N26-第十一周

1、详细描述一次加密通讯的过程,结合图示最佳。

    发送方:
1、使用单项加密算法计算数据文件的特征码
2、使用发送方私钥加密特征码
3、使用对称加密算法生成一对临时密钥
4、使用临时密钥加密数据文件和加密后的特征码
5、使用接收方的公钥加密使用临时密钥加密后的数据和特征码和临时密钥的解密密码,并将之发送给接收方

接收方
1、使用接收方的私钥解密接收到的加密文件,解密后得到使用临时密钥加密后的加密文件和临时密钥的解密密码
2、使用得到的临时密钥解密密码解密加密文件,得到数据文件和特征码
3、使用和发送方相同的单项加密算法计算数据文件得到特征码,并将之与解密得到的特征码对比验证数据的完整性

    N26-第十一周

2、描述创建私有CA的过程,以及为客户端发来的证书请求进行办法证书。

    构建私有CA(openssl配置文件 /etc/pki/tls/openssl.cnf

        1、生成私钥

        2、生成自签证书

1、生成私钥 [root@localhost ~]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
Generating RSA private key, 4096 bit long modulus
......................................................................................................................................................................................................................................................................................................................++
......................................++
e is 65537 (0x10001)
2、生成自签证书
[root@localhost ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3560

为客户端颁发证书

1、客户端生成密钥文件

2、生成证书签署请求

3、将请求通过可靠方式发送给CA主机

4、在CA上签署证书

1、生成私钥
[root@localhost ~]# (umask 077; openssl genrsa -out /tmp/ceshi.key 2048)
Generating RSA private key, 2048 bit long modulus
.................+++
............+++
e is 65537 (0x10001)
2、生成证书签署请求
[root@localhost ~]# openssl req -new -key /tmp/ceshi.key -out /tmp/ceshi.csr -days 365
3、将证书签署请求    发送给CA主机
4、CA签署请求 [root@localhost ~]# openssl ca -in /tmp/ceshi.csr -out /tmp/ceshi.crt -days 365
5、CA将证书发送给客户端

3、描述DNS查询过程以及DNS服务器类别。

    客户端在访问一个网址的时候

    第一步:查询本地hosts文件

    第二步:hosts文件中查询不到时查询本机的缓存

    第三步:本地缓存查询不到的时候,查询本机指向的默认DNS服务器

    第四步:由默认DNS服务器向根DNS服务器进行递归查询(客户端只查询一次,由指定的DNS服务器进行查询到结果后返回客户端

    N26-第十一周

根据DNS服务器的用途分类:

(1)主域名服务器:负责维护这个区域的所有域名信息,是特定的所有信息的权威信息源。也是说,主域名服务器内所存储的是该区域的正本数据,系统管理员可以对它进行修改。
(2)辅助域名服务器:当主域名服务器出现故障、关闭或负载过重时,辅助域名服务器作为备份服务提供域名解析服务。辅助域名服务器中的区域文件内的数据是从另外一台域名服务器复制过来的,并不是直接输入的,也是说这个区域文件只是一份副本,这里的数据是无法修改的。
(3)缓存域名服务器:可运行域名服务器软件但没有域名数据库。它从某个远程服务器取得每次域名服务器查询的回答,一旦获取一个答案,将它放在高速缓存中,以后查询相同的信息时用它予以回答。缓存域名服务器不是权威性服务器,因为提供的所有信息都是间接信息。
(4)转发域名服务器:负责所有非本地域名的本地查询。转发域名服务器接到查询请求时,在其缓存中查找,如找不到把请求依次转发到指定的域名服务器,直到查询到结果为止,否则返回无法映射的结果。

    

4、搭建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)
  (1)、能够对一些主机名进行正向解析和逆向解析;
  (2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;

  (3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程

    环境:

        主DNS服务器 DNS1 192.168.44.20

        从DNS服务器 DNS2 192.168.44.22

        子域DNS服务器 DNS3 192.168.44.23

    一、配置正向解析和逆向解析

1、主服务器安装bind包
[root@DNS1 ~]# yum -y install bind*
2、编4、编辑正向解析数据文件辑主配置文件 /etc/named.conf (修改配置文件的ip和允许的范围) [root@DNS1 ~]# vim /etc/named.conf 

options {        listen-on port 53 { any; };        directory       "/var/named";        dump-file       "/var/named/data/cache_dump.db";        statistics-file "/var/named/data/named_stats.txt";        memstatistics-file "/var/named/data/named_mem_stats.txt";        allow-query     { any; };

