N22-第十一周作業

第十一周作業

1、詳細描述一次加密通訊的過程，結合圖示最佳

(1)為了做到數據的安全，應該同時滿足

保密性

完整性

可用性

(2)假設A,B通信，A是客戶機，B是服務器

a、客戶端向服務器端發送自己支持的加密方式，并且向服務器端請求其CA頒發給的證書

b、服務器選擇共同支持的加密方式并發送自己的證書；

c、客戶端收到其證書，并驗證證書，證書必須同時滿足以下條件

驗證證書的來源合法性，使用CA的公鑰解密證書的數字簽名，機密算法使用公鑰加密

驗證證書內容的合法性，完整性驗證，使用單項加密

檢查證書的有效期

檢查證書是否被吊銷

證書的名稱是否與擁有者相同

d、客戶端生成臨時會話密鑰(對稱密鑰)，并使用服務器端的公鑰加密此數據發送給服務器，完成密鑰交換

e、服務器使用此密鑰加密用戶請求的資源，響應給客戶端

f、數據加密解密全過程

加密過程

服務器計算要加密的數據的特征碼，附加在數據的后面，使用單向加密算法

服務器使用自己的私鑰加密數據的特征碼，完成數字簽名，使用公鑰加密

服務器使用一個臨時對稱加密算法加密數據；

服務器使用客戶端的公鑰加密數據并發送給客戶端

解密過程

客戶端接受數據，并使用自己的私鑰解密數據，完成密鑰交換

客戶端使用對稱密鑰解密數據，數據加密

客戶端使用服務器端的公鑰解密數據，完成身份驗證

客戶端使用單向機密算法計算數據的特征碼，數據的完整性

(3)通訊過程中使用到的算法

對稱加密：DES,3DES,AES 

單項加密：DM5，sha1

公鑰加密：RSA,DSA,ELGamal

2、描述創建私有CA的過程，以及為客戶端發來的證書請求進行頒發證書。

證書頒發

(1)創建一個私有CA

(2)CA端生成自己的證書

(3)服務器端生成證書簽署請求

(4)CA簽署證書

(5)簽署完成發送給服務器端

私建CA

# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365

# touch /etc/pki/CA/{serial,index.txt}
# echo 01>serial

服務器端生成證書請求

# (umask 077;openssl genrsa -out /tmp/client/http.key 4096)
# openssl req -new -key /tmp/client/http.key -out /tmp/client/http.csr -days 365
# scp /tmp/client/http.csr 192.168.1.200:/tmp

CA簽署請求

# openssl ca -in /tmp/http.csr -out /etc/pki/CA/certs/http.crt -days 365

3、描述DNS查詢過程以及DNS服務器類別。

查詢過程

DNS客戶端首先向自己本地的DNS服務器發出解析請求，如果緩存命中直接返回，緩存未命中，DNS服務器去查詢解析庫，返回客戶端

如果本地DNS服務器不能提供解析那么有以下兩種方式去解析

遞歸查詢：由局部DNS服務器自己負責向其他DNS服務器進行查詢，一般是先向該域的根域服務器進行查詢，再由根域名服務器一級級向下查詢。最后，將得到的查詢結果返回結局部DNS服務器，再由局部DNS服務器返回給客戶端。

迭代查詢：局部DNS服務器不是自己向其他DNS服務器進行查詢，而是把能解析該域名的其他DNS服務器的IP地址返回給客戶端DNS程序，客戶端DNS程序再繼續向這些DNS服務器發出查詢請求，直到得到查詢結果為止。

DNS服務器類別

主域名服務器：主要提供域名解析，存儲解析庫中正本數據，系統管理員可以對其修改

輔助域名服務器：當主域名服務器出現故障、關閉或負載過重時，輔助服務器作為備份DNS服務器進行域名解析服務，存的解析庫是副本，不能修改

緩存域名服務器：儲存的主要是緩存DNS部分記錄，不是權威答案

轉發域名服務器：負責所有非本地DNS服務器的轉發。

4、創建一套DNS服務器，負責解析magedu.com域名(自行設定主機名及IP)

(1)、能夠對一些主機名進行正向解析和逆向解析；

(2)、對子域cdn.magedu.com進行子域授權，子域負責解析對應子域中的主機名；

(3)、為了保證DNS服務系統的高可用性，請設計一套方案，并寫出詳細的實施過程。

(1)

