N21天天第十一周课程练习

1、详细描述一次加密通讯的过程,结合图示最佳。

SSL协议基础:
SSL协议位于TCP/IP协议与各种应用层协议之间,本身又分为两层:
1)SSL记录协议:建立在可靠传输层协议(TCP)之上,为上层协议提供数据封装、压缩、加密等基本功能。
2)SSL握手协议:在SSL记录协议之上,用于实际数据传输前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
SSL协议通信过程:
1)浏览器发送一个连接请求给服务器;服务器将自己的证书(包含服务器公钥S_PuKey)、对称加密算法种类及其他相
    关信息返回客户端。
2)客户端浏览器检查服务器传送到CA证书是否由自己信赖的CA中心签发。若是,执行第4步;否则,给客户一个警告
    信息:询问是否继续访问
3)客户端浏览器比较证书里的信息,如证书有效期、服务器域名和公钥S_PK,与服务器传回的信息是否一致;如果
    一致,则浏览器完成对服务器的身份认证.
4)服务器要求客户端发送客户端证书(包含客户端公钥C_PuKey)、支持的对称加密方案及其他相关信息。收到
    后,服务器进行相同的身份认证,若没有通过验证,则拒绝连接;
5)服务器根据客户端浏览器发送到密码种类,选择一种加密程度最高的方案,用客户端公钥C_PubKey加密后通知
    到浏览器;
6)客户端通过私钥C_prKey解密后,得知服务器选择的加密方案,并选择一个通话密钥Key,接着用服务器公钥
    S_PuKey加密后发送服务器;
7)服务器接收到的浏览器传送到消息,用私钥S_PrKey解密,获得通话密钥key。
8)接下来的数据传输都使用该对称密钥Key进行加密。
上面所述的是双向认证SSL协议的具体通讯过程,服务器和用户双方必须都有证书。由此可见,SSL协议是通过非对称
    密钥机制保证双方身份认证,并完成建立连接,在实际数据通信时通过对称密钥机制保障数据安全性。

2、描述创建私有CA的过程,以及为客户端发来的证书请求进行办法证书。

配置文件:/etc/pki/tls/openssl.cnf
1)创建所需要的文件
[root@Server ~]# cd /etc/pki/CA
[root@Server CA]# touch index.txt
[root@Server CA]# echo 01 > serial
2)CA自签证书
[root@Server CA]# (umask 077;openssl genrsa -out private/cakey.pem 2048)
[root@Server CA]# openssl req -new -x509 -key private/cakey.pem -days 7300 -out cacert.pem
-new:生成新证书签署请求;
-x509:专用于CA生成自签证书;
-key:生成请求时用到的私钥文件;
-days n:证书的有效期限;
-out /PATH/TO/SOMECERTFILE:证书的保存路径
3)发证
(a)客户端生成证书请求
[root@Client ~]# mkdir /etc/httpd/ssl
[root@Client ~]# (umask 077;openssl genrsa -out /etc/httpd/ssl/httpd.key 2048)
[root@Client ~]# cd /etc/httpd/ssl/
[root@Client ssl]# openssl req -new  -key httpd.key -days 365 -out httpd.csr
(b)把请求文件传输给CA
[root@Client ssl]# scp httpd.csr 192.168.1.61:/tmp/
(c)CA签署证书,并将证书发还给请求者
[root@Server CA]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365
[root@Server CA]# scp /etc/pki/CA/certs/httpd.crt 192.168.1.62:/etc/httpd/ssl/

