N22-第十一周作业

第十一周作业

1、详细描述一次加密通讯的过程,结合图示最佳

(1)为了做到数据的安全,应该同时满足

保密性

完整性

可用性

(2)假设A,B通信,A是客户机,B是服务器

a、客户端向服务器端发送自己支持的加密方式,并且向服务器端请求其CA颁发给的证书

b、服务器选择共同支持的加密方式并发送自己的证书;

c、客户端收到其证书,并验证证书,证书必须同时满足以下条件

验证证书的来源合法性,使用CA的公钥解密证书的数字签名,机密算法使用公钥加密

验证证书内容的合法性,完整性验证,使用单项加密

检查证书的有效期

检查证书是否被吊销

证书的名称是否与拥有者相同

d、客户端生成临时会话密钥(对称密钥),并使用服务器端的公钥加密此数据发送给服务器,完成密钥交换

e、服务器使用此密钥加密用户请求的资源,响应给客户端

f、数据加密解密全过程

加密过程

服务器计算要加密的数据的特征码,附加在数据的后面,使用单向加密算法

服务器使用自己的私钥加密数据的特征码,完成数字签名,使用公钥加密

服务器使用一个临时对称加密算法加密数据;

服务器使用客户端的公钥加密数据并发送给客户端

解密过程

客户端接受数据,并使用自己的私钥解密数据,完成密钥交换

客户端使用对称密钥解密数据,数据加密

客户端使用服务器端的公钥解密数据,完成身份验证

客户端使用单向机密算法计算数据的特征码,数据的完整性

(3)通讯过程中使用到的算法

对称加密:DES,3DES,AES 

单项加密:DM5,sha1

公钥加密:RSA,DSA,ELGamal

2、描述创建私有CA的过程,以及为客户端发来的证书请求进行颁发证书。

证书颁发

(1)创建一个私有CA

(2)CA端生成自己的证书

(3)服务器端生成证书签署请求

(4)CA签署证书

(5)签署完成发送给服务器端

私建CA

# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365
# touch /etc/pki/CA/{serial,index.txt}
# echo 01>serial

服务器端生成证书请求

# (umask 077;openssl genrsa -out /tmp/client/http.key 4096)
# openssl req -new -key /tmp/client/http.key -out /tmp/client/http.csr -days 365
# scp /tmp/client/http.csr 192.168.1.200:/tmp

CA签署请求

# openssl ca -in /tmp/http.csr -out /etc/pki/CA/certs/http.crt -days 365

3、描述DNS查询过程以及DNS服务器类别。

查询过程

DNS客户端首先向自己本地的DNS服务器发出解析请求,如果缓存命中直接返回,缓存未命中,DNS服务器去查询解析库,返回客户端

如果本地DNS服务器不能提供解析那么有以下两种方式去解析

递归查询:由局部DNS服务器自己负责向其他DNS服务器进行查询,一般是先向该域的根域服务器进行查询,再由根域名服务器一级级向下查询。最后,将得到的查询结果返回结局部DNS服务器,再由局部DNS服务器返回给客户端。

迭代查询:局部DNS服务器不是自己向其他DNS服务器进行查询,而是把能解析该域名的其他DNS服务器的IP地址返回给客户端DNS程序,客户端DNS程序再继续向这些DNS服务器发出查询请求,直到得到查询结果为止。

DNS服务器类别

主域名服务器:主要提供域名解析,存储解析库中正本数据,系统管理员可以对其修改

辅助域名服务器:当主域名服务器出现故障、关闭或负载过重时,辅助服务器作为备份DNS服务器进行域名解析服务,存的解析库是副本,不能修改

缓存域名服务器:储存的主要是缓存DNS部分记录,不是权威答案

转发域名服务器:负责所有非本地DNS服务器的转发。

4、创建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)

(1)、能够对一些主机名进行正向解析和逆向解析;

(2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;

(3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程。

(1)

安装程序包

# yum install bind bind-utils bind-libs -y

为了方便测试,我们做对配置文件做以下修改

# vim /etc/named.conf
dnssec-enable no;
dnssec-validation no;
listen-on port 53 { 127.0.0.1; 192.168.1.49; };
#allow-query {localhost}
# vim /etc/named.rfc1912.zones
zone "magedu.com" IN {
type master;
file "magedu.com.zone";
};
zone "1.168.192.in-addr.arpa" IN {
type master;
file "1.168.192.zone";
};
# vim /var/named/magedu.com.zone 
$TTL 3600
$ORIGIN magedu.com.
@       IN      SOA     ns1.magedu.com. admin.magedu.com. (
2016120601
2H
1H
2D
1D )
IN      NS      ns1.magedu.com.
IN      NS      ns2.magedu.com.
ns1     IN      A       192.168.1.1
ns2     IN      A       192.168.1.2
www     IN      A       192.168.1.1
mail    IN      A       192.168.1.4
web     IN      CNAME   www
# vim /var/named/1.168.192.zone 
$TTL 3600
$ORIGIN 1.168.192.in-addr.arpa.
@       IN      SOA     ns1.magedu.com. admin.magedu.com. (
2016120601
1H
10M
3D
12H )
IN      NS      ns1.magedu.com.
1       IN      PTR     mx1.magedu.com.

