马哥教育网络班21期+第11周课程练习

1、请描述一次完整的加密通讯过程,结合图示最佳。

加密通信.png

Bob先利用单向加密算法提取当前数据的指纹(特征码),再用自己的私钥加密数据指纹并附加于数据尾部,然后利用对称加密将整个文件加密,之后用对方的公钥加密对称加密密钥附加于尾部。

Alice收到数据后,先用自己的私钥解密,得到对称加密密钥,之后用对称加密密钥解密,然后用Bob的公钥解密得到数据指纹,并且验证了Bob的身份,最后Alice使用相同的单向加密算法得到数据指纹并进行验证。

2、描述创建私有CA的过程,以及为客户端发来的证书请求进行办法证书。

准备阶段

[root@node1 ~]# cd /etc/pki/CA
[root@node1 CA]# touch index.txt
[root@node1 CA]# echo 01 > serial

CA自签证书

[root@node1 CA]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
[root@node1 CA]# openssl req -new -x509 -key ./private/cakey.pem -days 365 -out ./cacert.pem

发证:

[root@node2 ~]# (umask 077; openssl genrsa -out ./test.key 2048)
[root@node2 ~]# openssl req -new -key ./test.key -days 365 -out ./test.csr
[root@node2 ~]# scp ./test.csr root@192.168.80.2:~/
[root@node1 CA]# openssl ca -in ~/test.csr -out ./certs/test.crt -days 365

3、描述DNS查询过程以及DNS服务器类别。

  • 一次完整的dns查询过程,以解析www.magedu.com为例:

dns查询.png

  • DNS查询类型:对于一次dns查询来说,一般分为两段,首段是递归,然后是迭代。对于客户端来说发出的请求一般都是递归请求,而对于互联网上的dns服务器来说,发出的请求一般都是迭代请求。

    • 递归查询:只发出一次查询请求就一定能得到最终解析结果;

    • 迭代查询:得到最终解析结果需多次发起查询请求。

  • DNS服务器类型:

    • 主dns服务器:维护所负责解析的域内解析库服务器,解析库由管理员维护;

    • 从dns服务器:从主dns服务器或其他从dns服务器传送一份解析库文件;

    • 缓存dns服务器:不存在任何zone配置文件,仅仅依靠缓存来为客户端提供服务;

    • 转发器:当请求的dns解析记录不在当前解析区域时,转发器将负责转发进行迭代查询。

4、搭建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP地址)

(1)、能够对一些主机名进行正向解析和逆向解析;

(2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;

(3)、为了保证DNS服务系统的高可用性,设计一套方案,写出详细的实施过程。

准备条件

域名:magedu.com
主机:
    node1:192.168.90.2 /centos6.4
    node2:192.168.90.3 /centos7.1
    node3:192.168.90.4 /centos7.1
主dns服务器(正向、反向):node1
从dns服务器(正向、反向):node2
程序包:
    bind:主程序包,提供dns服务
    bind-libs:提供dns协议库文件
    bind-utils:提供相关管理工具

配置主dns服务器(正向)

# vim /etc/named.rfc1912.zones
    zone "magedu.com" IN {
            type master;
            file "/var/named/magedu.zone";
    };
# vim /var/named/magedu.zone
    $TTL 86400
    $ORIGIN magedu.com //当前区域名字
    @       IN      SOA      node1.magedu.com.  admin.magedu.com.    (
                             2016090301
                             2H
                             10M
                             1W
                             1D )
             IN      NS      node1
             IN      NS      node2 //指明从dns服务器

    node1    IN      A       192.168.90.2
    node2    IN      A       192.168.90.3
    node3    IN      A       192.168.90.4

注意:编辑配置文件后要修改文件的权限、属主和属组
# chmod 640 /var/named/magedu.zone
# chown :named /var/named/magedu.zone

# named-checkconf //检查主配置文件
# named-checkzone "magedu.com" /var/named/magedu.zone //检查区域配置文件
# dig -t A node2.magedu.com @192.168.90.2
# service named reload 
# rndc reload          //通知named进程重读解析库文件
# rndc status //查看dns服务状态

给各节点配置该dns服务器

# vim /etc/sysconfig/network-scripts/ifcfg-IFACE
    DNS1=192.168.90.2
# vim /etc/resolv.conf
    nameserver  192.168.90.2

配置主DNS服务器(反向)

# vim /etc/named.rfc1912.zones
    zone "90.168.192.in-addr.arpa." IN {
        type master;
        file "192.168.90.zone";
    };
# vim /var/named/192.168.90.zone
    $TTL 86400
    $ORIGIN 90.168.192.in-addr.arpa.
    @       IN      SOA     node1.magedu.com.  admin.magedu.com. (
                    2016090301
                    2H
                    10M
                    1W
                    1D )
            IN      NS      node1.magedu.com.
            IN      NS      node2.magedu.com.
    2       IN      PTR     node1.magedu.com.
    3       IN      PTR     node2.magedu.com.
    4       IN      PTR     node3.magedu.com.
# chmod 640 /var/named/192.168.90.zone
# chown :named /var/named/192.168.90.zone
# named-checkconf
# named-checkzone "90.168.192.in-addr.arpa" /var/named/192.168.90.zone
# service named reload
# host -t ptr 192.168.90.3 192.168.90.2

