马哥教育网络班20期+第11周博客作业

1、详细描述一次加密通讯的过程,结合图示最佳。

例如:
    bob给alice发送一份数据:只能alice看到,不能被篡改。

    bob:
    首先用单向加密提取数据的特征码,然后用自己的私钥加密这个特征码并放在原有数据的后面;
    再用alice的公钥加密,发送给alice,于是只有alice能解密。

    alice:
    首先用自己的私钥解密,能解密,则身份得到验证;
    然后用对方公钥解密特征码,得到特征码;
    用同样的算法,对特征码进行加密,对比特征码是否相同,如果相同,则内容是完整的。

2、描述创建私有CA的过程,以及为客户端发来的证书请求进行颁发证书。

    cd /etc/pki/CA
    (umask 077;openssl genrsa -out private/cakey.pem 2048)
    ll private/
    touch index.txt
    echo 01 >serial

    openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 7300
    签署证书
    ll
    CA的证书做好了,cacert.pem

    然后在web服务器上生成证书申请请求:
    cd /etc/httpd/
    mkdir ssl
    cd ssl
    (umask 077; openssl genrsa -out httpd.key 1024)
    ll
    密钥已生成,再生成证书申请请求:
    openssl req -new -key httpd.key -out httpd.csr
    进行签署,跟刚才一样,注意保持一致,否则对方不给签。
    ll
    scp httpd.csr root@192.168.1.115:/tmp/
    我们在CA服务器上直接签即可:
    openssl ca -in /tmp/httpd.csr -out certs/web1.ams.com.crt -days 365
    ls
    ls newcerts/
    01证书已存在。

3、描述DNS查询过程以及DNS服务器类别。

  一次完整的查询请求经过的流程:
      Client --> hosts文件 --> DNS Service 
             --->Local Cache本地缓存 --> DNS Server (recursion递归) --> Server Cache服务器缓存 --> iteration(迭代) --> 
  
  DNS服务器类别:
      主DNS服务器
      辅助DNS服务器
      缓存DNS服务器  
      转发器

4、搭建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)

  (1)、能够对一些主机名进行正向解析和逆向解析;

  (2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;

  (3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程

配置服务器正向解析:

安装配置bind: 
yum install bind -y
service named start
ss -tunl |grep 53

1.vim /etc/named.conf  使之成为缓存名称服务器

// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

options {
//      listen-on port 53 { 127.0.0.1; };
//      listen-on-v6 port 53 { ::1; };
        directory       "/var/named";
        dump-file       "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
//      allow-query     { localhost; };
        recursion yes;

//      dnssec-enable yes;
//      dnssec-validation yes;

        /* Path to ISC DLV key */
//      bindkeys-file "/etc/named.iscdlv.key";

//      managed-keys-directory "/var/named/dynamic";
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

-- INSERT --          



2.vim /etc/named.rfc1912.zones    定义区域,添加一个zone
   
zone "ams.com" IN {
       type master;
       file "ams.com.zone";
};

rndc status
rndc reload
tail /var/log/messages  报错,因为区域解析库文件没提供,所以我们要创建



3. vim /var/named/ams.com.zone   编辑区域解析库文件,添加资源记录

$TTL 1D
$ORIGIN ams.com.
@        IN       SOA      ns1.ams.com.  admin.ams.com. (
                           2016072901
                           1H
                           5M
                           3D
                           1D)
         IN        NS      ns1
         IN        NS      ns2
ns1      IN        A       192.168.1.115
www      IN        A       192.168.1.115
*        IN        A       192.168.1.115


named -checkconf  没有消息说明没有错误
named-checkzone "ams.com" /var/named/ams.com.zone
cd /var/named/
chown :named ams.com.zone
chmod 640 ams.com.zone
rndc reload

tail /var/log/messages
dig -t A www.ams.com @192.168.1.115
dig -t A ftp.ams.com @192.168.1.115  泛域名解析,也是可以解析到的



4.子域授权:

配置子域服务器:
安装bind: yum install bind -y
service named start
ss -tunl |grep 53
vim /etc/named.conf  使之成为缓存名称服务器


vim /etc/named.rfc1912.zones

zone "ops.ams.com" IN {
       type master;
       file "ops.ams.com.zone";
};

vim /var/named/ops.ams.com.zone   编辑区域解析库文件

$TTL 1D
$ORIGIN ops.ams.com.
@        IN       SOA      ns1.ops.ams.com.  admin.ams.com. (
                           2016072901
                           1H
                           10M
                           3D
                           1D)
         IN        NS      ns1
         IN        NS      ns2
ns1      IN        A       192.168.1.117
ns2      IN        A       192.168.1.118
www      IN        A       192.168.1.119
*        IN        A       192.168.1.119

dig -t NS ops.ams.com @192.168.1.115 +norecurse  父域解析子域,要加上 +norecurse  迭代的方式去寻找
dig -t A www.ops.ams.com @192.168.1.115 +norecurse  




