Difference between revisions of "LPIC-303 Objectives V3.0(JA)"

From LPI Wiki
Jump to: navigation, search
(334.2 ネットワーク侵入検知 (総重量: 4))
 
(6 intermediate revisions by one other user not shown)
Line 1: Line 1:
 
__FORCETOC__
 
__FORCETOC__
 
==はじめに==
 
==はじめに==
これは、 [[LPIC-3]]LPIC-3認定試験[LPIC-3|here]]に必要な項目です。
+
[[LPIC-3|これ]]は、[[LPIC-3|LPIC-3 認定試験]]に必要な項目です。
 
<br />
 
<br />
 
<br />
 
<br />
Line 70: Line 70:
 
<br />
 
<br />
  
====<span style="color:navy">331.3 Encrypted File Systems (weight: 3)</span>====
+
====<span style="color:navy">331.3 暗号化ファイルシステム (総重量: 3)</span>====
 
{|
 
{|
| style="background:#dadada" | '''Weight'''
+
| style="background:#dadada" | '''総重量'''
 
| style="background:#eaeaea" | 3
 
| style="background:#eaeaea" | 3
 
|-
 
|-
| style="background:#dadada; padding-right:1em" | '''Description'''
+
| style="background:#dadada; padding-right:1em" | '''説明'''
| style="background:#eaeaea" | Candidates should be able to set up and configure encrypted file systems.
+
| style="background:#eaeaea" | 暗号化ファイルシステムを構築し設定できる。
 
|}
 
|}
'''Key Knowledge Areas:'''
+
'''主な知識分野:'''
* Understand block device and file system encryption
+
* ブロックデバイスとファイルシステム暗号化を理解する。
* Use dm-crypt with LUKS1 to encrypt block devices
+
* ブロックデバイスを暗号化するために、LUKS1によるdm-cryptを利用する。
* Use eCryptfs to encrypt file systems, including home directories and PAM integration
+
* ファイルシステムを暗号化するために、eCryptfsを利用する。これには、ホームディレクトリとPAM統合を含まれる。
* Awareness of plain dm-crypt
+
* plainモードのdm-cryptの知識
* Awareness of LUKS2 features
+
* LUKS2機能の知識
* Conceptual understanding of Clevis for LUKS devices and Clevis PINs for TMP2 and Network Bound Disk Encryption (NBDE)/Tang
+
* LUKSデバイスのClevisと、TMP2とNetwork Bound Disk Encryption (NBDE)/TangのClevis PINの概念的な理解。
'''The following is a partial list of the used files, terms and utilities:'''
+
'''用語とユーティリティ:'''
* cryptsetup (including relevant subcommands)
+
* cryptsetup (関連するサブコマンドを含む)
 
* cryptmount
 
* cryptmount
 
* /etc/crypttab
 
* /etc/crypttab
Line 96: Line 96:
 
<br />
 
<br />
  
====<span style="color:navy">331.4 DNS and Cryptography (weight: 5)</span>====
+
====<span style="color:navy">331.4 DNSと暗号化 (総重量: 5)</span>====
 
{|
 
{|
| style="background:#dadada" | '''Weight'''
+
| style="background:#dadada" | '''総重量'''
 
| style="background:#eaeaea" | 5
 
| style="background:#eaeaea" | 5
 
|-
 
|-
| style="background:#dadada; padding-right:1em" | '''Description'''
+
| style="background:#dadada; padding-right:1em" | '''説明'''
| style="background:#eaeaea" | Candidates should have experience and knowledge of cryptography in the context of DNS and its implementation using BIND. The version of BIND covered is 9.7 or higher.
+
| style="background:#eaeaea" | BINDを利用した際の、DNSの背景と実装について、暗号化の知識と経験がある。BINDのバージョンは9.7とそれ以上を対象としている。
 
