N22-第十一周作业

第十一周作业

1、详细描述一次加密通讯的过程,结合图示最佳

(1)为了做到数据的安全,应该同时满足

保密性

完整性

可用性

(2)假设A,B通信,A是客户机,B是服务器

a、客户端向服务器端发送自己支持的加密方式,并且向服务器端请求其CA颁发给的证书

b、服务器选择共同支持的加密方式并发送自己的证书;

c、客户端收到其证书,并验证证书,证书必须同时满足以下条件

验证证书的来源合法性,使用CA的公钥解密证书的数字签名,机密算法使用公钥加密

验证证书内容的合法性,完整性验证,使用单项加密

检查证书的有效期

检查证书是否被吊销

证书的名称是否与拥有者相同

d、客户端生成临时会话密钥(对称密钥),并使用服务器端的公钥加密此数据发送给服务器,完成密钥交换

e、服务器使用此密钥加密用户请求的资源,响应给客户端

f、数据加密解密全过程

加密过程

服务器计算要加密的数据的特征码,附加在数据的后面,使用单向加密算法

服务器使用自己的私钥加密数据的特征码,完成数字签名,使用公钥加密

服务器使用一个临时对称加密算法加密数据;

服务器使用客户端的公钥加密数据并发送给客户端

解密过程

客户端接受数据,并使用自己的私钥解密数据,完成密钥交换

客户端使用对称密钥解密数据,数据加密

客户端使用服务器端的公钥解密数据,完成身份验证

客户端使用单向机密算法计算数据的特征码,数据的完整性

(3)通讯过程中使用到的算法

对称加密:DES,3DES,AES 

单项加密:DM5,sha1

公钥加密:RSA,DSA,ELGamal

2、描述创建私有CA的过程,以及为客户端发来的证书请求进行颁发证书。

证书颁发

(1)创建一个私有CA

(2)CA端生成自己的证书

(3)服务器端生成证书签署请求

(4)CA签署证书

(5)签署完成发送给服务器端

私建CA

# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365
# touch /etc/pki/CA/{serial,index.txt}
# echo 01>serial

服务器端生成证书请求

# (umask 077;openssl genrsa -out /tmp/client/http.key 4096)
# openssl req -new -key /tmp/client/http.key -out /tmp/client/http.csr -days 365
# scp /tmp/client/http.csr 192.168.1.200:/tmp

CA签署请求

# openssl ca -in /tmp/http.csr -out /etc/pki/CA/certs/http.crt -days 365

3、描述DNS查询过程以及DNS服务器类别。

查询过程

DNS客户端首先向自己本地的DNS服务器发出解析请求,如果缓存命中直接返回,缓存未命中,DNS服务器去查询解析库,返回客户端

如果本地DNS服务器不能提供解析那么有以下两种方式去解析

递归查询:由局部DNS服务器自己负责向其他DNS服务器进行查询,一般是先向该域的根域服务器进行查询,再由根域名服务器一级级向下查询。最后,将得到的查询结果返回结局部DNS服务器,再由局部DNS服务器返回给客户端。

迭代查询:局部DNS服务器不是自己向其他DNS服务器进行查询,而是把能解析该域名的其他DNS服务器的IP地址返回给客户端DNS程序,客户端DNS程序再继续向这些DNS服务器发出查询请求,直到得到查询结果为止。

DNS服务器类别

主域名服务器:主要提供域名解析,存储解析库中正本数据,系统管理员可以对其修改

辅助域名服务器:当主域名服务器出现故障、关闭或负载过重时,辅助服务器作为备份DNS服务器进行域名解析服务,存的解析库是副本,不能修改

缓存域名服务器:储存的主要是缓存DNS部分记录,不是权威答案

转发域名服务器:负责所有非本地DNS服务器的转发。

4、创建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)

(1)、能够对一些主机名进行正向解析和逆向解析;

(2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;

(3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程。

(1)

安装程序包

# yum install bind bind-utils bind-libs -y

为了方便测试,我们做对配置文件做以下修改

# vim /etc/named.conf
dnssec-enable no;
dnssec-validation no;
listen-on port 53 { 127.0.0.1; 192.168.1.49; };
#allow-query {localhost}
# vim /etc/named.rfc1912.zones
zone "magedu.com" IN {
type master;
file "magedu.com.zone";
};
zone "1.168.192.in-addr.arpa" IN {
type master;
file "1.168.192.zone";
};
# vim /var/named/magedu.com.zone 
$TTL 3600
$ORIGIN magedu.com.
@       IN      SOA     ns1.magedu.com. admin.magedu.com. (
2016120601
2H
1H
2D
1D )
IN      NS      ns1.magedu.com.
IN      NS      ns2.magedu.com.
ns1     IN      A       192.168.1.1
ns2     IN      A       192.168.1.2
www     IN      A       192.168.1.1
mail    IN      A       192.168.1.4
web     IN      CNAME   www
# vim /var/named/1.168.192.zone 
$TTL 3600
$ORIGIN 1.168.192.in-addr.arpa.
@       IN      SOA     ns1.magedu.com. admin.magedu.com. (
2016120601
1H
10M
3D
12H )
IN      NS      ns1.magedu.com.
1       IN      PTR     mx1.magedu.com.

