N25-第十一周

lyj821202 ? ? Linux干貨

1、詳細描述一次加密通訊的過程,結合圖示最佳。

N25-第十一周

發送者:
    1.使用單項加密算法提取生成數據的特征碼
    2.使用自己的私鑰加密特征碼附加在數據后面
    3.生成用于對稱加密的臨時密鑰
    4.用此臨時密鑰加密數據和已經使用私鑰加密后的特征碼
    5.使用接收方的公鑰加密此臨時密鑰,附加在對稱后的數據后方
接收方:
    1.使用自己的私鑰解密的臨時秘鑰;從而獲得對方的對稱密鑰
    2.使用對稱密鑰解密對稱加密的數據和私鑰加密的特征碼密文;從而獲得數據和特征碼密文
    3.使用發送方的公鑰解密特征碼密文,從而獲得從計算成生成的特征碼
    4.使用與對方同樣的單項加密算法計算特征碼,并與解密而來的進行比較

2、描述創建私有CA的過程,以及為客戶端發來的證書請求進行辦法證書。

創建私有CA

1.生成私鑰: 
    (umask 077;openssl genrsa -out /tmp/cakey.pem 4096)
2.生成自簽證書;
    openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655
    -new    生成新證書簽署請求
    -x509   生成自謙格式證書,專用于創建私有CA時
    -key    生成請求時用到的私有文件路徑
    -out    生成的請求文件路徑;如果自簽操作將直接生成簽署過的證書
    -day    證書的有效時常;                                        
3.為CA提供所需的目錄及文件;
    mkdir -pv /etc/pki/CA/{certs,crl,newserts}
    touch /etc/pki/CA/{serical,index.txt}
    echo 01 > /etc/pki/CA/serical

為客戶端的請求頒發證書

httpd為例
    1.用到的證書的主機生成私鑰
        mkdir /etc/httpd/ssl
        cd /etc/httpd/ssl
        (umask 077;openssl genrsa -out /etc/httpd/ssl/http.key 2048)
    2.生成證書簽署的請求
        openssl req -new -x509 -key /etc/httpd/ssl/http.key -out /etc/httpd/ssl/http.csr -days 365
    3.將請求通過可靠方式發送給CA主機
    4.在CA主機上簽署證書;
        openssl ca -in /path/httpd.csr -out /etc/pki/CA/certs/httpd.crt -day 365
        查看證書中的信息:
        openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -serial -subject

3、描述DNS查詢過程以及DNS服務器類別。

DNS查詢過程:
Client –> hosts文件 –> DNS Service –> Local Cache –> DNS Server (recursion) –> Server Cache –> iteration(迭代) 
我們以www.magedu.com為例(此處有廣告,你懂得)
1.客戶端發起請求;
2.本機先查詢本地host文件,是否有www.magedu.com和IP的對應關系;若有直接反饋,若沒有則進行第二部
3.本機向指定NS1.server發起查詢請求,NS1在收到請求后,查看緩存記錄,是否有相關的解析記錄,若有直接反饋,若沒有則進行第三部;
4.NS1會主動向根域名服務器發起查詢請求,但是由于根服務器只記錄了.com的相關信息,則告知NS1你可以去.com查詢,并告知NS1,.com的地址;
5.NS1通過.com服務器給予的回應,告知magedu.com的記錄地址,但沒有www.magedu.com;于是讓其去magedu.com查詢;
6.NS1通過向magedu.com發起請求得到www.magedu.com的IP地址并緩存下來;
7.NS1向客戶端告知www.magedu.com的IP地址,解析完成

DNS服務器的類別
負責解析至少一個域:
    主名稱服務器;
    輔助名稱服務器;
不負責域解析:
    緩存名稱服務器

4、搭建一套DNS服務器,負責解析magedu.com域名(自行設定主機名及IP)

  (1)、能夠對一些主機名進行正向解析和逆向解析;
  (2)、對子域cdn.magedu.com進行子域授權,子域負責解析對應子域中的主機名;

  (3)、為了保證DNS服務系統的高可用性,請設計一套方案,并寫出詳細的實施過程

安裝DNS包:

[root@node1 ~]# yum -y install bind*

修改配置文件

[root@localhost ~]# vim /etc/named.conf
    listen-on port 53 { any; };
    dnssec-enable no;
    dnssec-validation no;

