当サイトではお客さまにより良いサービスを提供するためにCookie(クッキー)を利用しています。
Cookieの利用に同意いただける場合は「同意する」ボタンをクリックしてください。
Cookieの利用に関する詳細は「Cookie(クッキー)ポリシー」から確認いただけます。
同意する

LinuCレベル3 303Security

このエントリーをはてなブックマークに追加

303試験 出題範囲

出題範囲のそれぞれの項目には、重要度として重み付けがなされています。重要度の範囲は概ね1~10であり、それぞれの主題の相対的な重要性を示しています。重要度が高い主題ほど、試験において多くの問題が出題されます。

主題325:暗号化

325.1 X.509 証明書と公開鍵の基礎
重要度 5
説明 X.509 証明書と公開鍵の基礎について理解していることが求められる。OpenSSLを使用しての認証局を作成したり、さまざまな目的にSSL証明書の発行する方法も含まれる。
主要な知識範囲
  • X.509 証明書、X.509 証明書のライフサイクル、X.509 証明書のフィールドおよびX.509v3 証明書の拡張についての理解。
  • トラストチェーンと公開鍵の基礎についての理解。
  • 公開鍵と秘密鍵の生成と管理。
  • セキュアな認証局の作成と運用。
  • サーバー証明書とクライアント証明書の要求、署名、管理。
  • 証明書と認証局の廃止。
重要なファイル、
用語、ユーティリティ
  • opensslとそのサブコマンド
  • OpenSSL の設定
  • PEM, DER, PKCS
  • CSR
  • CRL
  • OCSP
325.2 暗号化、署名および認証のX.509 証明書
重要度 4
説明 サーバー認証とクライアント認証両方のX.509証明書の使用方法を理解していることが求められる。また、Apache HTTPD のユーザー認証とサーバー認証の実装ができること。Apache HTTPD のバージョンは2.4以降とする。
主要な知識範囲
  • SSL、TLSおよびプロトコルのバージョンの理解。
  • 一般的なトランスポート層のセキュリティの脅威、例えば Man-in-the-Middleの脅威の知識。
  • SNIやHSTSを含む、HTTPSサービスにmod_sslを使用したApache のHTTPDの設定。
  • 証明書を使用した認証ユーザにmod_sslを使用したApache HTTPDの設定。
  • OCSP staplingを提供するためのmod_sslを使用したApache HTTPDの設定。
  • SSL/TLSクライアント、サーバーのテストでのSSLの使用。
重要なファイル、
用語、ユーティリティ
  • 中間認証局
  • Cipher の設定(cipher固有の知識ではありません)
  • httpd.conf
  • mod_ssl
  • openssl
325.3 暗号化ファイルシステム
重要度 3
説明 暗号化ファイルシステムを設定できることが求められる。
主要な知識範囲
  • ブロックデバイスとファイルシステムの暗号化の理解。
  • dm-cryptを使用して LUKS でのブロックデバイスの暗号化。
  • eCryptfs を使用したファイルシステムの暗号化。ホームディレクトリとPAMの統合を含む。
  • plain dm-crypt とEncFSの知識。
重要なファイル、
用語、ユーティリティ
  • cryptsetup
  • cryptmount
  • /etc/crypttab
  • ecryptfsd
  • ecryptfs-* コマンド
  • mount.ecryptfs, umount.ecryptfs
  • pam_ecryptfs
325.4 DNS と暗号化
重要度 5
説明 DNSの内容の暗号化とBINDを使用した実装の経験と知識を有していることが求められる。BINDのバージョンは9.7以降とする。
主要な知識範囲
  • DNSSEC と DANEの知識。
  • DNSSECのセキュアゾーンをサービスする認証ネームサーバーとしてのBINDの設定とトラブルシュート。
  • クライアントのためのDNSSECの検証を実行する再帰的ネームサーバーとしてのBINDの設定。
  • 鍵の署名鍵、ゾーンの署名鍵、鍵タグ。
  • 鍵の生成、鍵の保管、鍵の管理、鍵の移管。
  • ゾーンの管理と再署名。
  • DANEを使用したDNSでX.509証明書情報の公開。
  • BINDとセキュアな通信をするTSIGの使用。
重要なファイル、
用語、ユーティリティ
  • DNS, EDNS, ゾーン, リソースレコード
  • DNS のリソースレコード。DS, DNSKEY, RRSIG, NSEC, NSEC3, NSEC3PARAM, TLSA
  • DO-Bit, AD-Bit
  • TSIG
  • named.conf
  • dnssec-keygen
  • dnssec-signzone
  • dnssec-settime
  • dnssec-dsfromkey
  • rndc
  • dig
  • delv
  • openssl

