马哥教育网络班22期+第11周课程练习

1、详细描述一次加密通讯的过程,结合图示最佳。

	Bob先利用单向加密算法提取当前数据的指纹(特征码),再用自己的私钥加密数据指纹并附加于数据尾部,
	然后利用对称加密将整个文件加密,之后用Alice的公钥加密对称加密密钥附加于尾部。

	Alice收到数据后,先用自己的私钥解密,得到对称加密密钥,之后用对称加密密钥解密,然后用Bob的公钥
	解密得到数据指纹,并且验证了Bob的身份,最后Alice使用相同的单向加密算法得到数据指纹并进行验证。

2、描述创建私有CA的过程,以及为客户端发来的证书请求进行办法证书。

	1.构建私有CA

		生成私钥
		[root@localhost ~]# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4906)

		生成自签证书
		[root@localhost ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out \
		/etc/pki/CA/cacert.pem -days 3655

		为CA提供所需的目录及文件
		[root@localhost ~]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts}
		[root@localhost ~]# touch /etc/pki/CA/{serial,index.txt}
		[root@localhost ~]# cd /etc/pki/CA
		[root@localhost ~]# echo 01 > /etc/pki/CA/serial 

	2.要用到证书进行安全通信的服务器,向CA请求签署证书

		用到证书的主机生成私钥
		[root@centos7 ~]# mkdir  /etc/httpd/ssl
		[root@centos7 ~]# mkdir -pv /etc/httpd/ssl
		[root@centos7 ~]# cd /etc/httpd/ssl
		[root@centos7 ~]# (umask 077;openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)

		生成证书签署请求
		[root@centos7 ~]# openssl req -new -key /etc/httpd/ssl/httpd.key -out \
		/etc/httpd/ssl/httpd.csr -days 365

		将请求通过可靠方式发送给CA主机
		[root@centos7 ~]# scp httpd.csr 192.168.99.14:/tmp/

		在CA主机上签署证书
		[root@localhost ~]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

		查看证书中的信息
		[root@localhost ~]# openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -serial -subject

		将证书通过可靠方式发送给客户端
		[root@localhost ~]# scp httpd.crt 192.168.99.13:/etc/httpd/ssl

3、描述DNS查询过程以及DNS服务器类别。

	DNS查询过程:
		client发送请求-->hosts文件(强行定向某个文件到某个域名的结果)-->先查找本地缓存(如果没有缓存)
		-->DNSserver(recursion递归查询主从DNS服务器)-->server Cache(DNS缓存)-->迭代查询-->如没有直
		接查找根服务器,根服务器告知负责的顶级域-->查找顶级域告知区域负责的域-->进行解析将结果返回给客户端

		DNS查询类型:
			对于一次dns查询来说,一般分为两段,首段是递归,然后是迭代。对于客户端来说发出的请求一般都是递归
			请求,而对于互联网上的dns服务器来说,发出的请求一般都是迭代请求。

		递归查询:只发出一次查询请求就一定能得到最终解析结果;

		迭代查询:得到最终解析结果需多次发起查询请求。

	DNS服务器类型:

		主dns服务器:维护所负责解析的域内解析库服务器,解析库由管理员维护;

		从dns服务器:从主dns服务器或其他从dns服务器传送一份解析库文件;

		缓存dns服务器:不存在任何zone配置文件,仅仅依靠缓存来为客户端提供服务;

		转发器:当请求的dns解析记录不在当前解析区域时,转发器将负责转发进行迭代查询。

4、搭建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)
  (1)、能够对一些主机名进行正向解析和逆向解析;
  (2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;
  (3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程

    主dns服务器 node1.magedu.com  192.168.99.14 /centos6.8    
    从dns服务器 node3.magedu.com 192.168.99.13 /centos7.1
    子域dns服器 node2.cdn.magedu.com 192.168.99.17 /centos7.1  


	1.主dns服务器

		安装bind程序
		 	yum install bind -y

		开启监听192.168.99.14 dns 53 端口
			vim /etc/named.conf
			options {
			    listen-on port 53 { 192.168.99.14; }; 
			    listen-on-v6 port 53 { ::1; };
			    directory       "/var/named";
			    dump-file       "/var/named/data/cache_dump.db";
			    statistics-file "/var/named/data/named_stats.txt";
			    memstatistics-file "/var/named/data/named_mem_stats.txt";
			    //allow-query     { localhost; };   关闭仅允许本机查询
			    recursion yes;

			    dnssec-enable no;   关闭 dnssec-enable 
			    dnssec-validation no; 关闭 dnssec-validation
			name-checkconf  检查主配置文件
			service start named    开启名称解析服务程序

		正向解析 
			vim /etc/named.rfc1912.zones 在主配置文件中添加正向区域
			zone "magedu.com" IN {
			        type master;
			        file "magedu.com.zone";
			};

			named-checkconf  检查主配置文件

			vim /var/named/magedu.com.zone  添加正向区域配置文件
			$TTL 3600
			$ORIGIN magedu.com.
			@       IN      SOA     node3.magedu.com.       dnsadmin@magedu.com. (
			                2017010803
			                1H
			                10M
			                3D
			                1D )
			        IN      NS      node3
			        IN      NS      node1
			node3   IN      A       192.168.99.14   主dns服务器
			node1   IN      A       192.168.99.13   从dns服务器
			node2   IN      A       192.168.99.17
			www     IN      A       192.168.99.14
			web     IN      CNAME   www
			pop3    IN      A       192.168.99.14
			cdn     IN      NS      node2.cdn        子域NS记录
			node2.cdn       IN      A       192.168.99.17  子域A记录

			named-checkzone "magedu.com" /var/named/magedu.com.zone  检查正向区域配置文件
			rndc status
			rndc reload
			rndc status 查看dns服务状态
			chown :named  /var/named/magedu.com.zone  设置属组为:named
			chmod o= /var/named/magedu.com.zone 		清空other 用户权限
			rndc reload    重新加载配置文件