3、描述DNS查询过程以及DNS服务器类别。

DNS查询过程:
1)浏览器缓存
当用户通过浏览器访问某域名时,浏览器首先会在自己的缓存中查找是否有该域名对应的IP地址(若曾经访问过该域名且
    没有清空缓存便存在)
2)系统缓存
当浏览器缓存中无域名对应IP则会自动检查用户计算机系统中hosts(linux:/etc/hosts,
    Windows: C:\Windows\System32\drivers\etc\hosts)文件中是否有该域名对应的IP
3)路由器缓存
当浏览器及系统缓存中均无域名对应IP则进入路由器缓存中检查,以下三步均为客户端的DNS缓存
4)ISP(互联网服务提供商)DNS缓存
当在客户端查找不到域名对应IP地址,则将进入ISP DNS缓存中进行查询。如果用的是电信网络,则会进入电信的
    DNS缓存服务器中进行查找。
5)根域名服务器
如果以上均为完成,则进入根服务器进行查询。全球13台根域名服务器,1个主根服务器,12个辅根域名服务器。根域名
    收到请求后会查询区域文件记录,若无则将其管辖范围内的顶级域名(.com)服务器IP地址告诉本地DNS服务器;
6)顶级域名服务器
顶级域名服务器收到请求后查看区域文件记录,或无则将其管辖范围内主域名服务器的IP地址告诉本地DNS服务器;
7)二级域名服务器
主域名服务器接受到请求后查询自己的缓存,如果没有则进入下一级域名服务器进行查询,重复该步骤直到找到正确刻录;
8)保存结果至缓存
本地域名服务器把返回的结果保存到缓存,以备下一次使用,同时将该结果反馈给客户端,客户端通过这个IP地址与
    web服务器建立链接。
DNS服务器类别:
1)主DNS服务器:维护所负责解析的域内解析库服务器;解析库由本地管理员管理维护。
2)辅助DNS服务器:从主DNS服务器或其它的从DNS服务器那里“复制”(区域传递)一份解析库。
3)缓存DNS服务器:
可运行域名服务器软件但没有域名数据库。它从某个远程服务器取得每次域名服务器的查询回答,一旦获取一个答案,
    就将它放在高速缓存中,以后查询相同信息时就用它予以回答。缓存域名服务器不是权威性服务器,因为提供的
    所有信息都是间接信息。
4)转发器:
负责所有非本地域名的本地查询。转发域名服务器接到查询请求时,在其缓存中查找,如果找不到就把请求依次转发到
    指定的域名服务器,直到查询到结果为止,否则返回无法查找到结果

4、搭建一套DNS服务器,负责解析magedu.com域名(自行设定主机名及IP)

  (1)、能够对一些主机名进行正向解析和逆向解析;

  (2)、对子域cdn.magedu.com进行子域授权,子域负责解析对应子域中的主机名;

  (3)、为了保证DNS服务系统的高可用性,请设计一套方案,并写出详细的实施过程

  [root@Master ~]# yum -y install bind
  常用的配置文件有:
  /etc/named.conf#主配置文件
  /etc/named.rfc1912.zones#区域配置文件
  /etc/rc.d/init.d/named#启动脚本
  /var/named#存放区域数据文件
  
