第十一周作業

1、詳細描述一次加密通訊的過程，結合圖示最佳。

發送者：

    1）使用單向加密算法提取要發送文件的特征碼；

    2）使用自己的私鑰加密特征碼并附加在數據后面；

    3）生成用于對稱加密的臨時密碼；

    4）用此臨時密鑰加密數據和已經使用私鑰加密后的特征碼；

    5）使用接收方的公鑰加密此臨時密鑰，附加在對稱加密后的數據后方。

接收方：

    1）使用自己的私鑰解密加密后的臨時密鑰，從而獲得對稱密鑰；

    2）使用對稱密鑰解密對稱加密的數據和私鑰加密的特征碼密文，從而獲得數據和特征碼密文；

    3）使用發送方的公鑰解密特征碼密文，從而獲得特征碼明文；

    4）使用與對方同樣的單向加密算法計算數據的特征碼，并與解密而來的進行比較。

2、描述創建私有CA的過程，以及為客戶端發來的證書請求進行頒發證書。

創建私有CA：

    1）生成私鑰；

    2）生成自簽署證書；

        （1）私鑰用于簽發證書時，向證書添加數字簽名使用；

        （2）證書：每個通信方都導入此證書至“受信任的證書頒發機構”。

為客戶端頒發證書：

    1）客戶端申請證書

    在證書申請的主機上進行如下步驟：

        （1）生成私鑰；

        （2）生成證書簽署請求；

        （3）把請求發送給CA。

    2）CA簽發證書

        （1）驗證請求者信息；

        （2）簽署證書；

        （3）把簽署好的證書發還給請求者。

3、描述DNS查詢過程以及DNS服務器類別。

DNS查詢過程：

    1）本地客戶端先查詢本地hosts文件，看是否有www.magedu.com主機與ip的對應關系，若有，則直接使用；若沒有，則進行第2步；

    2）此時客戶端向指定的本地DNS服務器（假設為NS1）發起請求，NS1在收到來自客戶端的請求后，會先去查詢本地的緩存記錄，如果有www.magedu.com記錄，則 直接反饋給客戶端；若沒有，則進行第3步；

    3）此時本地DNS1服務器會主動向根域服務器發起查詢www.magedu.com的請求，但是由于根域服務器只記錄了.com域服務器的相關信息，此時根會告訴NS1：我這里沒有www.magedu.com的記錄，但我有.com域的信息，你可以去.com域服務器去查詢，并告知.com域服務器的地址；

    4）于是NS1就根據根域服務器告知的.com域地址向.com發起查詢www.magedu.com的請求，由于.com域服務器只記錄了magedu.com的記錄，但沒有www主機的記錄，因此就告知NS1服務器說：我這里沒有www.magedu.com的具體解析記錄，但我知道magedu.com的地址，你可以去向magedu.com查詢；

    5）接著NS1就根據.com告知的magedu.com的地址向magedu.com發起了查詢www.magedu.com的請求，于是magedu.com就去查詢本地的記錄，找到了www主機對應的IP地址，于是將www.magedu.com的IP地址反饋給NS1；

    6）NS1在收到具體的結果后，會先將結果存儲在本地DNS緩存當中，以方便如有下次相同的解析請求時能夠快速響應，之后再將結果直接反饋給客戶端，完成解析。

DNS服務器類型：
負責解析至少一個域：
    1）主名稱服務器；
    2）輔助名稱服務器；
不負責解析：
    1）緩存名稱服務器；

4、搭建一套DNS服務器，負責解析magedu.com域名（自行設定主機名及IP）
  (1)、能夠對一些主機名進行正向解析和逆向解析；
  (2)、對子域cdn.magedu.com進行子域授權，子域負責解析對應子域中的主機名；

  (3)、為了保證DNS服務系統的高可用性，請設計一套方案，并寫出詳細的實施過程

環境:

主DNS服務器：192.168.0.11

從DNS服務器：192.168.0.21

子域DNS服務器：192.168.0.12

******1. 正反向解析******

1）安裝DNS服務器軟件

~]# yum install bind* -y

2）編輯配置，添加magedu.com的正向域和反向域

~]# vim /etc/named.conf
options {
    listen-on port 53 { any; };
    allow-query     { any; };
.
.
.
zone "magedu.com" IN {
    type master;
    file "magedu.com.zone";
};

zone "0.168.192.in-addr.arpa" IN {
    type master;
    file "named.192.168.0";
};
.
.
.

