第 9 周

一、systemd查看日誌文件有隱藏該如何處理？

上圖說明以下：
第一階段：Client Hello:
支持的協議版本，好比tls 1.2
客戶端生成一個隨機數，用於稍後生成「會話密鑰」
支持的加密算法列表
支持的壓縮算法
第二階段：Server Hello
確認使用的加密通訊協議版本，好比 tls 1.2
服務器端生成一個隨機數，用於稍後生成「會話密鑰」
確認使用的加密方法
服務器證書
第三階段：
客戶端驗證服務器證書（檢查發證機構、證書完整性、證書持有者，證書有效期、吊銷列表），在確認無誤後取出其公鑰
發送如下信息給服務器端：
生成第三個隨機數(pre-master-key)，用公鑰加密
編碼變動通知，表示隨後的信息都將用雙方商定的加密方法和密鑰發送
客戶端握手結束通知
第四階段：
服務端用本身私鑰解密從客戶端發來的信息，獲得第三個隨機數(pre-master-key)後，計算生成本次會話所用到的「會話密鑰」
向客戶端發送以下信息：
編碼變動通知，表示隨後的信息都將用雙方商定的加密方法和密鑰發送
服務端握手結束通知
後續的會話就使用會話密鑰進行加密。

二、如何讓瀏覽器識別自籤的證書

自簽名證書，因爲瀏覽器不信任該證書，訪問網站的時候總會提示安全風險，爲了不頻繁的提示，能夠手動將證書添加到瀏覽器的可信任根證書庫中。常見兩種可信任根證書庫
windows 可信任根證書庫：被IE、Edge和Windows 平臺的 Chrome 使用
NSS 可信任根證書庫：被Firefox和Linux平臺的 Chrome 使用。

把自簽名證書.cer導入根證書庫中，有兩種方式，第一種是雙擊 .cer 文件，而後一步步將證書導入；另一種就是經過 Chrome ，菜單：【設置】-【管理證書】菜單，而後點導入，注意選擇將證書保存到「受信任的根證書頒發機構」，重啓 Chrome 就行了。
（2）NSS 可信任根證書庫：
使用 certutil 命令行工具能夠管理 NSS 證書
安裝：yum install nss-tools
列出安全數據庫中的證書：
certutil -L -d certdir

​ 說明：列出指定的目錄certdir的全部證書，-d 後面接上證書庫的目錄 -L表示列出全部證書。
添加證書到數據庫中：
​ certutil -A -n xxxx@xxx.com -t "p,p,p" -i mycert.crt -d certdir
​ 說明：-A表示添加證書到數據庫中 ，-n 表示證書的呢稱,-t 表示設置信任屬性，-i 表示輸入文件，即crt文件。-d 後面接上證書庫的目錄

三、搭建DNS服務器

(1)安裝DNS服務器軟件root用戶執行

yum install bind

(2)配置相關的配置文件

（2.1）首先是DNS主配置文件/etc/named.conf

options {

​ listen-on port 53 { any; }; 監聽端口和哪些主機能夠訪問解析,any表示全部

​ directory 「/var/named」; 數據庫文件的目錄位置

​ allow-query { any; }; 容許哪些主機請求查詢

​ recursion yes; 將本身視爲客戶端的一種查詢方式

​ zone 「.」 IN {

​ type hint;

​ file 「named.ca」;

}

zone 「magedu.com」 IN {

​ type master;

​ file 「magedu.com」;

}

zone 「99.168.192.in-addr.arpa」 IN {

​ type master;

​ file 「named.192.168.99」;

}

其中 zone後面跟上要解析的域名，正向解析時是域名自己，反向解析時爲IP網段反向.in-addr.arpa

​ type:爲zone的類型，針對根爲hint;主DNS爲master;從DNS爲slave;轉發域爲forward

​ file 該zone的文件名稱

（2.2）域名的解析庫文件

正向解析文件：/var/named/magedu.com

$TTL 86400

@ IN SOA ns1.magedu.com. admin.magedu.com. ( 2019011301

​ 1H

​ 5M

​ 1W

​ 86400 )

@ IN NS ns1.magedu.com.

@ IN MX 10 mail.magedu.com

ns1 IN A 192.168.99.110

www IN A 192.168.99.110

www IN A 192.168.99.111

ftp IN A 192.168.99.110

web IN A CNAME ftp

說明：TTL即生存時間，SOA表示開始驗證，ns1.magedu.com.表示該域的主域名服務器，admin.magedu.com.表示管理員郵件地址（這裏的郵件地址中的用.來代替常見的郵件地址的@.）

接下來的圓括號中5個字段分別表示：配置文件的修改版本序列號、刷新時間、重試時間、過時時間、快取時間

NS表示域內的DNS服務器名稱，MX表示域中的郵件服務器，MX後面的數字爲優先級，A表示從域名向IP的正向主機解析記錄

CNAME ftp 表示 web使用與以前定義ftp同樣的解析目標IP地址,即別名

反向解析文件：/var/named/named.192.168.99

$TTL 86400

@ IN SOA ns1.magedu.com. admin.magedu.com. ( 2019011301

​ 1H

​ 5M

​ 1W

​ 86400 )

@ IN NS ns1.magedu.com.

110 IN PTR ns1.magedu.com.

110 IN PTR www

111 IN PTR www.magedu.com.

110 IN PTR ftp

說明：第一列只要添加IP地址最後一段便可，PTR表示反向解析

(3)重啓DNS服務

cd /var/named

chown named:named named.192.168.99 magedu.com

service named restart

(4)測試DNS

使用dig來測試

dig -t A www.magedu.com @Server 正向解析

dig -t PTR 192.168.99.110 @Server 反向解析-t表示後接類型

四、熟悉DNSPOD的解析類型

DNSPOD的解析類型以下：
(1)A記錄：將域名指向一個ip地址
(2)CNAME記錄：將域名指向另外一個域名，再由另外一個域名提供ip地址
(3)MX記錄：設置郵箱，讓郵箱能收到郵件
(4)TXT記錄：對域名進行標識和說明，絕大多數的TXT記錄是用來作SPF記錄（反垃圾郵件）
(5)隱/顯性URL記錄：將一個域名指向另一個已經存在的站點，就須要添加URL記錄
隱性轉發：用的是iframe框架技術，非重定向技術；效果爲瀏覽器地址欄輸入http://a.com 回車，打開網站內容是目標地址http://www.dnspod.cn 的網站內容，但地址欄顯示當前地址http://a.com 。若是目標地址不容許被嵌套時，則不能使用隱性轉發（如QQ空間，不能使用隱性轉發）。
顯性轉發：用的是301重定向技術；效果爲瀏覽器地址欄輸入http://a.com 回車，打開網站內容是目標地址http://www.dnspod.cn 的網站內容，且地址欄顯示目標地址http://www.dnspod.cn 。 (6)AAAA記錄：經過IPv6地址訪問您的域名 (7）NS記錄：把子域名交給其餘DNS服務商解析 (8)SRV記錄：用來標識某臺服務器使用了某個服務，常見於微軟系統的目錄管理