N22-第十一周作业

第十一周作业

1、详细描述一次加密通讯的过程,结合图示最佳

(1)为了做到数据的安全,应该同时满足

保密性

完整性

可用性

(2)假设A,B通信,A是客户机,B是服务器

a、客户端向服务器端发送自己支持的加密方式,并且向服务器端请求其CA颁发给的证书

b、服务器选择共同支持的加密方式并发送自己的证书;

c、客户端收到其证书,并验证证书,证书必须同时满足以下条件

验证证书的来源合法性,使用CA的公钥解密证书的数字签名,机密算法使用公钥加密

验证证书内容的合法性,完整性验证,使用单项加密

检查证书的有效期

检查证书是否被吊销

证书的名称是否与拥有者相同

d、客户端生成临时会话密钥(对称密钥),并使用服务器端的公钥加密此数据发送给服务器,完成密钥交换

e、服务器使用此密钥加密用户请求的资源,响应给客户端

f、数据加密解密全过程

加密过程

服务器计算要加密的数据的特征码,附加在数据的后面,使用单向加密算法

服务器使用自己的私钥加密数据的特征码,完成数字签名,使用公钥加密

服务器使用一个临时对称加密算法加密数据;

服务器使用客户端的公钥加密数据并发送给客户端

解密过程

客户端接受数据,并使用自己的私钥解密数据,完成密钥交换

客户端使用对称密钥解密数据,数据加密

客户端使用服务器端的公钥解密数据,完成身份验证

客户端使用单向机密算法计算数据的特征码,数据的完整性

(3)通讯过程中使用到的算法

对称加密:DES,3DES,AES 

单项加密:DM5,sha1

公钥加密:RSA,DSA,ELGamal

2、描述创建私有CA的过程,以及为客户端发来的证书请求进行颁发证书。

证书颁发

(1)创建一个私有CA

(2)CA端生成自己的证书

(3)服务器端生成证书签署请求

(4)CA签署证书

(5)签署完成发送给服务器端

私建CA

# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)
# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365
# touch /etc/pki/CA/{serial,index.txt}
# echo 01>serial

服务器端生成证书请求

# (umask 077;openssl genrsa -out /tmp/client/http.key 4096)
# openssl req -new -key /tmp/client/http.key -out /tmp/client/http.csr -days 365
# scp /tmp/client/http.csr 192.168.1.200:/tmp

CA签署请求

# openssl ca -in /tmp/http.csr -out /etc/pki/CA/certs/http.crt -days 365

3、描述DNS查询过程以及DNS服务器类别。

查询过程

DNS客户端首先向自己本地的DNS服务器发出解析请求,如果缓存命中直接返回,缓存未命中,DNS服务器去查询解析库,返回客户端

如果本地DNS服务器不能提供解析那么有以下两种方式去解析

递归查询:由局部DNS服务器自己负责向其他DNS服务器进行查询,一般是先向该域的根域服务器进行查询,再由根域名服务器一级级向下查询。最后,将得到的查询结果返回结局部DNS服务器,再由局部DNS服务器返回给客户端。

迭代查询:局部DNS服务器不是自己向其他DNS服务器进行查询,而是把能解析该域名的其他DNS服务器的IP地址返回给客户端DNS程序,客户端DNS程序再继续向这些DNS服务器发出查询请求,直到得到查询结果为止。

DNS服务器类别

主域名服务器:主要提供域名解析,存储解析库中正本数据,系统管理员可以对其修改

辅助域名服务器:当主域名服务器出现故障、关闭或负载过重时,辅助服务器作为备份DNS服务器进行域名解析服务,存的解析库是副本,不能修改

缓存域名服务器:储存的主要是缓存DNS部分记录,不是权威答案

转发域名服务器:负责所有非本地DNS服务器的转发。

4、创建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)

(1)、能够对一些主机名进行正向解析和逆向解析;

(2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;

(3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程。

(1)

安装程序包

# yum install bind bind-utils bind-libs -y

为了方便测试,我们做对配置文件做以下修改

# vim /etc/named.conf
dnssec-enable no;
dnssec-validation no;
listen-on port 53 { 127.0.0.1; 192.168.1.49; };
#allow-query {localhost}
# vim /etc/named.rfc1912.zones
zone "magedu.com" IN {
type master;
file "magedu.com.zone";
};
zone "1.168.192.in-addr.arpa" IN {
type master;
file "1.168.192.zone";
};
# vim /var/named/magedu.com.zone 
$TTL 3600
$ORIGIN magedu.com.
@       IN      SOA     ns1.magedu.com. admin.magedu.com. (
2016120601
2H
1H
2D
1D )
IN      NS      ns1.magedu.com.
IN      NS      ns2.magedu.com.
ns1     IN      A       192.168.1.1
ns2     IN      A       192.168.1.2
www     IN      A       192.168.1.1
mail    IN      A       192.168.1.4
web     IN      CNAME   www
# vim /var/named/1.168.192.zone 
$TTL 3600
$ORIGIN 1.168.192.in-addr.arpa.
@       IN      SOA     ns1.magedu.com. admin.magedu.com. (
2016120601
1H
10M
3D
12H )
IN      NS      ns1.magedu.com.
1       IN      PTR     mx1.magedu.com.

