22期第十一周課堂練習

a295053193 ? ? Linux干貨

1、詳細描述一次加密通訊的過程,結合圖示最佳。

新建 Microsoft Visio 繪圖.jpg

發送方:BOB                                               
1.使用單向加密生成數據的特征碼
2.使用自己的私鑰加密特征碼,并附加在數據后面
3.使用對稱加密算法生成臨時會話密鑰加密特征碼和數據
4.使用Alice的公鑰加密臨時會話秘鑰,并附加是數據上

接收方:Alice
1.使用自己的私鑰獲取臨時會話密鑰
2.使用臨時會話密鑰獲取特征碼和數據
3.使用BOB的公鑰解密特征碼
4.使用單向加密生產數據的特征碼
5.將特征碼與第三步獲得的特征進行對比,如果一樣則證明數據是完整的

2、描述創建私有CA的過程,以及為客戶端發來的證書請求進行辦法證書。

(1)創建私有CA過程:

	
	步驟:					
	(1) 生成私鑰;						
	~]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)					
	(2) 生成自簽證書;						
	~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655							
	-new:生成新證書簽署請求;							
	-x509:生成自簽格式證書,專用于創建私有CA時;							
	-key:生成請求時用到的私有文件路徑;							
	-out:生成的請求文件路徑;如果自簽操作將直接生成簽署過的證書;							
	-days:證書的有效時長,單位是day;					
	(3) 為CA提供所需的目錄及文件;						
	~]# mkdir  -pv  /etc/pki/CA/{certs,crl,newcerts}						
	~]# touch  /etc/pki/CA/{serial,index.txt}						
	~]# echo  01 > /etc/pki/CA/serial

  (2)客戶端證書請求

								
	步驟:(以httpd為例)					
	(1) 用到證書的主機生成私鑰;						
	~]# mkdir  /etc/httpd/ssl 						
	~]# cd  /etc/httpd/ssl						
	~]# (umask  077; openssl  genrsa -out  /etc/httpd/ssl/httpd.key  2048)					
	(2) 生成證書簽署請求						
	~]# openssl  req  -new  -key  /etc/httpd/ssl/httpd.key  -out /etc/httpd/ssl/httpd.csr  -days  365					
	(3) 將請求通過可靠方式發送給CA主機;										
	(4) 在CA主機上簽署證書;						
	~]# openssl ca  -in  /tmp/httpd.csr  -out  /etc/pki/CA/certs/httpd.crt  -days  365												
	查看證書中的信息:							
	~]# openssl  x509  -in /etc/pki/CA/certs/httpd.crt  -noout  -serial  -subject

3、描述DNS查詢過程以及DNS服務器類別。

一次完整的查詢請求經過的流程:			
Client --> hosts文件 --> DNS Local Cache --> DNS  Server (recursion) --> 
自己負責解析的域:直接查詢數據庫并返回答案;
不是自己負責解析域:Server Cache --> iteration(迭代)

DNS服務器類別:
   1.主域名服務器:負責維護這個區域的所有域名信息,是特定的所有信息的權威信息源
   
   2.輔助域名服務器:當主域名服務器出現故障、關閉或負載過重時,輔助域名服務器作為備份服務提供域名
   解析服務。輔助域名服務器中的區域文件內的數據是從另外一臺域名服務器復制過來的,并不是直接輸入
   的,也就是說這個區域文件只是一份副本,這里的數據是無法修改的。
   
   3.緩存服務器:可運行域名服務器軟件但沒有域名數據庫。它從某個遠程服務器取得每次域名服務器查詢的回答,
   一旦獲取一個答案,就將它放在高速緩存中,以后查詢相同的信息時就用它予以回答。緩存域名服務器不是權
   威性服務器,因為提供的所有信息都是間接信息。
   
   4.轉發服務器:負責所有非本地域名的本地查詢。轉發域名服務器接到查詢請求時,在其緩存中查找,如找
   不到就把請求依次轉發到指定的域名服務器,直到查詢到結果為止,否則返回無法映射的結果。

4、搭建一套DNS服務器,負責解析magedu.com域名(自行設定主機名及IP)
    (1)、能夠對一些主機名進行正向解析和逆向解析;
    (2)、對子域cdn.magedu.com進行子域授權,子域負責解析對應子域中的主機名;

    (3)、為了保證DNS服務系統的高可用性,請設計一套方案,并寫出詳細的實施過程

     環境拓撲圖:

    blob.png

       
(1)配置正向與反向解析
     1.安裝bind包
       [root@localhost ~]# rpm -q bind
       bind-9.8.2-0.17.rc1.el6_4.6.x86_64
       
