第十一周作业
1、详细描述一次加密通讯的过程,结合图示最佳
(1)为了做到数据的安全,应该同时满足
保密性
完整性
可用性
(2)假设A,B通信,A是客户机,B是服务器
a、客户端向服务器端发送自己支持的加密方式,并且向服务器端请求其CA颁发给的证书
b、服务器选择共同支持的加密方式并发送自己的证书;
c、客户端收到其证书,并验证证书,证书必须同时满足以下条件
验证证书的来源合法性,使用CA的公钥解密证书的数字签名,机密算法使用公钥加密
验证证书内容的合法性,完整性验证,使用单项加密
检查证书的有效期
检查证书是否被吊销
证书的名称是否与拥有者相同
d、客户端生成临时会话密钥(对称密钥),并使用服务器端的公钥加密此数据发送给服务器,完成密钥交换
e、服务器使用此密钥加密用户请求的资源,响应给客户端
f、数据加密解密全过程
加密过程
服务器计算要加密的数据的特征码,附加在数据的后面,使用单向加密算法
服务器使用自己的私钥加密数据的特征码,完成数字签名,使用公钥加密
服务器使用一个临时对称加密算法加密数据;
服务器使用客户端的公钥加密数据并发送给客户端
解密过程
客户端接受数据,并使用自己的私钥解密数据,完成密钥交换
客户端使用对称密钥解密数据,数据加密
客户端使用服务器端的公钥解密数据,完成身份验证
客户端使用单向机密算法计算数据的特征码,数据的完整性
(3)通讯过程中使用到的算法
对称加密:DES,3DES,AES
单项加密:DM5,sha1
公钥加密:RSA,DSA,ELGamal
2、描述创建私有CA的过程,以及为客户端发来的证书请求进行颁发证书。
证书颁发
(1)创建一个私有CA
(2)CA端生成自己的证书
(3)服务器端生成证书签署请求
(4)CA签署证书
(5)签署完成发送给服务器端
私建CA
# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096) # openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365
# touch /etc/pki/CA/{serial,index.txt} # echo 01>serial
服务器端生成证书请求
# (umask 077;openssl genrsa -out /tmp/client/http.key 4096) # openssl req -new -key /tmp/client/http.key -out /tmp/client/http.csr -days 365 # scp /tmp/client/http.csr 192.168.1.200:/tmp
CA签署请求
# openssl ca -in /tmp/http.csr -out /etc/pki/CA/certs/http.crt -days 365
3、描述DNS查询过程以及DNS服务器类别。
查询过程
DNS客户端首先向自己本地的DNS服务器发出解析请求,如果缓存命中直接返回,缓存未命中,DNS服务器去查询解析库,返回客户端
如果本地DNS服务器不能提供解析那么有以下两种方式去解析
递归查询:由局部DNS服务器自己负责向其他DNS服务器进行查询,一般是先向该域的根域服务器进行查询,再由根域名服务器一级级向下查询。最后,将得到的查询结果返回结局部DNS服务器,再由局部DNS服务器返回给客户端。
迭代查询:局部DNS服务器不是自己向其他DNS服务器进行查询,而是把能解析该域名的其他DNS服务器的IP地址返回给客户端DNS程序,客户端DNS程序再继续向这些DNS服务器发出查询请求,直到得到查询结果为止。
DNS服务器类别
主域名服务器:主要提供域名解析,存储解析库中正本数据,系统管理员可以对其修改
辅助域名服务器:当主域名服务器出现故障、关闭或负载过重时,辅助服务器作为备份DNS服务器进行域名解析服务,存的解析库是副本,不能修改
缓存域名服务器:储存的主要是缓存DNS部分记录,不是权威答案
转发域名服务器:负责所有非本地DNS服务器的转发。
4、创建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)
(1)、能够对一些主机名进行正向解析和逆向解析;
(2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;
(3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程。
(1)
安装程序包
# yum install bind bind-utils bind-libs -y
为了方便测试,我们做对配置文件做以下修改
# vim /etc/named.conf dnssec-enable no; dnssec-validation no; listen-on port 53 { 127.0.0.1; 192.168.1.49; }; #allow-query {localhost} # vim /etc/named.rfc1912.zones zone "magedu.com" IN { type master; file "magedu.com.zone"; }; zone "1.168.192.in-addr.arpa" IN { type master; file "1.168.192.zone"; }; # vim /var/named/magedu.com.zone $TTL 3600 $ORIGIN magedu.com. @ IN SOA ns1.magedu.com. admin.magedu.com. ( 2016120601 2H 1H 2D 1D ) IN NS ns1.magedu.com. IN NS ns2.magedu.com. ns1 IN A 192.168.1.1 ns2 IN A 192.168.1.2 www IN A 192.168.1.1 mail IN A 192.168.1.4 web IN CNAME www # vim /var/named/1.168.192.zone $TTL 3600 $ORIGIN 1.168.192.in-addr.arpa. @ IN SOA ns1.magedu.com. admin.magedu.com. ( 2016120601 1H 10M 3D 12H ) IN NS ns1.magedu.com. 1 IN PTR mx1.magedu.com.
