1、简述常见加密算法及常见加密算法原理,最好使用图例解说
在安全领域,利用密钥加密算法来对通信的过程进行加密是一种常见的安全手段。利用该手段能够保障数据安全通信的三个目标
1、数据的保密性,防止用户的数据被窃取或泄露;
2、保证数据的完整性,防止用户传输的数据被篡改;
3、通信双方的身份确认,确保数据来源与合法的用户;
而常见的密钥加密算法类型大体可以分为三类:对称加密、非对称加密、单向加密。
对称加密
对称加密算法采用单密钥加密,在通信过程中,数据发送方将原始数据分割成固定大小的块,经过密钥和加密算法逐个加密后,发送给接收方;接收方收到加密后的报文后,结合密钥和解密算法解密组合后得出原始数据。由于加解密算法是公开的,因此在这过程中,密钥的安全传递就成为了至关重要的事了。而密钥通常来说是通过双方协商,以物理的方式传递给对方,或者利用第三方平台传递给对方,一旦这过程出现了密钥泄露,不怀好意的人就能结合相应的算法拦截解密出其加密传输的内容。
对称加密算法拥有着算法公开、计算量小、加密速度和效率高得特定,但是也有着密钥单一、密钥管理困难等缺点。
常见的对称加密算法有:
DES:分组式加密算法,以64位为分组对数据加密,加解密使用同一个算法。
3DES:三重数据加密算法,对每个数据块应用三次DES加密算法。
AES:高级加密标准算法,是美国联邦政府采用的一种区块加密标准,用于替代原先
DES,目前已被广泛应用。
Blowfish:Blowfish算法是一个64位分组及可变密钥长度的对称密钥分组密码算法,可用来加密64比特长度的字符串。
非对称加密
非对称加密算法采用公钥和私钥两种不同的密码来进行加解密。公钥和私钥是成对存在,公钥是从私钥中提取产生公开给所有人的,如果使用公钥对数据进行加密,那么只有对应的私钥才能解密,反之亦然。
非对称加密算法具有安全性高、算法强度负复杂的优点,其缺点为加解密耗时长、速度慢,只适合对少量数据进行加密,其常见算法包括:
RSA:RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但那时想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥,可用于加密,也能用于签名。
DSA:数字签名算法,仅能用于签名,不能用于加解密。
DSS:数字签名标准,技能用于签名,也可以用于加解密。
ELGamal:利用离散对数的原理对数据进行加解密或数据签名,其速度是最慢的。
单向加密
这种加密严格意思上算不上加密,也常被称为散列运算,用于对数据生成独一无二的校验码,对于校验码叫法很多(如特征码,指纹信息)这类加密有个特点,就是具有雪崩效应,对任何数据,就算你改动一个标点符号,改动前和改动后使用算法计算出来的结果是翻天覆地的变化。但只要数据没发生改动,使用单向加密算法计算出来的值是不会发生改变的,所以使用单向加密能很好的解决数据完整性的问题。
常见的算法包括:MD5、sha1、sha224等等,其常见用途包括:数字摘要、数字签名等。
2、搭建apache或者nginx并使用自签证书实现https访问,自签名证书的域名自拟
3、简述DNS服务器原理,并搭建主-辅服务器
-
DNS是什么
DNS(Domain Name Service的缩写)的作用就是根据域名查出IP地址。IP地址是由32位二进制数字组成,人们很难记住这些IP,相反,大家愿意使用比较容易记忆的主机名字。而电脑在处理IP数据报文时,是使用IP地址的,因为它是固定长度。 DNS查询的类型对于客户端来说是递归查询,对于DNS服务器来说,绝大多数是迭代查询的。DNS名称解析中,从名称到IP的查询叫做正向解析,而从IP到名称的查询叫做反向解析。如果DNS服务器至少解析了一个或一个以上的域叫做DNS主服务器或者DNS辅助服务器,如果不负责任何解析叫做DNS缓存服务器。
-
DNS的域名解析过程
用户使用浏览器输入网址时域名解析过程: 客户访问时,先查自己的hosts文件,有则返回 客户hosts中没有就去查自己的缓存,有则返回 客户缓存没有就去找dns服务器 dns服务器先找根服务器获得顶级域服务器地址 dns服务器在找顶级域服务器去获得二级域服务器地址 dns服务器从二级域服务器获得最终的IP地址 客户端从dns服务器中得到IP地址 DNS区域数据库文件: 资源记录(resource record 简称rr)的类型有以下几种: SOA:起始授权记录,只能有一个,必须放在第一条 NS:域名服务记录,其中一个为主,可以有多个 A:IPV4地址记录 AAAA:IPV6地址记录 CNAME:别名记录 PTR:反向解析记录 MX:邮件交换器
- 搭建DNS主--辅服务器
1)服务器环境
主服务器为CentOS6.5,地址:192.168.2.104
辅服务器为CentOS7.4,地址:192.168.2.100
2)在主服务器上
#mv /etc/named.conf{,.bak}
#vim /etc/named.conf
options {
directory “/var/named”;
};
zone “.” IN {
type hint;
file “named.ca”;
};
zone “localhost” IN {
type master;
file “named.localhost”;
};
zone “0.0.127.in-addr.arpa” IN {
type master;
file “named.loopback”;
};
zone “magedutext.com” IN {
type master;
file “magedutext.com.zone”;
};
zone “1.168.192.in-addr.arpa” IN {
type master;
file “192.168.2.zone”;
};
#chgrp named /etc/named.conf
#cd /var/named
#vim /var/named/magedutext.com.zone
$TTL 600
IN SOA ns1.magedutext.com. admin.magedutext.com. (
2018012801
1H
5M
2D
6H)
IN NS ns1.magedutext.com.
