N22-第十一周作业

第十一周作业

1、详细描述一次加密通讯的过程，结合图示最佳

(1)为了做到数据的安全，应该同时满足

保密性

完整性

可用性

(2)假设A,B通信，A是客户机，B是服务器

a、客户端向服务器端发送自己支持的加密方式，并且向服务器端请求其CA颁发给的证书

b、服务器选择共同支持的加密方式并发送自己的证书；

c、客户端收到其证书，并验证证书，证书必须同时满足以下条件

验证证书的来源合法性，使用CA的公钥解密证书的数字签名，机密算法使用公钥加密

验证证书内容的合法性，完整性验证，使用单项加密

检查证书的有效期

检查证书是否被吊销

证书的名称是否与拥有者相同

d、客户端生成临时会话密钥(对称密钥)，并使用服务器端的公钥加密此数据发送给服务器，完成密钥交换

e、服务器使用此密钥加密用户请求的资源，响应给客户端

f、数据加密解密全过程

加密过程

服务器计算要加密的数据的特征码，附加在数据的后面，使用单向加密算法

服务器使用自己的私钥加密数据的特征码，完成数字签名，使用公钥加密

服务器使用一个临时对称加密算法加密数据；

服务器使用客户端的公钥加密数据并发送给客户端

解密过程

客户端接受数据，并使用自己的私钥解密数据，完成密钥交换

客户端使用对称密钥解密数据，数据加密

客户端使用服务器端的公钥解密数据，完成身份验证

客户端使用单向机密算法计算数据的特征码，数据的完整性

(3)通讯过程中使用到的算法

对称加密：DES,3DES,AES 

单项加密：DM5，sha1

公钥加密：RSA,DSA,ELGamal

2、描述创建私有CA的过程，以及为客户端发来的证书请求进行颁发证书。

证书颁发

(1)创建一个私有CA

(2)CA端生成自己的证书

(3)服务器端生成证书签署请求

(4)CA签署证书

(5)签署完成发送给服务器端

私建CA

# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365

# touch /etc/pki/CA/{serial,index.txt}
# echo 01>serial

服务器端生成证书请求

# (umask 077;openssl genrsa -out /tmp/client/http.key 4096)
# openssl req -new -key /tmp/client/http.key -out /tmp/client/http.csr -days 365
# scp /tmp/client/http.csr 192.168.1.200:/tmp

CA签署请求

# openssl ca -in /tmp/http.csr -out /etc/pki/CA/certs/http.crt -days 365

3、描述DNS查询过程以及DNS服务器类别。

查询过程

DNS客户端首先向自己本地的DNS服务器发出解析请求，如果缓存命中直接返回，缓存未命中，DNS服务器去查询解析库，返回客户端

如果本地DNS服务器不能提供解析那么有以下两种方式去解析

递归查询：由局部DNS服务器自己负责向其他DNS服务器进行查询，一般是先向该域的根域服务器进行查询，再由根域名服务器一级级向下查询。最后，将得到的查询结果返回结局部DNS服务器，再由局部DNS服务器返回给客户端。

迭代查询：局部DNS服务器不是自己向其他DNS服务器进行查询，而是把能解析该域名的其他DNS服务器的IP地址返回给客户端DNS程序，客户端DNS程序再继续向这些DNS服务器发出查询请求，直到得到查询结果为止。

DNS服务器类别

主域名服务器：主要提供域名解析，存储解析库中正本数据，系统管理员可以对其修改

辅助域名服务器：当主域名服务器出现故障、关闭或负载过重时，辅助服务器作为备份DNS服务器进行域名解析服务，存的解析库是副本，不能修改

缓存域名服务器：储存的主要是缓存DNS部分记录，不是权威答案

转发域名服务器：负责所有非本地DNS服务器的转发。

4、创建一套DNS服务器，负责解析magedu.com域名(自行设定主机名及IP)

(1)、能够对一些主机名进行正向解析和逆向解析；

(2)、对子域cdn.magedu.com进行子域授权，子域负责解析对应子域中的主机名；

(3)、为了保证DNS服务系统的高可用性，请设计一套方案，并写出详细的实施过程。

(1)