[root@localhost ~]# vim /etc/named.rfc1912.zones 

zone "magedu.com" IN {
        type master;
        file "magedu.com.zone";
};

zone "31.168.192.in-addr.arpa" IN {
        type master;
        file "named.192.168.31";
};

  

配置正向,反向定義域

[root@localhost ~]# vim /var/named/magedu.com.zone
$TTL 3600
    $ORIGIN magedu.com.
@       IN      SOA      ns1.magedu.com.        nsadmin.magedu.com.     (
                2017053003
                1H
                10M
                3D
                1D )
        IN      NS      ns1
ns1     IN      A       192.168.31.100
www     IN      A       192.168.31.110
bbs     IN      A       192.168.31.110

[root@localhost ~]# vim /var/named/192.168.31.zone
$TTL 3600
    $ORIGIN  31.168.192.in-addr.arpa.
@       IN      SOA     ns1.magedu.com  nsadmin.magedu.com (
                2017053101
                1H
                10M
                3D
                12H     )
        IN      NS      ns1.magedu.com.
100     IN      PTR     ns1.magedu.com.
110     IN      PTR     www.magedu.com.
110     IN      PTR     bbs.magedu.com.

添加文件權限

[root@localhost ~]# chgrp named /var/named/magedu.com.zone 
[root@localhost ~]# chmod o= /var/named/magedu.com.zone
[root@localhost ~]# chgrp named /var/named/192.168.31.zone 
[root@localhost ~]# chmod o= /var/named/192.168.31.zone

檢測語法,及區域文件測試

[root@localhost ~]# named-checkconf 
[root@localhost ~]# named-checkzone "magedu.com" /var/named/magedu.com.zone
zone magedu.com/IN: loaded serial 2017053003
OK
[root@localhost ~]# named-checkzone "31.168.192.in-addr.arpa" /var/named/named.192.168.31 
zone 31.168.192.in-addr.arpa/IN: loaded serial 2017053101
OK


[root@localhost ~]# rndc status
version: 9.9.4-RedHat-9.9.4-38.el7_3.3 <id:8f9657aa>
CPUs found: 4
worker threads: 4
UDP listeners per interface: 4
number of zones: 103
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
recursive clients: 0/0/1000
tcp clients: 0/100
server is up and running

測試正向解析

[root@localhost ~]# dig -t A www.magedu.com @192.168.31.100

; <<>> DiG 9.9.4-RedHat-9.9.4-38.el7_3.3 <<>> -t A www.magedu.com @192.168.31.100
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42995
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.magedu.com.            IN  A

;; ANSWER SECTION:
www.magedu.com.     3600    IN  A   192.168.31.110

;; AUTHORITY SECTION:
magedu.com.     3600    IN  NS  ns1.magedu.com.

;; ADDITIONAL SECTION:
ns1.magedu.com.     3600    IN  A   192.168.31.100

;; Query time: 0 msec
;; SERVER: 192.168.31.100#53(192.168.31.100)
;; WHEN: Mon Jun 05 01:20:21 EDT 2017
;; MSG SIZE  rcvd: 93

測試反向解析

[root@localhost ~]# dig -x 192.168.31.110 @192.168.31.100

; <<>> DiG 9.9.4-RedHat-9.9.4-38.el7_3.3 <<>> -x 192.168.31.110 @192.168.31.100
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38254
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;110.31.168.192.in-addr.arpa.   IN  PTR

;; ANSWER SECTION:
110.31.168.192.in-addr.arpa. 3600 IN    PTR bbs.magedu.com.
110.31.168.192.in-addr.arpa. 3600 IN    PTR www.magedu.com.

;; AUTHORITY SECTION:
31.168.192.in-addr.arpa. 3600   IN  NS  ns1.magedu.com.

