N26-第十一周

胡安慧 ? 2017-04-09 15:40 ? Linux干貨

1、詳細描述一次加密通訊的過程，結合圖示最佳。

發送方：
1、使用單項加密算法計算數據文件的特征碼
2、使用發送方私鑰加密特征碼
3、使用對稱加密算法生成一對臨時密鑰
4、使用臨時密鑰加密數據文件和加密后的特征碼
5、使用接收方的公鑰加密使用臨時密鑰加密后的數據和特征碼和臨時密鑰的解密密碼，并將之發送給接收方

接收方
1、使用接收方的私鑰解密接收到的加密文件，解密后得到使用臨時密鑰加密后的加密文件和臨時密鑰的解密密碼
2、使用得到的臨時密鑰解密密碼解密加密文件，得到數據文件和特征碼
3、使用和發送方相同的單項加密算法計算數據文件得到特征碼，并將之與解密得到的特征碼對比驗證數據的完整性

N26-第十一周

2、描述創建私有CA的過程，以及為客戶端發來的證書請求進行辦法證書。

構建私有CA（openssl配置文件 /etc/pki/tls/openssl.cnf ）

1、生成私鑰

2、生成自簽證書

1、生成私鑰 [root@localhost ~]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
Generating RSA private key, 4096 bit long modulus
......................................................................................................................................................................................................................................................................................................................++
......................................++
e is 65537 (0x10001)
2、生成自簽證書
[root@localhost ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3560

為客戶端頒發證書

1、客戶端生成密鑰文件

2、生成證書簽署請求

3、將請求通過可靠方式發送給CA主機

4、在CA上簽署證書

1、生成私鑰
[root@localhost ~]# (umask 077; openssl genrsa -out /tmp/ceshi.key 2048)
Generating RSA private key, 2048 bit long modulus
.................+++
............+++
e is 65537 (0x10001)
2、生成證書簽署請求
[root@localhost ~]# openssl req -new -key /tmp/ceshi.key -out /tmp/ceshi.csr -days 365

    3、將證書簽署請求    發送給CA主機

4、CA簽署請求
[root@localhost ~]# openssl ca -in /tmp/ceshi.csr -out /tmp/ceshi.crt -days 365

    5、CA將證書發送給客戶端

3、描述DNS查詢過程以及DNS服務器類別。

客戶端在訪問一個網址的時候

第一步：查詢本地hosts文件

第二步：hosts文件中查詢不到時查詢本機的緩存

第三步：本地緩存查詢不到的時候，查詢本機指向的默認DNS服務器

第四步：由默認DNS服務器向根DNS服務器進行遞歸查詢（客戶端只查詢一次，由指定的DNS服務器進行查詢到結果后返回客戶端）

N26-第十一周

根據DNS服務器的用途分類：

（1）主域名服務器：負責維護這個區域的所有域名信息，是特定的所有信息的權威信息源。也是說，主域名服務器內所存儲的是該區域的正本數據，系統管理員可以對它進行修改。
（2）輔助域名服務器：當主域名服務器出現故障、關閉或負載過重時，輔助域名服務器作為備份服務提供域名解析服務。輔助域名服務器中的區域文件內的數據是從另外一臺域名服務器復制過來的，并不是直接輸入的，也是說這個區域文件只是一份副本，這里的數據是無法修改的。
（3）緩存域名服務器：可運行域名服務器軟件但沒有域名數據庫。它從某個遠程服務器取得每次域名服務器查詢的回答，一旦獲取一個答案，將它放在高速緩存中，以后查詢相同的信息時用它予以回答。緩存域名服務器不是權威性服務器，因為提供的所有信息都是間接信息。
（4）轉發域名服務器：負責所有非本地域名的本地查詢。轉發域名服務器接到查詢請求時，在其緩存中查找，如找不到把請求依次轉發到指定的域名服務器，直到查詢到結果為止，否則返回無法映射的結果。

4、搭建一套DNS服務器，負責解析magedu.com域名（自行設定主機名及IP）
(1)、能夠對一些主機名進行正向解析和逆向解析；
(2)、對子域cdn.magedu.com進行子域授權，子域負責解析對應子域中的主機名；

(3)、為了保證DNS服務系統的高可用性，請設計一套方案，并寫出詳細的實施過程

環境：

主DNS服務器 DNS1 192.168.44.20

從DNS服務器 DNS2 192.168.44.22

子域DNS服務器 DNS3 192.168.44.23

一、配置正向解析和逆向解析

1、主服務器安裝bind包
[root@DNS1 ~]# yum -y install bind*
2、編4、編輯正向解析數據文件輯主配置文件 /etc/named.conf (修改配置文件的ip和允許的范圍) [root@DNS1 ~]# vim /etc/named.conf 
    options {        listen-on port 53 { any; };        directory       "/var/named";        dump-file       "/var/named/data/cache_dump.db";        statistics-file "/var/named/data/named_stats.txt";        memstatistics-file "/var/named/data/named_mem_stats.txt";        allow-query     { any; };