主題326:ホストセキュリティ

326.1 ホストの堅牢化
重要度 3
説明 一般的な脅威からLinuxが稼働するコンピュータをセキュアにすることができることが求められる。
主要な知識範囲
  • BIOSとブートローダー(GRUB 2)強化の設定。
  • 無用なソフトウェアとサービスの無効化。
  • セキュリティ関連のカーネル設定、特にASLR、Exec-Shield および IP / ICMP の設定のためのsysctlの使用。
  • リソース使用量の制限。
  • chroot 環境での作業。
  • 不要な機能権限の削除。
  • 仮想化のセキュリティの有意性についての知識。
重要なファイル、
用語、ユーティリティ
  • grub.cfg
  • chkconfig, systemctl
  • ulimit
  • /etc/security/limits.conf
  • pam_limits.so
  • chroot
  • sysctl
  • /etc/sysctl.conf
326.2 ホストの侵入検知
重要度 4
説明 一般的なホストの侵入検知ソフトウェアの使用方法と設定について精通していることが求められる。これには、自動ホストスキャンと同様に更新や管理を含む。
主要な知識範囲
  • Linuxの監査システムの使用と設定。
  • chkrootkit の使用。
  • rkhunterの使用、設定、および更新。
  • Linuxのマルウェア検知の使用。
  • cronを使用したホストスキャンの自動化。
  • ルール管理を含むAIDEの設定と使用。
  • OpenSCAPについての知識。
重要なファイル、
用語、ユーティリティ
  • auditd
  • auditctl
  • ausearch, aureport
  • /etc/auditd/auditd.conf
  • /etc/auditd/audit.rules
  • pam_tty_audit.so
  • chkrootkit
  • rkhunter
  • /etc/rkhunter.conf
  • maldet
  • conf.maldet
  • aide
  • /etc/aide/aide.conf
326.3 ユーザの管理と認証
重要度 5
説明 ユーザアカウントの管理と認証について精通していることが求められる。これには、NSS、PAM、SSSDおよびローカルとリモートのディレクトリのKerberos、パスワードポリシーの強要と同様の認証メカニズムの設定と使用を含む。
主要な知識範囲
  • NSSの理解と設定。
  • PAMの理解と設定。
  • パスワードの複雑性ポリシーと定期変更の施行。
  • ログインの失敗試行回数超過時の自動アカウントロック。
  • SSSDの設定と使用。
  • SSSDと使用するためのNSSとPAMの設定。
  • AD、IPA、LDAP、Kerberosおよびローカルドメインに対するSSSD認証の設定。
  • Kerberosのチケットの取得と管理。
重要なファイル、
用語、ユーティリティ
  • nsswitch.conf
  • /etc/login.defs
  • pam_cracklib.so
  • chage
  • pam_tally.so, pam_tally2.so
  • faillog
  • pam_sss.so
  • sssd
  • sssd.conf
  • sss_* コマンド
  • krb5.conf
  • kinit, klist, kdestroy
326.4 FreeIPA のインストレーションとSambaの統合
重要度 4
説明 FreeIPA v4.x に精通していることが求められる。これには、FreeIPAのADとの統合と同様に、FreeIPAドメインでのサーバーインスタンスのインストレーションと管理を含む。
主要な知識範囲
  • アーキテクチャとコンポーネントを含む、FreeIPAの理解。
  • FreeIPAのインストールに必要なシステムと設定の理解。
  • FreeIPA サーバーとドメインのインストールと管理。
  • ADのレプリケーションとKerberosのcross-realm trustの理解と設定。
  • FreeIPAでのsudo、autofs、SSHおよびSELinuxの統合についての知識。
重要なファイル、
用語、ユーティリティ
  • 389 Directory Server, MIT Kerberos, Dogtag Certificate System, NTP, DNS, SSSD, certmonger
  • ipa と関連するサブコマンド
  • ipa-server-install, ipa-client-install, ipa-replica-install
  • ipa-replica-prepare, ipa-replica-manage