     2.修改主配置文件/etc/named.conf
     options {
        listen-on port 53 { 127.0.0.1;192.168.180.130; };//添加監聽IP地址
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; }; //關閉只運行本地查詢
        recursion yes;

        //dnssec-enable yes;
        //dnssec-validation yes;
        //dnssec-lookaside auto;

        /* Path to ISC DLV key */           //關閉dns安全設置
        /*bindkeys-file "/etc/named.iscdlv.key";
     3.修改主配置文件/etc/named.rfc1912.zones ,增加以下幾行
       zone "magedu.com" IN {
       type master;
       file "magedu.zone";
       };  //正向區域聲明

      zone "180.168.192.in-addr.arpa" IN  {
       type master;
      file "192.168.180.zone";
      };   //反向區域聲明
      4.創建正向查找區域文件
  [root@localhost ~]# vim /var/named/lgrg.zone 
  $TTL 3600
  $ORIGIN magedu.com.com.
  @    IN  SOA  ns1.magedu.com.   dnsadmin.magedu.com. (
                              2016112301
                              1H
                              10M
                              3D
                              1D )
      IN  NS      ns1
      IN  MX    10 mx1
ns1   IN   A   192.168.180.130
ns2      IN      A      192.168.180.131
mx1    IN   A   192.168.180.132
        5.創建反向查找區域文件
[root@localhost named]# vim 192.168.180.zone            
       $TTL 3600
$ORIGIN  180.168.192.in-addr.arpa.
@            IN   SOA  n1.magedu.com.   nsadmin.magedu.com. (
             2016112510
             1H
             10M
             3D
             12H
)

        IN   NS   ns1.magedu.com.
130     IN   PTR  ns1.magedu.com.
131     IN   PTR  ns2.magedu.com.
132     IN   PTR  mx1.magedu.com.
                  6.修改區域文件的屬組與權限
 [root@localhost named]# chgrp named /var/named/magedu.zone 
[root@localhost named]# chmod o= /var/named/magedu.zone 
[root@localhost named]# chgrp named /var/named/192.168.180.zone 
[root@localhost named]# chmod o= /var/named/192.168.180.zone                  

         7.檢查主配置文件和區域配置文件
[root@localhost named]# named-checkconf 
[root@localhost named]# named-checkzone magedu.com /var/named/magedu.zone 
zone magedu.com/IN: loaded serial 2016112301 
[root@localhost named]# named-checkzone 180.168.192.in-addr.arpa /var/named/192.168.180.zone 
zone 180.168.192.in-addr.arpa/IN: loaded serial 2016112510
OK
         8.啟動named服務
  [root@localhost named]# service named start
Starting named:                                            [  OK  ]
         9.查看dns運行狀態
 [root@localhost named]# rndc status
version: 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6
CPUs found: 1
worker threads: 1
number of zones: 21
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
recursive clients: 0/0/1000
tcp clients: 0/100
server is up and running   
         10.測試解析
             正向解析測試:
[root@localhost named]# dig -t A ns1.magedu.com @192.168.180.130

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> -t A ns1.magedu.com @192.168.180.130
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56056
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;ns1.magedu.com.			IN	A

;; ANSWER SECTION:
ns1.magedu.com.		3600	IN	A	192.168.180.130

;; AUTHORITY SECTION:
magedu.com.		3600	IN	NS	ns1.magedu.com.

;; Query time: 0 msec
;; SERVER: 192.168.180.130#53(192.168.180.130)
;; WHEN: Fri Dec  2 00:06:11 2016
;; MSG SIZE  rcvd: 62  
           
             反向解析測試:
 [root@localhost named]# dig -x 192.168.180.131 @192.168.180.130

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> -x 192.168.180.131 @192.168.180.130
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59233
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;131.180.168.192.in-addr.arpa.	IN	PTR

;; ANSWER SECTION:
131.180.168.192.in-addr.arpa. 3600 IN	PTR	ns2.magedu.com.

;; AUTHORITY SECTION:
180.168.192.in-addr.arpa. 3600	IN	NS	ns1.magedu.com.