配置从dns服务器(正向):必须在主dns服务器的区域配置文件中指明从服务器

# yum install -y bind
# vim /etc/named.conf
    listen-on port 53 {192.168.90.3; 127.0.0.1; };
     allow-query     { any; };
# systemctl start named.service
# ss -ulnp
# vim /etc/named.rfc1912.zones
    zone "magedu.com" IN {
            type slave;
            masters { 192.168.90.2; };
            file "slaves/magedu.com.zone";
    };
# rndc reload
# tail /var/log/message //查看传送日志

配置从dns服务器(反向):

# vim /etc/named.rfc1912.zones 
    zone "90.168.192.in-addr.arpa" IN {
            type slave;
            masters { 192.168.90.2; };
            file "slaves/192.168.90.zone";
    };
# rndc reload

对cdn.magedu.com进行子域授权

# vim /var/named/magedu.zone//追加以下内容
cdn   IN    NS    ns.cdn
ns.cdn     IN    A   192.168.90.4
随后在新服务器按照以上步骤配置子域。

实现dns服务系统的高可用性

1、按照上述配置从服务器的步骤为主服务器配置从服务器
2、通过限制IP与使用key认证的方法实现对区域传送的控制

原创文章,作者:Jeason,如若转载,请注明出处:http://www.178linux.com/47919

(0)
上一篇 2016-09-26 07:43
下一篇 2016-09-26 07:44

相关推荐

  • 链接分析算法之:主题敏感PageRank

      前面的讨论提到。PageRank忽略了主题相关性,导致结果的相关性和主题性降低,对于不同的用户,甚至有很大的差别。例如,当搜索“苹果”时,一个数码爱好者可能是想要看 iphone 的信息,一个果农可能是想看苹果的价格走势和种植技巧,而一个小朋友可能在找苹果的简笔画。理想情况下,应该为每个用户维护一套专用向量,但面对海量用户这种方法显然不可行。所…

    Linux干货 2016-02-17
  • Linux sed命令详则

    sed命令 sed是一种流编辑器,它是文本处理中非常好的工具,能够完美的配合正则表达式使用,功能不同凡响。处理时,把当前的行储存在临时缓存区中,称为“模式空间”(pattern space),接着用sed命令处理缓存区中的内容,处理完成后,把缓存区的内容送往屏幕。接着处理下一行,这样不断重复,直到文件末尾。文件内容并没有改变,除非你使用重定向存储输出。Sed…

    2017-08-11
  • 笔记整理:权限管理3-ACL

    ACL 访问控制列表,并不是所有的Linux文件系统,都支持ACL。FAT文件系统也不支持ACL   ACL文件系统中,不支持chmod等命令。同时不能更改文件权限。不存在文件权限。 问题提出 只让wang用户,对该文件不能够访问,同时不影响其他任何用户对该文件的操作。   ACL特点 针对单一用户或群组,单一文件或目录,进行rwx权限设…

    Linux干货 2016-08-05
  • ​HA专题: Corosync+Pacemaker+drbd实现MySQL高可用

    HA专题: Corosync+Pacemaker+drbd实现MySQL高可用 前言 实验拓扑 实验环境 实验步骤 安装前准备工作 配置DRBD 配置MySQL 配置Corosync+Pacemaker 测试 我遇到的问题 总结 前言 上篇文章我们介绍了drbd的相关原理、编译安装、简单的实现. drbd虽然可以保证数据的可靠性但是我们上次的实现还…

    Linux干货 2016-04-13
  • net25-第17周作业

    1、结合图形描述LVS的工作原理; lvs-nat模型,相当于多目标的dnat,通过将请求报文中的目标地址和目标端口修改为调度出的rs的rip和port来实现转发,整个请求如下: cip -> vip -> vs(nat转换) -> rip  请求 rip -> dip(默认网关) -> vs(nat转换) ->…

    Linux干货 2017-05-15
  • M22 使用非对称密钥实现ssh自动登陆

    一 实验目的 一般在用户使用ssh客户端登陆ssh服务器时需要使用用户名和密码,本实验使用非对称加密的方式实现了无密码登陆ssh服务器。 二 实验流程  、 1 在客户端生成非对称密钥对 2 将非对称密钥中的公钥发送给ssh服务器端相应的帐号 3 当客户端通过ssh协议与服务器端发起连接时,客户端将私钥加密过的签名发送给服务器端,服务器端使用客户端…

    2017-04-13

评论列表(1条)

  • 马哥教育
    马哥教育 2016-09-27 09:32

    写的很好,图画的也很棒,希望继续加油