馬哥教育網絡班20期+第11周博客作業

1、詳細描述一次加密通訊的過程，結合圖示最佳。

例如：
    bob給alice發送一份數據：只能alice看到，不能被篡改。

    bob：
    首先用單向加密提取數據的特征碼，然后用自己的私鑰加密這個特征碼并放在原有數據的后面；
    再用alice的公鑰加密，發送給alice，于是只有alice能解密。

    alice：
    首先用自己的私鑰解密，能解密，則身份得到驗證；
    然后用對方公鑰解密特征碼，得到特征碼；
    用同樣的算法，對特征碼進行加密，對比特征碼是否相同，如果相同，則內容是完整的。

2、描述創建私有CA的過程，以及為客戶端發來的證書請求進行頒發證書。

    cd /etc/pki/CA
    (umask 077;openssl genrsa -out private/cakey.pem 2048)
    ll private/
    touch index.txt
    echo 01 >serial

    openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 7300
    簽署證書
    ll
    CA的證書做好了，cacert.pem

    然后在web服務器上生成證書申請請求：
    cd /etc/httpd/
    mkdir ssl
    cd ssl
    (umask 077; openssl genrsa -out httpd.key 1024)
    ll
    密鑰已生成，再生成證書申請請求：
    openssl req -new -key httpd.key -out httpd.csr
    進行簽署，跟剛才一樣，注意保持一致，否則對方不給簽。
    ll
    scp httpd.csr root@192.168.1.115:/tmp/
    我們在CA服務器上直接簽即可：
    openssl ca -in /tmp/httpd.csr -out certs/web1.ams.com.crt -days 365
    ls
    ls newcerts/
    01證書已存在。

3、描述DNS查詢過程以及DNS服務器類別。

  一次完整的查詢請求經過的流程：
      Client --> hosts文件 --> DNS Service 
             --->Local Cache本地緩存 --> DNS Server (recursion遞歸) --> Server Cache服務器緩存 --> iteration(迭代) --> 
  
  DNS服務器類別:
      主DNS服務器
      輔助DNS服務器
      緩存DNS服務器  
      轉發器

4、搭建一套DNS服務器，負責解析magedu.com域名（自行設定主機名及IP）

  (1)、能夠對一些主機名進行正向解析和逆向解析；

  (2)、對子域cdn.magedu.com進行子域授權，子域負責解析對應子域中的主機名；

  (3)、為了保證DNS服務系統的高可用性，請設計一套方案，并寫出詳細的實施過程

配置服務器正向解析：

安裝配置bind: 
yum install bind -y
service named start
ss -tunl |grep 53

1.vim /etc/named.conf  使之成為緩存名稱服務器

// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

options {
//      listen-on port 53 { 127.0.0.1; };
//      listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
//      allow-query     { localhost; };
        recursion yes;

//      dnssec-enable yes;
//      dnssec-validation yes;

        /* Path to ISC DLV key */
//      bindkeys-file "/etc/named.iscdlv.key";

//      managed-keys-directory "/var/named/dynamic";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

-- INSERT --          



2.vim /etc/named.rfc1912.zones    定義區域，添加一個zone
   
zone "ams.com" IN {
       type master;
       file "ams.com.zone";
};

rndc status
rndc reload
tail /var/log/messages  報錯，因為區域解析庫文件沒提供,所以我們要創建



3. vim /var/named/ams.com.zone   編輯區域解析庫文件，添加資源記錄

$TTL 1D
$ORIGIN ams.com.
@        IN       SOA      ns1.ams.com.  admin.ams.com. (
                           2016072901
                           1H
                           5M
                           3D
                           1D)
         IN        NS      ns1
         IN        NS      ns2
ns1      IN        A       192.168.1.115
www      IN        A       192.168.1.115
*        IN        A       192.168.1.115


named -checkconf  沒有消息說明沒有錯誤
named-checkzone "ams.com" /var/named/ams.com.zone
cd /var/named/
chown :named ams.com.zone
chmod 640 ams.com.zone
rndc reload

tail /var/log/messages
dig -t A www.ams.com @192.168.1.115
dig -t A ftp.ams.com @192.168.1.115  泛域名解析，也是可以解析到的