IN NS ns2.magedutext.com.
IN MX 10 mail
ns1 IN A 192.168.2.104
ns2 IN A 192.168.2.100
mail IN A 192.168.2.100
www IN A 192.168.2.104
www IN A 192.168.2.100
chmod 640 /var/named/magedutext.com.zone
chown root.named /var/named/magedutext.com.zone
named-checkzone “magedutext.com” /var/named/magedutext.com.zone
cp magedutext.com.zone 192.168.2.zone -p
vim 192.168.2.zone
IN SOA ns1.magedutext.com. admin.magedutext.com. (
2018120116
1H
5M
2D
6H)
IN NS ns1.magedutext.com.
IN NS ns2.magedutext.com.
104 IN PTR ns1.magedutext.com.
100 IN PTR ns2.magedutext.com.
104 IN PTR www.magedutext.com.
100 IN PTR mail.magedutext.com.
100 IN PTR www.magedutext.com.
#named-checkconf
#named-checkzone “1.168.192.in-addr.arpa” 192.168.2.zone
#service named start
3)在辅服务器上
#yum install -y bind
#mv /etc/named.conf{,.bak}
#rsync -e ssh -avz –progress root@192.168.2.104:/etc/named.conf /etc
#setenforce 0
#systemctl stop firewalld
#mv /etc/named.conf{,.bak}
4)在主服务器上
#chgrp named /etc/named.conf
#service named restart
#rsync -e ssh -avzr –progress /etc/named.conf 192.168.2.100:/etc/
5)在辅服务器上
#vim /etc/named.conf
options {
directory “/var/named”;
allow-recursion {192.168.2.0/24; 127.0.0.1;};
};
zone “.” IN {
type hint;
file “named.ca”;
};
zone “localhost” IN {
type master;
file “named.localhost”;
allow-transfer {none;};
};
zone “0.0.127.in-addr.arpa” IN {
type master;
file “named.loopback”;
allow-transfer {none;};
};
zone “magedutext.com” IN {
type slave;
file “slaves/magedutext.com.zone”;
masters {192.168.2.104;};
allow-transfer {none;};
zone “1.168.192.in-addr.arpa” IN {
type slave;
file “slaves/192.168.2.zone”;
allow-transfer {none;};
masters {192.168.2.104;};
};
#systemctl start named
6)在主辅两台服务器上查看传送日志
#tail /var/log/messages
4、搭建并实现智能DNS
创建配置文件
vim /etc/named.conf
acl telecom {
192.168.2.0/24;
127.0.0.1/8;
};
options {
directory “/var/named”;
allow-recursion {telecom;};
};
view telecom {
match-clients {telecom;};
zone “magedutext.com” IN {
type master;
file “telecom.magedutext.com.zone”;
};
};
view unicom {
match-clients {any;};
zone “magedutext.com” IN {
type master;
file “unicom.magedutext.com.zone”;
};
};
//定义两个区域,一个是telecom一个是unicom。any表示如果telecom无法匹配的都会由unicom匹配。
将两台主机的DNS都指向DNS服务器
创建区域文件
im /var/name/telecom.magedutext.com.zone
$TTL 43200
@ IN SOA ns1.magedutext.com. admin.magedutext.com. (
2018012901
1H
10M
7D
1D)
IN NS ns1
IN MX 10 mail
ns1 IN A 192.168.2.104
mail IN A 192.168.110.131
www IN A 192.168.2.104
chgrp named /var/named/telecom.magedutext.com.zone
chmod 640 /var/named/telecom.magedutext.com.zone
cp -a /var/name/telecom.magedutext.com.zone /var/named/unicom.magedutext.com.zone
vim /var/named/unicom.magedutext.com.zone
$TTL 43200
@ IN SOA ns1.magedutext.com. admin.magedutext.com. (
2018012901
1H
10M
7D
1D)
IN NS ns1
IN MX 10 mail
ns1 IN A 192.168.2.104
mail IN A 192.168.2.104
www IN A 192.168.110.131
//telecom与unicom两个区域文件中解析的地址是不一样的。但ns地址是不会变的
dig -t A www.magedutext.com @192.168.2.104
转载于:https://blog.51cto.com/13984342/2324743