N25-第十一周

1、詳細描述一次加密通訊的過程，結合圖示最佳。

發送者：
    1.使用單項加密算法提取生成數據的特征碼
    2.使用自己的私鑰加密特征碼附加在數據后面
    3.生成用于對稱加密的臨時密鑰
    4.用此臨時密鑰加密數據和已經使用私鑰加密后的特征碼
    5.使用接收方的公鑰加密此臨時密鑰，附加在對稱后的數據后方
接收方：
    1.使用自己的私鑰解密的臨時秘鑰；從而獲得對方的對稱密鑰
    2.使用對稱密鑰解密對稱加密的數據和私鑰加密的特征碼密文；從而獲得數據和特征碼密文
    3.使用發送方的公鑰解密特征碼密文，從而獲得從計算成生成的特征碼
    4.使用與對方同樣的單項加密算法計算特征碼，并與解密而來的進行比較

2、描述創建私有CA的過程，以及為客戶端發來的證書請求進行辦法證書。

創建私有CA

1.生成私鑰： 
    (umask 077;openssl genrsa -out /tmp/cakey.pem 4096)
2.生成自簽證書；
    openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655
    -new    生成新證書簽署請求
    -x509   生成自謙格式證書，專用于創建私有CA時
    -key    生成請求時用到的私有文件路徑
    -out    生成的請求文件路徑；如果自簽操作將直接生成簽署過的證書
    -day    證書的有效時常；                                        
3.為CA提供所需的目錄及文件；
    mkdir -pv /etc/pki/CA/{certs,crl,newserts}
    touch /etc/pki/CA/{serical,index.txt}
    echo 01 > /etc/pki/CA/serical

為客戶端的請求頒發證書

httpd為例
    1.用到的證書的主機生成私鑰
        mkdir /etc/httpd/ssl
        cd /etc/httpd/ssl
        (umask 077;openssl genrsa -out /etc/httpd/ssl/http.key 2048)
    2.生成證書簽署的請求
        openssl req -new -x509 -key /etc/httpd/ssl/http.key -out /etc/httpd/ssl/http.csr -days 365
    3.將請求通過可靠方式發送給CA主機
    4.在CA主機上簽署證書；
        openssl ca -in /path/httpd.csr -out /etc/pki/CA/certs/httpd.crt -day 365
        查看證書中的信息：
        openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -serial -subject

3、描述DNS查詢過程以及DNS服務器類別。

DNS查詢過程：
Client –> hosts文件 –> DNS Service –> Local Cache –> DNS Server (recursion) –> Server Cache –> iteration(迭代) 
我們以www.magedu.com為例(此處有廣告，你懂得)
1.客戶端發起請求；
2.本機先查詢本地host文件，是否有www.magedu.com和IP的對應關系；若有直接反饋，若沒有則進行第二部
3.本機向指定NS1.server發起查詢請求，NS1在收到請求后，查看緩存記錄，是否有相關的解析記錄，若有直接反饋，若沒有則進行第三部；
4.NS1會主動向根域名服務器發起查詢請求，但是由于根服務器只記錄了.com的相關信息，則告知NS1你可以去.com查詢，并告知NS1，.com的地址；
5.NS1通過.com服務器給予的回應，告知magedu.com的記錄地址，但沒有www.magedu.com；于是讓其去magedu.com查詢；
6.NS1通過向magedu.com發起請求得到www.magedu.com的IP地址并緩存下來；
7.NS1向客戶端告知www.magedu.com的IP地址，解析完成

DNS服務器的類別
負責解析至少一個域：
    主名稱服務器；
    輔助名稱服務器；
不負責域解析：
    緩存名稱服務器

4、搭建一套DNS服務器，負責解析magedu.com域名（自行設定主機名及IP）

  (1)、能夠對一些主機名進行正向解析和逆向解析；
  (2)、對子域cdn.magedu.com進行子域授權，子域負責解析對應子域中的主機名；

  (3)、為了保證DNS服務系統的高可用性，請設計一套方案，并寫出詳細的實施過程

安裝DNS包：

[root@node1 ~]# yum -y install bind*

修改配置文件

[root@localhost ~]# vim /etc/named.conf
    listen-on port 53 { any; };
    dnssec-enable no;
    dnssec-validation no;

[root@localhost ~]# vim /etc/named.rfc1912.zones 

zone "magedu.com" IN {
        type master;
        file "magedu.com.zone";
};

zone "31.168.192.in-addr.arpa" IN {
        type master;
        file "named.192.168.31";
};

配置正向，反向定義域

[root@localhost ~]# vim /var/named/magedu.com.zone
$TTL 3600
    $ORIGIN magedu.com.
@       IN      SOA      ns1.magedu.com.        nsadmin.magedu.com.     (
                2017053003
                1H
                10M
                3D
                1D )
        IN      NS      ns1
ns1     IN      A       192.168.31.100
www     IN      A       192.168.31.110
bbs     IN      A       192.168.31.110

[root@localhost ~]# vim /var/named/192.168.31.zone
$TTL 3600
    $ORIGIN  31.168.192.in-addr.arpa.
@       IN      SOA     ns1.magedu.com  nsadmin.magedu.com (
                2017053101
                1H
                10M
                3D
                12H     )
        IN      NS      ns1.magedu.com.
100     IN      PTR     ns1.magedu.com.
110     IN      PTR     www.magedu.com.
110     IN      PTR     bbs.magedu.com.

