N22-第十一周作业

第十一周作业

1、详细描述一次加密通讯的过程,结合图示最佳

(1)为了做到数据的安全,应该同时满足

保密性

完整性

可用性

(2)假设A,B通信,A是客户机,B是服务器

a、客户端向服务器端发送自己支持的加密方式,并且向服务器端请求其CA颁发给的证书

b、服务器选择共同支持的加密方式并发送自己的证书;

c、客户端收到其证书,并验证证书,证书必须同时满足以下条件

验证证书的来源合法性,使用CA的公钥解密证书的数字签名,机密算法使用公钥加密

验证证书内容的合法性,完整性验证,使用单项加密

检查证书的有效期

检查证书是否被吊销

证书的名称是否与拥有者相同

d、客户端生成临时会话密钥(对称密钥),并使用服务器端的公钥加密此数据发送给服务器,完成密钥交换

e、服务器使用此密钥加密用户请求的资源,响应给客户端

f、数据加密解密全过程

加密过程

服务器计算要加密的数据的特征码,附加在数据的后面,使用单向加密算法

服务器使用自己的私钥加密数据的特征码,完成数字签名,使用公钥加密

服务器使用一个临时对称加密算法加密数据;

服务器使用客户端的公钥加密数据并发送给客户端

解密过程

客户端接受数据,并使用自己的私钥解密数据,完成密钥交换

客户端使用对称密钥解密数据,数据加密

客户端使用服务器端的公钥解密数据,完成身份验证

客户端使用单向机密算法计算数据的特征码,数据的完整性

(3)通讯过程中使用到的算法

对称加密:DES,3DES,AES 

单项加密:DM5,sha1

公钥加密:RSA,DSA,ELGamal

2、描述创建私有CA的过程,以及为客户端发来的证书请求进行颁发证书。

证书颁发

(1)创建一个私有CA

(2)CA端生成自己的证书

(3)服务器端生成证书签署请求

(4)CA签署证书

(5)签署完成发送给服务器端

私建CA

# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365
# touch /etc/pki/CA/{serial,index.txt}
# echo 01>serial

服务器端生成证书请求

# (umask 077;openssl genrsa -out /tmp/client/http.key 4096)
# openssl req -new -key /tmp/client/http.key -out /tmp/client/http.csr -days 365
# scp /tmp/client/http.csr 192.168.1.200:/tmp

CA签署请求

# openssl ca -in /tmp/http.csr -out /etc/pki/CA/certs/http.crt -days 365

3、描述DNS查询过程以及DNS服务器类别。

查询过程

DNS客户端首先向自己本地的DNS服务器发出解析请求,如果缓存命中直接返回,缓存未命中,DNS服务器去查询解析库,返回客户端

如果本地DNS服务器不能提供解析那么有以下两种方式去解析

递归查询:由局部DNS服务器自己负责向其他DNS服务器进行查询,一般是先向该域的根域服务器进行查询,再由根域名服务器一级级向下查询。最后,将得到的查询结果返回结局部DNS服务器,再由局部DNS服务器返回给客户端。

迭代查询:局部DNS服务器不是自己向其他DNS服务器进行查询,而是把能解析该域名的其他DNS服务器的IP地址返回给客户端DNS程序,客户端DNS程序再继续向这些DNS服务器发出查询请求,直到得到查询结果为止。

DNS服务器类别

主域名服务器:主要提供域名解析,存储解析库中正本数据,系统管理员可以对其修改

辅助域名服务器:当主域名服务器出现故障、关闭或负载过重时,辅助服务器作为备份DNS服务器进行域名解析服务,存的解析库是副本,不能修改

缓存域名服务器:储存的主要是缓存DNS部分记录,不是权威答案

转发域名服务器:负责所有非本地DNS服务器的转发。

4、创建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)

(1)、能够对一些主机名进行正向解析和逆向解析;

(2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;

(3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程。

(1)

安装程序包

# yum install bind bind-utils bind-libs -y

为了方便测试,我们做对配置文件做以下修改

# vim /etc/named.conf
dnssec-enable no;
dnssec-validation no;
listen-on port 53 { 127.0.0.1; 192.168.1.49; };
#allow-query {localhost}
# vim /etc/named.rfc1912.zones
zone "magedu.com" IN {
type master;
file "magedu.com.zone";
};
zone "1.168.192.in-addr.arpa" IN {
type master;
file "1.168.192.zone";
};
# vim /var/named/magedu.com.zone 
$TTL 3600
$ORIGIN magedu.com.
@       IN      SOA     ns1.magedu.com. admin.magedu.com. (
2016120601
2H
1H
2D
1D )
IN      NS      ns1.magedu.com.
IN      NS      ns2.magedu.com.
ns1     IN      A       192.168.1.1
ns2     IN      A       192.168.1.2
www     IN      A       192.168.1.1
mail    IN      A       192.168.1.4
web     IN      CNAME   www
# vim /var/named/1.168.192.zone 
$TTL 3600
$ORIGIN 1.168.192.in-addr.arpa.
@       IN      SOA     ns1.magedu.com. admin.magedu.com. (
2016120601
1H
10M
3D
12H )
IN      NS      ns1.magedu.com.
1       IN      PTR     mx1.magedu.com.

