马哥教育网络班22期+第11周课程练习

1、详细描述一次加密通讯的过程,结合图示最佳。

	Bob先利用单向加密算法提取当前数据的指纹(特征码),再用自己的私钥加密数据指纹并附加于数据尾部,
	然后利用对称加密将整个文件加密,之后用Alice的公钥加密对称加密密钥附加于尾部。

	Alice收到数据后,先用自己的私钥解密,得到对称加密密钥,之后用对称加密密钥解密,然后用Bob的公钥
	解密得到数据指纹,并且验证了Bob的身份,最后Alice使用相同的单向加密算法得到数据指纹并进行验证。

2、描述创建私有CA的过程,以及为客户端发来的证书请求进行办法证书。

	1.构建私有CA

		生成私钥
		[root@localhost ~]# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4906)

		生成自签证书
		[root@localhost ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out \
		/etc/pki/CA/cacert.pem -days 3655

		为CA提供所需的目录及文件
		[root@localhost ~]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts}
		[root@localhost ~]# touch /etc/pki/CA/{serial,index.txt}
		[root@localhost ~]# cd /etc/pki/CA
		[root@localhost ~]# echo 01 > /etc/pki/CA/serial 

	2.要用到证书进行安全通信的服务器,向CA请求签署证书

		用到证书的主机生成私钥
		[root@centos7 ~]# mkdir  /etc/httpd/ssl
		[root@centos7 ~]# mkdir -pv /etc/httpd/ssl
		[root@centos7 ~]# cd /etc/httpd/ssl
		[root@centos7 ~]# (umask 077;openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

		生成证书签署请求
		[root@centos7 ~]# openssl req -new -key /etc/httpd/ssl/httpd.key -out \
		/etc/httpd/ssl/httpd.csr -days 365

		将请求通过可靠方式发送给CA主机
		[root@centos7 ~]# scp httpd.csr 192.168.99.14:/tmp/

		在CA主机上签署证书
		[root@localhost ~]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

		查看证书中的信息
		[root@localhost ~]# openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -serial -subject

		将证书通过可靠方式发送给客户端
		[root@localhost ~]# scp httpd.crt 192.168.99.13:/etc/httpd/ssl

3、描述DNS查询过程以及DNS服务器类别。

	DNS查询过程:
		client发送请求-->hosts文件(强行定向某个文件到某个域名的结果)-->先查找本地缓存(如果没有缓存)
		-->DNSserver(recursion递归查询主从DNS服务器)-->server Cache(DNS缓存)-->迭代查询-->如没有直
		接查找根服务器,根服务器告知负责的顶级域-->查找顶级域告知区域负责的域-->进行解析将结果返回给客户端

		DNS查询类型:
			对于一次dns查询来说,一般分为两段,首段是递归,然后是迭代。对于客户端来说发出的请求一般都是递归
			请求,而对于互联网上的dns服务器来说,发出的请求一般都是迭代请求。

		递归查询:只发出一次查询请求就一定能得到最终解析结果;

		迭代查询:得到最终解析结果需多次发起查询请求。

	DNS服务器类型:

		主dns服务器:维护所负责解析的域内解析库服务器,解析库由管理员维护;

		从dns服务器:从主dns服务器或其他从dns服务器传送一份解析库文件;

		缓存dns服务器:不存在任何zone配置文件,仅仅依靠缓存来为客户端提供服务;

		转发器:当请求的dns解析记录不在当前解析区域时,转发器将负责转发进行迭代查询。

4、搭建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)
  (1)、能够对一些主机名进行正向解析和逆向解析;
  (2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;
  (3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程

    主dns服务器 node1.magedu.com  192.168.99.14 /centos6.8    
    从dns服务器 node3.magedu.com 192.168.99.13 /centos7.1
    子域dns服器 node2.cdn.magedu.com 192.168.99.17 /centos7.1  