  [root@Master ~]# vim /etc/named.conf 
  options {
listen-on port 53 { any; };
listen-on-v6 port 53 { ::1; };
directory   "/var/named";
dump-file   "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query     { any; };
recursion yes;
//  dnssec-enable yes;
//  dnssec-validation yes;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones";
listen-on port 53 { any; };表示监听本地IP的53端口,允许所用地址访问本地53端口
allow-query     { any; };允许所有地址查询
recursion yes;是否递归,如果是no那么这台DNS服务器将不会递归解析,yes或注释掉不写,表是允许,默认是允许的
include "/etc/named.rfc1912.zones";加载区域配置文件
正向和反向区域解析
  [root@Master ~]# vim /etc/named.rfc1912.zones
  在配置文件的末尾添加正向和反向配置
  zone "magedu.com" IN { 
    type master;
    file "magedu.com.zone";
    allow-transfer { 192.168.1.65; };
};
zone "1.168.192.in-addr.arpa" IN {
    type master;
    file "1.168.192.zone";
    allow-transfer { 192.168.1.65; };
};
allow-transfer { 192.168.1.65; };表示只允许192.168.1.65这个主机同步数据,也就是作它的辅助DNS,
    多个IP用“;”隔开;
编辑正向解析的zone文件
[root@Master ~]# vim /var/named/magedu.com.zone
$TTL    86400
$ORIGIN     magedu.com.
@       IN      SOA     ns1.magedu.com. admin.magedu.com. (
2016092101
1H
5M
7D
1D )
IN      NS      ns1
IN      NS      ns2
IN      MX 10   mx1
IN      MX 20   mx2
IN A 192.168.1.64 
ns1     IN      A       192.168.1.64
ns2     IN      A       192.168.1.65
mx1     IN      A       192.168.1.66
mx2     IN      A       192.168.1.67
www     IN      A       192.168.1.64
www     IN      A       192.168.1.65
ftp     IN      CNAME   www
反向解析zone文件
[root@Master ~]# vim /var/named/1.168.192.zone
$TTL    86400
$ORIGIN     1.168.192.in-addr.arpa.
@       IN      SOA     ns1.magedu.com.     admin.magedu.com. (
2016092101
1H
5M
7D
1D )
IN      NS      ns1.magedu.com.
IN      NS      ns2.magedu.com.
64      IN      PTR     ns1.magedu.com.
65      IN      PTR     ns2.magedu.com.     
66      IN      PTR     mx1.magedu.com.     
67      IN      PTR     mx2.magedu.com.     
64      IN      PTR     www.magedu.com.     
65      IN      PTR     www.magedu.com.  
[root@Master ~]# service named start
正向解析:
[root@Master ~]# dig @192.168.1.64 www.magedu.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6 <<>> @192.168.1.61 www.magedu.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54957
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;www.magedu.com.                        IN      A
;; ANSWER SECTION:
www.magedu.com.         86400   IN      A       192.168.1.64
www.magedu.com.         86400   IN      A       192.168.1.65
;; AUTHORITY SECTION:
magedu.com.             86400   IN      NS      ns1.magedu.com.
magedu.com.             86400   IN      NS      ns2.magedu.com.
;; ADDITIONAL SECTION:
ns1.magedu.com.         86400   IN      A       192.168.1.64
ns2.magedu.com.         86400   IN      A       192.168.1.65
;; Query time: 0 msec
;; SERVER: 192.168.1.61#53(192.168.1.64)
;; WHEN: Mon Sep 26 21:15:11 2016
;; MSG SIZE  rcvd: 132
反向解析
[root@Master ~]# dig -x 192.168.1.64 @192.168.1.64
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6 <<>> -x 192.168.1.64
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23623
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;64.1.168.192.in-addr.arpa.     IN      PTR
;; ANSWER SECTION:
64.1.168.192.in-addr.arpa. 86400 IN     PTR     ns1.magedu.com.
;; AUTHORITY SECTION:
1.168.192.in-addr.arpa. 86400   IN      NS      ns2.magedu.com.
1.168.192.in-addr.arpa. 86400   IN      NS      ns1.magedu.com.
;; ADDITIONAL SECTION:
ns1.magedu.com.         86400   IN      A       192.168.1.64
ns2.magedu.com.         86400   IN      A       192.168.1.65
;; Query time: 0 msec
;; SERVER: 192.168.1.64#53(192.168.1.64)
;; WHEN: Wed Sep 21 21:56:14 2016
;; MSG SIZE  rcvd: 135
配置主从同步
[root@Slave ~]# vim /etc/named.rfc1912.zones 
在末尾添加
zone "magedu.com" IN {
type slave;
masters { 192.168.1.64; };
file "slaves/magedu.com.zone";
allow-transfer { none; };
};
zone "1.168.192.in-addr.arpa" IN {
type slave;
masters { 192.168.1.64; };
file "slaves/1.168.192.zone";
allow-transfer { none; };
};
批定type类型为slave,并指定主服务器为192.168.1.64
[root@Slave ~]# service named start
服务启动后,会在/var/named/slaves/自动添加magedu.com.zone和1.168.192.zone文件
[root@Slave ~]# ll /var/named/slaves/   
总用量 8
-rw-r--r-- 1 named named 436 9月  26 22:13 1.168.192.zone
-rw-r--r-- 1 named named 502 9月  26 22:13 magedu.com.zone
子域授权
新增一台IP为192.168.1.61的服务器为子域
在父域的区域文件中添加NS和A记录
[root@Server ~]# vim /var/named/magedu.com.zone
添加
cdn     IN      NS      ns1.cdn.magedu.com.
ns1.cdn IN      A       192.168.1.61
[root@cdn ~]# yum -y install bind
[root@cdn ~]# scp 192.168.1.64:/etc/named.conf /etc/
[root@cdn ~]# vim /etc/named.rfc1912.zones
在末尾添加
zone "cdn.magedu.com" IN {
type master;
file "cdn.magedu.com.zone";
};
zone "magedu.com" IN {
type forward;
forward only;
forwarders { 192.168.1.64; };
};
[root@cdn ~]# vim /var/named/cdn.magedu.com.zone
$TTL    86400
@       IN      SOA     ns.cdn.magedu.com.  admin.cdn.magedu.com. (
2016092201
2H
5M
7D
12H )
IN      NS      ns.cdn.magedu.com.
IN      MX 10   mx1.cdn.magedu.com.
IN A192.168.1.61
ns      IN      A       192.168.1.61
mx1     IN      A       192.168.1.61
www     IN      A       192.168.1.61
测试
1)子域测试
[root@Cdn ~]# dig @192.168.1.61  www.cdn.magedu.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6 <<>> @192.168.1.65 www.cdn.magedu.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33720
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
;; QUESTION SECTION:
;www.cdn.magedu.com.            IN      A
;; ANSWER SECTION:
www.cdn.magedu.com.     86400   IN      A       192.168.1.61 
;; AUTHORITY SECTION:
cdn.magedu.com.         86400   IN      NS      ns.cdn.magedu.com.
;; ADDITIONAL SECTION:
ns.cdn.magedu.com.      86400   IN      A       192.168.1.61 
;; Query time: 0 msec
;; SERVER: 192.168.1.65#53(192.168.1.61)
;; WHEN: Mon Sep 26 22:16:44 2016
;; MSG SIZE  rcvd: 85
2)父域测试
[root@Cdn ~]# dig -t www.magedu.com
;; Warning, ignoring invalid type www.magedu.com
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6 <<>> -t www.magedu.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27354
;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;.                              IN      NS
;; ANSWER SECTION:
.                       518239  IN      NS      b.root-servers.net.
.                       518239  IN      NS      i.root-servers.net.
.                       518239  IN      NS      j.root-servers.net.
.                       518239  IN      NS      k.root-servers.net.
.                       518239  IN      NS      l.root-servers.net.
.                       518239  IN      NS      e.root-servers.net.
.                       518239  IN      NS      h.root-servers.net.
.                       518239  IN      NS      f.root-servers.net.
.                       518239  IN      NS      c.root-servers.net.
.                       518239  IN      NS      m.root-servers.net.
.                       518239  IN      NS      d.root-servers.net.
.                       518239  IN      NS      a.root-servers.net.
.                       518239  IN      NS      g.root-servers.net.
;; Query time: 0 msec
;; SERVER: 192.168.1.61 #53(192.168.1.65)
;; WHEN: Mon Sep 26 22:18:26 2016
;; MSG SIZE  rcvd: 228

