1、详细描述一次加密通讯的过程,结合图示最佳。
例如: bob给alice发送一份数据:只能alice看到,不能被篡改。 bob: 首先用单向加密提取数据的特征码,然后用自己的私钥加密这个特征码并放在原有数据的后面; 再用alice的公钥加密,发送给alice,于是只有alice能解密。 alice: 首先用自己的私钥解密,能解密,则身份得到验证; 然后用对方公钥解密特征码,得到特征码; 用同样的算法,对特征码进行加密,对比特征码是否相同,如果相同,则内容是完整的。
2、描述创建私有CA的过程,以及为客户端发来的证书请求进行颁发证书。
cd /etc/pki/CA (umask 077;openssl genrsa -out private/cakey.pem 2048) ll private/ touch index.txt echo 01 >serial openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 7300 签署证书 ll CA的证书做好了,cacert.pem 然后在web服务器上生成证书申请请求: cd /etc/httpd/ mkdir ssl cd ssl (umask 077; openssl genrsa -out httpd.key 1024) ll 密钥已生成,再生成证书申请请求: openssl req -new -key httpd.key -out httpd.csr 进行签署,跟刚才一样,注意保持一致,否则对方不给签。 ll scp httpd.csr root@192.168.1.115:/tmp/ 我们在CA服务器上直接签即可: openssl ca -in /tmp/httpd.csr -out certs/web1.ams.com.crt -days 365 ls ls newcerts/ 01证书已存在。
3、描述DNS查询过程以及DNS服务器类别。
一次完整的查询请求经过的流程: Client --> hosts文件 --> DNS Service --->Local Cache本地缓存 --> DNS Server (recursion递归) --> Server Cache服务器缓存 --> iteration(迭代) --> DNS服务器类别: 主DNS服务器 辅助DNS服务器 缓存DNS服务器 转发器
4、搭建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)
(1)、能够对一些主机名进行正向解析和逆向解析;
(2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;
(3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程
配置服务器正向解析:
安装配置bind:
yum install bind -y
service named start
ss -tunl |grep 53
1.vim /etc/named.conf 使之成为缓存名称服务器
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
options {
// listen-on port 53 { 127.0.0.1; };
// listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
// allow-query { localhost; };
recursion yes;
// dnssec-enable yes;
// dnssec-validation yes;
/* Path to ISC DLV key */
// bindkeys-file "/etc/named.iscdlv.key";
// managed-keys-directory "/var/named/dynamic";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
-- INSERT --
2.vim /etc/named.rfc1912.zones 定义区域,添加一个zone
zone "ams.com" IN {
type master;
file "ams.com.zone";
};
rndc status
rndc reload
tail /var/log/messages 报错,因为区域解析库文件没提供,所以我们要创建
3. vim /var/named/ams.com.zone 编辑区域解析库文件,添加资源记录
$TTL 1D
$ORIGIN ams.com.
@ IN SOA ns1.ams.com. admin.ams.com. (
2016072901
1H
5M
3D
1D)
IN NS ns1
IN NS ns2
ns1 IN A 192.168.1.115
www IN A 192.168.1.115
* IN A 192.168.1.115
named -checkconf 没有消息说明没有错误
named-checkzone "ams.com" /var/named/ams.com.zone
cd /var/named/
chown :named ams.com.zone
chmod 640 ams.com.zone
rndc reload
tail /var/log/messages
dig -t A www.ams.com @192.168.1.115
dig -t A ftp.ams.com @192.168.1.115 泛域名解析,也是可以解析到的
4.子域授权:
配置子域服务器:
安装bind: yum install bind -y
service named start
ss -tunl |grep 53
vim /etc/named.conf 使之成为缓存名称服务器
vim /etc/named.rfc1912.zones
zone "ops.ams.com" IN {
type master;
file "ops.ams.com.zone";
};
vim /var/named/ops.ams.com.zone 编辑区域解析库文件
$TTL 1D
$ORIGIN ops.ams.com.
@ IN SOA ns1.ops.ams.com. admin.ams.com. (
2016072901
1H
10M
3D
1D)
IN NS ns1
IN NS ns2
ns1 IN A 192.168.1.117
ns2 IN A 192.168.1.118
www IN A 192.168.1.119
* IN A 192.168.1.119
dig -t NS ops.ams.com @192.168.1.115 +norecurse 父域解析子域,要加上 +norecurse 迭代的方式去寻找
dig -t A www.ops.ams.com @192.168.1.115 +norecurse
5、配置从服务器:
数据文件不用建立,会从主服务器上同步;
前提:在主服务器上把这台服务器定义为DNS服务器才可以。就是在区域解析库文件中添加一条资源记录。否则不会通知。
配置区域,使成为缓存名称服务器:
yum install bind -y
vim /etc/named.conf
修改这几项:
listen-on port 53 { 192.168.1.127; 127.0.0.1; };
allow-query { any; };
recursion yes;
这几行都注释掉:
dessec-enabled yes;
dnssec-validation yes;
dnssec-lookside auto;
/* Path to ISC DLV key */
bindkeys-file " /etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
保存退出。
service named start 测试服务是否可启动
ss -tnl 确保监听了外部地址 tcp 53端口
ss -unl udp 53
此时已成为缓存名称服务器了。
再配置成正向的从服务器:
vim /etc/named.rfc1912.zones
zone "meer1.com" IN { #注意这个名字要和主服务器保持一致
type slave;
masters { 192.168.1.129; };
file "slaves/meer1.com.zone";
};
rndc reload
tail /var/log/messages 重载成功,传送开始。
cd /var/named/slaves/
ls 出现了个meer1.com.zone文件,切记,不要编辑从服务器的文件,要编辑也是主服务器的。
vim meer1.com.zone 可以看下语法着色...这个文件是从主服务器传递来的。
$ORIGIN .
$TTL 86400 ; 1 day
meer1.com IN SOA ns1.meer1.com. admin.meer1.com. (
2016091001 ; serial
3600 ; refresh (1 hour)
300 ; retry (5 minutes)
259200 ; expire (3 days)
86400 ; minimum (1 day)
)
NS ns1.meer1.com.
NS ns2.meer1.com.
$ORIGIN meer1.com.
* A 192.168.1.127
ns1 A 192.168.1.127
ns2 A 192.168.1.128
www A 192.168.1.128
这个时候修改主服务器的配解析库内容,从服务器会立即收到的。
我们任何时候修改了解析库,要手动将序列号+1 。
#rndc reload 重载解析库
#tail /var/log/messages 序列号已改
打开从服务器的解析库文件,vim meer1.com.zone 增加的内容也已经有了。
同步几乎是实时的。取决于带宽。
原创文章,作者:mississippi,如若转载,请注明出处:http://www.178linux.com/45226