修改后检查配置文件

[root@DNS1 ~]# named-checkconf 

3、添加正向域和反向域配置 [root@DNS1 ~]# vim /etc/named.rfc1912.zones  zone "magedu.com" IN {         type master;         file "magedu.com.zone"; }; zone "44.168.192.in-addr.arpa" IN {         type master;         file "192.168.44.zone"; };  4、编辑正向解析数据文件
[root@DNS1 ~]# vim /var/named/magedu.com.zone $TTL 3600 $ORIGIN magedu.com. @       IN      SOA             @  dnsadmin.magedu.com. (         2017040400         1H         10M         3D         1D )         IN      NS      ns1         IN      NS      ns2         IN      MX      10      ms1         IN      MX      20      ms2 ns1     IN      A       192.168.44.20 ns2     IN      A       192.168.44.22 ms1     IN      A       192.168.44.23 ms2     IN      A       192.168.44.23 web     IN      CNAME   ns1 www     IN      CNAME   ns1 5、编辑反向解析区域数据文件 [root@DNS1 ~]# vim /var/named/192.168.44.zone

$TTL 3600$ORIGIN 44.168.192.in-addr.arpa.@       IN      SOA     ns1.magedu.com.      dnsadmin.magedu.com. (        2017040400        1H        10M        3D        12H )        IN      NS      ns1.magedu.com.        IN      NS      ns2.magedu.com.20      IN      PTR     ns1.magedu.com.22      IN      PTR     ns2.magedu.com.23      IN      PTR     ms1.magedu.com.23      IN      PTR     ms2.magedu.com.6、修改区域数据文件的属组和权限[root@DNS1 ~]# chgrp named /var/named/magedu.com.zone /var/named/192.168.44.zone [root@DNS1 ~]# chmod o-x /var/named/magedu.com.zone /var/named/192.168.44.zone 

7、检查配置文件、重启服务或重载配置

[root@DNS1 ~]# named-checkconf -zzone localhost.localdomain/IN: loaded serial 0zone localhost/IN: loaded serial 0zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0zone 0.in-addr.arpa/IN: loaded serial 0zone magedu.com/IN: loaded serial 2017040400zone 44.168.192.in-addr.arpa/IN: loaded serial 2017040400

[root@DNS1 ~]# rndc reloadserver reload successful

8、测试

    正解

[root@DNS1 ~]# dig www.magedu.com; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> www.magedu.com;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16029;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096;; QUESTION SECTION:;www.magedu.com. IN A;; ANSWER SECTION:www.magedu.com. 3600 IN CNAME ns1.magedu.com.ns1.magedu.com. 3600 IN A 192.168.44.20;; AUTHORITY SECTION:magedu.com. 3600 IN NS ns2.magedu.com.magedu.com. 3600 IN NS ns1.magedu.com.;; ADDITIONAL SECTION:ns2.magedu.com. 3600 IN A 192.168.44.22;; Query time: 1 msec;; SERVER: 127.0.0.1#53(127.0.0.1);; WHEN: Wed Apr 05 17:42:14 EDT 2017;; MSG SIZE  rcvd: 125


反解

[root@DNS1 ~]# dig -x 192.168.44.22 ; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> -x 192.168.44.22 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58321 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;22.44.168.192.in-addr.arpa. IN PTR ;; ANSWER SECTION: 22.44.168.192.in-addr.arpa. 3600 IN PTR ns2.magedu.com. ;; AUTHORITY SECTION: 44.168.192.in-addr.arpa. 3600 IN NS ns1.magedu.com. ;; ADDITIONAL SECTION: ns1.magedu.com. 3600 IN A 192.168.44.20 ;; Query time: 0 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Wed Apr 05 17:42:50 EDT 2017 ;; MSG SIZE  rcvd: 117




二、子域授权

    1、在授权服务器配置文件中增加

    

[root@DNS1 ~]# vim /var/named/magedu.com.zone 
dns IN NS ns1.dns ns1.dns IN A 192.168.44.23

2、在被授权服务器上安装bind,并编辑配置文件 /etc/named.rfc1912.zones 

[root@DNS3 ~]# yum -y install bind
[root@DNS3 ~]# vim /etc/named.rfc1912.zones 
zone "dns.magedu.com" IN {
        type master;
        file "dns.magedu.com.zone";
};

zone "magedu.com" IN {
        type forward;
        forward only;
        forwarders { 192.168.44.20;};
};

3、在被授权服务器上添加子域数据库文件

[root@DNS3 ~]# vim /var/named/dns.magedu.com.zone
$TTL 3600
$ORIGIN dns.magedu.com.
@       IN      SOA     ns1.dns.magedu.com.     dnsadmin.magedu.com. (
        2017040400
        1H
        2D
        10M
        3D )
        IN      NS      ns1
ns1     IN      A       192.168.44.23
ns2     IN      A       192.168.44.20