修改这两个zone的属组和权限
# chown :named magedu.com.zone
# chmod o-r 1.168.192.in-addr.arpa
修改服务器指向的nameserver
# vim /etc/resolv.conf
nameserver 192.168.1.1 #这里指向的是本机地址
重载配置文件
# rndc reload
测试
# ping www.magedu.com
# dig -t A www.magedu.com
# dig -t NS magedu.com
# dig -x 192.168.1.1
(2) 提供另外一台服务器作为子域服务器
# yum install bind bind-libs bind-utils -y
# vim /etc/named.conf
dnssec-enable no;
dnssec-validation no;
listen-on port 53 { 127.0.0.1; 192.168.1.50; };
#allow-query {localhost}
# vim /etc/named.rfc1912.conf
zone "cdn.magedu.com" IN {
type master;
file "cdn.magedu.com.zone"
};
# vim /var/named/cdn.magedu.com.zone
$TTL 3600
$ORIGIN cdn.magedu.com.
@ IN SOA ns1.cdn.magedu.com. snadmin.cdn.magedu.com. (
201789900
1H
10M
1D
2H )
IN NS ns1
ns1 IN A 192.168.1.100 #这里自己的地址即可
www IN A 192.168.1.100
# chown :named /var/named/cdn.magedu.com.zone
# chmod o-r /var/named/cdn.magedu.com.zone
在父域上添加以下几行。
# vim /var/named/magedu.com
加上如下两行
ops IN NS ns1
ns1 IN A 192.168.1.100 # 这里的地址一定要是负责子域DNS的地址
测试
# dig -t NS cdn.magedu.com
# did -t A www.cdn.magedu.com
(3)方案是配置一套主从服务器
配置两个DNS服务器,实现服务器的主从,在从服务器上执行以下操作
# vim /etc/named.rfc1912.zones
zone “magedu.com" IN {
type slave;
file “slave/magedu.zone"; #配置文件放在slave中主要是为了安全起见,只让它修改这个目录,防止其他目录主的被修改。
masters { 192.168.1.49;}; #这里指定的IP是主服务器的IP地址
};
# rndc reload
在主服务器上执行以下操作
# vim /var/named/magedu.com.zone
添加以下两行
@ IN NS ns1
ns1 IN A 192.168.1.100
注意:在修改主DNS服务器的时候,如果配置文件改变,那么序列号应该做相应的改变。这样才能实现备DNS服务器能够从端复制
# rndc reload
为了安全起见,我们做访问控制列表
分别编辑两个DNS服务器添加以下内容
acl mynet {
192.168.1.0/16;
127.0.0.0/8;
};
allow-transfer { mynet; };
allow-recursion { mynet; };
allow-transfer { mynet; };
原创文章,作者:N22-北京-喜欢就好,如若转载,请注明出处:http://www.178linux.com/62907
评论列表(1条)
博客完成的非常好,说好的图呢?说好的图呢?说好的图呢?加油!