|}
 
|}
'''Key Knowledge Areas:'''
+
'''主な知識分野:'''
* Understand the concepts of DNS, zones and resource records
+
* DNS・ゾーン・リソースレコードの概念を理解している。
* Understand DNSSEC, including key signing keys, zone signing keys and relevant DNS records such as DS, DNSKEY, RRSIG, NSEC, NSEC3  
+
* 鍵署名鍵、ゾーン署名鍵、DS, DNSKEY, RRSIG, NSEC, NSEC3, NSEC3PARAMなどの関連するDNSレコードを含み、DNSSECを理解している。
and NSEC3PARAM
+
* DNSSECセキュアゾーンを提供している権威のあるネームサーバとしての、BINDの設定をトラブルシューティング。
* Configure and troubleshoot BIND as an authoritative name server serving DNSSEC secured zones
+
* DNSSECの署名されたゾーンを管理する。これには、キー生成・キーのロールオーバー・ゾーンの再署名が含まれます。
* Manage DNSSEC signed zones, including key generation, key rollover and re-signing of zones
+
* クライアントの振る舞いがDNSSECバリデーションとして機能する、再帰ネームサーバとしてBINDを設定する。
* Configure BIND as an recursive name server that performs DNSSEC validation on behalf of its clients
+
* CAAやTLSAのようなDNSレコードに関連する、CAAとDANEの理解。
* Understand CAA and DANE, including relevant DNS records such as CAA and TLSA
+
* DNSで、X.509証明書と認証局/CAの情報を発行する、CAAとDANEを利用する。
* Use CAA and DANE to publish X.509 certificate and certificate authority information in DNS
+
* BINDでセキュアな接続を行うため、TSIGを利用する。
* Use TSIG for secure communication with BIND
+
* DNS over TLSとDNS over HTTPSの知識。
* Awareness of DNS over TLS and DNS over HTTPS
+
* マルチキャストDNSの知識。
* Awareness of Multicast DNS
+
'''用語とユーティリティ:'''
'''Partial list of the used files, terms and utilities:'''
+
 
* named.conf
 
* named.conf
 
* dnssec-keygen
 
* dnssec-keygen
Line 122: Line 121:
 
* dnssec-settime
 
* dnssec-settime
 
* dnssec-dsfromkey
 
* dnssec-dsfromkey
* rndc (including relevant subcommands)
+
* rndc (関連するサブコマンドを含む)
 
* dig
 
* dig
 
* delv
 
* delv
* openssl (including relevant subcommands)
+
* openssl (関連するサブコマンドを含む)
  
 
<br />
 
<br />
 
<br />
 
<br />
  
===''Topic 332: Host Security''===
+
===''課題 332: ホストセキュリティ''===
  
====<span style="color:navy">332.1 Host Hardening (weight: 5)</span>====
+
====<span style="color:navy">332.1 ホストハーデニング (総重量: 5)</span>====
 
{|
 
{|
| style="background:#dadada" | '''Weight'''
+
| style="background:#dadada" | '''総重量'''
 
| style="background:#eaeaea" | 5
 
| style="background:#eaeaea" | 5
 
|-
 
|-
| style="background:#dadada; padding-right:1em" | '''Description'''
+
| style="background:#dadada; padding-right:1em" | '''説明'''
| style="background:#eaeaea" | Candidates should be able to secure computers running Linux against common threats.
+
| style="background:#eaeaea" | 一般的な脅威に対して、Linuxが稼働しているコンピュータをよりセキュアにする。
 
|}
 
|}
'''Key Knowledge Areas:'''
+
'''主な知識分野:'''
* Configure BIOS and boot loader (GRUB 2) security
+
* BIOSとboot loader(GRUB 2)セキュリティの設定。
* Disable unused software and services
+
* 利用していないソフトウエアとサービスを無効化する。
* Understand and drop unnecessary capabilities for specific systemd units and the entire system
+
* 特定のsystemdユニットと全体システムに対して、不必要な機能を理解し削除する。
* Understand and configure Address Space Layout Randomization (ASLR), Data Execution Prevention (DEP) and Exec-Shield
+
* アドレス空間のランダム化(ASLR: Address Space Layout Randomization )、Data Execution Prevention (DEP) Exec-Shieldを理解し設定する。
* Black and white list USB devices attached to a computer using USBGuard
+
* ブラックリスト・ホワイトリストに分けられたUSBデバイスを、USBGuardを利用して、コンピュータに接続する。
* Create an SSH CA, create SSH certificates for host and user keys using the CA and configure OpenSSH to use SSH certificates
+
* CAを利用してホストとユーザーキーのSSH CA、SSH証明書を作成し、OpenSSHがSSH証明書を利用するように設定する。
* Work with chroot environments
+
* chroot環境での作業
* Use systemd units to limit the system calls and capabilities available to a process
+
* システムコールとプロセスに対して有効な機能を制限するために、systemdユニットを利用する。
* Use systemd units to start processes with limited or no access to specific files and devices
+
* 特定のファイルやデバイスに、アクセスを制限したりアクセスさせないようにして、プロセスを起動するようにsystemdユニットを利用する。
* Use systemd units to start processes with dedicated temporary and /dev directories and without network access
+
* 専用のテンポラリディレクトリや/devディレクトリがあり、ネットワークアクセスができない状態のプロセスを起動するように、systemdユニットを利用する。
* Use systemd units to limit the system resources a process can consume
+
* プロセスが消費することができるシステムリソースを制限するように、systemdユニットを利用することができる。
* Understand the implications of Linux Meltdown and Spectre mitigations and enable/disable the mitigations
+
* Linux MeltdownとSpectreの回避策の影響の理解と、回避策の有効化・無効化。
* Awareness of polkit
+
* polkitの知識
* Awareness of the security advantages of virtualization and containerization
+
* 仮想化とコンテナ化のセキュリティの利点の知識
'''The following is a partial list of the used files, terms and utilities:'''
+
'''用語とユーティリティ:'''
 
