馬哥教育網絡第21期-第十一周課程練習

1、詳細描述一次加密通訊的過程，結合圖示最佳。

A和B進行通信
A發送數據：A使用單向加密算法獲得數據的特征碼，把特征碼附加到數據的尾部，A使用對稱加密算法對數據進行加密。A使用B發過來的公鑰對A的對稱加
密算法加密密鑰進行加密，附加到數據后面。
B接收方：B使用自己的私鑰對數據進行解密。得到A的對稱密鑰，對對稱密鑰解密獲得數據的特征碼，B使用單向加密算法獲得數據的特征碼，對A和B的特
征碼進行比較。

建立加密解密過程 
1.tcp連接：三次握手
2.ssl連接：服務器端發證書給客戶端，客戶端驗證服務器的證書ca解密，檢查證書的主題名稱是否一致，檢測證書的完整性（根據特征碼），檢查是否在
ca吊銷列表中，可信
3.雙放進行通信，協商找一個都支持的算法，確定ssl會話版本
4.客戶端生成一個對稱加密密鑰，用對方的公鑰加密，進行交換（服務器在特殊情況下驗證客戶端的證書如支付包轉賬，一般情況下響應任何客戶端的請求）
5.服務器端響應客戶端請求，使用一次性密鑰加密后發給客戶端。

2、描述創建私有CA的過程，以及為客戶端發來的證書請求進行辦法證書。

1.創建需要的文件
[root@node2 ~]# cd /etc/pki/CA/
[root@node2 CA]# touch index.txt
[root@node2 CA]# echo 01 > serial    //第一次創建CA時
2.創建自簽證書
[root@node2 CA]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048 )    //生成ca的私有密鑰
生成CA的自簽證書
[root@node2 CA]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 365 -out /etc/pki/CA/cacert.pem
3.簽署CA證書
在客戶端下
[root@node3 httpd]# (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)    //生成客戶端的私鑰文件
[root@node3 httpd]# openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr  //生成客戶端的證書
[root@node3 httpd]# scp httpd.csr root@192.168.1.118 /tmp
在CA主機中
[root@node2 CA]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365  //發證
[root@node2 CA]# scp /etc/pki/CA/certs/httpd.crt root@192.168.1.117:/etc/httpd/ssl  //復制到客戶端
[root@node3 httpd]# openssl x509 -in /etc/httpd/ssl/httpd.crt -noout -text

3、描述DNS查詢過程以及DNS服務器類別。

DNS: Domain Name Service，協議（C/S, 53/udp, 53/tcp）；應用層協議；

DNS數據庫的記錄：正解，反解，zone的意義
從主機名到ip的查詢流程稱為正解
從ip到主機名的查詢流程稱為反解
不管正解還是反解，每一個域的記錄就是一個區域

DNS的查詢過程，以www.baidu.com為例：
1.客戶端接收到用戶的請求時，首先查看自己的dns緩存是否有該請求的記錄，如果沒有則向.(root)查詢。
2.查詢到.時，客戶端會向.詢問是否知道該主機的主機名。.(root)不知道該主機的主機名，但是知道.com在那里于是告訴客戶端去那里尋找.com.
3.客戶端找到.com，.com告訴客戶端.baidu.com的地址?？蛻舳苏业?baidu.com，對客戶端說這臺主機是我管理的，它的ip是....
4.記錄緩存并回報用戶。
具體的查詢流程是這樣的


DNS服務器類別

DNS緩存服務器
DNS轉發服務器
DNS主服務器
DNS輔服務器

4、搭建一套DNS服務器，負責解析magedu.com域名（自行設定主機名及IP）
  (1)、能夠對一些主機名進行正向解析和逆向解析；
  (2)、對子域cdn.magedu.com進行子域授權，子域負責解析對應子域中的主機名；
  (3)、為了保證DNS服務系統的高可用性，請設計一套方案，并寫出詳細的實施過程
1.
[root@node2 /]# vim /etc/named.conf
options {
        listen-on port 53 { any; };
//        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
        recursion yes;

//      dnssec-enable yes;
//      dnssec-validation yes;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";

        managed-keys-directory "/var/named/dynamic";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
        type hint;
        file "named.ca";
};
[root@node2 /]# vim /etc/named.rfc1912.zones
zone "magedu.com" IN {
        type master;
        file "magedu.com.zone";
};
zone "1.168.192.in-addr.arpa" IN {
        type master;
        file "192.168.1.zone";
};
"/etc/named.rfc1912.zones" 51L, 1073C  