安装程序包

# yum install bind bind-utils bind-libs -y

为了方便测试，我们做对配置文件做以下修改

# vim /etc/named.conf
dnssec-enable no;
dnssec-validation no;
listen-on port 53 { 127.0.0.1; 192.168.1.49; };
#allow-query {localhost}
# vim /etc/named.rfc1912.zones
zone "magedu.com" IN {
type master;
file "magedu.com.zone";
};
zone "1.168.192.in-addr.arpa" IN {
type master;
file "1.168.192.zone";
};
# vim /var/named/magedu.com.zone 
$TTL 3600
$ORIGIN magedu.com.
@       IN      SOA     ns1.magedu.com. admin.magedu.com. (
2016120601
2H
1H
2D
1D )
IN      NS      ns1.magedu.com.
IN      NS      ns2.magedu.com.
ns1     IN      A       192.168.1.1
ns2     IN      A       192.168.1.2
www     IN      A       192.168.1.1
mail    IN      A       192.168.1.4
web     IN      CNAME   www
# vim /var/named/1.168.192.zone 
$TTL 3600
$ORIGIN 1.168.192.in-addr.arpa.
@       IN      SOA     ns1.magedu.com. admin.magedu.com. (
2016120601
1H
10M
3D
12H )
IN      NS      ns1.magedu.com.
1       IN      PTR     mx1.magedu.com.

修改这两个zone的属组和权限

# chown :named magedu.com.zone 

# chmod o-r 1.168.192.in-addr.arpa

修改服务器指向的nameserver

# vim /etc/resolv.conf

nameserver 192.168.1.1         #这里指向的是本机地址

重载配置文件

# rndc reload 

测试

# ping www.magedu.com 

# dig -t A www.magedu.com

# dig -t NS magedu.com

# dig -x 192.168.1.1

(2) 提供另外一台服务器作为子域服务器

# yum install bind bind-libs bind-utils -y

# vim /etc/named.conf

dnssec-enable no;

dnssec-validation no;

listen-on port 53 { 127.0.0.1; 192.168.1.50; };

#allow-query {localhost}

# vim /etc/named.rfc1912.conf

zone "cdn.magedu.com" IN {

type master;

file "cdn.magedu.com.zone"

};

# vim /var/named/cdn.magedu.com.zone

$TTL 3600

$ORIGIN cdn.magedu.com.

@ IN SOA ns1.cdn.magedu.com. snadmin.cdn.magedu.com. (

201789900

1H

10M

1D

2H )

IN NS ns1

ns1 IN A 192.168.1.100        #这里自己的地址即可

www IN A 192.168.1.100

# chown :named /var/named/cdn.magedu.com.zone 

# chmod o-r /var/named/cdn.magedu.com.zone

在父域上添加以下几行。

# vim /var/named/magedu.com

加上如下两行

ops IN NS ns1

ns1 IN A 192.168.1.100   # 这里的地址一定要是负责子域DNS的地址

测试 

# dig -t NS cdn.magedu.com

# did -t A www.cdn.magedu.com 

(3)方案是配置一套主从服务器

配置两个DNS服务器，实现服务器的主从，在从服务器上执行以下操作

# vim /etc/named.rfc1912.zones

zone “magedu.com" IN {

type slave；

file “slave/magedu.zone";      #配置文件放在slave中主要是为了安全起见，只让它修改这个目录，防止其他目录主的被修改。

masters { 192.168.1.49;};      #这里指定的IP是主服务器的IP地址

};

# rndc reload

在主服务器上执行以下操作

# vim /var/named/magedu.com.zone

添加以下两行

@ IN NS ns1

ns1 IN A 192.168.1.100

注意：在修改主DNS服务器的时候，如果配置文件改变，那么序列号应该做相应的改变。这样才能实现备DNS服务器能够从端复制

# rndc reload

为了安全起见，我们做访问控制列表

分别编辑两个DNS服务器添加以下内容

acl mynet {

        192.168.1.0/16;

     127.0.0.0/8;

};

allow-transfer { mynet; };

allow-recursion { mynet; };

allow-transfer { mynet; };