修改这两个zone的属组和权限

# chown :named magedu.com.zone 

# chmod o-r 1.168.192.in-addr.arpa

修改服务器指向的nameserver

# vim /etc/resolv.conf

nameserver 192.168.1.1         #这里指向的是本机地址

重载配置文件

# rndc reload 

测试

# ping www.magedu.com 

# dig -t A www.magedu.com

# dig -t NS magedu.com

# dig -x 192.168.1.1

(2) 提供另外一台服务器作为子域服务器

# yum install bind bind-libs bind-utils -y

# vim /etc/named.conf

dnssec-enable no;

dnssec-validation no;

listen-on port 53 { 127.0.0.1; 192.168.1.50; };

#allow-query {localhost}

# vim /etc/named.rfc1912.conf

zone "cdn.magedu.com" IN {

type master;

file "cdn.magedu.com.zone"

};

# vim /var/named/cdn.magedu.com.zone

$TTL 3600

$ORIGIN cdn.magedu.com.

@ IN SOA ns1.cdn.magedu.com. snadmin.cdn.magedu.com. (

201789900

1H

10M

1D

2H )

IN NS ns1

ns1 IN A 192.168.1.100        #这里自己的地址即可

www IN A 192.168.1.100

# chown :named /var/named/cdn.magedu.com.zone 

# chmod o-r /var/named/cdn.magedu.com.zone

在父域上添加以下几行。

# vim /var/named/magedu.com

加上如下两行

ops IN NS ns1

ns1 IN A 192.168.1.100   # 这里的地址一定要是负责子域DNS的地址

测试 

# dig -t NS cdn.magedu.com

# did -t A www.cdn.magedu.com 

(3)方案是配置一套主从服务器

配置两个DNS服务器,实现服务器的主从,在从服务器上执行以下操作

# vim /etc/named.rfc1912.zones

zone “magedu.com" IN {

type slave;

file “slave/magedu.zone";      #配置文件放在slave中主要是为了安全起见,只让它修改这个目录,防止其他目录主的被修改。

masters { 192.168.1.49;};      #这里指定的IP是主服务器的IP地址

};

# rndc reload

在主服务器上执行以下操作

# vim /var/named/magedu.com.zone

添加以下两行

@ IN NS ns1

ns1 IN A 192.168.1.100

注意:在修改主DNS服务器的时候,如果配置文件改变,那么序列号应该做相应的改变。这样才能实现备DNS服务器能够从端复制

# rndc reload

为了安全起见,我们做访问控制列表

分别编辑两个DNS服务器添加以下内容

acl mynet {

        192.168.1.0/16;

     127.0.0.0/8;

};

allow-transfer { mynet; };

allow-recursion { mynet; };

allow-transfer { mynet; };


原创文章,作者:N22-北京-喜欢就好,如若转载,请注明出处:http://www.178linux.com/62907

(0)
上一篇 2016-12-06 21:12
下一篇 2016-12-06 22:34

相关推荐

  • 学习目标

    先把落下的课补上……

    Linux干货 2016-10-31
  • 第四周:/etc/passwd、/etc/group文件熟悉及配合grep使用正则表达式

    1、复制/etc/skel目录为/home/tuser1,要求/home/tuser1及其内部文件的属组和其它用户均没有任何访问权限。 [root@wlm ~]# useradd tuser1 [root@wlm ~]# cp -r etc/skel/ /home/tuser1/…

    Linux干货 2016-10-13
  • OpenSSL 的使用

    OpenSSL 是一个开源项目,其组成主要包括一下三个组件:     openssl:多用途的命令行工具     libcrypto:加密算法库     libssl:加密模块应用库,实现了ssl及tls openssl可以实现:秘钥证书管…

    Linux干货 2017-06-07
  • Linux计算机基础-入门2016-07-19

    Linux计算机基础-入门2016-07-19 计算机系统的组成部分 计算机系统由硬件系统和软件系统两大部分组成 硬件系统 冯.诺依曼体系结构: 1946年数学家冯.诺依曼提出运算器,控制器,存储器,输入设备,输出设备。 具体变现为一下硬件: 运算器,控制器  ——>  CPU 存储器  …

    Linux干货 2016-08-04
  • 数组,字符串处理,mktemp命令,install命令,bash的环境配置文件,程序包编译

    数组 变量:存储单个元素的内存空间 数组:存储多个元素的连续的内存空间,相当于多个变量的集合。 数组名和索引 索引:编号从0开始,属于数值索引 注意:索引可支持使用自定义的格式,而不仅是数值格式,即为关联索引,bash4.0版本之后开始支持。 bash的数组支持稀疏格式(索引不连续) 声明数组: declare -a ARRAY_NAME(普通数组可以不加声…

    Linux干货 2016-08-24
  • 简述计算机网络中的物理层

          简要说明物理层在网络传输中做了哪些工作解决的问题      物理层是计算机网络OSI模型中最低的一层。物理层规定:为传输数据所需要的物理链路创建、维持、拆除,而提供具有机械的,电子的,功能的和规范的特性。简单的说,物理层确保原始的数据比特流可在各种物理媒体上传输。使得…

    Linux干货 2017-05-08

评论列表(1条)

  • 马哥教育
    马哥教育 2016-12-14 10:54

    博客完成的非常好,说好的图呢?说好的图呢?说好的图呢?加油!