第十一周作業

N27_flypig ? ? Linux干貨

第十一周作業

1、詳細描述一次加密通訊的過程,結合圖示最佳

2

第一階段:ClientHello:
支持的協議版本,比如tls 1.2;
客戶端生成一個隨機數,稍后用戶生成“會話密鑰”
支持的加密算法,比如AES、3DES、RSA;
支持的壓縮算法;

第二階段:ServerHello
確認使用的加密通信協議版本,比如tls 1.2;
服務器端生成一個隨機數,稍后用于生成“會話密鑰”
確認使用的加密方法;
服務器證書;

第三階段:
驗正服務器證書,在確認無誤后取出其公鑰;(發證機構、證書完整性、證書持有者、證書有效期、吊銷列表)                
發送以下信息給服務器端:
一個隨機數;
編碼變更通知,表示隨后的信息都將用雙方商定的加密方法和密鑰發送;
客戶端握手結束通知;

第四階段:
收到客戶端發來的第三個隨機數pre-master-key后,計算生成本次會話所有到的“會話密鑰”;
向客戶端發送如下信息:
編碼變更通知,表示隨后的信息都將用雙方商定的加密方法和密鑰發送;
服務端握手結束通知;

2、描述創建私有CA的過程,以及為客戶端發來的證書請求進行頒發證書

首先配置CA服務器
1)生成私鑰
~]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
2)生成自簽證書
~]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655
3)創建所需的目錄及文件
~]# mkdir  -pv  /etc/pki/CA/{certs,crl,newcerts}
~]# touch  /etc/pki/CA/{serial,index.txt}
~]# echo  01 > /etc/pki/CA/serial

客戶端
(1) 用到證書的主機生成私鑰;
~]# mkdir  /etc/httpd/ssl 
~]# cd  /etc/httpd/ssl
~]# (umask  077; openssl  genrsa -out  /etc/httpd/ssl/httpd.key  2048)
(2) 生成證書簽署請求
~]# openssl  req  -new  -key  /etc/httpd/ssl/httpd.key  -out /etc/httpd/ssl/httpd.csr  -days  365
 (3) 將請求通過可靠方式發送給CA主機;
scp /etc/httpd/ssl/httpd.csr  root@CAIPADRESS:/tmp/httpd.csr

CA簽署證書并發放證書給請求者
#openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
scp /tmp/httpd.csr root@HTTPIPADRESS:/etc/httpd/ssl/httpd.crt

3、描述DNS查詢過程以及DNS服務器類別

3

詳情可參見http://blog.chinaunix.net/uid-28216282-id-3757849.html這篇博客,寫的很詳細

4、搭建一套DNS服務器,負責解析magedu.com域名(自行設定主機名及IP)

1)能夠對一些主機名進行正向解析和逆向解析
#yum -y install bind*
#[root@localhost ~]# vim /etc/named.conf
    listen-on port 53 { any; };
    dnssec-enable no;
    dnssec-validation no;

修改配置文件
vim /etc/named.rfc1912.zones
zone "shoushangdezhu.com" IN {
        type master;
        file "shoushangdezhu.com.zone";
        allow-transfer { slaves; };
};
zone "68.168.192.in-addr.arpa" IN {
        type master;
        file "192.168.68.134.zone";
};

配置正向,反向zone文件

]# vim /var/named/shoushangdezhu.com.zone
$TTL 3600
$ORIGIN shoushangdezhu.com.
@       IN      SOA     ns1.shoushangdezhu.com.         18717961178.163.com. (
        20170931
        1H
        10M
        3D
        1D )
        IN      NS      ns2
        IN      NS      ns3
        IN      NS      ns1.shoushangdezhu.com.
        IN      MX      10 MX1
ns1     IN      A       192.168.68.134
MX1     IN      A       192.168.68.150
www     IN      A       192.168.68.134
web     IN      CNAME   www
bbs     IN      A       192.168.68.151
ns2     IN      A       192.168.68.130
pop3    IN      A       192.168.68.135
ppp     IN      A       192.168.68.156
ns3     IN      A       192.168.68.141
ns1.ops IN      A       192.168.68.139


]# vim /var/named/192.168.68.134.zone
$TTL 3600
$ORIGIN 68.168.192.in-addr.arpa.
@       IN      SOA     ns1.shoushangdezhu.com. 18717961178.163.com. (
                201709235
                1H
                10M
                3D
                12H )
        IN      NS      ns1.shoushangdezhu.com.
        IN      NS      ns2.shoushangdezhu.com.
        IN      NS      ns3.shoushangdezhu.com.
134     IN      PTR     ns1.shoushangdezhu.com.
134     IN      PTR     www.shoushangdezhu.com.
151     IN      PTR     bbs.shoushangdezhu.com.
150     IN      PTR     pop3.shoushangdezhu.com.
130     IN      PTR     ns2shoushangdezhu.com.
155     IN      PTR     bb3.shoushangdezhu.com.
141     IN      PTR     ns3.shoushangdezhu.com.


添加文件權限
[root@localhost ~]# chgrp named /var/named/shoushangdezhu.cmo.zone
[root@localhost ~]# chmod o= /var/named/ shoushangdezhu.cmo.zone
[root@localhost ~]# chgrp named /var/named/192.168.134.zone 
[root@localhost ~]# chmod o= /var/named/192.168.134.zone

檢查語法
[root@localhost ~]# named-checkconf 
[root@localhost~]#named-checkzone "shoushangdehzu.com" /var/named/magedu.com.zone
 [root@localhost ~]# named-checkzone "134.68.168.192.in-addr.arpa" /var/named/192.168.68.134.zone

測試
[root@localhost named]# dig -x 192.168.68.134 @192.168.68.134

; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7 <<>> -x 192.168.68.134 @192.168.68.134
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17798
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 3, ADDITIONAL: 4

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;134.68.168.192.in-addr.arpa.    IN    PTR

;; ANSWER SECTION:
134.68.168.192.in-addr.arpa. 3600 IN    PTR    ns1.shoushangdezhu.com.
134.68.168.192.in-addr.arpa. 3600 IN    PTR    www.shoushangdezhu.com.