    修改后檢查配置文件

    [root@DNS1 ~]# named-checkconf 
3、添加正向域和反向域配置
[root@DNS1 ~]# vim /etc/named.rfc1912.zones 
zone "magedu.com" IN {
        type master;
        file "magedu.com.zone";
};
zone "44.168.192.in-addr.arpa" IN {
        type master;
        file "192.168.44.zone";
}; 
4、編輯正向解析數據文件

    [root@DNS1 ~]# vim /var/named/magedu.com.zone
$TTL 3600
$ORIGIN magedu.com.
@       IN      SOA             @  dnsadmin.magedu.com. (
        2017040400
        1H
        10M
        3D
        1D )
        IN      NS      ns1
        IN      NS      ns2
        IN      MX      10      ms1
        IN      MX      20      ms2
ns1     IN      A       192.168.44.20
ns2     IN      A       192.168.44.22
ms1     IN      A       192.168.44.23
ms2     IN      A       192.168.44.23
web     IN      CNAME   ns1
www     IN      CNAME   ns1
5、編輯反向解析區域數據文件
[root@DNS1 ~]# vim /var/named/192.168.44.zone
    
        
    




    


    $TTL 3600$ORIGIN 44.168.192.in-addr.arpa.@       IN      SOA     ns1.magedu.com.      dnsadmin.magedu.com. (        2017040400        1H        10M        3D        12H )        IN      NS      ns1.magedu.com.        IN      NS      ns2.magedu.com.20      IN      PTR     ns1.magedu.com.22      IN      PTR     ns2.magedu.com.23      IN      PTR     ms1.magedu.com.23      IN      PTR     ms2.magedu.com.6、修改區域數據文件的屬組和權限[root@DNS1 ~]# chgrp named /var/named/magedu.com.zone /var/named/192.168.44.zone [root@DNS1 ~]# chmod o-x /var/named/magedu.com.zone /var/named/192.168.44.zone 

    7、檢查配置文件、重啟服務或重載配置 


    


    [root@DNS1 ~]# named-checkconf -zzone localhost.localdomain/IN: loaded serial 0zone localhost/IN: loaded serial 0zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0zone 0.in-addr.arpa/IN: loaded serial 0zone magedu.com/IN: loaded serial 2017040400zone 44.168.192.in-addr.arpa/IN: loaded serial 2017040400

    [root@DNS1 ~]# rndc reloadserver reload successful

    8、測試

        正解

    [root@DNS1 ~]# dig www.magedu.com; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> www.magedu.com;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16029;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096;; QUESTION SECTION:;www.magedu.com.            IN  A;; ANSWER SECTION:www.magedu.com.     3600    IN  CNAME   ns1.magedu.com.ns1.magedu.com.     3600    IN  A   192.168.44.20;; AUTHORITY SECTION:magedu.com.     3600    IN  NS  ns2.magedu.com.magedu.com.     3600    IN  NS  ns1.magedu.com.;; ADDITIONAL SECTION:ns2.magedu.com.     3600    IN  A   192.168.44.22;; Query time: 1 msec;; SERVER: 127.0.0.1#53(127.0.0.1);; WHEN: Wed Apr 05 17:42:14 EDT 2017;; MSG SIZE  rcvd: 125

    


    反解
[root@DNS1 ~]# dig -x 192.168.44.22

; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> -x 192.168.44.22
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58321
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;22.44.168.192.in-addr.arpa.    IN  PTR

;; ANSWER SECTION:
22.44.168.192.in-addr.arpa. 3600 IN PTR ns2.magedu.com.

;; AUTHORITY SECTION:
44.168.192.in-addr.arpa. 3600   IN  NS  ns1.magedu.com.

;; ADDITIONAL SECTION:
ns1.magedu.com.     3600    IN  A   192.168.44.20

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Apr 05 17:42:50 EDT 2017
;; MSG SIZE  rcvd: 117

二、子域授權

1、在授權服務器配置文件中增加

[root@DNS1 ~]# vim /var/named/magedu.com.zone 

    

dns     IN      NS      ns1.dns
ns1.dns IN      A       192.168.44.23

2、在被授權服務器上安裝bind，并編輯配置文件 /etc/named.rfc1912.zones

[root@DNS3 ~]# yum -y install bind
[root@DNS3 ~]# vim /etc/named.rfc1912.zones 
zone "dns.magedu.com" IN {
        type master;
        file "dns.magedu.com.zone";
};

zone "magedu.com" IN {
        type forward;
        forward only;
        forwarders { 192.168.44.20;};
};