4、检查配置文件并修改数据库配置文件权限后重启服务或重载配置文件,

[root@DNS3 ~]# named-checkconf -z
zone localhost.localdomain/IN: loaded serial 0
zone localhost/IN: loaded serial 0
zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
zone 0.in-addr.arpa/IN: loaded serial 0
zone dns.magedu.com/IN: loaded serial 2017040400
[root@DNS3 ~]# chown :named /var/named/dns.magedu.com.zone
[root@DNS3 ~]# chmod o-x  /var/named/dns.magedu.com.zone 
[root@DNS3 ~]# service named restart

5、测试使用

[root@DNS1 ~]# dig -t A  www.dns.magedu.com @192.168.44.23

; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> -t A www.dns.magedu.com @192.168.44.23
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4146
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.dns.magedu.com.        IN  A

;; ANSWER SECTION:
www.dns.magedu.com. 3600    IN  A   192.168.44.20

;; AUTHORITY SECTION:
dns.magedu.com.     3600    IN  NS  ns1.dns.magedu.com.

;; ADDITIONAL SECTION:
ns1.dns.magedu.com. 3600    IN  A   192.168.44.23

;; Query time: 4 msec
;; SERVER: 192.168.44.23#53(192.168.44.23)
;; WHEN: Thu Apr 06 18:22:14 EDT 2017
;; MSG SIZE  rcvd: 97

   三、主从复制

    1、修改主DNS配置文件(允许从服务器复制)

    

[root@DNS1 ~]# vim /etc/named.rfc1912.zones  
zone "magedu.com" IN {
        type master;
        file "magedu.com.zone";
        allow-transfer { 192.168.44.22 ;};
};

2、修改主服务器的域数据库文件(添加从服务器的资源记录和A记录)

[root@DNS1 ~]# vim /var/named/magedu.com.zone 
$TTL 3600
$ORIGIN magedu.com.
@       IN      SOA             @  dnsadmin.magedu.com. (
        2017040400
        1H
        10M
        3D
        1D )
        IN      NS      ns1
dns     IN      NS      ns1.dns
        IN      NS      slave
slave   IN      A       192.164.44.22
ns1.dns IN      A       192.168.44.23
ns1     IN      A       192.168.44.20
ms1     IN      A       192.168.44.23
ms2     IN      A       192.168.44.23
web     IN      CNAME   ns1
www     IN      CNAME   ns1

3、检查主DNS服务器配置文件后重载配置文件

[root@DNS1 ~]# named-checkconf -z
zone localhost.localdomain/IN: loaded serial 0
zone localhost/IN: loaded serial 0
zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
zone 0.in-addr.arpa/IN: loaded serial 0
zone 44.168.192.in-addr.arpa/IN: loaded serial 2017040400
zone magedu.com/IN: loaded serial 2017040400
[root@DNS1 ~]# rndc reload
server reload successful

4、从服务器安装bind软件包并修改配置文件

[root@DNS2 ~]# yum -y install bind*
[root@DNS2 ~]# vim /etc/named.conf 
options {
        listen-on port 53 { any; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
[root@DNS2 ~]# vim /etc/named.rfc1912.zones  zone "magedu.com" IN {         type slave;         file "slaves/magedu.com.zone";         masters { 192.168.44.20; };         };

5、检查配置文件并重启或重载named配置文件

[root@DNS2 ~]# named-checkconf -z
zone localhost.localdomain/IN: loaded serial 0
zone localhost/IN: loaded serial 0
zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
zone 0.in-addr.arpa/IN: loaded serial 0
[root@DNS2 ~]# systemctl restart named

6、使用dig测试主从复制是否可行

[root@DNS2 ~]# dig -t axfr magedu.com @192.168.44.20

; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> -t axfr magedu.com @192.168.44.20
;; global options: +cmd
magedu.com.     3600    IN  SOA magedu.com. dnsadmin.magedu.com. 2017040416 60 60 60 60
magedu.com.     3600    IN  NS  ns1.magedu.com.
dns.magedu.com.     3600    IN  NS  ns1.dns.magedu.com.
dns.magedu.com.     3600    IN  NS  ns2.magedu.com.
ns1.dns.magedu.com. 3600    IN  A   192.168.44.23
ms1.magedu.com.     3600    IN  A   192.168.44.23
ms2.magedu.com.     3600    IN  A   192.168.44.23
ns1.magedu.com.     3600    IN  A   192.168.44.20
ns2.magedu.com.     3600    IN  A   192.164.44.22
web.magedu.com.     3600    IN  CNAME   ns1.magedu.com.
www.magedu.com.     3600    IN  CNAME   ns1.magedu.com.
magedu.com.     3600    IN  SOA magedu.com. dnsadmin.magedu.com. 2017040416 60 60 60 60
;; Query time: 1 msec
;; SERVER: 192.168.44.20#53(192.168.44.20)
;; WHEN: Sun Apr 09 12:25:01 EDT 2017
;; XFR size: 12 records (messages 1, bytes 291)
 