修改这两个zone的属组和权限

# chown :named magedu.com.zone 

# chmod o-r 1.168.192.in-addr.arpa

修改服务器指向的nameserver

# vim /etc/resolv.conf

nameserver 192.168.1.1         #这里指向的是本机地址

重载配置文件

# rndc reload 

测试

# ping www.magedu.com 

# dig -t A www.magedu.com

# dig -t NS magedu.com

# dig -x 192.168.1.1

(2) 提供另外一台服务器作为子域服务器

# yum install bind bind-libs bind-utils -y

# vim /etc/named.conf

dnssec-enable no;

dnssec-validation no;

listen-on port 53 { 127.0.0.1; 192.168.1.50; };

#allow-query {localhost}

# vim /etc/named.rfc1912.conf

zone "cdn.magedu.com" IN {

type master;

file "cdn.magedu.com.zone"

};

# vim /var/named/cdn.magedu.com.zone

$TTL 3600

$ORIGIN cdn.magedu.com.

@ IN SOA ns1.cdn.magedu.com. snadmin.cdn.magedu.com. (

201789900

1H

10M

1D

2H )

IN NS ns1

ns1 IN A 192.168.1.100        #这里自己的地址即可

www IN A 192.168.1.100

# chown :named /var/named/cdn.magedu.com.zone 

# chmod o-r /var/named/cdn.magedu.com.zone

在父域上添加以下几行。

# vim /var/named/magedu.com

加上如下两行

ops IN NS ns1

ns1 IN A 192.168.1.100   # 这里的地址一定要是负责子域DNS的地址

测试 

# dig -t NS cdn.magedu.com

# did -t A www.cdn.magedu.com 

(3)方案是配置一套主从服务器

配置两个DNS服务器,实现服务器的主从,在从服务器上执行以下操作

# vim /etc/named.rfc1912.zones

zone “magedu.com" IN {

type slave;

file “slave/magedu.zone";      #配置文件放在slave中主要是为了安全起见,只让它修改这个目录,防止其他目录主的被修改。

masters { 192.168.1.49;};      #这里指定的IP是主服务器的IP地址

};

# rndc reload

在主服务器上执行以下操作

# vim /var/named/magedu.com.zone

添加以下两行

@ IN NS ns1

ns1 IN A 192.168.1.100

注意:在修改主DNS服务器的时候,如果配置文件改变,那么序列号应该做相应的改变。这样才能实现备DNS服务器能够从端复制

# rndc reload

为了安全起见,我们做访问控制列表

分别编辑两个DNS服务器添加以下内容

acl mynet {

        192.168.1.0/16;

     127.0.0.0/8;

};

allow-transfer { mynet; };

allow-recursion { mynet; };

allow-transfer { mynet; };


原创文章,作者:N22-北京-喜欢就好,如若转载,请注明出处:http://www.178linux.com/62907

(0)
N22-北京-喜欢就好N22-北京-喜欢就好
上一篇 2016-12-06
下一篇 2016-12-06

相关推荐

  • N22+北京zhangzhangzhang+第四周作业

    1、复制/etc/skel目录为/home/tuser1,要求/home/tuser1及其内部文件的属组和其它用户均没有任何访问权限。 cp -r /etc/skel /home/tuser1    ls -ld /home/tuser1   &nb…

    Linux干货 2016-09-05
  • 推荐CentOS Linux下的分区及格式化工具

    简介 伴随着科技的飞速发展,越来越多的企业对于服务器的稳定要求越来越高,越来越多的企业开始采用linux系统来部署自己的服务,以求高效的稳定性,当然任何操作系统都需要一个最基本的基础,那就是硬盘,及硬盘分区,今天来给大家推荐几款CentOS Linux下的分区工具及如何查看分区环境,也会给大家来带一些硬盘的基本知识 一、硬盘的接口类型 分区肯定是对硬盘进行分…

    2017-03-19
  • N26_第一周

    计算机组成     CPU:核心部件:                 运算器: 对数据进行算术运算和逻辑运算     …

    Linux干货 2017-01-11
  • 循环体

    for 变量名in 列表;do 循环体 done 执行机制: 依次将列表中的元素赋值给“变量名”; 每次赋值后即执行一次循环体; 直到列表中的元素耗尽,循环结束 列表生成方式: (1) 直接给出列表 (2) 整数列表: (a) {start..end} (b) $(seq[start [step]] end) (3) 返回列表的命令  &nbsp…

    Linux干货 2016-08-21
  • MySQL or MariaDB 简介

    DBMS:数据库管理系统 RDBMS:关系型数据库管理系统    总之:他们都是一个数据管理程序;大多都是CS架构,都有专门的通信协议进行数据交换 关系模型:               表(行或者列):二维关系 设计范式:       &…

    Linux干货 2017-01-12
  • 利用keepalived实现主/从和主/主模式的高性能负载均衡集群

    要求: 1、使用nginx的反向代理功能实现负载均衡 2、keepalived实现高可用        第一组的虚拟地址为172.16.1.100             D设备的优先级高        第二组的虚拟地址为172.16.1.110             E设备的优先级高 3、分别实现主/从和主/主两种配置 集群拓扑:       第一种:主…

    2017-06-25

评论列表(1条)

  • 马哥教育
    马哥教育 2016-12-14 10:54

    博客完成的非常好,说好的图呢?说好的图呢?说好的图呢?加油!