主題327:アクセス制御

327.1 任意アクセス制御
重要度 3
説明 任意アクセス制御を理解し、ACLを使用して実装する方法を知っていることが求められる。さらに、拡張属性の使用方法を理解していることが求められる。
主要な知識範囲
  • ファイルの所有権とアクセス権の理解と管理。SUID、SGIDを含む。
  • ACLの理解と管理。
  • 拡張属性と属性クラスの理解と管理。
重要なファイル、
用語、ユーティリティ
  • getfacl
  • setfacl
  • getfattr
  • setfattr
327.2 強制アクセス制御
重要度 4
説明 Linuxの強制アクセス制御に精通していることが求められる。特にSELinuxを完全に理解していること。また、Linuxの他の強制アクセス制御についても知っていること。これには、それらのシステムの主な機能は含むが、設定と使用については含まない。
主要な知識範囲
  • TE, RBAC, MAC および DACの概念の理解。
  • SELinuxを設定、管理、および使用。
  • AppArmor とSmackの知識。
重要なファイル、
用語、ユーティリティ
  • getenforce, setenforce, selinuxenabled
  • getsebool, setsebool, togglesebool
  • fixfiles, restorecon, setfiles
  • newrole, runcon
  • semanage
  • sestatus, seinfo
  • apol
  • seaudit, seaudit-report, audit2why, audit2allow
  • /etc/selinux/*
327.3 ネットワークファイルシステム
重要度 3
説明 CIFSのクライアンサービスと同様に、NFSv4のクライアントとサーバーの設定と使用におけるセキュリティ上の問題の経験と知識が求められる。初期バージョンのNFSに関する知識は必要としない。
主要な知識範囲
  • NFSv4のセキュリティ上の問題と改善の理解。
  • NFSv4 サーバーとクライアントの設定。
  • NFSv4 の認証メカニズム(LIPKEY, SPKM, Kerberos)の理解と使用。
  • NFSv4 擬似システムの理解と使用。
  • NFSv4 ACLを理解と使用。
  • CIFS クライアントの設定。
  • CIFSのUnix拡張の理解と使用。
  • CIFSのセキュリティモード(NTLM, Kerberos)の理解と設定。
  • LinuxシステムでのCIFS ACLおよび SIDのマッピングと処理の理解と管理。
重要なファイル、
用語、ユーティリティ
  • /etc/exports
  • /etc/idmap.conf
  • nfs4acl
  • 所有権、アクセス権、セキュリティモードに関するmount.cifs のパラメータ
  • winbind
  • getcifsacl, setcifsacl

主題328:ネットワークセキュリティ

328.1 ネットワークの堅牢化
重要度 4
説明 一般的な脅威に対してネットワークをセキュアにする能力が求められる。これには、セキュリティの測定効果の検証も含まれる。
主要な知識範囲
  • FreeRADIUSを設定したネットワークノードの認証。
  • nmapを使用したネットワークとホストのスキャン。異なるスキャン方法を含む。
  • Wiresharkを使用したネットワークのトラフィック分析。フィルタと統計を含む。
  • 不正RA(ルータ広告)とDHCPメッセージの識別と処理。
重要なファイル、
用語、ユーティリティ
  • radiusd
  • radmin
  • radtest, radclient
  • radlast, radwho
  • radiusd.conf
  • /etc/raddb/*
  • nmap
  • wireshark
  • tshark
  • tcpdump
  • ndpmon
328.2 ネットワークの侵入検知
重要度 4
説明 ネットワークセキュリティスキャン、ネットワークモニターおよびネットワーク侵入検知ソフトウェアの使用と設定に精通していることが求められる。これには、セキュリティスキャナの更新と保守を含む。
主要な知識範囲
  • バンド幅使用率モニターの実装。
  • Snortの設定と使用。ルール管理を含む。
  • OpenVASの設定と使用。NASLを含む。
重要なファイル、
用語、ユーティリティ
  • ntop
  • Cacti
  • snort
  • snort-stat
  • /etc/snort/*
  • openvas-adduser, openvas-rmuser
  • openvas-nvt-sync
  • openvassd
  • openvas-mkcert
  • /etc/openvas/*
328.3 パケットフィルタ
重要度 5
説明 パケットフィルタの使用と設定に精通していることが求められる。これには、nftables, nft および ebtablesと同様に、netfilter, iptables および ip6tablesも含まれる。
主要な知識範囲
  • 一般的なfirewall のアーキテクチャの理解。DMZを含む。
  • netfilter, iptables および ip6tablesの理解と使用。標準モジュール、テスト、ターゲットを含む。
  • IPv4 と IPv6 のパケットフィルタの実装。
  • 接続追跡とNATの実装。
  • IPセットの定義とnetfilterルール内での使用。
  • nftの基本的な知識。
  • ebtablesの基本的な知識。
  • conntrackdの認知。
重要なファイル、
用語、ユーティリティ
  • iptables
  • ip6tables
  • iptables-save, iptables-restore
  • ip6tables-save, ip6tables-restore
  • ipset
  • nft
  • ebtables
328.4 仮想プライベートネットワーク(VPN)
重要度 4
説明 OpenVPNとIPsecの使用について精通していることが求められる。
主要な知識範囲
  • ブリッジ接続およびルート接続のVPNネットワークのためにOpenVPNのサーバーとクライアントの設定と運用。
  • IPsec-Tools / racoonを使用したルート接続VPNネットワークのためのIPsecのサーバーとクライアントの設定と運用。
  • L2TPの認知。
重要なファイル、
用語、ユーティリティ
  • /etc/openvpn/*
  • openvpn サーバーとクライアント
  • setkey
  • /etc/ipsec-tools.conf
  • /etc/racoon/racoon.conf
ページトップへ