馬哥教育網絡班21期+第11周課程練習

1、請描述一次完整的加密通訊過程，結合圖示最佳。

Bob先利用單向加密算法提取當前數據的指紋(特征碼)，再用自己的私鑰加密數據指紋并附加于數據尾部，然后利用對稱加密將整個文件加密，之后用對方的公鑰加密對稱加密密鑰附加于尾部。

Alice收到數據后，先用自己的私鑰解密，得到對稱加密密鑰，之后用對稱加密密鑰解密，然后用Bob的公鑰解密得到數據指紋，并且驗證了Bob的身份，最后Alice使用相同的單向加密算法得到數據指紋并進行驗證。

2、描述創建私有CA的過程，以及為客戶端發來的證書請求進行辦法證書。

準備階段

[root@node1 ~]# cd /etc/pki/CA
[root@node1 CA]# touch index.txt
[root@node1 CA]# echo 01 > serial

CA自簽證書

[root@node1 CA]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
[root@node1 CA]# openssl req -new -x509 -key ./private/cakey.pem -days 365 -out ./cacert.pem

發證：

[root@node2 ~]# (umask 077; openssl genrsa -out ./test.key 2048)
[root@node2 ~]# openssl req -new -key ./test.key -days 365 -out ./test.csr
[root@node2 ~]# scp ./test.csr root@192.168.80.2:~/
[root@node1 CA]# openssl ca -in ~/test.csr -out ./certs/test.crt -days 365

3、描述DNS查詢過程以及DNS服務器類別。

• 一次完整的dns查詢過程，以解析www.magedu.com為例：

• DNS查詢類型：對于一次dns查詢來說，一般分為兩段，首段是遞歸，然后是迭代。對于客戶端來說發出的請求一般都是遞歸請求，而對于互聯網上的dns服務器來說，發出的請求一般都是迭代請求。

• 遞歸查詢：只發出一次查詢請求就一定能得到最終解析結果；

• 迭代查詢：得到最終解析結果需多次發起查詢請求。

• DNS服務器類型：

• 主dns服務器：維護所負責解析的域內解析庫服務器，解析庫由管理員維護；

• 從dns服務器：從主dns服務器或其他從dns服務器傳送一份解析庫文件；

• 緩存dns服務器：不存在任何zone配置文件，僅僅依靠緩存來為客戶端提供服務；

• 轉發器：當請求的dns解析記錄不在當前解析區域時，轉發器將負責轉發進行迭代查詢。

4、搭建一套DNS服務器，負責解析magedu.com域名(自行設定主機名及IP地址)

(1)、能夠對一些主機名進行正向解析和逆向解析；

(2)、對子域cdn.magedu.com進行子域授權，子域負責解析對應子域中的主機名；

(3)、為了保證DNS服務系統的高可用性，設計一套方案，寫出詳細的實施過程。

準備條件

域名：magedu.com
主機：
    node1:192.168.90.2 /centos6.4
    node2:192.168.90.3 /centos7.1
    node3:192.168.90.4 /centos7.1
主dns服務器(正向、反向)：node1
從dns服務器(正向、反向)：node2
程序包：
    bind：主程序包，提供dns服務
    bind-libs：提供dns協議庫文件
    bind-utils：提供相關管理工具

配置主dns服務器(正向)

# vim /etc/named.rfc1912.zones
    zone "magedu.com" IN {
            type master;
            file "/var/named/magedu.zone";
    };
# vim /var/named/magedu.zone
    $TTL 86400
    $ORIGIN magedu.com //當前區域名字
    @       IN      SOA      node1.magedu.com.  admin.magedu.com.    (
                             2016090301
                             2H
                             10M
                             1W
                             1D )
             IN      NS      node1
             IN      NS      node2 //指明從dns服務器

    node1    IN      A       192.168.90.2
    node2    IN      A       192.168.90.3
    node3    IN      A       192.168.90.4

注意：編輯配置文件后要修改文件的權限、屬主和屬組
# chmod 640 /var/named/magedu.zone
# chown :named /var/named/magedu.zone

# named-checkconf //檢查主配置文件
# named-checkzone "magedu.com" /var/named/magedu.zone //檢查區域配置文件
# dig -t A node2.magedu.com @192.168.90.2
# service named reload 
# rndc reload          //通知named進程重讀解析庫文件
# rndc status //查看dns服務狀態

給各節點配置該dns服務器

# vim /etc/sysconfig/network-scripts/ifcfg-IFACE
    DNS1=192.168.90.2
# vim /etc/resolv.conf
    nameserver  192.168.90.2

配置主DNS服務器(反向)

# vim /etc/named.rfc1912.zones
    zone "90.168.192.in-addr.arpa." IN {
        type master;
        file "192.168.90.zone";
    };
# vim /var/named/192.168.90.zone
    $TTL 86400
    $ORIGIN 90.168.192.in-addr.arpa.
    @       IN      SOA     node1.magedu.com.  admin.magedu.com. (
                    2016090301
                    2H
                    10M
                    1W
                    1D )
            IN      NS      node1.magedu.com.
            IN      NS      node2.magedu.com.
    2       IN      PTR     node1.magedu.com.
    3       IN      PTR     node2.magedu.com.
    4       IN      PTR     node3.magedu.com.
# chmod 640 /var/named/192.168.90.zone
# chown :named /var/named/192.168.90.zone
# named-checkconf
# named-checkzone "90.168.192.in-addr.arpa" /var/named/192.168.90.zone
# service named reload
# host -t ptr 192.168.90.3 192.168.90.2

配置從dns服務器(正向)：必須在主dns服務器的區域配置文件中指明從服務器

# yum install -y bind
# vim /etc/named.conf
    listen-on port 53 {192.168.90.3; 127.0.0.1; };
     allow-query     { any; };
# systemctl start named.service
# ss -ulnp
# vim /etc/named.rfc1912.zones
    zone "magedu.com" IN {
            type slave;
            masters { 192.168.90.2; };
            file "slaves/magedu.com.zone";
    };
# rndc reload
# tail /var/log/message //查看傳送日志

配置從dns服務器(反向)：

# vim /etc/named.rfc1912.zones 
    zone "90.168.192.in-addr.arpa" IN {
            type slave;
            masters { 192.168.90.2; };
            file "slaves/192.168.90.zone";
    };
# rndc reload

對cdn.magedu.com進行子域授權

# vim /var/named/magedu.zone//追加以下內容
cdn   IN    NS    ns.cdn
ns.cdn     IN    A   192.168.90.4
隨后在新服務器按照以上步驟配置子域。

實現dns服務系統的高可用性

1、按照上述配置從服務器的步驟為主服務器配置從服務器
2、通過限制IP與使用key認證的方法實現對區域傳送的控制