3、在被授權服務器上添加子域數據庫文件

[root@DNS3 ~]# vim /var/named/dns.magedu.com.zone
$TTL 3600
$ORIGIN dns.magedu.com.
@       IN      SOA     ns1.dns.magedu.com.     dnsadmin.magedu.com. (
        2017040400
        1H
        2D
        10M
        3D )
        IN      NS      ns1
ns1     IN      A       192.168.44.23
ns2     IN      A       192.168.44.20

4、檢查配置文件并修改數據庫配置文件權限后重啟服務或重載配置文件，

[root@DNS3 ~]# named-checkconf -z
zone localhost.localdomain/IN: loaded serial 0
zone localhost/IN: loaded serial 0
zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
zone 0.in-addr.arpa/IN: loaded serial 0
zone dns.magedu.com/IN: loaded serial 2017040400
[root@DNS3 ~]# chown :named /var/named/dns.magedu.com.zone

    [root@DNS3 ~]# chmod o-x  /var/named/dns.magedu.com.zone  

[root@DNS3 ~]# service  named restart

5、測試使用

[root@DNS1 ~]# dig -t A  www.dns.magedu.com @192.168.44.23

; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> -t A www.dns.magedu.com @192.168.44.23
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4146
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.dns.magedu.com.        IN  A

;; ANSWER SECTION:
www.dns.magedu.com. 3600    IN  A   192.168.44.20

;; AUTHORITY SECTION:
dns.magedu.com.     3600    IN  NS  ns1.dns.magedu.com.

;; ADDITIONAL SECTION:
ns1.dns.magedu.com. 3600    IN  A   192.168.44.23

;; Query time: 4 msec
;; SERVER: 192.168.44.23#53(192.168.44.23)
;; WHEN: Thu Apr 06 18:22:14 EDT 2017
;; MSG SIZE  rcvd: 97

三、主從復制

1、修改主DNS配置文件（允許從服務器復制）

[root@DNS1 ~]# vim /etc/named.rfc1912.zones  
zone "magedu.com" IN {
        type master;
        file "magedu.com.zone";
        allow-transfer { 192.168.44.22 ;};
};

2、修改主服務器的域數據庫文件（添加從服務器的資源記錄和A記錄）

[root@DNS1 ~]# vim /var/named/magedu.com.zone 
$TTL 3600
$ORIGIN magedu.com.
@       IN      SOA             @  dnsadmin.magedu.com. (
        2017040400
        1H
        10M
        3D
        1D )
        IN      NS      ns1
dns     IN      NS      ns1.dns
        IN      NS      slave
slave   IN      A       192.164.44.22
ns1.dns IN      A       192.168.44.23
ns1     IN      A       192.168.44.20
ms1     IN      A       192.168.44.23
ms2     IN      A       192.168.44.23
web     IN      CNAME   ns1
www     IN      CNAME   ns1

3、檢查主DNS服務器配置文件后重載配置文件

[root@DNS1 ~]# named-checkconf -z
zone localhost.localdomain/IN: loaded serial 0
zone localhost/IN: loaded serial 0
zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
zone 0.in-addr.arpa/IN: loaded serial 0
zone 44.168.192.in-addr.arpa/IN: loaded serial 2017040400
zone magedu.com/IN: loaded serial 2017040400
[root@DNS1 ~]# rndc reload
server reload successful

4、從服務器安裝bind軟件包并修改配置文件

[root@DNS2 ~]# yum -y install bind*
[root@DNS2 ~]# vim /etc/named.conf 
options {
        listen-on port 53 { any; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };

    

[root@DNS2 ~]# vim /etc/named.rfc1912.zones 
zone "magedu.com" IN {
        type slave;
        file "slaves/magedu.com.zone";
        masters { 192.168.44.20; };
        };

5、檢查配置文件并重啟或重載named配置文件

[root@DNS2 ~]# named-checkconf -z
zone localhost.localdomain/IN: loaded serial 0
zone localhost/IN: loaded serial 0
zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
zone 0.in-addr.arpa/IN: loaded serial 0
[root@DNS2 ~]# systemctl restart named