;; ADDITIONAL SECTION:
ns1.magedu.com.		3600	IN	A	192.168.180.130

;; Query time: 0 msec
;; SERVER: 192.168.180.130#53(192.168.180.130)
;; WHEN: Fri Dec  2 00:06

 (2)、對子域cdn.magedu.com進行子域授權,子域負責解析對應子域中的主機名;

    在192.168.180.130上
  1.修改主域服務器的正向區域文件與反向區域文件
[root@localhost named]# vim  /var/named/magedu.zone       
$TTL 3600
$ORIGIN magedu.com.
@    IN  SOA  ns1.magedu.com.   dnsadmin.magedu.com. (
                              2016112301
                              1H
                              10M
                              3D
                              1D )
      IN  NS      ns1
      IN  NS      ns1.cdn
      IN  MX    10 mx1
ns1   IN   A   192.168.180.130
ns2   IN   A   192.168.180.131
mx1   IN   A   192.168.180.132
ns1.cdn IN A   192.168.180.131


[root@localhost named]# vim  /var/named/192.168.180.zone   
$TTL 3600
$ORIGIN  180.168.192.in-addr.arpa.
@            IN   SOA  n1.magedu.com.   nsadmin.magedu.com. (
             2016112510
             1H
             10M
             3D
             12H
)

        IN   NS   ns1.magedu.com.
        IN   NS   ns1.cdn.magedu.com.
130     IN   PTR  ns1.magedu.com.
131     IN   PTR  ns2.magedu.com.
132     IN   PTR  mx1.magedu.com.
131     IN   PTR  ns1.cdn.magedu.com.  
  
    
    在192.168.180.131上
    1.修改/etc/named.rfc1912.zones文件,增加以下幾行
[root@localhost named]# vim /etc/named.rfc1912.zones
zone "cdn.magedu.com" IN {
       type master;
        file "cdn.magedu.com.zone";
};
         

    2.修改/etc/named.conf
       
options {
        listen-on port 53 { 127.0.0.1; 192.168.180.131; };
        listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        //allow-query     { localhost; };
        recursion yes;

        //dnssec-enable yes;
        //dnssec-validation yes;
        //dnssec-lookaside auto;

        /* Path to ISC DLV key */
        bindkeys-file "/etc/named.iscdlv.key";          

         2.創建子域的正向區域文件,并修改權限與屬組
[root@localhost ~]# vim /var/named/cdn.magedu.com.zone         
   $TTL 3600
@    IN  SOA  ns1.cdn.magedu.com.   dnsadmin.cdn.magedu.com. (
                              2016112301
                              1H
                              10M
                              3D
                              1D )
      IN  NS      ns1.cdn.magedu.com.
      IN  NS      ns1.cdn.magedu.com.
ns1.cdn.magedu.com.   IN   A   192.168.180.131
test.cdn.magedu.com.  IN   A   192.168.180.134      

[root@localhost ~]# chgrp named /var/named/cdn.magedu.com.zone 
[root@localhost ~]# chmod o= /var/named/cdn.magedu.com.zone 
    
    4.重啟named服務
[root@localhost ~]# service named restart
Stopping named:                                            [  OK  ]
Starting named:                                            [  OK  ]    
     5.測試解析
 [root@localhost ~]# dig -t A test.cdn.magedu.com @192.168.180.131

; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> -t A test.cdn.magedu.com @192.168.180.131
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50134
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1

;; QUESTION SECTION:
;test.cdn.magedu.com.		IN	A

;; ANSWER SECTION:
test.cdn.magedu.com.	3600	IN	A	192.168.180.134

;; AUTHORITY SECTION:
cdn.magedu.com.		3600	IN	NS	ns1.cdn.magedu.com.

;; ADDITIONAL SECTION:
ns1.cdn.magedu.com.	3600	IN	A	192.168.180.131

;; Query time: 0 msec
;; SERVER: 192.168.180.131#53(192.168.180.131)
;; WHEN: Fri Dec  2 16:54:49 2016
;; MSG SIZE  rcvd: 8

(3)、為了保證DNS服務系統的高可用性,請設計一套方案,并寫出詳細的實施過程

方案:如拓撲圖所示
 1.在192.168.180.130上,修改主配置文件/etc/named.rfc1912.zones
 zone "cdn.magedu.com" IN {
      type slave;
      file "slaves/cdn.magedu.com.zone";
      masters { 192.168.180.131; };
};
 2.重新裝載DNS配置文件
 [root@localhost slaves]# rndc reload
server reload successful
 