3）創建正向域數據庫文件

~]# vim /var/named/magedu.com.zone
$TTL 86400
$ORIGIN magedu.com.
@       IN          SOA         ns1.magedu.com          dnsadmin.magedu.com.    (
                    2017032001
                    1H
                    10M
                    3D
                    1D  )
        IN          NS          ns1
ns1     IN          A           192.168.0.11
www     IN          A           192.168.0.11
bbs     IN          A           192.168.0.12

4）創建反向域數據庫文件

$TTL 86400
$ORIGIN 0.168.192.in-addr.arpa.
@       IN          SOA         ns1.magedu.com          dnsadmin.magedu.com.    (
                    2017032001
                    1H
                    10M
                    3D
                    1D  )
        IN          NS          ns1.magedu.com.
11      IN          PTR         ns1.magedu.com.
11      IN          PTR         www.magedu.com.
12      IN          PTR         bbs.magedu.com.

5）修改數據庫文件權限

]# chown root.named magedu.com.zone named.192.168.0
]# chmod 640 magedu.com.zone named.192.168.0 

6）配置和語法檢查

]# named-checkconf
]# named-checkzone magedu.com /var/named/magedu.com.zone 
zone magedu.com/IN: loaded serial 2017032001
OK
]# named-checkzone  0.168.192.in-addr.arpa /var/named/named.192.168.0 
zone 0.168.192.in-addr.arpa/IN: loaded serial 2017032001
OK

7）重載配置文件和域數據庫文件

]# systemctl reload named.service

8）結果驗證

]# dig -t A bbs.magedu.com

; <<>> DiG 9.9.4-RedHat-9.9.4-38.el7_3.2 <<>> -t A bbs.magedu.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12637
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;bbs.magedu.com.                        IN      A

;; ANSWER SECTION:
bbs.magedu.com.         86400   IN      A       192.168.0.12             #能正確解析到bbs.magedu.com

;; AUTHORITY SECTION:
magedu.com.             86400   IN      NS      ns1.magedu.com.

;; ADDITIONAL SECTION:
ns1.magedu.com.         86400   IN      A       192.168.0.11

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Mar 19 21:39:00 EDT 2017
;; MSG SIZE  rcvd: 93

]# dig -x 192.168.0.12

; <<>> DiG 9.9.4-RedHat-9.9.4-38.el7_3.2 <<>> -x 192.168.0.12
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6916
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;12.0.168.192.in-addr.arpa.     IN      PTR

;; ANSWER SECTION:
12.0.168.192.in-addr.arpa. 86400 IN     PTR     bbs.magedu.com.       #能正確反解析

;; AUTHORITY SECTION:
0.168.192.in-addr.arpa. 86400   IN      NS      ns1.magedu.com.

;; ADDITIONAL SECTION:
ns1.magedu.com.         86400   IN      A       192.168.0.11

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sun Mar 19 21:39:31 EDT 2017
;; MSG SIZE  rcvd: 116

******2. 子域授權******

9）在子域DNS服務器配置文件中添加下列配置

]# vim /etc/named.rfc1912.zones
.
.
.
zone "cdn.magedu.com" IN {
    type master;
    file "cdn.magedu.com.zone";
};

zone "magedu.com" IN {
    type forward;
    forward only;
    forwarders { 192.168.0.11; };
};

10）在子域DNS服務器上創建域數據庫文件

]# vim cdn.magedu.com.zone
$TTL 3600
$ORIGIN cdn.magedu.com.
@       IN      SOA     ns1.cdn.magedu.com.     nsadmin.cdn.magedu.com. (
                2017032001
                1H
                10M
                1D
                2H  )
        IN      NS      ns1
ns1     IN      A       192.168.0.12
www     IN      A       192.168.0.13

11）修改域數據庫文件權限

]# chmod 640 cdn.magedu.com.zone 
]# chown root.named cdn.magedu.com.zone

12）配置和語法檢查

]# named-checkconf 
]# named-checkzone cdn.magedu.com /var/named/cdn.magedu.com.zone 
zone cdn.magedu.com/IN: loaded serial 2017032001
OK