	1.主dns服务器

		安装bind程序
		 	yum install bind -y

		开启监听192.168.99.14 dns 53 端口
			vim /etc/named.conf
			options {
			    listen-on port 53 { 192.168.99.14; }; 
			    listen-on-v6 port 53 { ::1; };
			    directory       "/var/named";
			    dump-file       "/var/named/data/cache_dump.db";
			    statistics-file "/var/named/data/named_stats.txt";
			    memstatistics-file "/var/named/data/named_mem_stats.txt";
			    //allow-query     { localhost; };   关闭仅允许本机查询
			    recursion yes;

			    dnssec-enable no;   关闭 dnssec-enable 
			    dnssec-validation no; 关闭 dnssec-validation
			name-checkconf  检查主配置文件
			service start named    开启名称解析服务程序

		正向解析 
			vim /etc/named.rfc1912.zones 在主配置文件中添加正向区域
			zone "magedu.com" IN {
			        type master;
			        file "magedu.com.zone";
			};

			named-checkconf  检查主配置文件

			vim /var/named/magedu.com.zone  添加正向区域配置文件
			$TTL 3600
			$ORIGIN magedu.com.
			@       IN      SOA     node3.magedu.com.       dnsadmin@magedu.com. (
			                2017010803
			                1H
			                10M
			                3D
			                1D )
			        IN      NS      node3
			        IN      NS      node1
			node3   IN      A       192.168.99.14   主dns服务器
			node1   IN      A       192.168.99.13   从dns服务器
			node2   IN      A       192.168.99.17
			www     IN      A       192.168.99.14
			web     IN      CNAME   www
			pop3    IN      A       192.168.99.14
			cdn     IN      NS      node2.cdn        子域NS记录
			node2.cdn       IN      A       192.168.99.17  子域A记录

			named-checkzone "magedu.com" /var/named/magedu.com.zone  检查正向区域配置文件
			rndc status
			rndc reload
			rndc status 查看dns服务状态
			chown :named  /var/named/magedu.com.zone  设置属组为:named
			chmod o= /var/named/magedu.com.zone 		清空other 用户权限
			rndc reload    重新加载配置文件

		反向解析
			vim /etc/named.rfc1912.zones  在主配置文件中添加反向区域
			zone "99.168.192.in-addr.arpa" IN {
			        type master;
			        file "192.168.99.zone";
			};
			named-checkconf 检查主配置文件
			 
			vim /var/named/192.168.99.zone   添加反向区域配置文件
			$TTL 3600
			$ORIGIN 99.168.192.in-addr.arpa.
			@       IN      SOA     node3.magedu.com. nsadmin.magedu.com. (
			                2017010803
			                1H
			                10M
			                3D
			                12H )
			        IN      NS      node3.magedu.com.
			        IN      NS      node1.magedu.com.
			14      IN      PTR     node3.magedu.com.
			13      IN      PTR     node1.magedu.com.
			17      IN      PTR     node2.magedu.com.
			14      IN      PTR     www.magedu.com.
			14      IN      PTR     pop3.magedu.com.

			named-checkzone "99.168.192.in-addr.arpa" /var/named/192.168.99.zone 检查反向区域配置文件
			chown :named  /var/named/magedu.com.zone  设置属组为:named
			chmod o= /var/named/magedu.com.zone 		清空other 用户权限
			rndc reload    重新加载配置文件


