馬哥教育網絡班21期+第11周課程練習

1、詳細描述一次加密通訊的過程，結合圖示最佳。

首先發送方用單向加密的方法提取數據的特征碼，用自己的私鑰加密這段特征碼，并附加到數據的后面。
發送方用對稱加密算法把數據及特征碼整個進行加密。
發送方用接收發的公鑰加密對稱密鑰并附加到數據后面。

接收方用私鑰解密對稱密鑰。
接收方用對稱密鑰解密出數據及加密的特征碼。
接收方用發送方的公鑰解密特征碼，并用相同的算法算出數據的特征碼，比較兩個特征碼是否一致。

2、描述創建私有CA的過程，以及為客戶端發來的證書請求進行辦法證書。

（1） 進入/etc/pki/CA 目錄
     創建index.txt文件，touch index.txt。
     echo 01 > serial，使序列從01開始。
（2）對CA進行自簽證書
     先生成私鑰文件
     (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
     生成CA的自簽證書
     openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem
（3）發證
     用到證書的主機生成證書請求
     在客戶端主機的/etc/httpd/ssl目錄下生成私鑰文件
     (umask 077; openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)
     生成證書簽署請求
     openssl req -new -key /etc/httpd/ssl/httpd.key -days 365 -out /etc/httpd/ssl/httpd.csr
     客戶端把請求文件傳輸給服務器CA
     CA簽署證書，并將證書發還給客戶端
     openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

3、描述DNS查詢過程以及DNS服務器類別。

客戶機先在本地的hosts文件中判斷是否能對要訪問的主機名稱進行解析，如果能夠解析，則直接使用本地hosts文件對應的ip地址對目標主機進行訪問。如果不能解析，則把請求發送到設定的DNS服務器，由DNS服務器來解析。如果DNS能夠解析并返回給客戶機，則這次解析完成。這次查詢稱為遞歸查詢。若DNS服務器不能解析，需要向其他DNS服務器進行查詢并返回結果，再把結果返回給客戶機。DNS服務器之間的查詢稱為迭代查詢。

DNS服務器的類型：

主DNS服務器：維護所負責解析的域內解析庫服務器；解析庫由管理維護；
從DNS服務器：從主DNS服務器或其它的從DNS服務器那里“復制”（區域傳遞）一份解析庫；

4、搭建一套DNS服務器，負責解析magedu.com域名（自行設定主機名及IP）

(1)、能夠對一些主機名進行正向解析和逆向解析；

(2)、對子域cdn.magedu.com進行子域授權，子域負責解析對應子域中的主機名；
(3)、為了保證DNS服務系統的高可用性，請設計一套方案，并寫出詳細的實施過程

安裝bind  yum install -y bind

備份配置文件 cp /etc/named.conf{,.bak}
修改配置文件 vim /etc/named.conf 
監聽外部地址，關閉dnssec
options {
    listen-on port 53 { 192.168.194.128; 127.0.0.1; };
    // listen-on-v6 port 53 { ::1; };
    directory       "/var/named";
    dump-file       "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
    memstatistics-file "/var/named/data/named_mem_stats.txt";
    allow-query     { any; };
    recursion yes;
    // dnssec-enable yes;
    // dnssec-validation yes;
    //  dnssec-lookaside auto;
    /* Path to ISC DLV key */
    bindkeys-file "/etc/named.iscdlv.key";
    managed-keys-directory "/var/named/dynamic";
    };
啟動服務  service named start
配置主DNS名稱服務器，正向解析
配置 /etc/named.rfc1912.zones
定義區域名稱
zone "magedu.com" IN {
    type master;
    file "magedu.com.zone"
    }
    
定義區域庫文件
進入 /var/named
編輯 magedu.com.zone
$TTL 86400  @       IN      SOA     ns1.magedu.com. admin.magedu.com (
                    2016091801
                    1H
                    5M
                    1W
                    1D )
      IN      NS      ns1.magedu.com.
      ns1     IN      A       192.168.194.128
配置主DNS名稱服務器，反向解析
定義區域名稱
194.168.192.in-addr.arpa.
zone "194.168.192.in-addr-arpa" IN {
    type master;
    file "192.168.194.zone";
    }
定義區域庫文件
進入 /var/named
編輯 192.168.194.zone
$TTL 86400    $ORIGIN 194.168.192.in-addr.arpa.
@       IN      SOA     ns1.magedu.com. admin.magedu.com. (
                    2016091801
                    1H
                    5M
                    1W
                    1D )
    IN      NS      ns1.magedu.com.
    128     IN      PTR     ns1.magedu.com.
配置從DNS 服務器 
安裝bind  yum install -y bind

備份配置文件 cp /etc/named.conf{,.bak}
修改配置文件 vim /etc/named.conf 
監聽外部地址，關閉dnssec
options {
    listen-on port 53 { 192.168.194.129; 127.0.0.1; };
    //      listen-on-v6 port 53 { ::1; };
    directory       "/var/named";
    dump-file       "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
    memstatistics-file "/var/named/data/named_mem_stats.txt";
    allow-query     { any; };
    recursion yes;
    //      dnssec-enable yes;
    //      dnssec-validation yes;
    //      dnssec-lookaside auto;

    /* Path to ISC DLV key */
    bindkeys-file "/etc/named.iscdlv.key";

    managed-keys-directory "/var/named/dynamic";
    };
啟動服務  service named start
配置 /etc/named.rfc1912.zones
定義區域名稱
zone "magedu.com" IN {
    type master;
    file "magedu.com.zone"
    }
執行命令同步 rndc reload