N26-第十一周

胡安慧 ? 2017-04-09 15:40 ? Linux干貨

1、詳細描述一次加密通訊的過程，結合圖示最佳。

發送方：
1、使用單項加密算法計算數據文件的特征碼
2、使用發送方私鑰加密特征碼
3、使用對稱加密算法生成一對臨時密鑰
4、使用臨時密鑰加密數據文件和加密后的特征碼
5、使用接收方的公鑰加密使用臨時密鑰加密后的數據和特征碼和臨時密鑰的解密密碼，并將之發送給接收方

接收方
1、使用接收方的私鑰解密接收到的加密文件，解密后得到使用臨時密鑰加密后的加密文件和臨時密鑰的解密密碼
2、使用得到的臨時密鑰解密密碼解密加密文件，得到數據文件和特征碼
3、使用和發送方相同的單項加密算法計算數據文件得到特征碼，并將之與解密得到的特征碼對比驗證數據的完整性

N26-第十一周

2、描述創建私有CA的過程，以及為客戶端發來的證書請求進行辦法證書。

構建私有CA（openssl配置文件 /etc/pki/tls/openssl.cnf ）

1、生成私鑰

2、生成自簽證書

1、生成私鑰 [root@localhost ~]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
Generating RSA private key, 4096 bit long modulus
......................................................................................................................................................................................................................................................................................................................++
......................................++
e is 65537 (0x10001)
2、生成自簽證書
[root@localhost ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3560

為客戶端頒發證書

1、客戶端生成密鑰文件

2、生成證書簽署請求

3、將請求通過可靠方式發送給CA主機

4、在CA上簽署證書

1、生成私鑰
[root@localhost ~]# (umask 077; openssl genrsa -out /tmp/ceshi.key 2048)
Generating RSA private key, 2048 bit long modulus
.................+++
............+++
e is 65537 (0x10001)
2、生成證書簽署請求
[root@localhost ~]# openssl req -new -key /tmp/ceshi.key -out /tmp/ceshi.csr -days 365

    3、將證書簽署請求    發送給CA主機

4、CA簽署請求
[root@localhost ~]# openssl ca -in /tmp/ceshi.csr -out /tmp/ceshi.crt -days 365

    5、CA將證書發送給客戶端

3、描述DNS查詢過程以及DNS服務器類別。

客戶端在訪問一個網址的時候

第一步：查詢本地hosts文件

第二步：hosts文件中查詢不到時查詢本機的緩存

第三步：本地緩存查詢不到的時候，查詢本機指向的默認DNS服務器

第四步：由默認DNS服務器向根DNS服務器進行遞歸查詢（客戶端只查詢一次，由指定的DNS服務器進行查詢到結果后返回客戶端）

N26-第十一周

根據DNS服務器的用途分類：

（1）主域名服務器：負責維護這個區域的所有域名信息，是特定的所有信息的權威信息源。也是說，主域名服務器內所存儲的是該區域的正本數據，系統管理員可以對它進行修改。
（2）輔助域名服務器：當主域名服務器出現故障、關閉或負載過重時，輔助域名服務器作為備份服務提供域名解析服務。輔助域名服務器中的區域文件內的數據是從另外一臺域名服務器復制過來的，并不是直接輸入的，也是說這個區域文件只是一份副本，這里的數據是無法修改的。
（3）緩存域名服務器：可運行域名服務器軟件但沒有域名數據庫。它從某個遠程服務器取得每次域名服務器查詢的回答，一旦獲取一個答案，將它放在高速緩存中，以后查詢相同的信息時用它予以回答。緩存域名服務器不是權威性服務器，因為提供的所有信息都是間接信息。
（4）轉發域名服務器：負責所有非本地域名的本地查詢。轉發域名服務器接到查詢請求時，在其緩存中查找，如找不到把請求依次轉發到指定的域名服務器，直到查詢到結果為止，否則返回無法映射的結果。

