N26-博客作業-week11

浙江-咲 ? ? Linux干貨

1、詳細描述一次加密通訊的過程,結合圖示最佳。

N26-博客作業-week11

加密過程    1、先用單向加密算法計算出數據的特征碼    2、私鑰加密特征碼,并將結果附加在數據之后    3、生成一個臨時的對稱密鑰,并使用對稱密鑰加密整段數據    4、獲取對方的公鑰,使用該公鑰加密之前生成的臨時對稱密鑰,并附加在數據之后    5、將所有數據發送給對方解密過程    1、先使用私鑰解密加密的對稱密鑰    2、用對稱密鑰解密加密的數據    3、用對方的公鑰解密特征碼,能解密則身份得到驗證    4、用相同的加密算法計算數據的特征碼,并與解密得到的特征碼進行比較,判斷數據完整性

2、描述創建私有CA的過程,以及為客戶端發來的證書請求進行頒發證書。

構建私有CA:    在確定配置為CA的服務上生成一個自簽證書,并為CA提供所需要的目錄及文件即可;        步驟:        (1) 生成私鑰;            ~]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)        (2) 生成自簽證書;            ~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655                -new:生成新證書簽署請求;                -x509:生成自簽格式證書,專用于創建私有CA時;                -key:生成請求時用到的私有文件路徑;                -out:生成的請求文件路徑;如果自簽操作將直接生成簽署過的證書;                -days:證書的有效時長,單位是day;        (3) 為CA提供所需的目錄及文件;            ~]# mkdir  -pv  /etc/pki/CA/{certs,crl,newcerts}            ~]# touch  /etc/pki/CA/{serial,index.txt}            ~]# echo  01 > /etc/pki/CA/serial            要用到證書進行安全通信的服務器,需要向CA請求簽署證書:        步驟:(以httpd為例)        (1) 用到證書的主機生成私鑰;            ~]# mkdir  /etc/httpd/ssl             ~]# cd  /etc/httpd/ssl            ~]# (umask  077; openssl  genrsa -out  /etc/httpd/ssl/httpd.key  2048)        (2) 生成證書簽署請求            ~]# openssl  req  -new  -key  /etc/httpd/ssl/httpd.key  -out /etc/httpd/ssl/httpd.csr  -days  365        (3) 將請求通過可靠方式發送給CA主機;                (4) 在CA主機上簽署證書;            ~]# openssl ca  -in  /tmp/httpd.csr  -out  /etc/pki/CA/certs/httpd.crt  -days  365                        查看證書中的信息:                ~]# openssl  x509  -in /etc/pki/CA/certs/httpd.crt  -noout  -serial  -subject

3、描述DNS查詢過程以及DNS服務器類別。

DNS查詢過程    當客戶端程序要通過一個主機名稱來訪問網絡中的一臺主機時,它首先要得到這個主機名稱所對應的IP地址,因為IP數據報中允許放置的是目地主機的IP地址,而不是主機名稱??梢詮谋緳C的hosts文件中得到主機名稱所對應的IP地址,但如果hosts文件不能解析該主機名稱時,只能通過向客戶機所設定DNS服務器進行查詢了??梢砸圆煌姆绞綄NS查詢進行解析:    第一種是本地解析,就是客戶端可以使用緩存信息就地應答,這些緩存信息是通過以前的查詢獲得的。    第二種是直接解析,就是直接由所設定的DNS服務器解析,使用的是該DNS服務器的資源記錄緩存或者其權威回答(如果所查詢的域名是該服務器管轄的)。    第三種是遞歸查詢,即設定的DNS服務器代表客戶端向其他DNS服務器查詢,以便完全解析該名稱,并將結果返回至客戶端。    第四種是迭代查詢,即設定的DNS服務器向客戶端返回一個可以解析該域名的其他DNS服務器,客戶端再繼續向其他DNS服務器查詢。DNS服務器的類型:    DNS域名服務器是用來存儲主機-域名映射信息的,這些服務器具體又可以分為以下幾類:        1、主域名服務器(primary name server)            它是特定域所有信息的權威性信息源。它從域管理員構造的本地磁盤文件中加載域信息,該文件(區文件)包含著該服務器具有管理權的一部分域結構的最精確信息。主服務器是一種權威性服務器,因為它以絕對的權威去回答對其管轄域的任何查詢。        2、從域名服務器(secondary name server)            它可從主服務器中復制一整套域信息。區文件是從主服務器中復制出來的,并作為本地磁盤文件存儲在輔助服務器中。這種復制稱為"區文件復制"。在輔助域名服務器中有一個所有域信息的完整拷貝,可以有權威地回答對該域的查詢。因此,輔助域名服務器也稱作權威性服務器。配置輔助域名服務器不需要生成本地區文件,因為可以從主服務器中下載該區文件。        3、緩存名稱服務器(caching-only server)            可運行域名服務器軟件,但是沒有域名數據庫軟件。它從某個遠程服務器取得每次域名服務器查詢的結果,一旦取得一個,就將它放在高速緩存中,以后查詢相同的信息時就用它予以回答。高速緩存服務器不是權威性服務器,因為它提供的所有信息都是間接信息。對于高速緩存服務器只需要配置一個高速緩存文件,但最常見的配置還包括一個回送文件,這或許是最常見的域名服務器配置。        4、轉發域名服務器            負責所有非本地域名的本地查詢。轉發域名服務器接到查詢請求時,在其緩存中查找,如找不到把請求依次轉發到指定的域名服務器,直到查詢到結果為止,否則返回無法映射的結果。