		反向解析
			vim /etc/named.rfc1912.zones  在主配置文件中添加反向区域
			zone "99.168.192.in-addr.arpa" IN {
			        type master;
			        file "192.168.99.zone";
			};
			named-checkconf 检查主配置文件
			 
			vim /var/named/192.168.99.zone   添加反向区域配置文件
			$TTL 3600
			$ORIGIN 99.168.192.in-addr.arpa.
			@       IN      SOA     node3.magedu.com. nsadmin.magedu.com. (
			                2017010803
			                1H
			                10M
			                3D
			                12H )
			        IN      NS      node3.magedu.com.
			        IN      NS      node1.magedu.com.
			14      IN      PTR     node3.magedu.com.
			13      IN      PTR     node1.magedu.com.
			17      IN      PTR     node2.magedu.com.
			14      IN      PTR     www.magedu.com.
			14      IN      PTR     pop3.magedu.com.

			named-checkzone "99.168.192.in-addr.arpa" /var/named/192.168.99.zone 检查反向区域配置文件
			chown :named  /var/named/magedu.com.zone  设置属组为:named
			chmod o= /var/named/magedu.com.zone 		清空other 用户权限
			rndc reload    重新加载配置文件


	2.从dns服务器

		vim /etc/named.conf
		options {
		        listen-on port 53 { 127.0.0.1; 192.168.99.13; };

		vim /etc/named.rfc1912.zones 
		zone "magedu.com" IN {            正向解析
		        type slave;
		        file "slaves/magedu.com.zone";
		        masters { 192.168.99.14; };
		};

		zone "99.168.192.in-addr.arpa" IN {    反向解析
		        type slave;
		        file "slaves/192.168.99.zone";

		named-checkconf
		rndc reload


	3.子域服务器

		vim /etc/named.conf
		options {
		        listen-on port 53 { 127.0.0.1; 192.168.99.17; };

		vim /etc/named.rfc1912.zones
		zone "cdn.magedu.com" IN {          添加子区域
		        type master;
		        file "cdn.magedu.com.zone";
		};

		zone "magedu.com" IN {             区域转发
		        type forward;
		        forward only;
		        forwarders { 192.168.99.14; 192.168.99.13; };
		};

		vim /var/named/cdn.magedu.com.zone      进行子域授权
		$TTL 3600
		$ORIGIN cdn.magedu.com.
		@       IN      SOA     node2.cdn.magedu.com.   nsadmin.cdn.magedu.com. (
		                2018010803
		                1H
		                10M
		                1D
		                2H )
		        IN      NS      node2
		node2   IN      A       192.168.99.17
		www     IN      A       192.168.99.17

原创文章,作者:N22_上海_长清,如若转载,请注明出处:http://www.178linux.com/58478

(0)
N22_上海_长清N22_上海_长清
上一篇 2016-11-14
下一篇 2016-11-14

相关推荐

  • Ansible 详细用法说明

    Ansible 一、概述 运维工具按需不需要有代理程序来划分的话分两类: agent(需要有代理工具):基于专用的agent程序完成管理功能,puppet, func, zabbix agentless(无须代理工具):基于ssh服务完成管理,ansible, fabric 二、简介   Ansible是一个简单的自动化运维管理工具,基于Python语言实现…

    2016-11-07
  • Linux帮助文件的使用、history变量的使用和FHS

    怎样利用帮助文件来查询想要了解的信息? 这里以通过查找帮助文件来修改登陆信息为例子, 登陆的时候,我们可以看到CentOS的的版本和内核信息, 当我们查看该相关文件的时候,会发现,里面的文档和显示的不一致,由此可以了解到,该文档是调用某些参数来实现显示CentOS的版本和内核信息。 这个时候,我们该怎样去查看issue文档的相关信息? 首先我们可以查看一下通…

    Linux干货 2016-08-04
  • bash脚本变量的使用

    bash脚本的变量使用详解 变量的类型包括整数、字符串和数组,但在bash脚本编程中不需要指定类型就可以直接赋值,默认均为字符型,其参与运算会自动进行隐式类型转换。 变量的赋值方式为:name='value',其中“=”两边一定不能有空格,如果变量值中包含有空格则需要使用引号引起来,需要注意的是强引用和弱引用的区分。此外变量的赋值也可以引…

    Linux干货 2016-08-15
  • 第一周作业

    1、描述计算机的组成及其功能。     运算器,控制器,存储器,输入设备,输出设备     CPU:运算器+控制器     内存,硬盘:存储器     输入设备:键盘鼠标   &n…

    Linux干货 2016-06-26
  • Linux文本处理三剑客之grep

    一、grep命令 grep(global search regular expression(RE) and print out the line,全面搜索正则表达式并把行打印出来 作用:文本搜索工具,根据用户指定的“模式”对目标文本逐行进行匹配检查;打印匹配到的行。 模式:由正则表达式字符及文本字符所编写的过滤条件 二、grep命令格式 grep [OPT…

    Linux干货 2016-08-15
  • 建立私有CA的方法

    建立私有CA的方法 建立私有CA的工具:     OpenCA     Openssl 证书申请及签署步骤:     1,生成申请请求:     2,RA核验;    &…

    Linux干货 2016-09-19

评论列表(1条)

  • luoweiro
    luoweiro 2016-11-29 22:10

    加密算法不仅仅是作业描述的那一点,还有DES、RSA、SHA、AES、ECC等,都可以研究一下。