4、搭建一套DNS服務器，負責解析magedu.com域名（自行設定主機名及IP）
(1)、能夠對一些主機名進行正向解析和逆向解析；
(2)、對子域cdn.magedu.com進行子域授權，子域負責解析對應子域中的主機名；

(3)、為了保證DNS服務系統的高可用性，請設計一套方案，并寫出詳細的實施過程

環境：

主DNS服務器 DNS1 192.168.44.20

從DNS服務器 DNS2 192.168.44.22

子域DNS服務器 DNS3 192.168.44.23

一、配置正向解析和逆向解析

1、主服務器安裝bind包
[root@DNS1 ~]# yum -y install bind*
2、編4、編輯正向解析數據文件輯主配置文件 /etc/named.conf (修改配置文件的ip和允許的范圍) [root@DNS1 ~]# vim /etc/named.conf 
    options {        listen-on port 53 { any; };        directory       "/var/named";        dump-file       "/var/named/data/cache_dump.db";        statistics-file "/var/named/data/named_stats.txt";        memstatistics-file "/var/named/data/named_mem_stats.txt";        allow-query     { any; };

    修改后檢查配置文件

    [root@DNS1 ~]# named-checkconf 
3、添加正向域和反向域配置
[root@DNS1 ~]# vim /etc/named.rfc1912.zones 
zone "magedu.com" IN {
        type master;
        file "magedu.com.zone";
};
zone "44.168.192.in-addr.arpa" IN {
        type master;
        file "192.168.44.zone";
}; 
4、編輯正向解析數據文件

    [root@DNS1 ~]# vim /var/named/magedu.com.zone
$TTL 3600
$ORIGIN magedu.com.
@       IN      SOA             @  dnsadmin.magedu.com. (
        2017040400
        1H
        10M
        3D
        1D )
        IN      NS      ns1
        IN      NS      ns2
        IN      MX      10      ms1
        IN      MX      20      ms2
ns1     IN      A       192.168.44.20
ns2     IN      A       192.168.44.22
ms1     IN      A       192.168.44.23
ms2     IN      A       192.168.44.23
web     IN      CNAME   ns1
www     IN      CNAME   ns1
5、編輯反向解析區域數據文件
[root@DNS1 ~]# vim /var/named/192.168.44.zone
    
        
    




    


    $TTL 3600$ORIGIN 44.168.192.in-addr.arpa.@       IN      SOA     ns1.magedu.com.      dnsadmin.magedu.com. (        2017040400        1H        10M        3D        12H )        IN      NS      ns1.magedu.com.        IN      NS      ns2.magedu.com.20      IN      PTR     ns1.magedu.com.22      IN      PTR     ns2.magedu.com.23      IN      PTR     ms1.magedu.com.23      IN      PTR     ms2.magedu.com.6、修改區域數據文件的屬組和權限[root@DNS1 ~]# chgrp named /var/named/magedu.com.zone /var/named/192.168.44.zone [root@DNS1 ~]# chmod o-x /var/named/magedu.com.zone /var/named/192.168.44.zone 

    7、檢查配置文件、重啟服務或重載配置 


    


    [root@DNS1 ~]# named-checkconf -zzone localhost.localdomain/IN: loaded serial 0zone localhost/IN: loaded serial 0zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0zone 0.in-addr.arpa/IN: loaded serial 0zone magedu.com/IN: loaded serial 2017040400zone 44.168.192.in-addr.arpa/IN: loaded serial 2017040400