13）在父域DNS的域數據庫文件中添加子域DNS的相關信息

]# vim /var/named/magedu.com.zone
.
.
.
cdn     IN          NS          ns1.cdn
ns1.cdn IN          A           192.168.0.12

14）重載子域DNS和父域DNS的配置和域數據庫文件

]# rndc reload
server reload successful

15）結果驗證

]# dig -t A www.cdn.magedu.com @192.168.0.11          #通過父域進行解析

; <<>> DiG 9.9.4-RedHat-9.9.4-38.el7_3.2 <<>> -t A www.cdn.magedu.com @192.168.0.11
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50092
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.cdn.magedu.com.            IN      A

;; ANSWER SECTION:
www.cdn.magedu.com.     3150    IN      A       192.168.0.13          #解析到子域www服務器，說明子域授權成功

;; AUTHORITY SECTION:
cdn.magedu.com.         3150    IN      NS      ns1.cdn.magedu.com.

;; ADDITIONAL SECTION:
ns1.cdn.magedu.com.     3150    IN      A       192.168.0.12

;; Query time: 3 msec
;; SERVER: 192.168.0.11#53(192.168.0.11)
;; WHEN: Mon Mar 20 09:53:23 EDT 2017
;; MSG SIZE  rcvd: 97

******3. 主從同步******

16）在從DNS服務器的配置文件中添加下列配置：

~]# vim /etc/named.conf
options {
    listen-on port 53 { any; };
    allow-query     { any; };
.
.
.
zone "magedu.com" IN {
        type slave;
        file "slaves/magedu.com.zone";
        masters { 192.168.0.11; };
};

17）在主DNS服務上修改配置文件，允許從服務器與主服務器同步

]# vim /etc/named.conf
zone "magedu.com" IN {
    type master;
    file "magedu.com.zone";
    allow-transfer { 192.168.0.21; };
};

18）在主DNS服務器上的域數據庫文件中添加從DNS服務器的相關信息

]# vim /var/named/magedu.com.zone
.
.
.
        IN          NS          slave
slave   IN          A           192.168.0.21
.
.
.

19）重載主從服務器上的配置

]# rndc reload            
server reload successful

20）主從同步測試

]# vim magedu.com.zone
$TTL 86400
$ORIGIN magedu.com.
@       IN          SOA         ns1.magedu.com          dnsadmin.magedu.com.    (
                    2017032002           #每更改一次序列號要加1
                    1H
                    10M
                    3D
                    1D  )
        IN          NS          ns1
        IN          NS          slave
slave   IN          A           192.168.0.21
ns1     IN          A           192.168.0.11
www     IN          A           192.168.0.11
bbs     IN          A           192.168.0.12
cdn     IN          NS          ns1.cdn
ns1.cdn IN          A           192.168.0.12
blog    IN          A           192.168.0.14              #新添加一個條目

]# rndc reload                    #重載配置生效
server reload successful

#在從DNS服務器上觀察系統日志，發現已經有同步信息
]# tail -f /var/log/messages
Mar 19 21:37:06 centos6 named-sdb[4223]: zone magedu.com/IN: transferred serial 2017032002
Mar 19 21:37:06 centos6 named-sdb[4223]: transfer of 'magedu.com/IN' from 192.168.0.11#53: Transfer completed: 1 messages, 11 records, 293 bytes, 0.005 secs (58600 bytes/sec)
Mar 19 21:37:06 centos6 named-sdb[4223]: zone magedu.com/IN: sending notifies (serial 2017032002)

]# cd /var/named/slaves/
]# cat magedu.com.zone 
$ORIGIN .
$TTL 86400      ; 1 day
magedu.com              IN SOA  ns1.magedu.com.magedu.com. dnsadmin.magedu.com. (
                                2017032002 ; serial
                                3600       ; refresh (1 hour)
                                600        ; retry (10 minutes)
                                259200     ; expire (3 days)
                                86400      ; minimum (1 day)
                                )
                        NS      ns1.magedu.com.
                        NS      slave.magedu.com.
$ORIGIN magedu.com.
bbs                     A       192.168.0.12
blog                    A       192.168.0.14             #主DNS上新增的條目已經同步過來了
ns1                     A       192.168.0.11
ops                     NS      ns1.ops
$ORIGIN ops.magedu.com.
ns1                     A       192.168.0.12
$ORIGIN magedu.com.
slave                   A       192.168.0.21
www                     A       192.168.0.11