1遥缕、簡(jiǎn)述常見加密算法及常見加密算法原理侥祭,最好使用圖例解說
加密算法類型:對(duì)稱加密、非對(duì)稱加密甜害、單向加密舶掖、密鑰交換
1.1對(duì)稱加密
? ? ? 加密和解密使用同一個(gè)密鑰,但其安全性依賴于密鑰而非算法尔店;
特性:(1)加密和解密使用同一密鑰(2)將明文分隔成固定大小的塊眨攘,逐個(gè)進(jìn)行加密主慰。
缺點(diǎn):密鑰過多、密鑰分發(fā)
1.2非對(duì)稱加密
采用公鑰加密鲫售,私鑰解密共螺。
私鑰(private key):只允許個(gè)人使用,不得泄露給他人
公鑰(public key):公開給所有人獲取情竹,都可以使用藐不。
公鑰是從私鑰提取而來的,使用公鑰加密的數(shù)據(jù)秦效,必須要使用與之配對(duì)的私鑰解密雏蛮,反之亦然。
作用:(1)身份認(rèn)證阱州,私鑰擁有者用自己的私鑰加密數(shù)據(jù)后發(fā)給他人挑秉,他人只能用與之對(duì)應(yīng)的公鑰解密,若解密成功苔货,則可以證明該段數(shù)據(jù)確實(shí)是私鑰擁有者發(fā)送的犀概。
(2)密鑰交換:私鑰擁有者在于對(duì)方通信時(shí),對(duì)方可以先獲得私鑰擁有者的公鑰夜惭,然后用該公鑰加密數(shù)據(jù)后發(fā)給私鑰擁有者姻灶,即可實(shí)現(xiàn)數(shù)據(jù)的保密傳輸,其他人即使獲取到數(shù)據(jù)也無法解密诈茧。
(3)數(shù)據(jù)加密
算法:RSA? ?DSA? ELGamal
特性:(1)密鑰長(zhǎng)度較大产喉,有512bits 、2048bits若皱、4096bits
(2)镊叁、加密解密分別使用密鑰對(duì)兒中的密鑰相對(duì)進(jìn)行、
(3)常見于數(shù)據(jù)簽名和密鑰交換
1.3走触、單向加密:只能加密晦譬,不能解密,因?yàn)榻饷艿倪^程是一個(gè)二次加密的過程互广,主要是提取數(shù)據(jù)的特征碼敛腌。
特性:(1)定長(zhǎng)輸出:無論原來的數(shù)據(jù)是多大級(jí)別的,提取后的特征碼都是定長(zhǎng)的
(2)雪崩效應(yīng):數(shù)據(jù)的微小改變惫皱,將導(dǎo)致特征碼的巨大變化像樊。
(3 )不可逆轉(zhuǎn)
常見算法有:MD5:128bits定長(zhǎng)輸出? ? ?SHA1:160bits定長(zhǎng)輸出
SHA256? ?SHA384 SHA512
用處:(數(shù)據(jù)完整性)(系統(tǒng)賬號(hào)密碼校驗(yàn))
1.4密鑰交換,IKE(Internet Key Exchange):雙方通過密鑰交換來實(shí)現(xiàn)數(shù)據(jù)的加密和解密旅敷;密鑰交換有兩種:
公鑰加密:將數(shù)據(jù)用公鑰加密后傳輸給對(duì)方解密生棍,這種方式還是有可能被他人獲取,因此不太安全媳谁。
DH:(Deffie-Helman):雙方共有一些參數(shù)涂滴,共同協(xié)商加密算法友酱,除此之外還要有自己的私有參數(shù)以確保加密后的隱蔽性。
2柔纵、搭建apache或者nginx并使用自簽證書實(shí)現(xiàn)https訪問缔杉,自簽名證書的域名自擬
2.1建立私有CA:
1、生成私鑰文件:/etc/pki/CA/private/cakey.pem
#(umask 077;openssl genrsa -out /etc/pki/CA/cakey.pem 2048)
2搁料、生成自簽證書:
#openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem? -days 365
3或详、提供輔助文件
#touch /etc/pki/CA/index.txt
#echo 01 > /etc/pki/CA/serial
2.2搭建Apache服務(wù):