5、配置从服务器:
数据文件不用建立,会从主服务器上同步;
    前提:在主服务器上把这台服务器定义为DNS服务器才可以。就是在区域解析库文件中添加一条资源记录。否则不会通知。


配置区域,使成为缓存名称服务器:
   yum install bind -y

   vim /etc/named.conf  
     
     修改这几项:
       listen-on port 53 { 192.168.1.127; 127.0.0.1; };
       allow-query { any; };
       recursion yes;
     
     这几行都注释掉:
       dessec-enabled yes;
       dnssec-validation yes;
       dnssec-lookside auto;

       /* Path to ISC DLV key */ 
       bindkeys-file " /etc/named.iscdlv.key"; 
       managed-keys-directory "/var/named/dynamic"; 

     保存退出。

      service named start  测试服务是否可启动
      ss -tnl  确保监听了外部地址  tcp  53端口
      ss -unl  udp  53

     此时已成为缓存名称服务器了。


  再配置成正向的从服务器:
     vim /etc/named.rfc1912.zones

       zone "meer1.com" IN {    #注意这个名字要和主服务器保持一致
            type slave;
            masters { 192.168.1.129; };
            file "slaves/meer1.com.zone";  

       };


    rndc reload
    tail /var/log/messages  重载成功,传送开始。
    cd /var/named/slaves/
    ls      出现了个meer1.com.zone文件,切记,不要编辑从服务器的文件,要编辑也是主服务器的。
    vim meer1.com.zone  可以看下语法着色...这个文件是从主服务器传递来的。

    $ORIGIN .
    $TTL 86400      ; 1 day
    meer1.com               IN SOA  ns1.meer1.com. admin.meer1.com. (
                                    2016091001 ; serial
                                    3600       ; refresh (1 hour)
                                    300        ; retry (5 minutes)
                                    259200     ; expire (3 days)
                                    86400      ; minimum (1 day)
                                    )
                            NS      ns1.meer1.com.
                            NS      ns2.meer1.com.
    $ORIGIN meer1.com.
    *                       A       192.168.1.127
    ns1                     A       192.168.1.127
    ns2                     A       192.168.1.128
    www                     A       192.168.1.128


    这个时候修改主服务器的配解析库内容,从服务器会立即收到的。
    我们任何时候修改了解析库,要手动将序列号+1 。
    #rndc reload  重载解析库
    #tail /var/log/messages 序列号已改

    打开从服务器的解析库文件,vim meer1.com.zone 增加的内容也已经有了。
    同步几乎是实时的。取决于带宽。

原创文章,作者:mississippi,如若转载,请注明出处:http://www.178linux.com/45226

(0)
mississippimississippi
上一篇 2016-09-15
下一篇 2016-09-15

相关推荐

  • 马哥教育网络班20期+第9周课程练习

    1、写一个脚本,判断当前系统上所有用户的shell是否为可登录shell(即用户的shell不是/sbin/nologin);分别这两类用户的个数;通过字符串比较来实现; #!/bin/bash declare -i other=0 declare -i nologin=0 for i in&nbs…

    学员作品 2016-08-08
  • 正则表达式

    grep:Global search REgular expression and Print out the line         文本搜索工具,根据用户指定的”模式“对目标文本逐行进行匹配检查;打印匹配到的行        模式:由正则表达式字符及文本字符所编写的过滤条件…

    Linux干货 2016-08-08
  • Linux进程查看和管理及作业控制

    在linux系统中,内核的功用有:进程管理、文件系统、网络功能、内存管理、驱动程序、安全功能等,在这众多的模块中,进程管理是相对重要的一环,即使不像文件系统和网络功能那么复杂。在进程管理中,内核对进程的创建、切换、撤销和调度都有很详细的定义。  1、进程类型     守护进程:在系统引导过程中启动的进程,跟终端无关的进…

    学员作品 2016-11-14
  • 脚本例子

    1、每隔3秒钟到系统上获取已经登录的用户的信息;如果发现用户hacker登录,则将登录时间和主机记录于日志/var/log/login.log中,并提示该用户退出系统。 #!/bin/bash #author:Zhu Chaoming #date:20160816 #version:0.1 # while   true…

    学员作品 2016-08-22
  • vim文本处理工具

    vim编辑器     1、文本的编辑器的种类:         行编辑器:所谓的行编辑器是指一行一行来编辑处理的工具,如sed         全屏编辑器:编辑空间占据整个屏幕,如…

    学员作品 2016-08-10
  • 8月5日课堂及课后作业

    课堂作业 1.找出ifconfig命令结果中的IP地址 [root@localhost ~]# ifconfig |head -2|grep "inet" |tr " " ":"|cut -d:&nb…

    2016-08-08