6. 决定您将托管哪些域名服务

大多数全方位服务的 ISP 将为其客户提供各种域名服务。这主要是因为在某些其他更流行的桌面和服务器操作系统下托管这些服务存在相关问题。这些服务在 Linux 下更容易提供，并且可以在相当便宜的硬件上托管，因此您应该决定自己要承担哪些服务。其中一些服务包括

• 您的域的主要 DNS 权威。请参阅“主要 DNS 权威”部分。
• 电子邮件。请参阅“电子邮件”部分。
• Web 空间托管。请参阅“Web 空间托管”部分。
• FTP 空间托管。请参阅“FTP 站点托管”部分。
• 数据包过滤。请参阅“数据包过滤”部分。

在每项服务中，您基本上都必须权衡便利性与控制权。当您的 ISP 执行其中一项或多项服务时，您通常可以相当肯定他们有维护该服务经验的人员，因此您需要学习和担心的更少。与此同时，您失去了对这些服务的控制权。任何更改都需要您通过 ISP 的技术支持，这有时可能不方便或导致比您希望的更长的延迟。还涉及到一个安全问题，对于攻击者来说，ISP 比您自己的站点更具吸引力。由于 ISP 的服务器可能为数十家公司（即他们的客户）托管电子邮件和/或 Web 空间，因此攻击者如果入侵其中一台服务器，比攻击您个人的服务器（仅保存一家公司的数据）获得的回报更高。

6.1 主要 DNS 权威

当外部世界某处的人尝试连接到新 example.com 域中的计算机时，查询会在 Internet 上的各种服务器之间发送，最终将该计算机的 IP 地址返回给尝试连接的人的软件。此序列的详细信息超出了本文档的范围。忽略许多细节，当请求 fred.example.com 这台计算机时，会查询一个中央数据库以确定哪个计算机拥有 example.com 域的主要 DNS 权威的 IP 地址。然后查询此 IP 地址以获取计算机 fred.example.com 的 IP 地址。

每个域名都必须有一个主 DNS 服务器和一个辅助 DNS 服务器。这两个服务器的名称和 IP 地址存储在一个中央数据库中，该数据库的条目由域名注册机构（如 Network Solutions）控制。

如果您选择让您的 ISP 托管主要 DNS 权威，那么这两个服务器可能都是由 ISP 控制的计算机。任何时候您想向您的网络添加一台外部可见的计算机，您都必须联系 ISP 并要求他们将新计算机添加到他们的数据库中。

如果您选择在您自己的主机上持有主要 DNS 权威，您仍然会使用另一台计算机作为您的辅助服务器。从技术上讲，您应该使用冗余的互联网连接上的服务器，但辅助服务器通常托管在您的 ISP 的计算机上。如果您想向您的网络添加一台外部可见的计算机，您将必须更新您自己的数据库，然后等待更改传播（通常需要几个小时）。这允许您添加 barney.example.com，而无需通过您的 ISP。

最好在地理位置较远的主机上设置辅助 DNS，这样 ISP 附近的单根电缆断开不会导致您的主 DNS 服务器和辅助 DNS 服务器都离线。您用于注册域名的域名注册商可能会提供辅助 DNS 服务。还有一个免费服务，Granite Canyon，任何人都可以申请使用。

无论您是否选择充当域的主要 DNS 权威，请参阅“设置名称解析”部分以获取配置帮助。即使您将主要 DNS 权威委派给 ISP，您也希望为您的私有网络设置某种名称解析系统。

6.2 电子邮件

当您向您的 ISP 订阅时，他们通常会提供一些邮箱。您可以选择专门使用此服务，在这种情况下，所有传入的电子邮件都存储在 ISP 的服务器上，您的用户使用连接到 ISP 服务器的 POP3 客户端读取他们的邮件。或者，您可以决定在您自己的计算机上设置电子邮件。再一次，您应该权衡这两种方法的优缺点，并选择您更喜欢的一种。

如果您使用 ISP 处理所有电子邮件，需要记住的事项

• 根据您用于保护域名的安全性，从家中或出差时从其他位置访问电子邮件可能更容易。
• 电子邮件通常存储在 ISP 的服务器上，如果发送未加密的敏感材料，这可能会成为一个问题。
• 您的电子邮件帐户数量有限，如果超出此限制，可能需要付费。
• 要创建新的电子邮件地址，您必须通过 ISP。