* grub.cfg
 
* grub.cfg
 
* systemctl
 
* systemctl
Line 173: Line 172:
 
<br />
 
<br />
  
====<span style="color:navy">332.2 Host Intrusion Detection (weight: 5)</span>====
+
====<span style="color:navy">332.2 ホストの侵入検知 (総重量: 5)</span>====
 
{|
 
{|
| style="background:#dadada" | '''Weight'''
+
| style="background:#dadada" | '''総重量'''
 
| style="background:#eaeaea" | 5
 
| style="background:#eaeaea" | 5
 
|-
 
|-
| style="background:#dadada; padding-right:1em" | '''Description'''
+
| style="background:#dadada; padding-right:1em" | '''説明'''
| style="background:#eaeaea" | Candidates should be familiar with the use and configuration of common host intrusion detection software. This includes managing the Linux Audit system and verifying a system's integrity.
+
| style="background:#eaeaea" | 一般的なのホスト侵入検知ソフトウエアの利用と設定の知識がある必要がある。これには、Linux Auditシステムとシステムの一貫性の検証が含まれる。
 
|}
 
|}
'''Key Knowledge Areas:'''
+
'''主な知識分野:'''
* Use and configure the Linux Audit system
+
* Linux Auditシステムの設定と利用
* Use chkrootkit
+
* chkrootkitの利用
* Use and configure rkhunter, including updates
+
* rkhunterの、利用・設定・アップデート
* Use Linux Malware Detect
+
* Linux Malware Detect(マルウェア検出ツール)の利用。
* Automate host scans using cron
+
* cronを利用したホストのスキャンの自動化。
* Use RPM and DPKG package management tools to verify the integrity of installed files
+
* インストールされたファイルの一貫性の検証のため、RPMやDPKGのパッケージ管理ツールの利用。
* Configure and use AIDE, including rule management
+
* ルール管理を含んだAIDEの設定と利用。
* Awareness of OpenSCAP
+
* OpenSCAPの知識
'''Partial list of the used files, terms and utilities:'''
+
'''用語とユーティリティ:'''
 
* auditd
 
* auditd
 
* auditctl
 
* auditctl
Line 209: Line 208:
 
<br />
 
<br />
  
====<span style="color:navy">332.3 Resource Control (weight: 3)</span>====
+
====<span style="color:navy">332.3 リソース制御 (総重量: 3)</span>====
 
{|
 
{|
| style="background:#dadada" | '''Weight'''
+
| style="background:#dadada" | '''総重量'''
 
| style="background:#eaeaea" | 3
 
| style="background:#eaeaea" | 3
 
|-
 
|-
| style="background:#dadada; padding-right:1em" | '''Description'''
+
| style="background:#dadada; padding-right:1em" | '''説明'''
| style="background:#eaeaea" | Candidates should be able to restrict the resources services and programs can consume.
+
| style="background:#eaeaea" | サービスとプログラムが利用可能なリソースを制限できる。
 
|}
 
|}
'''Key Knowledge Areas:'''
+
'''主な知識分野:'''
* Understand and configure ulimits
+
* ulimitsの理解と設定
* Understand cgroups, including classes, limits and accounting
+
* クラス・リミット・アカウンティングを含むcgroupsの理解。
* Manage cgroups and process cgroup association
+
* cgroupsの管理と、cgroup associationの加工。
* Understand systemd resource control, including slices
+
* スライスを含む、systemdリソース制御の理解
* Configure resource limits in systemd units
+
* systemdユニットのリソース制限の設定。
* Awareness of cgmanager and libcgroup utilities
+
* cgmanagerとlibcgroupユーティリティーの知識。
'''Partial list of the used files, terms and utilities:'''
+
'''用語とユーティリティ:'''
 