;; ADDITIONAL SECTION:
ns1.magedu.com.     3600    IN  A   192.168.31.100

;; Query time: 0 msec
;; SERVER: 192.168.31.100#53(192.168.31.100)
;; WHEN: Mon Jun 05 01:35:02 EDT 2017
;; MSG SIZE  rcvd: 136

配置從DNS服務器

從DNS服務器配置:(其從服務器named.conf配置與主服務器相同,如dns安裝包,服務啟動等)

[root@localhost slaves]# vim /etc/named.rfc1912.zones 
添加
zone "magedu.com" IN {
        type slave;
        file "slaves/magedu.com.zone";
        masters { 192.168.31.100; };
};

修改主DNS服務器配置:

[root@localhost ~]# vim /etc/named.rfc1912.zones
添加:
zone "magedu.com" IN {
        type master;
        file "magedu.com.zone";
        allow-transfer { 192.168.31.101; };
};


[root@localhost ~]# vim /var/named/magedu.com.zone 
添加:
        IN      NS      ns2
ns2     IN      A       192.168.31.101

重啟主從DNS服務器named.service服務

從DNS服務器測試

[root@localhost slaves]# dig -t A www.magedu.com @192.168.31.101

; <<>> DiG 9.9.4-RedHat-9.9.4-38.el7_3.3 <<>> -t A www.magedu.com @192.168.31.101
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6402
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.magedu.com.            IN  A

;; ANSWER SECTION:
www.magedu.com.     3600    IN  A   192.168.31.110

;; AUTHORITY SECTION:
magedu.com.     3600    IN  NS  ns1.magedu.com.
magedu.com.     3600    IN  NS  ns2.magedu.com.

;; ADDITIONAL SECTION:
ns1.magedu.com.     3600    IN  A   192.168.31.100
ns2.magedu.com.     3600    IN  A   192.168.31.101

;; Query time: 0 msec
;; SERVER: 192.168.31.101#53(192.168.31.101)
;; WHEN: Mon Jun 05 07:44:48 EDT 2017
;; MSG SIZE  rcvd: 127
同步文件如下:
[root@localhost slaves]# ls 
magedu.com.zone

子域授權

子域服務器安裝更新包

[root@localhost ~]# yum install -y bind*

啟動服務并查看狀態

[root@localhost ~]# systemctl start named
[root@localhost ~]# systemctl status named
● named.service - Berkeley Internet Name Domain (DNS)
   Loaded: loaded (/usr/lib/systemd/system/named.service; disabled; vendor preset: disabled)
   Active: active (running) since Mon 2017-06-05 10:00:24 EDT; 10s ago
  Process: 2365 ExecStart=/usr/sbin/named -u named $OPTIONS (code=exited, status=0/SUCCESS)
      Process: 2362 ExecStartPre=/bin/bash -c if [ ! "$DISABLE_ZONE_CHECKING" == "yes" ]; then /usr/sbin/named-checkconf -z /etc/named.conf; else echo "Checking of zone files is disabled"; fi (code=exited, status=0/SUCCESS)
 Main PID: 2368 (named)
   CGroup: /system.slice/named.service
           └─2368 /usr/sbin/named -u named

Jun 05 10:00:24 localhost.localdomain named[2368]: managed-keys-zone: journal file is out of date: removing journal file
Jun 05 10:00:24 localhost.localdomain named[2368]: managed-keys-zone: loaded serial 2
Jun 05 10:00:24 localhost.localdomain named[2368]: zone 0.in-addr.arpa/IN: loaded serial 0
Jun 05 10:00:24 localhost.localdomain named[2368]: zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
Jun 05 10:00:24 localhost.localdomain named[2368]: zone localhost/IN: loaded serial 0
Jun 05 10:00:24 localhost.localdomain named[2368]: zone localhost.localdomain/IN: loaded serial 0
Jun 05 10:00:24 localhost.localdomain named[2368]: zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
Jun 05 10:00:24 localhost.localdomain named[2368]: all zones loaded
Jun 05 10:00:24 localhost.localdomain named[2368]: running
Jun 05 10:00:24 localhost.localdomain systemd[1]: Started Berkeley Internet Name Domain (DNS).

配置子域服務器授權

[root@localhost ~]# vim /etc/named.conf 
    listen-on port 53 { any; };
    dnssec-enable no;
    dnssec-validation no;

[root@localhost ~]# vim /etc/named.rfc1912.zones
添加
zone "cdn.magedu.com" IN {
    type master;
    file "cdn.magedu.com.zone";
};

[root@localhost ~]# vim /var/named/cdn.magedu.com.zone 
$TTL 3600
    $ORIGIN cdn.magedu.com.
@       IN      SOA     ns1.cdn.magedu.com. nsadmin.cdn.magedu.com. (
                2017060501
                1H
                10M
                1D
                2H )
        IN      NS      ns1
ns1     IN      A       192.168.31.103
www     IN      A       192.168.31.103