如果您提供自己的电子邮件服务，需要记住的事项

• 电子邮件通常存储在您自己的服务器上，如果您的邮件主机宕机或磁盘已满，则在您的 ISP 上进行备份存储。
• 您拥有基本上无限数量的电子邮件帐户，您可以自己创建和删除。
• 您必须支持您的私有网络上使用的电子邮件客户端，以及可能在家尝试读取电子邮件的人员使用的客户端。

一种可能的方法是自己托管电子邮件，但也使用 ISP 提供的几个电子邮件地址。需要从私有网络外部访问电子邮件的人员可以在您的域中拥有一个电子邮件地址，该地址将被重定向到 ISP 提供的电子邮件地址之一。其他人可以在私有网络上拥有本地电子邮件。这需要更多的协调和配置，但比任何其他方法都更灵活。

如果您选择为您的域托管电子邮件，请参阅“为您的域设置电子邮件”部分以获取配置帮助。

如果您决定不为您的域托管电子邮件，请参阅“如果您不托管电子邮件的 DNS 配置”部分，以获取有关名称解析配置的重要说明。

6.3 Web 空间托管

您的 ISP 可能会在他们的 Web 服务器上为您分配一定的空间。您可能会决定使用它，或者您可能有一台 Web 托管计算机，您将其放在您的外部网络中，在您的外部 IP 地址之一中。

如果您选择使用 ISP 的 Web 空间托管，需要记住的要点

• 您有一定的磁盘空间分配，您不应超过。这将不仅包括 Web 空间内容，还包括从访问该站点的人员收集的数据。
• 您的 Web 服务器与外部世界之间的带宽几乎肯定会高于您在自己的硬件上托管它的情况。在任何情况下，它都不会更慢。
• 在您的网站上安装自定义 CGI 脚本或商业软件包可能很困难。
• 您的网络和您的 Web 服务器之间的带宽几乎肯定会低于您在自己的网络上托管它的情况。

如果您选择托管自己的 Web 空间，需要记住的要点

• 您对托管计算机的控制权更大。您可以更精确地为您的应用程序定制您的安全性。
• 潜在的敏感数据，例如信用卡号或邮寄地址，仍然保留在您控制的计算机上。
• 您的备份策略可能不如您的 ISP 的全面。

请注意，我没有提及 ISP 拥有更强大的硬件、更高的峰值数据速率等等。

当这些事情变得重要时，您正在谈论非常高数据速率的网络连接，坦率地说，您最好将这些决定委托给熟练的顾问，而不是查看 Linux HOWTO。如果您选择在您自己的服务器上为您的域托管 Web 空间，请参考其他文档，例如 WWW-HOWTO，以获取配置帮助。我强烈建议出于安全原因，此服务应在与私有网络网关计算机不同的计算机上运行。

6.4 FTP 站点托管

基本上，适用于 WWW 托管的相同论点也适用于 FTP 托管，但 FTP 的活动内容不是问题，并且不出现 CGI 脚本。最近的大多数 ftpd 漏洞都来自在匿名可写上传目录中创建大型目录名称导致的缓冲区溢出，因此如果您的 ISP 允许上传并且在保持 FTP 守护程序的安全更新方面很松懈，您最好自己托管此服务。

如果您选择在您自己的服务器上为您的域托管 FTP，请确保获取最新版本的 FTP 守护程序，并查阅那里的配置说明。再次，我强烈建议出于安全原因，此服务应在与私有网络网关计算机不同的计算机上运行。

对于 wu-ftpd，我建议以下配置选项

• --disable-upload - 除非您需要匿名上传
• --enable-anononly - 鼓励您的本地用户使用 scp 在计算机之间传输文件。
• --enable-paranoid - 禁用当前版本中可能被认为有问题的任何功能。

6.5 数据包过滤

一些 ISP 会在其网络上放置数据包过滤器，以保护系统用户免受彼此或外部攻击者的侵害。当 Windows 95 或 98 的用户无意中设置磁盘共享时，有线调制解调器网络和类似的广播网络遇到了令人尴尬的问题，将其硬盘驱动器的全部内容导出到网络段中任何想要浏览附近活动服务器的人。在某些情况下，解决方案是告诉用户不要这样做，但一些提供商已将过滤添加到访问硬件中，以防止人们意外导出其数据。

数据包过滤实际上是您应该自己做的事情。它很容易融入在您的私有网络网关计算机上运行的内核中，并让您更好地了解您周围发生的事情。您经常会发现您必须在初始设置期间对防火墙进行小的调整以进行优化，并且实时执行此操作比通过技术支持联系人更容易。

如果您选择为您的域执行数据包过滤，请参阅“设置数据包过滤”部分以获取配置帮助。