修改这两个zone的属组和权限

# chown :named magedu.com.zone 

# chmod o-r 1.168.192.in-addr.arpa

修改服务器指向的nameserver

# vim /etc/resolv.conf

nameserver 192.168.1.1         #这里指向的是本机地址

重载配置文件

# rndc reload 

测试

# ping www.magedu.com 

# dig -t A www.magedu.com

# dig -t NS magedu.com

# dig -x 192.168.1.1

(2) 提供另外一台服务器作为子域服务器

# yum install bind bind-libs bind-utils -y

# vim /etc/named.conf

dnssec-enable no;

dnssec-validation no;

listen-on port 53 { 127.0.0.1; 192.168.1.50; };

#allow-query {localhost}

# vim /etc/named.rfc1912.conf

zone "cdn.magedu.com" IN {

type master;

file "cdn.magedu.com.zone"

};

# vim /var/named/cdn.magedu.com.zone

$TTL 3600

$ORIGIN cdn.magedu.com.

@ IN SOA ns1.cdn.magedu.com. snadmin.cdn.magedu.com. (

201789900

1H

10M

1D

2H )

IN NS ns1

ns1 IN A 192.168.1.100        #这里自己的地址即可

www IN A 192.168.1.100

# chown :named /var/named/cdn.magedu.com.zone 

# chmod o-r /var/named/cdn.magedu.com.zone

在父域上添加以下几行。

# vim /var/named/magedu.com

加上如下两行

ops IN NS ns1

ns1 IN A 192.168.1.100   # 这里的地址一定要是负责子域DNS的地址

测试 

# dig -t NS cdn.magedu.com

# did -t A www.cdn.magedu.com 

(3)方案是配置一套主从服务器

配置两个DNS服务器,实现服务器的主从,在从服务器上执行以下操作

# vim /etc/named.rfc1912.zones

zone “magedu.com" IN {

type slave;

file “slave/magedu.zone";      #配置文件放在slave中主要是为了安全起见,只让它修改这个目录,防止其他目录主的被修改。

masters { 192.168.1.49;};      #这里指定的IP是主服务器的IP地址

};

# rndc reload

在主服务器上执行以下操作

# vim /var/named/magedu.com.zone

添加以下两行

@ IN NS ns1

ns1 IN A 192.168.1.100

注意:在修改主DNS服务器的时候,如果配置文件改变,那么序列号应该做相应的改变。这样才能实现备DNS服务器能够从端复制

# rndc reload

为了安全起见,我们做访问控制列表

分别编辑两个DNS服务器添加以下内容

acl mynet {

        192.168.1.0/16;

     127.0.0.0/8;

};

allow-transfer { mynet; };

allow-recursion { mynet; };

allow-transfer { mynet; };


原创文章,作者:N22-北京-喜欢就好,如若转载,请注明出处:http://www.178linux.com/62907

(0)
N22-北京-喜欢就好N22-北京-喜欢就好
上一篇 2016-12-06
下一篇 2016-12-06

相关推荐

  • MySQL流程函数

    MySQL流程函数 IF(value,x y) 如果value是真,返回x,否则返回y MariaDB [learn]> INSERT INTO salary(sal) VALUES (1000),(2000),(3000),(4000),(5000),(6000),(NULL); Query OK, 7 rows affected (0.06 sec…

    Linux干货 2017-05-02
  • TCP网络关闭的状态变换时序图

    TCP共有11个网路状态,其中涉及到关闭的状态有5个。 在我们编写网络相关程序的时候,这5个状态经常出现。因为这5个状态相互关联,相互纠缠,而且状态变化触发都是由应用触发,但是又涉及操作系统和网络,所以正确的理解TCP 在关闭时网络状态变化情况,为我们诊断网络中各种问题,快速定位故障有着非常重要的作用和意义。 下是是根据W.Richard Stevens的《…

    Linux干货 2015-04-03
  • Nginx及其相关配置详解(一)

    Nginx: Nginx (engine x) 是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP服务器。Nginx是由Igor Sysoev为俄罗斯访问量第二的Rambler.ru站点开发的,第一个公开版本0.1.0发布于2004年10月4日。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、示例配置文件和低系统资…

    2017-06-22
  • lvs三种基础模型

    1: LVS-DR 模式(调度器与实际服务器都有一块网卡连在同一物理网段上)简要的网络结构如下所示 lvs-DR模型是lvs的默认模型,也是企业中用到的最多的模型    解读:直接路由模型,每个Real Server上都有两个IP:VIP和RIP,但是VIP是隐藏的,就是不能提高解析等功能,只是用来做请求回复的源IP的,Director上…

    Linux干货 2016-08-15
  • 马哥教育网络班21期+第5周作业

    1、显示/boot/grub/grub.conf中以至少一个空白字符开头的行(以/boot/grub2/grub.cfg代替); [root@localhost ~]# grep '^[[:space:]]\+' /boot/grub2/grub.cfg    load_e…

    Linux干货 2016-08-08
  • Linux基础之—用户和组管理

    导言:   我们在使用计算机资源时为了资源的合理规划和利用,同时为了实现更好的管理,需要在计算机里有一个使用资源的凭证,这个凭证就是用户,下面就来介绍Linux用户和组管理。 1.资源分派:     资源的分派可以分为三个步骤,分别是    (1)认证(Authertication)   &nbsp…

    Linux干货 2016-08-04

评论列表(1条)

  • 马哥教育
    马哥教育 2016-12-14 10:54

    博客完成的非常好,说好的图呢?说好的图呢?说好的图呢?加油!