* ulimit
 
* ulimit
 
* /etc/security/limits.conf
 
* /etc/security/limits.conf
Line 235: Line 234:
 
<br />
 
<br />
  
===''Topic 333: Access Control''===
+
===''課題 333: Access Control''===
====<span style="color:navy">333.1 Discretionary Access Control (weight: 3)</span>====
+
====<span style="color:navy">333.1 任意アクセス制御 (総重量: 3)</span>====
 
{|
 
{|
| style="background:#dadada" | '''Weight'''
+
| style="background:#dadada" | '''総重量'''
 
| style="background:#eaeaea" | 3
 
| style="background:#eaeaea" | 3
 
|-
 
|-
| style="background:#dadada; padding-right:1em" | '''Description'''
+
| style="background:#dadada; padding-right:1em" | '''説明'''
| style="background:#eaeaea" | Candidates should understand discretionary access control (DAC) and know how to implement it using access control lists (ACL). Additionally, candidates are required to understand and know how to use extended attributes.
+
| style="background:#eaeaea" | 任意アクセス制御(DAC: discretionary access control)を理解していて、アクセス制御リスト(ACL: access control list)を利用してどのように実装するかの知識があります。さらに、拡張された属性をどのように利用するかを理解しているひつようがあります。
 
|}
 
|}
'''Key Knowledge Areas:'''
+
'''主な知識分野:'''
* Understand and manage file ownership and permissions, including SetUID and SetGID bits
+
* SetUID, SetGIDビットを含む、ファイルの所有権・パーミッションの管理と理解。
* Understand and manage access control lists
+
* アクセス制御リスト(ACL)の管理と理解。
* Understand and manage extended attributes and attribute classes
+
* 拡張属性と属性クラスの管理と理解。
'''Partial list of the used files, terms and utilities:'''
+
'''用語とユーティリティ:'''
 
* getfacl
 
* getfacl
 
* setfacl
 
* setfacl
Line 256: Line 255:
 
<br />
 
<br />
  
====<span style="color:navy">333.2 Mandatory Access Control (weight: 5)</span>====
+
====<span style="color:navy">333.2 強制アクセス制御 (総重量: 5)</span>====
 
{|
 
{|
| style="background:#dadada" | '''Weight'''
+
| style="background:#dadada" | '''総重量'''
 
| style="background:#eaeaea" | 5
 
| style="background:#eaeaea" | 5
 
|-
 
|-
| style="background:#dadada; padding-right:1em" | '''Description'''
+
| style="background:#dadada; padding-right:1em" | '''説明'''
| style="background:#eaeaea" | Candidates should be familiar with mandatory access control (MAC) systems for Linux. Specifically, candidates should have a thorough knowledge of SELinux. Also, candidates should be aware of other mandatory access control systems for Linux. This includes major features of these systems but not configuration and use.
+
| style="background:#eaeaea" |Linuxの強制アクセス制御(MAC: mandatory access control)の知識がある 特にSELinux全体の知識がある。Linuxの他の強制アクセス制御の知識も必要である。これには、システムの主な機能が含まれるが、設定や利用に関しては含まれない。
 
|}
 
|}
'''Key Knowledge Areas:'''
+
'''主な知識分野:'''
* Understand the concepts of type enforcement, role based access control, mandatory access control and discretionary access control
+
* Type Enforcement・ロールベースアクセス制御(RBAC: role based access control)・強制アクセス制御・任意アクセス制御の概念を理解している。
* Configure, manage and use SELinux
+
* SELinuxを管理・設定する。
* Awareness of AppArmor and Smack
+
* AppArmorとSmackの知識
'''Partial list of the used files, terms and utilities:'''
+
'''用語とユーティリティ:'''
 
* getenforce
 
* getenforce
 
* setenforce
 
* setenforce
Line 295: Line 294:
 
<br />
 
<br />
  
===''Topic 334: Network Security''===
+
===''課題 334:ネットワークセキュリティ''===
====<span style="color:navy">334.1 Network Hardening (weight: 4)</span>====
+
====<span style="color:navy">334.1 ネットワークハーデニング (総重量: 4)</span>====
 
