326.2ホストの侵入検知

303試験の試験範囲から「326.2 ホストの侵入検知」についての例題を解いてみます。ここでは、侵入した脅威の検知がテーマとなります。実践においても、脅威の拡大（二次感染・三次感染）などを未然に防ぐための大事なアクションとなります。重要度も4と高いので、各ソフトウェアの設定方法・使用方法をしっかり把握しておきましょう。

Linucレベル3 303試験 出題範囲

例題

rkhunterのオプションとその説明の組み合わせとして、誤っているものを1つ選択せよ。

1. --sk：指定したチェック項目をスキップ
2. --check：ローカルシステムでチェックを実施
3. --rwo：チェック実施時、警告メッセージのみ表示
4. --propupd：現在のローカルファイルシステムのファイル情報などを取得

※この例題は実際の試験問題とは異なります。

解答と解説

答えは「1.--sk：指定したチェック項目をスキップ」です。

正しくは、「1.--sk：チェック実施時のEnterキー入力をスキップ」となります。

設問に登場した「--sk」「--check」「--rwo」は、「--skip-keypress」「-c」「--report-warnings-only」としても同じ意味を持ちます。

上記以外にも、「--update(チェック用のデータファイル更新)」などがオプションとして使用可能です。

また、テスト対策としてはrkhunterの設定方法(設定ファイルの項目など)や使用方法をしっかりと把握しておきましょう。

以下にrkhunterのインストールからルートキットの検出作業まで実施した内容をまとめてみました。よかったら、学習の参考にご利用ください。
https://www.opensourcetech.tokyo/entry/20190630/1561887032

例題作成者

鯨井 貴博（LinuCエヴァンジェリスト/登録インストラクター、LPI-Japanアカデミック認定校 Zeus IT Camp）