1)安裝httpd:yum install httpd -y
2)啟動(dòng)httpd服務(wù):service httpd start
創(chuàng)建相關(guān)文件夾
mkdir /etc/httpd/ssl
cd /etc/httpd/ssl
2.3生成私鑰文件(需要簽發(fā)證書的主機(jī)進(jìn)行)
[root@jacklin ssl]# (umask 077;openssl genrsa -out httpd.key)
生成證書簽署請(qǐng)求:
# openssl req -new -key httpd.key -out httpd.csr -days 365
生成后使用scp命令傳輸至簽發(fā)證書的主機(jī):
[root@jacklin ssl]# scp httpd.csr root@192.168.1.103:/tmp
接下來CA主機(jī)驗(yàn)證請(qǐng)求者的信息,通過后給其簽署證書
輸入上圖所示命令郭计,最后輸入y確認(rèn)即可
最后一步:
將簽好的證書發(fā)送給原主機(jī):
[root@localhost CA]# scp certs/httpd.crt root@192.168.1.107:/etc/httpd/ssl/
然后刪除httpd.csr文件霸琴,避免信息泄露。
至此拣宏,證書簽署完畢
3沈贝、簡(jiǎn)述DNS服務(wù)器原理,并搭建主-輔服務(wù)器
DNS是Domain Name System的簡(jiǎn)稱勋乾,DNS的主要作用是將主機(jī)名解析成IP地址。它是分布式嗡善,分層次的主機(jī)名管理架構(gòu)辑莫。通過配置DNS服務(wù)器地址,主機(jī)不需要知道要訪問的主機(jī)的IP地址罩引,只需要知道要訪問的主機(jī)名即可訪問該主機(jī)各吨。
DNS解析主機(jī)IP地址的流程:假設(shè)我們找的主機(jī)名為www.taobao.com:
1、本地主機(jī)先查詢本地的hosts文件(/etc/hosts)袁铐,看看是否有對(duì)應(yīng)的主機(jī)名與IP地址揭蜒,若有,則直接根據(jù)對(duì)應(yīng)關(guān)系解析剔桨;若沒有屉更,則執(zhí)行第二步;
2洒缀、到本機(jī)指定的DNS服務(wù)器(設(shè)為NS1)的本地緩存查詢是否有相應(yīng)的ip地址與主機(jī)名瑰谜。若有則反饋給客戶端,若沒有則執(zhí)行第三步操作树绩;
3萨脑、NS1將請(qǐng)求發(fā)送給/服務(wù)器,此時(shí)根服務(wù)器將.com服務(wù)器(設(shè)為NS2)的主機(jī)地址發(fā)給NS1饺饭,并告知NS1通過NS2尋找www.taobao.com渤早;
4、NS1找到NS2后瘫俊,NS2將taobao.com(設(shè)為NS3)的服務(wù)器地址發(fā)給NS1鹊杖,并告知NS1通過該主機(jī)進(jìn)行查找悴灵;
5、NS1找到NS3服務(wù)器仅淑,NS3在本地查詢得到www.taobao.com所對(duì)應(yīng)的ip地址称勋,并將ip地址返回給NS1
6、NS1將得到的地址先存儲(chǔ)在本地DNS緩存當(dāng)中涯竟,然后再將結(jié)果返回給客戶端主機(jī)赡鲜。
DNS是一個(gè)網(wǎng)絡(luò)服務(wù),因此其對(duì)應(yīng)的端口為53號(hào)庐船,通常其以u(píng)dp這個(gè)快速的數(shù)據(jù)傳輸協(xié)議來查詢的银酬,但是一旦沒辦法查詢到完整信息,它會(huì)再次以tcp/ip協(xié)議重新查詢筐钟。因此DNS服務(wù)在啟動(dòng)的時(shí)候會(huì)同時(shí)開啟tcp協(xié)議和udp協(xié)議的53號(hào)端口揩瞪。