{|
 
{|
| style="background:#dadada" | '''Weight'''
+
| style="background:#dadada" | '''総重量'''
 
| style="background:#eaeaea" | 4
 
| style="background:#eaeaea" | 4
 
|-
 
|-
| style="background:#dadada; padding-right:1em" | '''Description'''
+
| style="background:#dadada; padding-right:1em" | '''説明'''
| style="background:#eaeaea" | Candidates should be able to secure networks against common threats. This includes analyzing network traffic of specific nodes and protocols.
+
| style="background:#eaeaea" | 一般的な脅威に対して、ネットワークをセキュアに設定できる。これには、特定のノードとプロトコルについて、ネットワークトラフィックを解析が含まれている。
 
|}
 
|}
'''Key Knowledge Areas:'''
+
'''主な知識分野:'''
* Understand wireless networks security mechanisms
+
* ワイヤレスネットワークのセキュリティ機構を理解する。
* Configure FreeRADIUS to authenticate network nodes
+
* ネットワークノードの認証のため、FreeRADIUSを設定する。
* Use Wireshark and tcpdump to analyze network traffic, including filters and statistics
+
* ネットワークトラフィックの分析・フィルタ・統計取得のため、Wiresharkやtcpdumpを利用する。
* Use Kismet to analyze wireless networks and capture wireless network traffic
+
* ワイヤレスネットワークを解析し、ワイヤレスネットワークのトラフィックを取得するために、Kismetを利用する。
* Identify and deal with rogue router advertisements and DHCP messages
+
* 不正なRA(rogue router advertisement: ルータアドバタイズメント)とDHCPメッセージの確認と取り扱い。
* Awareness of aircrack-ng and bettercap
+
* aircrack-ngとbettercapの知識
'''The following is a partial list of the used files, terms and utilities:'''
+
'''用語とユーティリティ:'''
 
* radiusd
 
* radiusd
 
* radmin
 
* radmin
Line 328: Line 327:
 
<br />
 
<br />
  
====<span style="color:navy">334.2 Network Intrusion Detection (weight: 4)</span>====
+
====<span style="color:navy">334.2 ネットワーク侵入検知 (総重量: 4)</span>====
 
{|
 
{|
| style="background:#dadada" | '''Weight'''
+
| style="background:#dadada" | '''総重量'''
 
| style="background:#eaeaea" | 4
 
| style="background:#eaeaea" | 4
 
|-
 
|-
| style="background:#dadada; padding-right:1em" | '''Description'''
+
| style="background:#dadada; padding-right:1em" | '''説明'''
| style="background:#eaeaea" | Candidates should be familiar with the use and configuration of network security scanning, network monitoring and network intrusion detection software. This includes updating and maintaining the security scanners.
+
| style="background:#eaeaea" | ネットワークのセキュリティスキャン・ネットワークモニタ・ネットワークの侵入検知ソフトウエアの設定・利用について理解している。これには、セキュリティスキャナの更新と管理が含まれる。
 
|}
 
|}
'''Key Knowledge Areas:'''
+
'''主な知識分野:'''
* Implement bandwidth usage monitoring
+
* 利用帯域モニタリングの実施
* Configure and use Snort, including rule management
+
* Snortの利用と設定とルール管理
* Configure and use OpenVAS, including NASL
+
* NASLを含むOpenVASの利用と設定
'''Partial list of the used files, terms and utilities:'''
+
'''用語とユーティリティ:'''
 
* ntop
 
* ntop
 
* snort
 
* snort
 
* snort-stat
 
* snort-stat
 +
* pulledpork.pl
 
* /etc/snort/*
 
* /etc/snort/*
 
* openvas-adduser,
 
* openvas-adduser,
Line 350: Line 350:
 
* openvassd
 
* openvassd
 
* openvas-mkcert
 
* openvas-mkcert
 +
* openvas-feed-update
 
* /etc/openvas/*
 
* /etc/openvas/*
  
 
<br />
 
<br />
  
====<span style="color:navy">334.3 Packet Filtering (weight: 5)</span>====
+
====<span style="color:navy">334.3 パケットフィルタリング (総重量: 5)</span>====
 