	2.从dns服务器

		vim /etc/named.conf
		options {
		        listen-on port 53 { 127.0.0.1; 192.168.99.13; };

		vim /etc/named.rfc1912.zones 
		zone "magedu.com" IN {            正向解析
		        type slave;
		        file "slaves/magedu.com.zone";
		        masters { 192.168.99.14; };
		};

		zone "99.168.192.in-addr.arpa" IN {    反向解析
		        type slave;
		        file "slaves/192.168.99.zone";

		named-checkconf
		rndc reload


	3.子域服务器

		vim /etc/named.conf
		options {
		        listen-on port 53 { 127.0.0.1; 192.168.99.17; };

		vim /etc/named.rfc1912.zones
		zone "cdn.magedu.com" IN {          添加子区域
		        type master;
		        file "cdn.magedu.com.zone";
		};

		zone "magedu.com" IN {             区域转发
		        type forward;
		        forward only;
		        forwarders { 192.168.99.14; 192.168.99.13; };
		};

		vim /var/named/cdn.magedu.com.zone      进行子域授权
		$TTL 3600
		$ORIGIN cdn.magedu.com.
		@       IN      SOA     node2.cdn.magedu.com.   nsadmin.cdn.magedu.com. (
		                2018010803
		                1H
		                10M
		                1D
		                2H )
		        IN      NS      node2
		node2   IN      A       192.168.99.17
		www     IN      A       192.168.99.17

原创文章,作者:N22_上海_长清,如若转载,请注明出处:http://www.178linux.com/58478

(0)
N22_上海_长清N22_上海_长清
上一篇 2016-11-14
下一篇 2016-11-14

相关推荐

  • 你会用Python写洗脑神曲吗?

    Python实战班-学员学习成果展示 同样是周末,有些人是闲聊着度过,有些人是学习充电度过。 人与人最大的区别,是下班后的时间。看你怎么去利用。 周末时,马哥Python实战班的学员正在认真上课,他们中的不少人,月薪在10k以上,甚至月薪20k以上。 但他们没有虚度周末时光。 #最浪费时间的就是:思而不学+犹豫不决。# 马哥Python实战班二期的小伙伴们才…

    Linux干货 2016-07-05
  • linux权限详解

    写在前面: 本博客详解命令chmod,  chowm,  chgrp,  umask,  install,  mktemp  权限管理: 进程文件访问权限应用模型: 进程的属主与文件属主是否相同,如果相同,则应用属主权限 否则,检查文件的属主是否属于文件的属组,如果是,则应用属主权限 否则,应用ot…

    Linux干货 2015-12-19
  • RAID特性和常见级别

    简介:    RAID全称为独立磁盘冗余阵列(Redundant Array of Independent Disks),基本思想就是把多个相对便宜的硬盘组合起来,成为一个硬盘阵列组,使性能达到甚至超过一个价格昂贵、 容量巨大的硬盘。RAID通常被用在服务器电脑上,使用完全相同的硬盘组成一个逻辑扇区,因此操作系统只会把它当做一个硬盘。 R…

    Linux干货 2016-02-14
  • DNS and BIND 初步

    DNS and bind 初步 前言 TCP/IP协议通信是针对于ip地址的,你说我要是去淘宝买东西,怎么可能记住ip地址,我要是去百度买东西,也记不住啊,所以针对于此,就出现了这样一个翻译器,起一个名字,跟ip地址对应。是多对一还是一对多呢,都可以,我几个ip指向一个网址也没问题,几个网址指向一个ip也可以。 对于反向域名解析功能等以后用到再做总结,反向域…

    Linux干货 2016-12-06
  • Mogilefs使用Nginx实现代理访问

    MogileFS介绍:  MogileFS是一个开源的分布式文件存储系统,由LiveJournal旗下的DangaInteracitve公司研发。可支持文件自动备非的功能,提供高可用性和高可扩展性。 MogileFS组件:  trackers:   MoglieFS的调度器,是mogileFS的核心,访问入口。  功能…

    Linux干货 2015-08-06
  • 第二周作业

    第一、文件管理类命令     cp、mv、rm                  cp命令:copy 源文件;目标文件;     &nbsp…

    Linux干货 2016-12-12

评论列表(1条)

  • luoweiro
    luoweiro 2016-11-29 22:10

    加密算法不仅仅是作业描述的那一点,还有DES、RSA、SHA、AES、ECC等,都可以研究一下。