4.子域授權：

配置子域服務器：
安裝bind: yum install bind -y
service named start
ss -tunl |grep 53
vim /etc/named.conf  使之成為緩存名稱服務器


vim /etc/named.rfc1912.zones

zone "ops.ams.com" IN {
       type master;
       file "ops.ams.com.zone";
};

vim /var/named/ops.ams.com.zone   編輯區域解析庫文件

$TTL 1D
$ORIGIN ops.ams.com.
@        IN       SOA      ns1.ops.ams.com.  admin.ams.com. (
                           2016072901
                           1H
                           10M
                           3D
                           1D)
         IN        NS      ns1
         IN        NS      ns2
ns1      IN        A       192.168.1.117
ns2      IN        A       192.168.1.118
www      IN        A       192.168.1.119
*        IN        A       192.168.1.119

dig -t NS ops.ams.com @192.168.1.115 +norecurse  父域解析子域，要加上 +norecurse  迭代的方式去尋找
dig -t A www.ops.ams.com @192.168.1.115 +norecurse  




5、配置從服務器：
數據文件不用建立，會從主服務器上同步；
    前提：在主服務器上把這臺服務器定義為DNS服務器才可以。就是在區域解析庫文件中添加一條資源記錄。否則不會通知。


配置區域,使成為緩存名稱服務器：
   yum install bind -y

   vim /etc/named.conf  
     
     修改這幾項：
       listen-on port 53 { 192.168.1.127; 127.0.0.1; };
       allow-query { any; };
       recursion yes;
     
     這幾行都注釋掉：
       dessec-enabled yes;
       dnssec-validation yes;
       dnssec-lookside auto;

       /* Path to ISC DLV key */ 
       bindkeys-file " /etc/named.iscdlv.key"; 
       managed-keys-directory "/var/named/dynamic"; 

     保存退出。

      service named start  測試服務是否可啟動
      ss -tnl  確保監聽了外部地址  tcp  53端口
      ss -unl  udp  53

     此時已成為緩存名稱服務器了。


  再配置成正向的從服務器：
     vim /etc/named.rfc1912.zones

       zone "meer1.com" IN {    #注意這個名字要和主服務器保持一致
            type slave;
            masters { 192.168.1.129; };
            file "slaves/meer1.com.zone";  

       };


    rndc reload
    tail /var/log/messages  重載成功，傳送開始。
    cd /var/named/slaves/
    ls      出現了個meer1.com.zone文件，切記，不要編輯從服務器的文件，要編輯也是主服務器的。
    vim meer1.com.zone  可以看下語法著色...這個文件是從主服務器傳遞來的。

    $ORIGIN .
    $TTL 86400      ; 1 day
    meer1.com               IN SOA  ns1.meer1.com. admin.meer1.com. (
                                    2016091001 ; serial
                                    3600       ; refresh (1 hour)
                                    300        ; retry (5 minutes)
                                    259200     ; expire (3 days)
                                    86400      ; minimum (1 day)
                                    )
                            NS      ns1.meer1.com.
                            NS      ns2.meer1.com.
    $ORIGIN meer1.com.
    *                       A       192.168.1.127
    ns1                     A       192.168.1.127
    ns2                     A       192.168.1.128
    www                     A       192.168.1.128


    這個時候修改主服務器的配解析庫內容，從服務器會立即收到的。
    我們任何時候修改了解析庫，要手動將序列號+1 。
    #rndc reload  重載解析庫
    #tail /var/log/messages 序列號已改

    打開從服務器的解析庫文件，vim meer1.com.zone 增加的內容也已經有了。
    同步幾乎是實時的。取決于帶寬。