{|
 
{|
| style="background:#dadada" | '''Weight'''
+
| style="background:#dadada" | '''総重量'''
 
| style="background:#eaeaea" | 5
 
| style="background:#eaeaea" | 5
 
|-
 
|-
| style="background:#dadada; padding-right:1em" | '''Description'''
+
| style="background:#dadada; padding-right:1em" | '''説明'''
| style="background:#eaeaea" | Candidates should be familiar with the use and configuration of the netfilter Linux packet filter.
+
| style="background:#eaeaea" | Linuxパケットフィルタのnetfilterの設定と利用の知識がある。
 
|}
 
|}
'''Key Knowledge Areas:'''
+
'''主な知識分野:'''
* Understand common firewall architectures, including DMZ
+
* DMZを含む一般的なファイアウォールと構造の理解。
* Understand and use iptables and ip6tables, including standard modules, tests and targets
+
* 一般的なモジュール・テスト・ターゲットを含む、iptables, ip6tablesの利用と理解。
* Implement packet filtering for IPv4 and IPv6
+
* IPv4とIPv6のパケットフィルタリングの実施。
* Implement connection tracking and network address translation
+
* コネクショントラッキングとネットワークアドレス変換(NAT)の実施。
* Manage IP sets and use them in netfilter rules
+
* IPセットと、IPセットのnetfilterルールでの利用。
* Awareness of nftables and nft
+
* nftablesとnftの知識
* Awareness of ebtables
+
* ebtablesの知識
* Awareness of conntrackd
+
* conntrackdの知識
'''Partial list of the used files, terms and utilities:'''
+
'''用語とユーティリティ:'''
 
* iptables
 
* iptables
 
* ip6tables
 
* ip6tables
Line 381: Line 382:
 
<br />
 
<br />
  
====<span style="color:navy">334.4 Virtual Private Networks (weight: 4)</span>====
+
====<span style="color:navy">334.4 バーチャルプライベートネットワーク(VPN)  (総重量: 4)</span>====
 
{|
 
{|
| style="background:#dadada" | '''Weight'''
+
| style="background:#dadada" | '''総重量'''
 
| style="background:#eaeaea" | 4
 
| style="background:#eaeaea" | 4
 
|-
 
|-
| style="background:#dadada; padding-right:1em" | '''Description'''
+
| style="background:#dadada; padding-right:1em" | '''説明'''
| style="background:#eaeaea" | Candidates should be familiar with the use of OpenVPN, IPsec and WireGuard to set up remote access and site to site VPNs.
+
| style="background:#eaeaea" | OpenVPN, IPsec, WireGuardについて、サイト間VPNでのリモートアクセスでの設定を行い、利用を熟知している。
 
|}
 
|}
'''Key Knowledge Areas:'''
+
'''主な知識分野:'''
* Understand the principles of bridged and routed VPNs
+
* ブリッジ・ルーティングされたVPNの概念を理解している。
* Understand the principles and major differences of the OpenVPN, IPsec, IKEv2 and WireGuard protocols
+
* OpenVPN, IPsec, IKEv2, WIreGuardプロトコルの主な違いと概念を理解している。
* Configure and operate OpenVPN servers and clients
+
* OpenVPNサーバとクライアントを設定・操作する。
* Configure and operate IPsec servers and clients using strongSwan
+
* IPsecサーバとクライアントを、strongSwanを利用して設定・操作する。
* Configure and operate WireGuard servers and clients
+
* WireGuardサーバとクライアントを設定・操作する。
* Awareness of L2TP
+
* L2TPの知識
'''Partial list of the used files, terms and utilities:'''
+
'''用語とユーティリティ:'''
 
* /etc/openvpn/
 
* /etc/openvpn/
 
* openvpn
 
* openvpn
Line 410: Line 411:
 
<br />
 
<br />
  
===''Topic 335: Threats and Vulnerability Assessment''===
+
===''課題 335: 脅威と脆弱性評価''===
  
====<span style="color:navy">335.1 Common Security Vulnerabilities and Threats (weight: 2)</span>====
+
====<span style="color:navy">335.1 一般的なセキュリティの脆弱性と脅威 (総重量: 2)</span>====
 
{|
 
{|
| style="background:#dadada" | '''Weight'''
+
| style="background:#dadada" | '''総重量'''
 
| style="background:#eaeaea" | 2
 
| style="background:#eaeaea" | 2
 
|-
 
|-
| style="background:#dadada; padding-right:1em" | '''Description'''
+
| style="background:#dadada; padding-right:1em" | '''説明'''
| style="background:#eaeaea" | Candidates should understand the principle of major types of security vulnerabilities and threats.
+
| style="background:#eaeaea" | 主要なセキュリティの脆弱性と脅威について原理を理解している。
 