添加文件權限

[root@localhost ~]# chgrp named /var/named/magedu.com.zone 
[root@localhost ~]# chmod o= /var/named/magedu.com.zone
[root@localhost ~]# chgrp named /var/named/192.168.31.zone 
[root@localhost ~]# chmod o= /var/named/192.168.31.zone

檢測語法，及區域文件測試

[root@localhost ~]# named-checkconf 
[root@localhost ~]# named-checkzone "magedu.com" /var/named/magedu.com.zone
zone magedu.com/IN: loaded serial 2017053003
OK
[root@localhost ~]# named-checkzone "31.168.192.in-addr.arpa" /var/named/named.192.168.31 
zone 31.168.192.in-addr.arpa/IN: loaded serial 2017053101
OK


[root@localhost ~]# rndc status
version: 9.9.4-RedHat-9.9.4-38.el7_3.3 <id:8f9657aa>
CPUs found: 4
worker threads: 4
UDP listeners per interface: 4
number of zones: 103
debug level: 0
xfers running: 0
xfers deferred: 0
soa queries in progress: 0
query logging is OFF
recursive clients: 0/0/1000
tcp clients: 0/100
server is up and running

測試正向解析

[root@localhost ~]# dig -t A www.magedu.com @192.168.31.100

; <<>> DiG 9.9.4-RedHat-9.9.4-38.el7_3.3 <<>> -t A www.magedu.com @192.168.31.100
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42995
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.magedu.com.            IN  A

;; ANSWER SECTION:
www.magedu.com.     3600    IN  A   192.168.31.110

;; AUTHORITY SECTION:
magedu.com.     3600    IN  NS  ns1.magedu.com.

;; ADDITIONAL SECTION:
ns1.magedu.com.     3600    IN  A   192.168.31.100

;; Query time: 0 msec
;; SERVER: 192.168.31.100#53(192.168.31.100)
;; WHEN: Mon Jun 05 01:20:21 EDT 2017
;; MSG SIZE  rcvd: 93

測試反向解析

[root@localhost ~]# dig -x 192.168.31.110 @192.168.31.100

; <<>> DiG 9.9.4-RedHat-9.9.4-38.el7_3.3 <<>> -x 192.168.31.110 @192.168.31.100
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38254
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;110.31.168.192.in-addr.arpa.   IN  PTR

;; ANSWER SECTION:
110.31.168.192.in-addr.arpa. 3600 IN    PTR bbs.magedu.com.
110.31.168.192.in-addr.arpa. 3600 IN    PTR www.magedu.com.

;; AUTHORITY SECTION:
31.168.192.in-addr.arpa. 3600   IN  NS  ns1.magedu.com.

;; ADDITIONAL SECTION:
ns1.magedu.com.     3600    IN  A   192.168.31.100

;; Query time: 0 msec
;; SERVER: 192.168.31.100#53(192.168.31.100)
;; WHEN: Mon Jun 05 01:35:02 EDT 2017
;; MSG SIZE  rcvd: 136

配置從DNS服務器

從DNS服務器配置：（其從服務器named.conf配置與主服務器相同，如dns安裝包，服務啟動等）

[root@localhost slaves]# vim /etc/named.rfc1912.zones 
添加
zone "magedu.com" IN {
        type slave;
        file "slaves/magedu.com.zone";
        masters { 192.168.31.100; };
};

修改主DNS服務器配置：

[root@localhost ~]# vim /etc/named.rfc1912.zones
添加：
zone "magedu.com" IN {
        type master;
        file "magedu.com.zone";
        allow-transfer { 192.168.31.101; };
};


[root@localhost ~]# vim /var/named/magedu.com.zone 
添加：
        IN      NS      ns2
ns2     IN      A       192.168.31.101

重啟主從DNS服務器named.service服務

從DNS服務器測試

[root@localhost slaves]# dig -t A www.magedu.com @192.168.31.101

; <<>> DiG 9.9.4-RedHat-9.9.4-38.el7_3.3 <<>> -t A www.magedu.com @192.168.31.101
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6402
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.magedu.com.            IN  A

;; ANSWER SECTION:
www.magedu.com.     3600    IN  A   192.168.31.110

;; AUTHORITY SECTION:
magedu.com.     3600    IN  NS  ns1.magedu.com.
magedu.com.     3600    IN  NS  ns2.magedu.com.