    [root@DNS1 ~]# rndc reloadserver reload successful

    8、測試

        正解

    [root@DNS1 ~]# dig www.magedu.com; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> www.magedu.com;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16029;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2;; OPT PSEUDOSECTION:; EDNS: version: 0, flags:; udp: 4096;; QUESTION SECTION:;www.magedu.com.            IN  A;; ANSWER SECTION:www.magedu.com.     3600    IN  CNAME   ns1.magedu.com.ns1.magedu.com.     3600    IN  A   192.168.44.20;; AUTHORITY SECTION:magedu.com.     3600    IN  NS  ns2.magedu.com.magedu.com.     3600    IN  NS  ns1.magedu.com.;; ADDITIONAL SECTION:ns2.magedu.com.     3600    IN  A   192.168.44.22;; Query time: 1 msec;; SERVER: 127.0.0.1#53(127.0.0.1);; WHEN: Wed Apr 05 17:42:14 EDT 2017;; MSG SIZE  rcvd: 125

    


    反解
[root@DNS1 ~]# dig -x 192.168.44.22

; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> -x 192.168.44.22
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58321
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;22.44.168.192.in-addr.arpa.    IN  PTR

;; ANSWER SECTION:
22.44.168.192.in-addr.arpa. 3600 IN PTR ns2.magedu.com.

;; AUTHORITY SECTION:
44.168.192.in-addr.arpa. 3600   IN  NS  ns1.magedu.com.

;; ADDITIONAL SECTION:
ns1.magedu.com.     3600    IN  A   192.168.44.20

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Apr 05 17:42:50 EDT 2017
;; MSG SIZE  rcvd: 117

二、子域授權

1、在授權服務器配置文件中增加

[root@DNS1 ~]# vim /var/named/magedu.com.zone 

    

dns     IN      NS      ns1.dns
ns1.dns IN      A       192.168.44.23

2、在被授權服務器上安裝bind，并編輯配置文件 /etc/named.rfc1912.zones

[root@DNS3 ~]# yum -y install bind
[root@DNS3 ~]# vim /etc/named.rfc1912.zones 
zone "dns.magedu.com" IN {
        type master;
        file "dns.magedu.com.zone";
};

zone "magedu.com" IN {
        type forward;
        forward only;
        forwarders { 192.168.44.20;};
};

3、在被授權服務器上添加子域數據庫文件

[root@DNS3 ~]# vim /var/named/dns.magedu.com.zone
$TTL 3600
$ORIGIN dns.magedu.com.
@       IN      SOA     ns1.dns.magedu.com.     dnsadmin.magedu.com. (
        2017040400
        1H
        2D
        10M
        3D )
        IN      NS      ns1
ns1     IN      A       192.168.44.23
ns2     IN      A       192.168.44.20

4、檢查配置文件并修改數據庫配置文件權限后重啟服務或重載配置文件，

[root@DNS3 ~]# named-checkconf -z
zone localhost.localdomain/IN: loaded serial 0
zone localhost/IN: loaded serial 0
zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
zone 0.in-addr.arpa/IN: loaded serial 0
zone dns.magedu.com/IN: loaded serial 2017040400
[root@DNS3 ~]# chown :named /var/named/dns.magedu.com.zone

    [root@DNS3 ~]# chmod o-x  /var/named/dns.magedu.com.zone  

[root@DNS3 ~]# service  named restart

5、測試使用

[root@DNS1 ~]# dig -t A  www.dns.magedu.com @192.168.44.23

; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> -t A www.dns.magedu.com @192.168.44.23
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 4146
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.dns.magedu.com.        IN  A

;; ANSWER SECTION:
www.dns.magedu.com. 3600    IN  A   192.168.44.20

;; AUTHORITY SECTION:
dns.magedu.com.     3600    IN  NS  ns1.dns.magedu.com.