DNS解析當(dāng)中域名的解析記錄信息稱為DNS數(shù)據(jù)庫(kù),這個(gè)數(shù)據(jù)庫(kù)又分為正解和反解篓冲,正解是從主機(jī)到ip地址的解析李破,反解正好相反。每個(gè)域名對(duì)應(yīng)的解析記錄稱為zone壹将。
搭建主服務(wù)器
一嗤攻、先安裝DNS服務(wù)器軟件
NDS軟件包名為bind。還有其他相關(guān)的軟件包名字诽俯,有bind-libs(與bind相關(guān)的庫(kù)文件)妇菱、bind-utils(客戶端的相關(guān)命令),centos6和7直接使用yum命令安裝bind主程序包即可暴区,因?yàn)橄嚓P(guān)軟件程序包都已經(jīng)集成在bind中闯团。
使用 # yum -y install bind
二、配置相關(guān)的配置文件
DNS的配置文件由很多個(gè)仙粱。其中:
/etc/named.conf,/etc/named.rfc1912.zones:為主配置文件房交;
/var/named/:該目錄下的文件為DNS數(shù)據(jù)庫(kù)文件,所有的域文件都放在里面缰盏。
/etc/rc.d/init.d/named:為DNS的服務(wù)腳本涌萤;
編輯/etc/ named.conf或者/etc/named.rfc1912.zones文件,這里選擇編輯后者口猜;添加區(qū)域名為magedu.com以及反向解析區(qū)域1.168.192.in-addr.arpa负溪。
定義好zone以后,分別編輯/var/named/magedu.com.zone 這個(gè)正向解析庫(kù)文件以及192.168.1.zone這個(gè)反向區(qū)域文件济炎。如下:
三:然后修改解析庫(kù)文件的屬組川抡、屬主權(quán)限以及檢查是否有語(yǔ)法錯(cuò)誤并重啟服務(wù)
1)#chown named:named? /var/named/magedu.com?/var/named/1.168.192.in-addr.arpa
#chown o=--- /var/named/magedu.com /var/named/1.168.192.in-addr.arpa
上面兩條命令同時(shí)設(shè)置兩個(gè)文件的屬組屬主為named,其他用戶沒有權(quán)限。
2)檢查主配置文件及數(shù)據(jù)庫(kù)配置文件是否有語(yǔ)法錯(cuò)誤崖堤。
# named-checkconf? /etc/named.conf
# named-checkzone magedu.com /var/named/magedu.com.zone
# named-checkzone 1.168.192.in-addr.arpa /var/named/192.168.1.zone
出現(xiàn)ok說明配置沒問題
四:測(cè)試DNS服務(wù)能否進(jìn)行解析
如上圖所示,正解和反解都能成功解析胯甩,說明配置成功昧廷,這個(gè)環(huán)節(jié)可以多測(cè)試幾個(gè)域名和ip。
至此偎箫,主DNS服務(wù)器配置成功木柬。
接下來配置從DNS服務(wù)器
一、主服務(wù)器需要在bind主配置文件中/etc/named.conf的zone中定義設(shè)置允許哪些從服務(wù)器來同步信息:
二淹办、主服務(wù)器還需要分別的正向和反向的解析庫(kù)文件當(dāng)中添加ns解析記錄眉枕。
配置完檢查是否有語(yǔ)法錯(cuò)誤怜森,并重載服務(wù)速挑,使用?
#rdnc reload
在從服務(wù)器主配置文件當(dāng)中添加zone
檢查無語(yǔ)法錯(cuò)誤后執(zhí)行:rdnc reload
檢驗(yàn)從dns服務(wù)器是否能解析域名和ip地址
至此,成功搭建主從DNS服務(wù)器副硅,可把我牛逼壞了梗摇,叉會(huì)兒腰!
4想许、搭建并實(shí)現(xiàn)智能DNS
