马哥教育网络班22期+第11周课程练习

1、详细描述一次加密通讯的过程,结合图示最佳。

	Bob先利用单向加密算法提取当前数据的指纹(特征码),再用自己的私钥加密数据指纹并附加于数据尾部,
	然后利用对称加密将整个文件加密,之后用Alice的公钥加密对称加密密钥附加于尾部。

	Alice收到数据后,先用自己的私钥解密,得到对称加密密钥,之后用对称加密密钥解密,然后用Bob的公钥
	解密得到数据指纹,并且验证了Bob的身份,最后Alice使用相同的单向加密算法得到数据指纹并进行验证。

2、描述创建私有CA的过程,以及为客户端发来的证书请求进行办法证书。

	1.构建私有CA

		生成私钥
		[root@localhost ~]# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4906)

		生成自签证书
		[root@localhost ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out \
		/etc/pki/CA/cacert.pem -days 3655

		为CA提供所需的目录及文件
		[root@localhost ~]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts}
		[root@localhost ~]# touch /etc/pki/CA/{serial,index.txt}
		[root@localhost ~]# cd /etc/pki/CA
		[root@localhost ~]# echo 01 > /etc/pki/CA/serial 

	2.要用到证书进行安全通信的服务器,向CA请求签署证书

		用到证书的主机生成私钥
		[root@centos7 ~]# mkdir  /etc/httpd/ssl
		[root@centos7 ~]# mkdir -pv /etc/httpd/ssl
		[root@centos7 ~]# cd /etc/httpd/ssl
		[root@centos7 ~]# (umask 077;openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

		生成证书签署请求
		[root@centos7 ~]# openssl req -new -key /etc/httpd/ssl/httpd.key -out \
		/etc/httpd/ssl/httpd.csr -days 365

		将请求通过可靠方式发送给CA主机
		[root@centos7 ~]# scp httpd.csr 192.168.99.14:/tmp/

		在CA主机上签署证书
		[root@localhost ~]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

		查看证书中的信息
		[root@localhost ~]# openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -serial -subject

		将证书通过可靠方式发送给客户端
		[root@localhost ~]# scp httpd.crt 192.168.99.13:/etc/httpd/ssl

3、描述DNS查询过程以及DNS服务器类别。

	DNS查询过程:
		client发送请求-->hosts文件(强行定向某个文件到某个域名的结果)-->先查找本地缓存(如果没有缓存)
		-->DNSserver(recursion递归查询主从DNS服务器)-->server Cache(DNS缓存)-->迭代查询-->如没有直
		接查找根服务器,根服务器告知负责的顶级域-->查找顶级域告知区域负责的域-->进行解析将结果返回给客户端

		DNS查询类型:
			对于一次dns查询来说,一般分为两段,首段是递归,然后是迭代。对于客户端来说发出的请求一般都是递归
			请求,而对于互联网上的dns服务器来说,发出的请求一般都是迭代请求。

		递归查询:只发出一次查询请求就一定能得到最终解析结果;

		迭代查询:得到最终解析结果需多次发起查询请求。

	DNS服务器类型:

		主dns服务器:维护所负责解析的域内解析库服务器,解析库由管理员维护;

		从dns服务器:从主dns服务器或其他从dns服务器传送一份解析库文件;

		缓存dns服务器:不存在任何zone配置文件,仅仅依靠缓存来为客户端提供服务;

		转发器:当请求的dns解析记录不在当前解析区域时,转发器将负责转发进行迭代查询。

4、搭建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)
  (1)、能够对一些主机名进行正向解析和逆向解析;
  (2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;
  (3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程

    主dns服务器 node1.magedu.com  192.168.99.14 /centos6.8    
    从dns服务器 node3.magedu.com 192.168.99.13 /centos7.1
    子域dns服器 node2.cdn.magedu.com 192.168.99.17 /centos7.1  


	1.主dns服务器

		安装bind程序
		 	yum install bind -y

		开启监听192.168.99.14 dns 53 端口
			vim /etc/named.conf
			options {
			    listen-on port 53 { 192.168.99.14; }; 
			    listen-on-v6 port 53 { ::1; };
			    directory       "/var/named";
			    dump-file       "/var/named/data/cache_dump.db";
			    statistics-file "/var/named/data/named_stats.txt";
			    memstatistics-file "/var/named/data/named_mem_stats.txt";
			    //allow-query     { localhost; };   关闭仅允许本机查询
			    recursion yes;

			    dnssec-enable no;   关闭 dnssec-enable 
			    dnssec-validation no; 关闭 dnssec-validation
			name-checkconf  检查主配置文件
			service start named    开启名称解析服务程序

		正向解析 
			vim /etc/named.rfc1912.zones 在主配置文件中添加正向区域
			zone "magedu.com" IN {
			        type master;
			        file "magedu.com.zone";
			};

			named-checkconf  检查主配置文件

			vim /var/named/magedu.com.zone  添加正向区域配置文件
			$TTL 3600
			$ORIGIN magedu.com.
			@       IN      SOA     node3.magedu.com.       dnsadmin@magedu.com. (
			                2017010803
			                1H
			                10M
			                3D
			                1D )
			        IN      NS      node3
			        IN      NS      node1
			node3   IN      A       192.168.99.14   主dns服务器
			node1   IN      A       192.168.99.13   从dns服务器
			node2   IN      A       192.168.99.17
			www     IN      A       192.168.99.14
			web     IN      CNAME   www
			pop3    IN      A       192.168.99.14
			cdn     IN      NS      node2.cdn        子域NS记录
			node2.cdn       IN      A       192.168.99.17  子域A记录

			named-checkzone "magedu.com" /var/named/magedu.com.zone  检查正向区域配置文件
			rndc status
			rndc reload
			rndc status 查看dns服务状态
			chown :named  /var/named/magedu.com.zone  设置属组为:named
			chmod o= /var/named/magedu.com.zone 		清空other 用户权限
			rndc reload    重新加载配置文件