修改这两个zone的属组和权限

# chown :named magedu.com.zone 

# chmod o-r 1.168.192.in-addr.arpa

修改服务器指向的nameserver

# vim /etc/resolv.conf

nameserver 192.168.1.1         #这里指向的是本机地址

重载配置文件

# rndc reload 

测试

# ping www.magedu.com 

# dig -t A www.magedu.com

# dig -t NS magedu.com

# dig -x 192.168.1.1

(2) 提供另外一台服务器作为子域服务器

# yum install bind bind-libs bind-utils -y

# vim /etc/named.conf

dnssec-enable no;

dnssec-validation no;

listen-on port 53 { 127.0.0.1; 192.168.1.50; };

#allow-query {localhost}

# vim /etc/named.rfc1912.conf

zone "cdn.magedu.com" IN {

type master;

file "cdn.magedu.com.zone"

};

# vim /var/named/cdn.magedu.com.zone

$TTL 3600

$ORIGIN cdn.magedu.com.

@ IN SOA ns1.cdn.magedu.com. snadmin.cdn.magedu.com. (

201789900

1H

10M

1D

2H )

IN NS ns1

ns1 IN A 192.168.1.100        #这里自己的地址即可

www IN A 192.168.1.100

# chown :named /var/named/cdn.magedu.com.zone 

# chmod o-r /var/named/cdn.magedu.com.zone

在父域上添加以下几行。

# vim /var/named/magedu.com

加上如下两行

ops IN NS ns1

ns1 IN A 192.168.1.100   # 这里的地址一定要是负责子域DNS的地址

测试 

# dig -t NS cdn.magedu.com

# did -t A www.cdn.magedu.com 

(3)方案是配置一套主从服务器

配置两个DNS服务器,实现服务器的主从,在从服务器上执行以下操作

# vim /etc/named.rfc1912.zones

zone “magedu.com" IN {

type slave;

file “slave/magedu.zone";      #配置文件放在slave中主要是为了安全起见,只让它修改这个目录,防止其他目录主的被修改。

masters { 192.168.1.49;};      #这里指定的IP是主服务器的IP地址

};

# rndc reload

在主服务器上执行以下操作

# vim /var/named/magedu.com.zone

添加以下两行

@ IN NS ns1

ns1 IN A 192.168.1.100

注意:在修改主DNS服务器的时候,如果配置文件改变,那么序列号应该做相应的改变。这样才能实现备DNS服务器能够从端复制

# rndc reload

为了安全起见,我们做访问控制列表

分别编辑两个DNS服务器添加以下内容

acl mynet {

        192.168.1.0/16;

     127.0.0.0/8;

};

allow-transfer { mynet; };

allow-recursion { mynet; };

allow-transfer { mynet; };


原创文章,作者:N22-北京-喜欢就好,如若转载,请注明出处:http://www.178linux.com/62907

(0)
N22-北京-喜欢就好N22-北京-喜欢就好
上一篇 2016-12-06
下一篇 2016-12-06

相关推荐

  • 运维练习题

     1、简述TCP三次握手四次挥手过程及各过程中客户端和服务器端的状态。TCP三次握手:客户端向服务器发送SYN包,客户端进入syn_SEND状态服务端收到客户端的发送的包返回ACK+SYN包,服务器端进入SYN_RECV状态客户端收到服务器端返回的包再发ACK包,客户端进入ESTABLISHED状态,服务器收到包也进入ESTABLISHED状态客户…

    Linux干货 2016-06-12
  • Linux 第五天: (08月01日) 练习和作业

    Linux 第五天: (08月01日) 练习和作业         创建用户gentoo, 附加组为bin和root, 默认shell为/bin/csh, 注释信息为"Gentoo Distribution" useradd -G bin,root -c "Gentoo Distribut…

    Linux干货 2016-08-08
  • 网卡别名与多网卡绑定

    网卡别名 一块网卡可以配置多个ip地址,叫做网卡别名   对虚拟主机有用 格式形如:eth0:1  eth0:2 …… 实现方法:   在命令行中临时设置: ifconfig 命令: ifconfig eth0:0 192.168.1.100/24 演示:   修改配置文件 在/etc/sysconfig/networ…

    Linux干货 2016-09-05
  • Cacti整合Zabbix监控

    前言: 由于公司现在很多业务都是使用cacti进行监控流量的,并且还有一些使用zabbix监控的项目,正好又有一个项目需要搭建Cacti+Zabbix进行综合监控,搭建完毕之后发现,Cacti较之以前有了不小的改进,所以就来写一写Cacti和Zabbix监控整合的文章,顺便说一下Cacti下的一些好用的插件。 环境: Centos 6.4 X86_64 Ca…

    Linux干货 2015-03-19
  • 马哥教育网络班22期+第2周课程练习

    1.linux上的文件管理类命令有哪些,其常用的使用方法及其相关示例演示    cp  复制文件  :单源;多源(目标必须是目录)        cp  /etc/fstab /tmp/hi.txt     -i 覆盖之前提醒用户确认   …

    Linux干货 2016-08-21
  • ftp的配置

    FTP服务器配置 VSFTP主配置文件路径:/etc/vsftpd/vsftpd.conf,重要参数: anonymous_enable=yes/no 是否允许匿名用户访问 anon_upload_enable=yes/no 是否允许匿名用户上传文件 anon_mkdir_write_enable=yes/no 是否允许匿名用户创建目录 anon_other…

    2017-10-16

评论列表(1条)

  • 马哥教育
    马哥教育 2016-12-14 10:54

    博客完成的非常好,说好的图呢?说好的图呢?说好的图呢?加油!