|}
 
|}
'''Key Knowledge Areas:'''
+
'''主な知識分野:'''
* Conceptual understanding of threats against individual nodes
+
* 独立したノードに対する脅威について、概念上の理解がある。
* Conceptual understanding of threats against networks
+
* ネットワークに対する脅威について、概念上の理解がある。
* Conceptual understanding of threats against application
+
* アプリケーションに対する脅威について、概念上の理解がある。
* Conceptual understanding of threats against credentials and confidentiality
+
* 証明書と信頼に対する脅威について、概念上の理解がある。
* Conceptual understanding of honeypots
+
* ハニーポットついて、概念上の理解がある。
'''The following is a partial list of the used files, terms and utilities:'''
+
'''用語とユーティリティ:'''
* Trojans
+
* トロイの木馬型ウイルス
* Viruses
+
* ウイルス
* Rootkits
+
* ルートキット
* Keylogger
+
* キーロガー
* DoS and DDoS
+
* DoSとDDoS
 
* Man in the Middle
 
* Man in the Middle
 
* ARP and NDP forgery
 
* ARP and NDP forgery
 
* Rogue Access Points, Routers and DHCP servers
 
* Rogue Access Points, Routers and DHCP servers
 
* Link layer address and IP address spoofing
 
* Link layer address and IP address spoofing
* Buffer Overflows
+
* バッファオーバーフロー
 
* SQL and Code Injections
 
* SQL and Code Injections
* Cross Site Scripting
+
* クロスサイトスクリプティング
 
* Cross Site Request Forgery
 
* Cross Site Request Forgery
* Privilege escalation
+
* 権限昇格
* Brute Force Attacks
+
* ブルートフォースアタック
 
* Rainbow tables
 
* Rainbow tables
* Phishing
+
* フィッシング詐欺
* Social Engineering
+
* ソーシャルエンジニアリング
 
<br />
 
<br />
  
====<span style="color:navy">335.2 Penetration Testing (weight: 3)</span>====
+
====<span style="color:navy">335.2 ペネトレーションテスト (総重量: 3)</span>====
 
{|
 
{|
| style="background:#dadada" | '''Weight'''
+
| style="background:#dadada" | '''総重量'''
 
| style="background:#eaeaea" | 3
 
| style="background:#eaeaea" | 3
 
|-
 
|-
| style="background:#dadada; padding-right:1em" | '''Description'''
+
| style="background:#dadada; padding-right:1em" | '''説明'''
| style="background:#eaeaea" | Candidates understand the concepts of penetration testing, including an understand of commonly used penetration testing tools. Furthermore, candidates should be able to use nmap to verify the effectiveness of network security measures.
+
| style="background:#eaeaea" | ペネトレーションテスト(侵入を試みるテスト)についての理解していて、一般的に利用されているペネトレーションテストツールの理解もしている。さらに、nmapを利用してネットワークのセキュリティ計測を効果的に行うことができる。
 
|}
 
|}
 
'''Key Knowledge Areas:'''
 
'''Key Knowledge Areas:'''
* Understand the concepts of penetration testing and ethical hacking
+
* ペネトレーションテストとエシカルハッキングの概念の理解。
* Understand legal implications of penetration testing
+
* ペネトレーションテストの法的な影響の理解
* Understand the phases of penetration tests, such as active and passive information gathering, enumeration, gaining access, privilege escalation, access maintenance, covering tracks
+
* アクティブ・受領的な情報収集・列挙・アクセス権取得・権限昇格・アクセスメンテナンス・カバートラック(侵入後の痕跡を隠す・消すこと)などの、ペネトレーションテストのフェーズを理解する。
* Understand the architecture and components of Metasploit, including Metasploit module types and how Metasploit integrates various security tools
+
* Metasploitのコンポーネントと構造を理解する。これには、MetasploitモジュールタイプとMetasploitが様々なセキュリティツールをどのように統合しているかの理解も含まれる。
* Use nmap to scan networks and hosts, including different scan methods, version scans and operating system recognition
+
* nmapをネットワークとホストスキャンに利用する。これには、様々なスキャンの方法・バージョンスキャン・オペレーティングシステムの認識も含まれる。
* Understand the concepts of Nmap Scripting Engine and execute existing scripts
+
* Nmap Scripting Engineの概念の理解と、存在するスクリプトの実行。
* Awareness of Kali Linux, Armitage and the Social Engineer Toolkit (SET)
+
* Kali Linux・Armitage・Social Engineer Toolkit(SET)の知識
'''Partial list of the used files, terms and utilities:'''
+
'''用語とユーティリティ:'''
 