原创文章,作者:N21-天天,如若转载,请注明出处:http://www.178linux.com/49545

(0)
上一篇 2016-10-09 09:02
下一篇 2016-10-09 09:05

相关推荐

  • vsftpd权限配置

    要求 :完成vsftpd配置,   (1) 禁锢系统用户于家目录;   (2) 基于mysql进行用户认证;   (3) 不同的虚拟用户拥有不同的权限设定. 解答:  (1) 首先安装需要的系统环境和软件 yum groupinstall -y "Development&nbsp…

    Linux干货 2016-10-24
  • btrfs 文件系统

    简介   Btrfs((B-tree,ButterFS ,Better FS通常念成Butter FS),由Oracle于2007年宣布并进行中的COW(copy-on-write式)文件系统。继ext3/4文件系统之后linux又有了比较强大的文件系统(btrfs文件系统),btrfs文件系统不仅可以将ex…

    Linux干货 2016-02-19
  • 马哥linux0801课程内容

    0801课堂笔记 硬链接和软链接最根本的区别 硬链接是同一个文件,而软链接是两个文件 软链接查询到文件的软链接个数.比较麻烦. 而硬链接的个数可以通过链接数就可以看到. 硬链接不能跨分区,而软链接可以跨分区 (因为每个分区都有自己的inode表) ln 创建硬链接 ln–s 创建软链接(软链接如果使用相对路径,对象是相对软链接的路径,而硬…

    Linux干货 2016-08-04
  • SSL应用系列之一:CA证书颁发机构(中心)安装图文详解

    原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://jeffyyko.blog.51cto.com/28563/140518        如果你需要在组织里发布exchange,或者需要给IIS配置SSL的访问方…

    Linux干货 2015-03-26
  • gzip压缩输出

    一、gzip介绍          gzip是GNU zip的缩写,它是一个GNU自由软件的文件压缩程序,也经常用来表示gzip这种文件格式。软件的作者是Jean-loup Gailly和Mark Adler。1992年10月31日第一次公开发布,版本号是0.1,目前的稳定版本是…

    Linux干货 2015-07-29
  • Linux之进程和计划任务

    进程的概念     内核的功用:进程管理、文件系统、网络功能、内存管理、驱动程序、 安全功能等     Process: 运行中的程序的一个副本,是被载入内存的一个指令集合进程ID(Process ID,PID)号码被用来标记各个进程    &nbs…

    Linux干货 2016-10-09

评论列表(1条)

  • 马哥教育
    马哥教育 2016-10-25 12:47

    总结性很好,但是能全部做完就更好了