6、使用dig測試主從復制是否可行

[root@DNS2 ~]# dig -t axfr magedu.com @192.168.44.20

; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> -t axfr magedu.com @192.168.44.20
;; global options: +cmd
magedu.com.     3600    IN  SOA magedu.com. dnsadmin.magedu.com. 2017040416 60 60 60 60
magedu.com.     3600    IN  NS  ns1.magedu.com.
dns.magedu.com.     3600    IN  NS  ns1.dns.magedu.com.
dns.magedu.com.     3600    IN  NS  ns2.magedu.com.
ns1.dns.magedu.com. 3600    IN  A   192.168.44.23
ms1.magedu.com.     3600    IN  A   192.168.44.23
ms2.magedu.com.     3600    IN  A   192.168.44.23
ns1.magedu.com.     3600    IN  A   192.168.44.20
ns2.magedu.com.     3600    IN  A   192.164.44.22
web.magedu.com.     3600    IN  CNAME   ns1.magedu.com.
www.magedu.com.     3600    IN  CNAME   ns1.magedu.com.
magedu.com.     3600    IN  SOA magedu.com. dnsadmin.magedu.com. 2017040416 60 60 60 60
;; Query time: 1 msec
;; SERVER: 192.168.44.20#53(192.168.44.20)
;; WHEN: Sun Apr 09 12:25:01 EDT 2017
;; XFR size: 12 records (messages 1, bytes 291)

7、修改主服務器數據文件版本號后查看重復服務器日志

[root@DNS2 ~]# tailf /var/log/messages
Apr  9 12:36:14 localhost named[2365]: zone magedu.com/IN: Transfer started.
Apr  9 12:36:14 localhost named[2365]: transfer of 'magedu.com/IN' from 192.168.44.20#53: connected using 192.168.44.22#53928
Apr  9 12:36:14 localhost named[2365]: zone magedu.com/IN: transferred serial 2017040419
Apr  9 12:36:14 localhost named[2365]: transfer of 'magedu.com/IN' from 192.168.44.20#53: Transfer completed: 1 messages, 12 records, 291 bytes, 0.001 secs (291000 bytes/sec)
Apr  9 12:36:14 localhost named[2365]: zone magedu.com/IN: sending notifies (serial 2017040419)

8、測試從服務器解析

[root@DNS2 ~]# dig www.magedu.com @192.168.44.22

; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> www.magedu.com @192.168.44.22
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48968
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.magedu.com.            IN  A

;; ANSWER SECTION:
www.magedu.com.     3600    IN  CNAME   ns1.magedu.com.
ns1.magedu.com.     3600    IN  A   192.168.44.20

;; AUTHORITY SECTION:
magedu.com.     3600    IN  NS  ns1.magedu.com.

;; Query time: 0 msec
;; SERVER: 192.168.44.22#53(192.168.44.22)
;; WHEN: Sun Apr 09 12:30:26 EDT 2017
;; MSG SIZE  rcvd: 91

原創文章，作者：胡安慧，如若轉載，請注明出處：http://www.www58058.com/71699

贊 (0)

1

使用tar打包并使用gzip壓縮的shell腳本應用實驗

上一篇 2017-04-09

N25-第十二周博客作業

下一篇 2017-04-09

Linux基礎入門

Linux基礎入門 1、Linux發行版及哲學思想 1.1 Linux發行版 Linux發行版（Linux Distribution，也被叫做GUN/Linux發行版），為一般用戶預先集成好的Linux操作系統及各種應用軟件。Linux發行版通常包含了包括桌面環…

Linux干貨 2016-02-28
Linux干貨

基于LNMP搭建wordpress個人主頁

N23,

2017-11-02
基于mysql的數據庫分析系統(rsyslog)

rsyslog：日志收集和存儲系統 1.事件在電腦中的日志記錄格式為：日期時間主機進程[pid]:事件內容 2.rsyslog的特性：多線程； UDP，TCP，SSL/TLS，RELP； &nbsp…

Linux干貨 2016-10-23
find命令詳解

寫在前面,命令總覽: 文件名:-name -iname glob 從屬關系: -user -group -uid –gid -nouser -nogroup 按類型：-type [] ,f,d,l,b,c…

Linux干貨 2016-02-14
Linux文件系統

文件系統是一個邏輯上的概念，本身與磁盤沒有什么關系，它是一個外圍性永久存儲設備，我們知道，計算機共有五大部件，存儲設備是一種，內存是個臨時性質的存儲設備，無論是關機還是斷電，存在里面的數據都會消失，我們需要一個永久性存儲的設備，來彌補內存只是臨時存儲性。對于Linux來說，其哲學思想之一就是一切皆文件，我們L…

Linux干貨 2016-11-11
Linux發行版概述

Linux發行版概述 Linux發行版有數百種之多，最主流的三個分支為Debain、Slackware、RedHat Debain Debain是三大主流發行版中唯一由社區維護的版本，無商業版本，相對較為輕巧，對使用者的技術要求較高 * Ubuntu、Knopix為Debian的主要子分支，其中Knopix是以安全著稱的 Slackware（SUSE） SU…

Linux干貨 2017-07-02

評論列表（1條）

馬哥教育 2017-04-13 09:40

證書加密還可以再深入下，dns這塊比較詳細，能提現迭代查詢和遞歸查詢會更好~

欧美性久久久久