 3.在192.168.180.131上。修改主配置文件/etc/named.rfc1912.zones
 zone "cdn.magedu.com" IN {
  type master;
  file "cdn.magedu.com.zone";
};

zone "magedu.com"  IN {
    type slave;
    file "slaves/magedu.com.zone";
    masters { 192.168.180.130; };
};

zone "180.168.192.in-addr.arpa" IN {
     type slave;
     file "slaves/192.168.180.zone";
     masters { 192.168.180.130; };
};
4.測試解析,192.168.180.130能夠解析子域的記錄,192.168.180.131能夠解析主域的記錄
[root@localhost slaves]# dig -t A test.cdn.magedu.com @192.168.180.130
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> -t A test.cdn.magedu.com @192.168.180.130
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11901
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; QUESTION SECTION:
;test.cdn.magedu.com.INA
;; ANSWER SECTION:
test.cdn.magedu.com.3600INA192.168.180.134
;; AUTHORITY SECTION:
cdn.magedu.com.3600INNSns1.cdn.magedu.com.
;; ADDITIONAL SECTION:
ns1.cdn.magedu.com.3600INA192.168.180.131
;; Query time: 0 msec
;; SERVER: 192.168.180.130#53(192.168.180.130)
;; WHEN: Mon Dec  5 00:42:08 2016
;; MSG SIZE  rcvd: 87
[root@localhost slaves]# dig -t A ns2.magedu.com @192.168.180.131
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6_4.6 <<>> -t A ns2.magedu.com @192.168.180.131
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33791
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;ns2.magedu.com.INA
;; ANSWER SECTION:
ns2.magedu.com.3600INA192.168.180.131
;; AUTHORITY SECTION:
magedu.com.3600INNSns1.magedu.com.
magedu.com.3600INNSns1.cdn.magedu.com.
;; ADDITIONAL SECTION:
ns1.magedu.com.3600INA192.168.180.130
ns1.cdn.magedu.com.3600INA192.168.180.131
;; Query time: 1 msec
;; SERVER: 192.168.180.131#53(192.168.180.131)
;; WHEN: Mon Dec  5 16:49:54 2016
;; MSG SIZE  rcvd: 120

原創文章,作者:a295053193,如若轉載,請注明出處:http://www.www58058.com/54577

(0)
a295053193a295053193
上一篇 2016-12-12 10:50
下一篇 2016-12-12 10:59

相關推薦

  • 馬哥教育網絡班21期+第9周課程練習

    1、寫一個腳本,判斷當前系統上所有用戶的shell是否為可登錄shell(即用戶的shell不是/sbin/nologin);分別這兩類用戶的個數;通過字符串比較來實現; #!/bin/bash     #     nolog=`awk -F: '$…

    Linux干貨 2016-09-19

  • vim常用小結

    移動光標類命令h :光標左移一個字符l :光標右移一個字符space:光標右移一個字符Backspace:光標左移一個字符k或Ctrl+p:光標上移一行j或Ctrl+n :光標下移一行Enter :光標下移一行w或W :光標右移一個字至字首b或B :光標左移一個字至字首e或E :光標右移一個字至字尾) :光標移至句尾( :光標移至句首}:光標移至段落最后一個…

    Linux干貨 2017-04-11

  • yum詳解及源碼包的編譯安裝

    yum的功能:     在我們使用rpm包安裝程序時,各個程序包之間可能存在非常嚴重的依賴關系,這就導致我們在安裝一個包的同時還需要安裝其他存在依賴關系的包,因此我們可以使用rpm包的前端管理工具yum,可通過yum所支持的文件共享機制來解決各個rpm包之間的依賴關系。 yum倉庫的配置文件:   …

    Linux干貨 2016-08-25

  • 高可用+LVS-NAT

    關鍵:floating VIP 要以組為單位同時切換 實驗1: 主備VRRP 切換實驗 預期: 設定配置文件: A主機 (172.18.48.61) vrrp_sync_group VG1 { group { outside_network inside_network } } vrrp_instance outside_network { state MA…

    2017-05-14

  • KeepAlived高可用集群詳解及拓撲實驗搭建配置

    Linux Cluster:KeepAlive 1.集群類型:LB(負載均衡集群),HA(高可用集群),HP(高性能集群)     LB:均衡負載的實現LVS     HA:高可用的實現KeepAlived 2.RS:健康狀態檢測方式: (1)網絡層:icmp ping (2)傳…

    Linux干貨 2016-11-01

  • 初識Linux基礎

    一:計算機的組成及其基本功能 計算機主要由五大基礎部件組成:控制器,運算器,存儲器,輸入設備,輸出設備. 控制器:計算機的核心組件,協調各程序的運行,對計算機的各項資源進行控制分配; 運算器:計算機實現算術運算以及邏輯運算的部件; 存儲器:計算機用來存放數據和程序的基本部件。 存儲器由若干存儲單元組成,每個存儲單元都有一個地址,計算機通過地址對存儲單元進行讀…

    Linux干貨 2018-03-04
欧美性久久久久