		反向解析
			vim /etc/named.rfc1912.zones  在主配置文件中添加反向区域
			zone "99.168.192.in-addr.arpa" IN {
			        type master;
			        file "192.168.99.zone";
			};
			named-checkconf 检查主配置文件
			 
			vim /var/named/192.168.99.zone   添加反向区域配置文件
			$TTL 3600
			$ORIGIN 99.168.192.in-addr.arpa.
			@       IN      SOA     node3.magedu.com. nsadmin.magedu.com. (
			                2017010803
			                1H
			                10M
			                3D
			                12H )
			        IN      NS      node3.magedu.com.
			        IN      NS      node1.magedu.com.
			14      IN      PTR     node3.magedu.com.
			13      IN      PTR     node1.magedu.com.
			17      IN      PTR     node2.magedu.com.
			14      IN      PTR     www.magedu.com.
			14      IN      PTR     pop3.magedu.com.

			named-checkzone "99.168.192.in-addr.arpa" /var/named/192.168.99.zone 检查反向区域配置文件
			chown :named  /var/named/magedu.com.zone  设置属组为:named
			chmod o= /var/named/magedu.com.zone 		清空other 用户权限
			rndc reload    重新加载配置文件


	2.从dns服务器

		vim /etc/named.conf
		options {
		        listen-on port 53 { 127.0.0.1; 192.168.99.13; };

		vim /etc/named.rfc1912.zones 
		zone "magedu.com" IN {            正向解析
		        type slave;
		        file "slaves/magedu.com.zone";
		        masters { 192.168.99.14; };
		};

		zone "99.168.192.in-addr.arpa" IN {    反向解析
		        type slave;
		        file "slaves/192.168.99.zone";

		named-checkconf
		rndc reload


	3.子域服务器

		vim /etc/named.conf
		options {
		        listen-on port 53 { 127.0.0.1; 192.168.99.17; };

		vim /etc/named.rfc1912.zones
		zone "cdn.magedu.com" IN {          添加子区域
		        type master;
		        file "cdn.magedu.com.zone";
		};

		zone "magedu.com" IN {             区域转发
		        type forward;
		        forward only;
		        forwarders { 192.168.99.14; 192.168.99.13; };
		};

		vim /var/named/cdn.magedu.com.zone      进行子域授权
		$TTL 3600
		$ORIGIN cdn.magedu.com.
		@       IN      SOA     node2.cdn.magedu.com.   nsadmin.cdn.magedu.com. (
		                2018010803
		                1H
		                10M
		                1D
		                2H )
		        IN      NS      node2
		node2   IN      A       192.168.99.17
		www     IN      A       192.168.99.17

原创文章,作者:N22_上海_长清,如若转载,请注明出处:http://www.178linux.com/58478

(0)
N22_上海_长清N22_上海_长清
上一篇 2016-11-14
下一篇 2016-11-14

相关推荐

  • RAID( Blob3 )

    RAID各级别特性及使用

    2017-11-27
  • 马哥教育网络22期+第四周作业博客

    1、复制/etc/skel目录为/home/tuser1,要求/home/tuser1及其内部文件的属组和其它用户均没有任何访问权限。    [root@centos-rpi3 skel]# cp -r /etc/skel /home/tuser1 && chmod -R g-rwx,o-rwx /home/tuser1 …

    Linux干货 2016-09-08
  • shell脚本终结篇——数组

    数组定义: 变量:存储单个元素的内存空间 数组:存储多个元素的连续的内存空间,相当于多个变量的集合 数组名和索引: 索引:编号从0开始,属于数值索引 注意:索引可支持使用自定义的格式,而不仅仅是数值格式,自定义格式的数组即为关联数组,bash4.0版本之后开始支持 bash的数组支持稀疏格式(索引不连续) 声明数组: declare -a ARRAY_NAM…

    Linux干货 2016-08-24
  • 马哥教育网络班20期+第3周课程练习

    1、列出当前系统上所有已经登录的用户的用户名,注意:同一个用户登录多次,则只显示一次即可。 [root@localhost ~]# who | cut -d" " -f1 | sort -u 2、取出最后登录到当前系统的用户的相关信息。 […

    Linux干货 2016-06-26
  • MariaDB安装与配置

    MariaDB安装与配置  本文是基于CentOS7.2系统来进行mariadb的安装与配置,安装前请关闭selinux和在iptables规则中开放3306端口,在此次我们直接清空了iptables规则。 Iptables –F vim /etc/selinux/config #SELINUX=enforcing ##注释掉此项## #SELIN…

    Linux干货 2017-02-18
  • mysql进阶篇(三种备份方法总结:lvm, mysqldump, xtrabackup)

    二进制日志详解:     二进制日志通常作为备份的重要资源,所以再说备份之前先总结一下二进制日志的相关内容      1. 二进制日志的内容         引起mysql服务器改变的任何操…

    Linux干货 2015-12-10

评论列表(1条)

  • luoweiro
    luoweiro 2016-11-29 22:10

    加密算法不仅仅是作业描述的那一点,还有DES、RSA、SHA、AES、ECC等,都可以研究一下。