;; AUTHORITY SECTION:
68.168.192.in-addr.arpa. 3600    IN    NS    ns2.shoushangdezhu.com.
68.168.192.in-addr.arpa. 3600    IN    NS    ns3.shoushangdezhu.com.
68.168.192.in-addr.arpa. 3600    IN    NS    ns1.shoushangdezhu.com.

;; ADDITIONAL SECTION:
ns1.shoushangdezhu.com.    3600    IN    A    192.168.68.134
ns2.shoushangdezhu.com.    3600    IN    A    192.168.68.130
ns3.shoushangdezhu.com.    3600    IN    A    192.168.68.141

;; Query time: 1 msec
;; SERVER: 192.168.68.134#53(192.168.68.134)
;; WHEN: Sun Oct 29 12:52:42 CST 2017
;; MSG SIZE  rcvd: 208

[root@localhost named]# dig -t A www.shoushangdezhu.com @192.168.68.134

; <<>> DiG 9.9.4-RedHat-9.9.4-51.el7 <<>> -t A www.shoushangdezhu.com @192.168.68.134
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7856
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 4

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.shoushangdezhu.com.        IN    A

;; ANSWER SECTION:
www.shoushangdezhu.com.    3600    IN    A    192.168.68.134

;; AUTHORITY SECTION:
shoushangdezhu.com.    3600    IN    NS    ns2.shoushangdezhu.com.
shoushangdezhu.com.    3600    IN    NS    ns1.shoushangdezhu.com.
shoushangdezhu.com.    3600    IN    NS    ns3.shoushangdezhu.com.

;; ADDITIONAL SECTION:
ns2.shoushangdezhu.com.    3600    IN    A    192.168.68.130
ns3.shoushangdezhu.com.    3600    IN    A    192.168.68.141
ns1.shoushangdezhu.com.    3600    IN    A    192.168.68.134

;; Query time: 0 msec
;; SERVER: 192.168.68.134#53(192.168.68.134)
;; WHEN: Sun Oct 29 12:53:30 CST 2017
;; MSG SIZE  rcvd: 169
2)對子域cdn.magedu.com進行子域授權,子域負責解析對應子域中的主機名
3)為了保證DNS服務系統的高可用性,請設計一套方案,并寫出詳細的實施過程

本文來自投稿,不代表Linux運維部落立場,如若轉載,請注明出處:http://www.www58058.com/88118

(0)
N27_flypigN27_flypig
上一篇 2017-10-29 11:20
下一篇 2017-10-29 14:21

相關推薦

  • 第一周博客 計算機組成及Linux基礎入門

    1、描述計算機組成及其功能。
    2、描述羅列Linux的發行版,并描述不同發行版之間的聯系和區別。
    3、描述Linux的哲學思想,并按照自己的理解對其進行解釋。
    4、說明Linux系統上命令的使用格式,詳細介紹ifconfig、echo、tty、startx、export、pwd、history、
    shutdown、poweroff、reboot、hwclock、date命令的使用,并配合相應的示例說明闡述。
    5、如何在Linux系統上獲取命令的幫助信息,請詳細列出,并描述man文檔的章節是如何劃分。
    6、請羅列Linux發行版的基礎目錄名稱命名法則及功能規定。

    2017-12-02

  • 關于Linux系統無法啟動的問題(1)

                                  &nbsp…

    2017-09-04

  • Docker入門

    一、Docker 架構 Docker 使用客戶端-服務器 (C/S) 架構模式,使用遠程API來管理和創建Docker容器。 Docker 容器通過 Docker 鏡像來創建。 容器與鏡像的關系類似于面向對象編程中的對象與類。 Docker 面向對象 容器 對象 鏡像 類 Docker 鏡像(Images) Docker 鏡像是用于創建 Docker 容器的…

    2018-01-20

  • NoSQL之MongoDB

    分布式系統理論 1、 CAP: 分布式系統只能滿足其中兩個? Consistency :一致性 Availibility:可用性 Partitions Tolerance :分區容錯性 C,A : SQL 傳統的數據庫。 兩段機制。 C,P :悲觀枷鎖機制,分布式加鎖機制。加鎖機制與SQL不太一樣。 這里的C為最終一致性。 放棄C后的特例,既可以保證可用性,…

    2018-01-09

  • shell腳本編程入門(一)

    概述 shell腳本就像是早期DOS年代的批處理文件(.bat),最簡單的功能就是將許多命令寫在一起,讓用戶很輕松能夠一下子處理復雜的操作(執行一個腳本就能夠一次執行多個命令)。而shell腳本更提供數組、循環、條件與邏輯判斷等功能,讓用戶也可以直接以shell來編寫程序,而不必使用類似C語言等傳統程序編寫的語法。 shell腳本基礎 shell腳本是包含一…

    Linux干貨 2016-08-15

  • Linux進程管理

    一:進程的概念     1)進程:process,運行中的程序的一個副本的某部分,之所以說是副本的一部分是因為一個程序可以多個用戶同時以不同格式運行,如兩個用戶都在運行ls,一個運行的是ls -h ,另一個運行的是ls -l,那么這兩個用戶運行的程序代碼肯定是不一樣的而且不是程序的所有代碼;進程有生命周期; &nbsp…

    2017-03-26
欧美性久久久久