;; ADDITIONAL SECTION:
ns1.magedu.com.     3600    IN  A   192.168.31.100
ns2.magedu.com.     3600    IN  A   192.168.31.101

;; Query time: 0 msec
;; SERVER: 192.168.31.101#53(192.168.31.101)
;; WHEN: Mon Jun 05 07:44:48 EDT 2017
;; MSG SIZE  rcvd: 127
同步文件如下：
[root@localhost slaves]# ls 
magedu.com.zone

子域授權

子域服務器安裝更新包

[root@localhost ~]# yum install -y bind*

啟動服務并查看狀態

[root@localhost ~]# systemctl start named
[root@localhost ~]# systemctl status named
● named.service - Berkeley Internet Name Domain (DNS)
   Loaded: loaded (/usr/lib/systemd/system/named.service; disabled; vendor preset: disabled)
   Active: active (running) since Mon 2017-06-05 10:00:24 EDT; 10s ago
  Process: 2365 ExecStart=/usr/sbin/named -u named $OPTIONS (code=exited, status=0/SUCCESS)
      Process: 2362 ExecStartPre=/bin/bash -c if [ ! "$DISABLE_ZONE_CHECKING" == "yes" ]; then /usr/sbin/named-checkconf -z /etc/named.conf; else echo "Checking of zone files is disabled"; fi (code=exited, status=0/SUCCESS)
 Main PID: 2368 (named)
   CGroup: /system.slice/named.service
           └─2368 /usr/sbin/named -u named

Jun 05 10:00:24 localhost.localdomain named[2368]: managed-keys-zone: journal file is out of date: removing journal file
Jun 05 10:00:24 localhost.localdomain named[2368]: managed-keys-zone: loaded serial 2
Jun 05 10:00:24 localhost.localdomain named[2368]: zone 0.in-addr.arpa/IN: loaded serial 0
Jun 05 10:00:24 localhost.localdomain named[2368]: zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
Jun 05 10:00:24 localhost.localdomain named[2368]: zone localhost/IN: loaded serial 0
Jun 05 10:00:24 localhost.localdomain named[2368]: zone localhost.localdomain/IN: loaded serial 0
Jun 05 10:00:24 localhost.localdomain named[2368]: zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
Jun 05 10:00:24 localhost.localdomain named[2368]: all zones loaded
Jun 05 10:00:24 localhost.localdomain named[2368]: running
Jun 05 10:00:24 localhost.localdomain systemd[1]: Started Berkeley Internet Name Domain (DNS).

配置子域服務器授權

[root@localhost ~]# vim /etc/named.conf 
    listen-on port 53 { any; };
    dnssec-enable no;
    dnssec-validation no;

[root@localhost ~]# vim /etc/named.rfc1912.zones
添加
zone "cdn.magedu.com" IN {
    type master;
    file "cdn.magedu.com.zone";
};

[root@localhost ~]# vim /var/named/cdn.magedu.com.zone 
$TTL 3600
    $ORIGIN cdn.magedu.com.
@       IN      SOA     ns1.cdn.magedu.com. nsadmin.cdn.magedu.com. (
                2017060501
                1H
                10M
                1D
                2H )
        IN      NS      ns1
ns1     IN      A       192.168.31.103
www     IN      A       192.168.31.103

添加權限

[root@localhost ~]# chgrp named /var/named/cdn.magedu.com.zone
[root@localhost ~]# chmod o= /var/named/cdn.magedu.com.zone

配置主服務器，并reload服務

[root@localhost ~]# vim /var/named/magedu.com.zone
添加
cdn     IN      NS      ns1.cdn
ns1.cdn IN      A       192.168.31.103
[root@localhost ~]# rndc reload

測試子域配置語法及驗證

[root@localhost ~]# named-checkconf
[root@localhost ~]# named-checkzone cdn.magedu.com /var/named/cdn.magedu.com.zone
zone cdn.magedu.com/IN: loaded serial 2017060501
OK

[root@localhost ~]# dig -t A www.cdn.magedu.com @192.168.31.103

; <<>> DiG 9.9.4-RedHat-9.9.4-38.el7_3.3 <<>> -t A www.cdn.magedu.com @192.168.31.103
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49713
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.cdn.magedu.com.        IN  A

;; ANSWER SECTION:
www.cdn.magedu.com. 3600    IN  A   192.168.31.103

;; AUTHORITY SECTION:
cdn.magedu.com.     3600    IN  NS  ns1.cdn.magedu.com.

;; ADDITIONAL SECTION:
ns1.cdn.magedu.com. 3600    IN  A   192.168.31.103

;; Query time: 0 msec
;; SERVER: 192.168.31.103#53(192.168.31.103)
;; WHEN: Mon Jun 05 10:09:07 EDT 2017
;; MSG SIZE  rcvd: 97