;; ADDITIONAL SECTION:
ns1.dns.magedu.com. 3600    IN  A   192.168.44.23

;; Query time: 4 msec
;; SERVER: 192.168.44.23#53(192.168.44.23)
;; WHEN: Thu Apr 06 18:22:14 EDT 2017
;; MSG SIZE  rcvd: 97

三、主從復制

1、修改主DNS配置文件（允許從服務器復制）

[root@DNS1 ~]# vim /etc/named.rfc1912.zones  
zone "magedu.com" IN {
        type master;
        file "magedu.com.zone";
        allow-transfer { 192.168.44.22 ;};
};

2、修改主服務器的域數據庫文件（添加從服務器的資源記錄和A記錄）

[root@DNS1 ~]# vim /var/named/magedu.com.zone 
$TTL 3600
$ORIGIN magedu.com.
@       IN      SOA             @  dnsadmin.magedu.com. (
        2017040400
        1H
        10M
        3D
        1D )
        IN      NS      ns1
dns     IN      NS      ns1.dns
        IN      NS      slave
slave   IN      A       192.164.44.22
ns1.dns IN      A       192.168.44.23
ns1     IN      A       192.168.44.20
ms1     IN      A       192.168.44.23
ms2     IN      A       192.168.44.23
web     IN      CNAME   ns1
www     IN      CNAME   ns1

3、檢查主DNS服務器配置文件后重載配置文件

[root@DNS1 ~]# named-checkconf -z
zone localhost.localdomain/IN: loaded serial 0
zone localhost/IN: loaded serial 0
zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
zone 0.in-addr.arpa/IN: loaded serial 0
zone 44.168.192.in-addr.arpa/IN: loaded serial 2017040400
zone magedu.com/IN: loaded serial 2017040400
[root@DNS1 ~]# rndc reload
server reload successful

4、從服務器安裝bind軟件包并修改配置文件

[root@DNS2 ~]# yum -y install bind*
[root@DNS2 ~]# vim /etc/named.conf 
options {
        listen-on port 53 { any; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
        allow-query     { any; };

    

[root@DNS2 ~]# vim /etc/named.rfc1912.zones 
zone "magedu.com" IN {
        type slave;
        file "slaves/magedu.com.zone";
        masters { 192.168.44.20; };
        };

5、檢查配置文件并重啟或重載named配置文件

[root@DNS2 ~]# named-checkconf -z
zone localhost.localdomain/IN: loaded serial 0
zone localhost/IN: loaded serial 0
zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN: loaded serial 0
zone 1.0.0.127.in-addr.arpa/IN: loaded serial 0
zone 0.in-addr.arpa/IN: loaded serial 0
[root@DNS2 ~]# systemctl restart named

6、使用dig測試主從復制是否可行

[root@DNS2 ~]# dig -t axfr magedu.com @192.168.44.20

; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> -t axfr magedu.com @192.168.44.20
;; global options: +cmd
magedu.com.     3600    IN  SOA magedu.com. dnsadmin.magedu.com. 2017040416 60 60 60 60
magedu.com.     3600    IN  NS  ns1.magedu.com.
dns.magedu.com.     3600    IN  NS  ns1.dns.magedu.com.
dns.magedu.com.     3600    IN  NS  ns2.magedu.com.
ns1.dns.magedu.com. 3600    IN  A   192.168.44.23
ms1.magedu.com.     3600    IN  A   192.168.44.23
ms2.magedu.com.     3600    IN  A   192.168.44.23
ns1.magedu.com.     3600    IN  A   192.168.44.20
ns2.magedu.com.     3600    IN  A   192.164.44.22
web.magedu.com.     3600    IN  CNAME   ns1.magedu.com.
www.magedu.com.     3600    IN  CNAME   ns1.magedu.com.
magedu.com.     3600    IN  SOA magedu.com. dnsadmin.magedu.com. 2017040416 60 60 60 60
;; Query time: 1 msec
;; SERVER: 192.168.44.20#53(192.168.44.20)
;; WHEN: Sun Apr 09 12:25:01 EDT 2017
;; XFR size: 12 records (messages 1, bytes 291)

