5m 30d 1h)
    IN   NS  dns.dc1es.tnc.edu.tw.

; (1 15m 5m 30d 1h) 中的 1 是序號, 每次修改都要加 1

;;

1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa. IN PTR localhost.

註：除了 IN NS 這一行為 SOA 這一行的附屬參數，所以左側留有空白外，其餘各行前面不可留空白

    * 建立 IPv6 反解檔
      root@dns~# vi /etc/bind/2001.288.75a6.rev

$TTL 86400
$ORIGIN 6.a.5.7.8.8.2.0.1.0.0.2.ip6.arpa.
@  IN   SOA dns.dc1es.tnc.edu.tw. admin.dns.dc1es.tnc.edu.tw. (1 15m 5m 30d 1h)
   IN   NS   dns.dc1es.tnc.edu.tw.
;;
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0  IN  PTR  dns.dc1es.tnc.edu.tw.
234.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0  IN  PTR  nat.dc1es.tnc.edu.tw.

限制遞迴查詢

只需修改下面這兩個設定檔，其餘設定值與不限遞迴查詢一致
修改 named.conf

options {
     directory "/etc/bind";
     allow-transfer {
        163.26.182.2;
     };
     listen-on-v6 { any; }; //要加上這一行
};


logging {
     category lame-servers{null;};
};

// 把學校 IPv6 網段加入可允許查詢區，例：新增 2001:288:75a6::/48;
acl allow_clients { 127.0.0.1; 163.26.182.0/24; 2001:288:75a6::/48; };

// 在 acl 中的 IP 允許的操作
view "recursive" {
     match-clients { allow_clients; };
     recursion yes;
     include "auth_zones.conf";
};

// 未在 acl 中的 IP 拒絕使用遞迴式查詢
view "external" {
     match-clients { any; };
     recursion no;
     include "auth_zones.conf";
};


修改 auth_zones.conf

zone "." {
     type hint;
     file "named.ca";
};

zone "localhost" {
     type master;
     file "localhost";
};

zone "0.0.127.in-addr.arpa" {
     type master;
     file "rev-127.0.0";
};

zone "dc1es.tnc.edu.tw" {
     type master;
     file "/etc/bind/db.dc1es.tnc.edu.tw";
};

zone "182.26.163.in-addr.arpa" {
     type master;
     file "db.163.26.182";
};

// 新增 ::1 的反解檔
zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa."{
     type master;
     file "rev.local6";
};

// 新增 2001.288.75a6 的反解檔
zone "6.a.5.7.8.8.2.0.1.0.0.2.ip6.arpa." {
     type master;
     file "2001.288.75a6.rev";
};
修改 db.xxx.tnc.edu.tw 正解檔

　與不限遞迴查詢做法相同，請參考前文

建立 ::1 及 2001.288.75xx.rev 反解檔

　與不限遞迴查詢做法相同，請參考前文

獨立主機與虛擬主機的差異

※、什麼是虛擬主機？
虛擬主機 (Virtual Hosting)，又稱共享主機 (Shared Hosting)
市面上還衍生出許多不同名稱如網頁代管、網站代管、網頁空間、虛擬空間等。
虛擬主機是由十數個至數百個網站共同使用一台獨立的實體主機以及網路頻寬，虛擬主機與虛擬主機之間是完全分隔獨立的
且均分別具有其專屬的網域名稱，同時擁有獨立的網頁、信箱、資料庫等。
虛擬主機和實體主機在本質上並無不同，差別在於實體主機乃專門為單一個體戶設置
而虛擬主機則是專門為硬體資源需求較少者設置，透過集體共用一台實體主機資源來創造最大的利用效益。
簡而言之，虛擬主機就好比住戶眾多的公寓大廈，而實體主機好比單一住戶的透天厝。
由於由多個虛擬主機用戶共同分擔硬體設備費用、網路頻寬費用、線路費用
使得租用所耗成本低廉，免除投入伺服器、網路設備以及網管人員等金額龐大的費用，比較適合『小公司』或『個人用戶』。



※、什麼是獨立主機？
Dedicated Servers（或 Dedicated Host，獨立主機，又稱專屬主機）
功能完整的伺服器給客戶使用，同時也會把作業系統和軟體都設定好。
客戶擁有完整的主機資源和所有權限，就像自行購買一台主機放到ISP的機房代管那樣。
客戶不需要煩惱軟硬體安裝和系統安全、監控等瑣碎的事。

Dedicated Servers適合網站有大量流量、需要複雜運算、有大量會員或資料庫存取的用戶。
另外如果您想安裝比較特殊的軟體（例如比較冷門的資料庫如DBMaker），那就需要使用獨立主機。
雖然VPS（虛擬私有伺服器）也可以讓使用者自行安裝軟體，不過仍有部分的軟體不能在VPS的作業系統下安裝，這時候獨立主機是唯一的選擇。

獨立主機同時也會提供獨立的固定IP位址，也幾乎都會提供SSL安全認證，所以非常適合流量較大的購物網站。
若是您有大量寄發郵件的必要性，通常也建議使用獨立主機的服務，因為虛擬主機和VPS通常會限制用戶大量寄發郵件的數量或頻率，但獨立主機則比較沒有這方面的限制
（但仍不可寄發Spam Mail廣告垃圾郵件，因為違反歐美地區的法律）。
-----------------------------------------------------------------------------------
獨立主機與虛擬主機的差異：
獨立主機與虛擬主機最大的的差異當然在於『專屬性』與『自主性』
這就好像『分租房子』與『自己擁有房子』之差異
需用虛擬主機：就好像租用宿舍大家共用一條網路線（或一棟大樓大家共用一條網路線）
你想會怎樣？雖然省錢，但討厭的事情你就要：忍耐一點！
當然最大的差異在於：虛擬主機限制很多（獨立主機隨你喜歡設定！）
新手（傻傻還搞不清楚時），一租用虛擬主機，就會遇到（這個不能用，那個限制用....等等的挫折...好像架站不是那麼容易？）
其實，等你自己擁有一台自己的獨立主機時，你終於可以脫離那些限制與管制啦！
--------------------------------------------------------------------------
當然，獨立主機就會出現『誰替你維護？』『維護每個月要花多少錢』？的問題！
能否『魚』與『熊掌』兼得呢？答案是：肯定的！
只要你申購：『架設Linux主機＋架站＋維護教學課程＋遠端協助專案』全方位配套措施＋線上技術諮詢
http://por.tw/linux/new-E_learning/index.php

那網路就是您的天下！你要架設幾個網站都可以！
你要因增幾個資料庫都可以！你要多大的空間（只要增大硬碟），那還怕空間不夠用？
你的主機系統PHP.ini（所以的細項設定，都可以隨你需求自由設定）
那還有誰能限制了你？還有什麼比自己獨立擁有更有隱私與主權？
對啦！這就是網路創業賺錢的成功第一大步！邁出此一大步（你的網路賺錢之路將更開闊、更自由！）
--------------------------------------------------------------------------