7、修改主服务器数据文件版本号后查看重复服务器日志

[root@DNS2 ~]# tailf /var/log/messages
Apr  9 12:36:14 localhost named[2365]: zone magedu.com/IN: Transfer started.
Apr  9 12:36:14 localhost named[2365]: transfer of 'magedu.com/IN' from 192.168.44.20#53: connected using 192.168.44.22#53928
Apr  9 12:36:14 localhost named[2365]: zone magedu.com/IN: transferred serial 2017040419
Apr  9 12:36:14 localhost named[2365]: transfer of 'magedu.com/IN' from 192.168.44.20#53: Transfer completed: 1 messages, 12 records, 291 bytes, 0.001 secs (291000 bytes/sec)
Apr  9 12:36:14 localhost named[2365]: zone magedu.com/IN: sending notifies (serial 2017040419)

8、测试从服务器解析

[root@DNS2 ~]# dig www.magedu.com @192.168.44.22

; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> www.magedu.com @192.168.44.22
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48968
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.magedu.com.            IN  A

;; ANSWER SECTION:
www.magedu.com.     3600    IN  CNAME   ns1.magedu.com.
ns1.magedu.com.     3600    IN  A   192.168.44.20

;; AUTHORITY SECTION:
magedu.com.     3600    IN  NS  ns1.magedu.com.

;; Query time: 0 msec
;; SERVER: 192.168.44.22#53(192.168.44.22)
;; WHEN: Sun Apr 09 12:30:26 EDT 2017
;; MSG SIZE  rcvd: 91

原创文章,作者:胡安慧,如若转载,请注明出处:http://www.178linux.com/71699

(0)
胡安慧胡安慧
上一篇 2017-04-09
下一篇 2017-04-09

相关推荐

  • shell脚本编写-3

    1、for循环 for 变量名 in  列表;do 循环体 done 执行机制:依次将列表中元素赋值给“变量名”;每次赋值后即执一次循环体;直到列表中元素耗尽循环结束 列表生成方式: (1) 直接给出列表 (2) 整数列表: (a){start..end} (b) $(seq [start [step]] end)  (3) 返回列表的命…

    Linux干货 2016-08-18
  • 马哥教育网络班21期+第3周课程练习

    1、列出当前系统上所有已经登录的用户的用户名,注意:同一个用户登录多次,则只显示一次即可。 # who | cut -d' ' -f1 | uniiq 2、取出最后登录到当前系统的用户的相关信息。 # id $(who | …

    Linux干货 2016-07-12
  • 6个变态的C语言Hello World程序

    下面的六个程序片段主要完成这些事情: 输出Hello, World 混乱C语言的源代码 下面的所有程序都可以在GCC下编译通过,只有最后一个需要动用C++的编译器g++才能编程通过。 hello1.c   #define _________ }     #define …

    Linux干货 2015-04-01
  • 自制一个小型Linux(附带网络功能)

      我们这次讲述一下Linux启动的启动流程以及制作一个附带网络功能的mini linux 一、叙述 二、为什么要制作这么一个小型的系统 三、怎么制作 1、制作步骤 2、将虚拟机添加网络功能 一、叙述   在制作一个小型的Linux之前,首先你得明白Linux系统的启动过程,我们用一张图来进行说明  二、为什…

    Linux干货 2016-12-21
  • N25第二周作业

    第二周 一、文件管理命令 复制命令:cp 命令格式   cp [OPTION]… [-T] SOURCE DEST   cp [OPTION]… SOURCE… DIRECTORY   cp [OPTION]…

    Linux干货 2016-12-09
  • 网络管理

    网络概念 网络应用程序 Web 浏览器(Chrome、IE、Firefox等) 即时消息(QQ、微信、钉钉等) 电子邮件(Outlook、foxmail 等) 协作(视频会议、VNC、Netmeeting、WebEx 等) web网络服务(apache,nginx,IIS) 文件网络服务(ftp,nfs,samba) 数据库服务( MySQL,MariaDB…

    Linux干货 2017-05-06

评论列表(1条)

  • 马哥教育
    马哥教育 2017-04-13 09:40

    证书加密还可以再深入下,dns这块比较详细,能提现迭代查询和递归查询会更好~