4、搭建一套DNS服務器,負責解析magedu.com域名(自行設定主機名及IP)
  (1)、能夠對一些主機名進行正向解析和逆向解析;
  (2)、對子域cdn.magedu.com進行子域授權,子域負責解析對應子域中的主機名;
  (3)、為了保證DNS服務系統的高可用性,請設計一套方案,并寫出詳細的實施過程

修改主配置文件/etc/named.conf

~]# vim /etc/named.conf
options{
        listen-on port 53 { any; };
//      listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file      "/var/named/data/cache_dump.db";
        statistics-file"/var/named/data/named_stats.txt";
        memstatistics-file"/var/named/data/named_mem_stats.txt";
        allow-query     { any; };
        recursion yes;
  
        dnssec-enable no;
        dnssec-validation no;
  
        /* Path to ISC DLV key */
//      bindkeys-file"/etc/named.iscdlv.key";
  
//      managed-keys-directory"/var/named/dynamic";
};
  
logging {
        channel default_debug{
                file"data/named.run";
                severitydynamic;
        };
};
  
zone "." IN {
        type hint;
        file"named.ca";
};
  
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

在文件/etc/named.rfc1912.zones中定義區域

~]# vim/etc/named.rfc1912.zones
zone"magedu.com" IN {
        type master;
        file "magedu.com.zone";
};

zone"12.168.192.in-addr.arpa" IN {
        type master;
        file "12.168.192.zone";
};

創建區域解析庫文件

named]# vim magedu.com.zone
$TTL 3600
$ORIGIN magedu.com.
@       IN      SOA     ns1.magedu.com.     dnsadmin.magedu.com.    (
        2018041801
        1H
        10M
        3D
        1D)      
    IN      NS      ns1
    IN      NS      ns2
    IN      MX 10   mx1
    IN      MX 20   mx2
ns1     IN      A      192.168.12.130
ns2     IN      A      192.168.12.131
mx1     IN      A      192.168.12.130
mx2     IN      A      192.168.12.131
www     IN      A      192.168.12.130
www     IN      A      192.168.12.131
web     IN      CNAME      www

named]# vim 12.168.192.zone
$TTL 3600
$ORIGIN 12.168.192.in-addr.arpa.
@       IN      SOA     ns1.magedu.com.     dnsadmin.magedu.com.    (
        2018041801
        1H
        10M
        3D
        1D)      
    IN      NS     ns1.magedu.com.
    IN      NS     ns2.magedu.com.
130     IN      PTR    ns1.magedu.com.
131     IN      PTR    ns2.magedu.com.
130     IN      PTR    xm1.magedu.com.
131     IN      PTR    xm2.magedu.com.
130     IN      PTR    www.magedu.com.
131     IN      PTR    www.magedu.com.