安裝程序包

# yum install bind bind-utils bind-libs -y

為了方便測試，我們做對配置文件做以下修改

# vim /etc/named.conf
dnssec-enable no;
dnssec-validation no;
listen-on port 53 { 127.0.0.1; 192.168.1.49; };
#allow-query {localhost}
# vim /etc/named.rfc1912.zones
zone "magedu.com" IN {
type master;
file "magedu.com.zone";
};
zone "1.168.192.in-addr.arpa" IN {
type master;
file "1.168.192.zone";
};
# vim /var/named/magedu.com.zone 
$TTL 3600
$ORIGIN magedu.com.
@       IN      SOA     ns1.magedu.com. admin.magedu.com. (
2016120601
2H
1H
2D
1D )
IN      NS      ns1.magedu.com.
IN      NS      ns2.magedu.com.
ns1     IN      A       192.168.1.1
ns2     IN      A       192.168.1.2
www     IN      A       192.168.1.1
mail    IN      A       192.168.1.4
web     IN      CNAME   www
# vim /var/named/1.168.192.zone 
$TTL 3600
$ORIGIN 1.168.192.in-addr.arpa.
@       IN      SOA     ns1.magedu.com. admin.magedu.com. (
2016120601
1H
10M
3D
12H )
IN      NS      ns1.magedu.com.
1       IN      PTR     mx1.magedu.com.

修改這兩個zone的屬組和權限

# chown :named magedu.com.zone 

# chmod o-r 1.168.192.in-addr.arpa

修改服務器指向的nameserver

# vim /etc/resolv.conf

nameserver 192.168.1.1         #這里指向的是本機地址

重載配置文件

# rndc reload 

測試

# ping www.magedu.com 

# dig -t A www.magedu.com

# dig -t NS magedu.com

# dig -x 192.168.1.1

(2) 提供另外一臺服務器作為子域服務器

# yum install bind bind-libs bind-utils -y

# vim /etc/named.conf

dnssec-enable no;

dnssec-validation no;

listen-on port 53 { 127.0.0.1; 192.168.1.50; };

#allow-query {localhost}

# vim /etc/named.rfc1912.conf

zone "cdn.magedu.com" IN {

type master;

file "cdn.magedu.com.zone"

};

# vim /var/named/cdn.magedu.com.zone

$TTL 3600

$ORIGIN cdn.magedu.com.

@ IN SOA ns1.cdn.magedu.com. snadmin.cdn.magedu.com. (

201789900

1H

10M

1D

2H )

IN NS ns1

ns1 IN A 192.168.1.100        #這里自己的地址即可

www IN A 192.168.1.100

# chown :named /var/named/cdn.magedu.com.zone 

# chmod o-r /var/named/cdn.magedu.com.zone

在父域上添加以下幾行。

# vim /var/named/magedu.com

加上如下兩行

ops IN NS ns1

ns1 IN A 192.168.1.100   # 這里的地址一定要是負責子域DNS的地址

測試 

# dig -t NS cdn.magedu.com

# did -t A www.cdn.magedu.com 

(3)方案是配置一套主從服務器

配置兩個DNS服務器，實現服務器的主從，在從服務器上執行以下操作

# vim /etc/named.rfc1912.zones

zone “magedu.com" IN {

type slave；

file “slave/magedu.zone";      #配置文件放在slave中主要是為了安全起見，只讓它修改這個目錄，防止其他目錄主的被修改。

masters { 192.168.1.49;};      #這里指定的IP是主服務器的IP地址

};

# rndc reload

在主服務器上執行以下操作

# vim /var/named/magedu.com.zone

添加以下兩行

@ IN NS ns1

ns1 IN A 192.168.1.100

注意：在修改主DNS服務器的時候，如果配置文件改變，那么序列號應該做相應的改變。這樣才能實現備DNS服務器能夠從端復制

# rndc reload

為了安全起見，我們做訪問控制列表

分別編輯兩個DNS服務器添加以下內容

acl mynet {

        192.168.1.0/16;

     127.0.0.0/8;

};

allow-transfer { mynet; };

allow-recursion { mynet; };

allow-transfer { mynet; };