添加權限

[root@localhost ~]# chgrp named /var/named/cdn.magedu.com.zone
[root@localhost ~]# chmod o= /var/named/cdn.magedu.com.zone

配置主服務器,并reload服務

[root@localhost ~]# vim /var/named/magedu.com.zone
添加
cdn     IN      NS      ns1.cdn
ns1.cdn IN      A       192.168.31.103
[root@localhost ~]# rndc reload

測試子域配置語法及驗證

[root@localhost ~]# named-checkconf
[root@localhost ~]# named-checkzone cdn.magedu.com /var/named/cdn.magedu.com.zone
zone cdn.magedu.com/IN: loaded serial 2017060501
OK

[root@localhost ~]# dig -t A www.cdn.magedu.com @192.168.31.103

; <<>> DiG 9.9.4-RedHat-9.9.4-38.el7_3.3 <<>> -t A www.cdn.magedu.com @192.168.31.103
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49713
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.cdn.magedu.com.        IN  A

;; ANSWER SECTION:
www.cdn.magedu.com. 3600    IN  A   192.168.31.103

;; AUTHORITY SECTION:
cdn.magedu.com.     3600    IN  NS  ns1.cdn.magedu.com.

;; ADDITIONAL SECTION:
ns1.cdn.magedu.com. 3600    IN  A   192.168.31.103

;; Query time: 0 msec
;; SERVER: 192.168.31.103#53(192.168.31.103)
;; WHEN: Mon Jun 05 10:09:07 EDT 2017
;; MSG SIZE  rcvd: 97

   

原創文章,作者:lyj821202,如若轉載,請注明出處:http://www.www58058.com/69881

(0)
lyj821202lyj821202
上一篇 2017-06-05 20:32
下一篇 2017-06-05 23:27

相關推薦

  • 用戶和權限管理

    一、用戶 Linux中用戶是資源獲取的標識符,資源分配,文件系統安全權限模型的核心要素之一。密碼則是用戶認證的憑證,用戶信息和密碼信息都存放在相應的文本文件中,密碼信息在存放的過程用了一定的加密算法進行加密。   1.加密算法: 資源分派:    Authentication:認證(確認身份,也有可能好幾個人一個身份) &nbs…

    Linux干貨 2016-08-05

  • Linux用戶和組的配置相關文件

    Linux用戶和組的配置相關文件     在linux下,用戶的相關配置文件一般是放在/etc目錄下,此文主要對以下幾個配置文件作介紹:/etc/passwd;/etc/shadow;/etc/group;/etc/gpasswd   一、/etc/passwd:此目錄下放的是用戶的屬性信息,包括組名、UID、GID等,它格式固…

    Linux干貨 2016-10-30

  • 關于大型網站技術演進的思考(十一)–網站靜態化處理—動靜分離策略(3)

    原文出處: 夏天的森林   前文里我講到了網站靜態化的關鍵點是動靜分離,動靜分離是讓動態網站里的動態網頁根據一定規則把不變的資源和經常變的資源區分開來,動靜資源做好了拆分以后,我們就可以根據靜態資源的特點將其做緩存操作,這就是網站靜態化處理的核心思路。由此可見,網站靜態化處理的核心就是動靜分離和緩存兩大方面,上篇我簡單講述了動靜…

    Linux干貨 2015-03-11

  • 馬哥M20-1第一周作業

    作業1:通過echo實現字體閃爍,添加下劃線,改變顏色      (1)添加下劃線    (2)字體閃爍   (3)改變顏色 作業2:顯示前10天的年月日 作業3:screen的使用

    Linux干貨 2016-07-29

  • ansible-playbook組件解析及操作全解

    一、ansible-playbook介紹: ?playbook是由一個或多個”play”組成的列表。play的主要功能在于將事先歸為一組的主機裝扮成事先通過ansible中的task定義好的角色。從根本上來將,所謂的task無法是調用ansible的一個module。將多個paly組織在一個playbook中,即可以讓他們聯通起來按事…

    2015-08-24

  • Centos7基于虛擬主機的Lamp配置bbs、Blog、PhpMyAdmin應用程序

    Centos7實現基于虛擬主機的各應用程序搭建: 一、配置三個基于名稱的虛擬主機;      (a) discuzX      (b) wordpress      (c) https: phpMyAdmin 1.安裝Lamp環境及安裝mo…

    Linux干貨 2016-10-09
欧美性久久久久