1、请描述一次完整的加密通讯过程,结合图示最佳。
Bob先利用单向加密算法提取当前数据的指纹(特征码),再用自己的私钥加密数据指纹并附加于数据尾部,然后利用对称加密将整个文件加密,之后用对方的公钥加密对称加密密钥附加于尾部。
Alice收到数据后,先用自己的私钥解密,得到对称加密密钥,之后用对称加密密钥解密,然后用Bob的公钥解密得到数据指纹,并且验证了Bob的身份,最后Alice使用相同的单向加密算法得到数据指纹并进行验证。
2、描述创建私有CA的过程,以及为客户端发来的证书请求进行办法证书。
准备阶段
[root@node1 ~]# cd /etc/pki/CA [root@node1 CA]# touch index.txt [root@node1 CA]# echo 01 > serial
CA自签证书
[root@node1 CA]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048) [root@node1 CA]# openssl req -new -x509 -key ./private/cakey.pem -days 365 -out ./cacert.pem
发证:
[root@node2 ~]# (umask 077; openssl genrsa -out ./test.key 2048) [root@node2 ~]# openssl req -new -key ./test.key -days 365 -out ./test.csr [root@node2 ~]# scp ./test.csr root@192.168.80.2:~/ [root@node1 CA]# openssl ca -in ~/test.csr -out ./certs/test.crt -days 365
3、描述DNS查询过程以及DNS服务器类别。
-
一次完整的dns查询过程,以解析www.magedu.com为例:
-
DNS查询类型:对于一次dns查询来说,一般分为两段,首段是递归,然后是迭代。对于客户端来说发出的请求一般都是递归请求,而对于互联网上的dns服务器来说,发出的请求一般都是迭代请求。
-
递归查询:只发出一次查询请求就一定能得到最终解析结果;
-
迭代查询:得到最终解析结果需多次发起查询请求。
-
DNS服务器类型:
-
主dns服务器:维护所负责解析的域内解析库服务器,解析库由管理员维护;
-
从dns服务器:从主dns服务器或其他从dns服务器传送一份解析库文件;
-
缓存dns服务器:不存在任何zone配置文件,仅仅依靠缓存来为客户端提供服务;
-
转发器:当请求的dns解析记录不在当前解析区域时,转发器将负责转发进行迭代查询。
4、搭建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP地址)
(1)、能够对一些主机名进行正向解析和逆向解析;
(2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;
(3)、为了保证DNS服务系统的高可用性,设计一套方案,写出详细的实施过程。
准备条件
域名:magedu.com 主机: node1:192.168.90.2 /centos6.4 node2:192.168.90.3 /centos7.1 node3:192.168.90.4 /centos7.1 主dns服务器(正向、反向):node1 从dns服务器(正向、反向):node2 程序包: bind:主程序包,提供dns服务 bind-libs:提供dns协议库文件 bind-utils:提供相关管理工具
配置主dns服务器(正向)
# vim /etc/named.rfc1912.zones
zone "magedu.com" IN {
type master;
file "/var/named/magedu.zone";
};
# vim /var/named/magedu.zone
$TTL 86400
$ORIGIN magedu.com //当前区域名字
@ IN SOA node1.magedu.com. admin.magedu.com. (
2016090301
2H
10M
1W
1D )
IN NS node1
IN NS node2 //指明从dns服务器
node1 IN A 192.168.90.2
node2 IN A 192.168.90.3
node3 IN A 192.168.90.4
注意:编辑配置文件后要修改文件的权限、属主和属组
# chmod 640 /var/named/magedu.zone
# chown :named /var/named/magedu.zone
# named-checkconf //检查主配置文件
# named-checkzone "magedu.com" /var/named/magedu.zone //检查区域配置文件
# dig -t A node2.magedu.com @192.168.90.2
# service named reload
# rndc reload //通知named进程重读解析库文件
# rndc status //查看dns服务状态
给各节点配置该dns服务器
# vim /etc/sysconfig/network-scripts/ifcfg-IFACE DNS1=192.168.90.2 # vim /etc/resolv.conf nameserver 192.168.90.2
配置主DNS服务器(反向)
# vim /etc/named.rfc1912.zones
zone "90.168.192.in-addr.arpa." IN {
type master;
file "192.168.90.zone";
};
# vim /var/named/192.168.90.zone
$TTL 86400
$ORIGIN 90.168.192.in-addr.arpa.
@ IN SOA node1.magedu.com. admin.magedu.com. (
2016090301
2H
10M
1W
1D )
IN NS node1.magedu.com.
IN NS node2.magedu.com.
2 IN PTR node1.magedu.com.
3 IN PTR node2.magedu.com.
4 IN PTR node3.magedu.com.
# chmod 640 /var/named/192.168.90.zone
# chown :named /var/named/192.168.90.zone
# named-checkconf
# named-checkzone "90.168.192.in-addr.arpa" /var/named/192.168.90.zone
# service named reload
# host -t ptr 192.168.90.3 192.168.90.2
配置从dns服务器(正向):必须在主dns服务器的区域配置文件中指明从服务器
# yum install -y bind
# vim /etc/named.conf
listen-on port 53 {192.168.90.3; 127.0.0.1; };
allow-query { any; };
# systemctl start named.service
# ss -ulnp
# vim /etc/named.rfc1912.zones
zone "magedu.com" IN {
type slave;
masters { 192.168.90.2; };
file "slaves/magedu.com.zone";
};
# rndc reload
# tail /var/log/message //查看传送日志
配置从dns服务器(反向):
# vim /etc/named.rfc1912.zones
zone "90.168.192.in-addr.arpa" IN {
type slave;
masters { 192.168.90.2; };
file "slaves/192.168.90.zone";
};
# rndc reload
对cdn.magedu.com进行子域授权
# vim /var/named/magedu.zone//追加以下内容 cdn IN NS ns.cdn ns.cdn IN A 192.168.90.4 随后在新服务器按照以上步骤配置子域。
实现dns服务系统的高可用性
1、按照上述配置从服务器的步骤为主服务器配置从服务器 2、通过限制IP与使用key认证的方法实现对区域传送的控制
原创文章,作者:Jeason,如若转载,请注明出处:http://www.178linux.com/47919
评论列表(1条)
写的很好,图画的也很棒,希望继续加油