[root@node3 ~]# vim /etc/named.rfc1912.zones 
zone "magedu.com" IN {
        type slave;
        masters { 192.168.1.117; };
        file "slaves/magedu.com.zone";
};

zone "1.168.192.in-addr.arpa" IN {
        type slave;
        masters { 192.168.1.117; };
        file "slavers/192.168.1.zone";
};
 
[root@node2 /]# vim /var/named/magedu.com.zone 
$TTL 68400
$ORIGIN  magedu.com.
@       IN      SOA     ns1.magedu.com. admin.magedu.com. (
                        2016111401
                        1H
                        5M
                        7D
                        1D )
        IN      NS      ns1
        IN      NS      ns2
 cdn      IN      NS      ns1.cnd.magedu.com
ns1     IN      A       192.168.1.117
ns2     IN      A       192.168.1.116
ns1.cnd   IN      A       192.168.1.115
www     IN      A       192.168.1.117     
[root@node2 /]# vim /var/named/192.168.1.zone 
$TTL 86400
$ORIGIN 1.168.192.in-addr.arpa.
@       IN      SOA     ns1.mageu.com.  admin.magedu.com. (
                        2016111401
                        1H
                        5M
                        7D
                        1D )
        IN      NS      ns1.magedu.com.
        IN      NS      ns2.magedu.com.
117     IN      PTR     ns1.magedu.com.
116     IN      PTR     ns2.magedu.com.
117     IN      PTR     www.magedu.com.
~
[root@node2 /]# chown root.named /var/named/magedu.com.zone
[root@node2 /]# chown root.named /var/named/192.168.1.zone 
[root@node2 /]# named-checkconf 
[root@node2 /]# service named start
啟動 named：                                               [確定]
[root@node2 /]# ss -tnl
State       Recv-Q Send-Q                                   Local Address:Port                                     Peer Address:Port 
LISTEN      0      128                                                 :::111                                                :::*     
LISTEN      0      128                                                  *:111                                                 *:*     
LISTEN      0      128                                                 :::39217                                              :::*     
LISTEN      0      128                                                  *:45553                                               *:*     
LISTEN      0      3                                        192.168.1.117:53                                                  *:*     
LISTEN      0      3                                            127.0.0.1:53                                                  *:*     
LISTEN      0      128                                                 :::22                                                 :::*     
LISTEN      0      128                                                  *:22                                                  *:*     
LISTEN      0      128                                                ::1:953                                                :::*     
LISTEN      0      128                                          127.0.0.1:953    

[root@node2 named]# dig -t A www.magedu.com @192.168.1.117

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6_8.3 <<>> -t A www.magedu.com @192.168.1.117
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17996
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;www.magedu.com.			IN	A

;; ANSWER SECTION:
www.magedu.com.		68400	IN	A	192.168.1.117

;; AUTHORITY SECTION:
magedu.com.		68400	IN	NS	ns1.magedu.com.
magedu.com.		68400	IN	NS	ns2.magedu.com.

;; ADDITIONAL SECTION:
ns1.magedu.com.		68400	IN	A	192.168.1.117
ns2.magedu.com.		68400	IN	A	192.168.1.116

;; Query time: 0 msec
;; SERVER: 192.168.1.117#53(192.168.1.117)
;; WHEN: Tue Nov 15 05:38:11 2016
;; MSG SIZE  rcvd: 116

[root@node2 named]# dig -x 192.168.1.117 @192.168.1.117

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6_8.3 <<>> -x 192.168.1.117 @192.168.1.117
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25857
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;117.1.168.192.in-addr.arpa.	IN	PTR

;; ANSWER SECTION:
117.1.168.192.in-addr.arpa. 86400 IN	PTR	www.magedu.com.
117.1.168.192.in-addr.arpa. 86400 IN	PTR	ns1.magedu.com.

;; AUTHORITY SECTION:
1.168.192.in-addr.arpa.	86400	IN	NS	ns1.magedu.com.
1.168.192.in-addr.arpa.	86400	IN	NS	ns2.magedu.com.

;; ADDITIONAL SECTION:
ns1.magedu.com.		68400	IN	A	192.168.1.117
ns2.magedu.com.		68400	IN	A	192.168.1.116

;; Query time: 1 msec
;; SERVER: 192.168.1.117#53(192.168.1.117)
;; WHEN: Tue Nov 15 05:39:09 2016
;; MSG SIZE  rcvd: 154
                                                                 
將A主機配置為主DNS服務器。
將B主機配置為輔DNS服務器。
將C主機配置為DNS轉發服務器。
將D主機配置為緩存服務器。


以上