檢查是否有語法錯誤

named]# named-checkconf
named]# named-checkzone "magedu.com" magedu.com.zone 
zone magedu.com/IN: loaded serial 2018041801
OK
named]# named-checkzone "0.11.10.in-addr.arpa" 0.11.10.zone              
zone 0.11.10.in-addr.arpa/IN: loaded serial 2018041801
OK

修改權限及重啟服務

named]# chown named magedu.com.zone
named]# chown named 12.168.192.zone
~]# systemctl reload named.service

配置從DNS服務器

~]# vim/etc/named.rfc1912.zones
zone"magedu.com" IN {
        type slave;
        masters { 192.168.12.130; };
        file "slaves/magedu.com.zone";
};

zone"12.168.192.in-addr.arpa" IN {
        type slave;
        masters { 192.168.12.130; };
        file "slaves/12.168.192.zone";
};

檢查是否有語法錯誤,重載服務

配置子域服務器

在主DNS服務器(父域)的區域解析庫文件中添加NS和A記錄
~]# vim/var/named/magedu.com.zone
       cdn     IN     NS      ns1.cdn.magedu.com.
       ns1.cdn    IN     A       192.168.12.132

在子域的配置文件中添加區域

~]# vim /etc/named.rfc1912.zones
zone"cdn.magedu.com" IN {
        type master;
        file "cdn.magedu.com.zone";
};

zone"magedu.com" IN {
        type forward;
        forward first;
        forwarders { 192.168.12.130; };
};

配置子域服務器的區域文件

named]# vim cdn.magedu.com.zone
$TTL 3600
$ORIGIN cdn.magedu.com.
@       IN      SOA     ns1.magedu.com.     dnsadmin.magedu.com.    (
        2018041801
        1H
        10M
        3D
        1D)
    IN     NS      ns1
ns1   IN     A      192.168.12.132
www   IN     A      192.168.12.132

檢查是否有語法錯誤,重載服務

原創文章,作者:浙江-咲,如若轉載,請注明出處:http://www.www58058.com/73665

(0)
浙江-咲浙江-咲
上一篇 2017-04-18
下一篇 2017-04-18

相關推薦

  • Vim編輯器解析

    vim編輯器 概述:   VIM即ViIMproved:vi的增強版 ,vim是模式化的編輯。   vi:Visual lnterface,是一種文本編輯器,所謂文本編輯數據是基于字符編碼的文件,常見的編碼 有ASCII編碼,UNICODE編碼。 種類:   行編輯器:所謂行編輯器是指一行行來編輯處理的工具   全屏編…

    Linux干貨 2016-08-10

  • 馬哥教育網絡班20期+第5周課程練習

    1、顯示/boot/grub/grub.conf中以至少一個空白字符開頭的行; grep "^[[:space:]]\+.*" /boot/grub/grub.conf   2、顯示/etc/rc.d/rc.sysinit文件中以#開頭,后面跟至少一個空白字符,而后又有至少一個非空白字符的行; grep&nb…

    Linux干貨 2016-07-12

  • vim文本編輯器

    vi簡介 vi:Visual Interface,是一種功能強大的文本編輯器,工作在字符模式下,它可執行輸出、輸出、查找、替換、塊等眾多文本操作,不需要圖形界面,因此執行起來效率會非常高,主要用來編輯純文本文件,常見的編碼有,ASCII,Unicode等等 文本編輯器的種類:     行編輯器:逐行來對文本進行處理的工…

    Linux干貨 2016-08-15

  • 磁盤管理及shell腳本編程練習

    1、創建一個10G分區,并格式為ext4文件系統 a)?要求其block大小為2048,預留空間百分比為2,卷標為MYDATA,默認掛載屬性包含acl; ~]# mke2fs –t ext4 –b 2048 –m 2 –L MYDATA? /dev/sda3 b)?掛載至/data/madata目錄,要求掛載時禁止程序自動運行,且不更新文件的訪問時間戳; ~…

    2017-11-15

  • 密碼保護:ansible書籍部分目錄

    無法提供摘要。這是一篇受保護的文章。

    Linux干貨 2015-12-14

  • 腳本

    1、寫一個腳本,判斷當前系統上所有用戶的shell是否為可登錄shell(即用戶的shell不是/sbin/nologin);分別這兩類用戶的個數;通過字符串比較來實現;     #!/bin/bash     #     sum=0 &n…

    Linux干貨 2016-12-23

評論列表(1條)

  • 馬哥教育
    馬哥教育 2017-05-04 14:30

    這個流程圖滿分,在企業里這種將抽象事物具象化的能力非常受歡迎。

欧美性久久久久