7、修改主服務器數據文件版本號后查看重復服務器日志

[root@DNS2 ~]# tailf /var/log/messages
Apr  9 12:36:14 localhost named[2365]: zone magedu.com/IN: Transfer started.
Apr  9 12:36:14 localhost named[2365]: transfer of 'magedu.com/IN' from 192.168.44.20#53: connected using 192.168.44.22#53928
Apr  9 12:36:14 localhost named[2365]: zone magedu.com/IN: transferred serial 2017040419
Apr  9 12:36:14 localhost named[2365]: transfer of 'magedu.com/IN' from 192.168.44.20#53: Transfer completed: 1 messages, 12 records, 291 bytes, 0.001 secs (291000 bytes/sec)
Apr  9 12:36:14 localhost named[2365]: zone magedu.com/IN: sending notifies (serial 2017040419)

8、測試從服務器解析

[root@DNS2 ~]# dig www.magedu.com @192.168.44.22

; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7 <<>> www.magedu.com @192.168.44.22
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48968
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.magedu.com.            IN  A

;; ANSWER SECTION:
www.magedu.com.     3600    IN  CNAME   ns1.magedu.com.
ns1.magedu.com.     3600    IN  A   192.168.44.20

;; AUTHORITY SECTION:
magedu.com.     3600    IN  NS  ns1.magedu.com.

;; Query time: 0 msec
;; SERVER: 192.168.44.22#53(192.168.44.22)
;; WHEN: Sun Apr 09 12:30:26 EDT 2017
;; MSG SIZE  rcvd: 91

原創文章，作者：胡安慧，如若轉載，請注明出處：http://www.www58058.com/71699

贊 (0)

1

使用tar打包并使用gzip壓縮的shell腳本應用實驗

上一篇 2017-04-09 15:21

N25-第十二周博客作業

下一篇 2017-04-09 15:41

Linux網絡管理基礎

Linux網絡管理基礎動態路由 Bonding Network Teaming 靜態路由實驗 Linux的網絡管理，了解基本的網絡知識是基礎，除此，要掌握好ifconig命令、ip命令、nmcli命令（CentOS 7),以及涉及到網絡的配置文件。配置動態路由：通過守護進程獲取動態路由，安裝quagga包，支持RIP、OSPF、BGP，通過命令vtys…

Linux干貨 2016-09-09
基于lvs調度的web應用——Discuz程序

實驗環境：前端主機：10.1.43.101 后端主機1：172.16.0.9 作為lvs-dr的調度器，并且提供mysql和nfs文件共享后端主機2：172.16.0.2 作為ap服務器之一后端主機3：172.16.0.3 作為ap服務器之一實驗拓撲：后端主機1： [root@node3…

Linux干貨 2016-10-26
馬哥教育網絡班21期+第八周課程練習

1、請描述網橋、集線器、二層交換機、三層交換機、路由器的功能、使用場景與區別。網橋:也叫做橋接器，工作在OSI七層中第二層數據鏈路層，主要是用來連接兩個局域網的一種存儲或者轉發設備，它能將一個大的LAN分隔為多個網段，也可以將多個LAN互聯為一個邏輯LAN，網橋是在數據層上實現的局域網互聯；即使…

Linux干貨 2016-09-08
學習宣言

如果自己都不愿意動，沒有人能幫助我成功！

Linux干貨 2016-12-26
Linux干貨

第六周學習總結

寫在前面在互聯網+的時代，網絡顯得越發重要，如果現在你一頓不吃飯可能還沒事但是一個小時沒網絡，估計你都要瘋了。那么網絡到底是個啥呢？看不見又摸不著。拿著一臺電腦怎么和網絡建立連接呢？那么下面要講解的內容或許可以給你解決個大概。閑聊網絡如果讓你修一棟房子你會一層一層的往上修，并且規劃好一層用來開商鋪，二層用來開超市，上面一層用來干嘛等等，其實網絡也是一樣…

2018-01-08
與shell的”初接觸”

Linux干貨 2016-08-15

評論列表（1條）

馬哥教育 2017-04-13 09:40

證書加密還可以再深入下，dns這塊比較詳細，能提現迭代查詢和遞歸查詢會更好~

欧美性久久久久