* nmap
 
* nmap
  
 
<br />
 
<br />

Latest revision as of 05:57, 11 July 2021

はじめに

これは、LPIC-3 認定試験に必要な項目です。

バージョン情報

の試験範囲は、バージョン3.0.0です。

以前の バージョン2.0 の試験範囲は こちら


試験範囲の翻訳

このwikiに、以下の試験範囲の翻訳があります:


試験範囲

課題 331: 暗号化

331.1 X.509証明書と公開鍵基盤 (総重量: 5)

総重量 5
説明 X.509証明書と公開鍵基盤を理解している必要がある。認証局/CAを実装するのために、OpenSSLを設定し利用したり、様々な目的のために、SSL証明書を発行することを知っている必要があります。

主な知識分野:

  • X.509証明書、X.509証明書のライフサイクル、X.509証明書のフィールドとX.509v3証明書拡張を理解している。
  • 証明書の透明性(CT: certificate transparency)を含む、信頼の連鎖(trust chains)と公開鍵基盤を理解している。
  • 公開鍵と秘密鍵の生成と管理。
  • 認証局/CAを作成・操作・厳重に管理する。
  • サーバ・クライアント証明書を、要求・署名・管理する。
  • 証明書と認証局/CAを無効にする。
  • Let's Encrypt, ACME, certbotの基本的な特徴の知識。
  • CFSSLの基本的な特徴の知識。

用語とユーティリティ:

  • openssl (関連するサブコマンドを含む)
  • OpenSSLの設定
  • PEM, DER, PKCS
  • CSR
  • CRL
  • OCSP


331.2 暗号化・署名・認証のためのX.509証明書 (総重量: 4)

総重量 4
説明 サーバ・クライアント認証両方のために、X.509証明書を利用することができる。 これには、Apache HTTPDのユーザとサーバ認証の実装が含まれる。Apache HTTPDのバージョンは2.4以上を対象としている。

主な知識分野:

  • プロトコルバージョンと暗号(cipher)を含む、SSL, TLSの理解。
  • Apache HTTPDのmod_sslを利用して、SNI, HSTSを含む、HTTPSサービスを提供できるように設定する。
  • 証明書の連鎖を提供し、cipherの設定を調節して、Apache HTTPDのmod_sslを設定する(cipherに特化した知識ではない)。
  • 証明書を利用して、ユーザ認証をするようにApache HTTPDのmod_sslをせっていする。
  • OCSPを提供するように、Apache HTTPDのmod_sslを設定する。
  • OpenSSLを、SSL/TLSクライアントとサーバのテストに利用する。

用語とユーティリティ:

  • httpd.conf
  • mod_ssl
  • openssl (関連するサブコマンドを含む)


331.3 暗号化ファイルシステム (総重量: 3)

総重量 3
説明 暗号化ファイルシステムを構築し設定できる。

主な知識分野:

  • ブロックデバイスとファイルシステム暗号化を理解する。
  • ブロックデバイスを暗号化するために、LUKS1によるdm-cryptを利用する。
  • ファイルシステムを暗号化するために、eCryptfsを利用する。これには、ホームディレクトリとPAM統合を含まれる。
  • plainモードのdm-cryptの知識
  • LUKS2機能の知識
  • LUKSデバイスのClevisと、TMP2とNetwork Bound Disk Encryption (NBDE)/TangのClevis PINの概念的な理解。

用語とユーティリティ:

  • cryptsetup (関連するサブコマンドを含む)
  • cryptmount
  • /etc/crypttab
  • ecryptfsd
  • ecryptfs-* commands
  • mount.ecryptfs, umount.ecryptfs
  • pam_ecryptfs


331.4 DNSと暗号化 (総重量: 5)

総重量 5
説明 BINDを利用した際の、DNSの背景と実装について、暗号化の知識と経験がある。BINDのバージョンは9.7とそれ以上を対象としている。

主な知識分野:

  • DNS・ゾーン・リソースレコードの概念を理解している。
  • 鍵署名鍵、ゾーン署名鍵、DS, DNSKEY, RRSIG, NSEC, NSEC3, NSEC3PARAMなどの関連するDNSレコードを含み、DNSSECを理解している。
  • DNSSECセキュアゾーンを提供している権威のあるネームサーバとしての、BINDの設定をトラブルシューティング。
  • DNSSECの署名されたゾーンを管理する。これには、キー生成・キーのロールオーバー・ゾーンの再署名が含まれます。
  • クライアントの振る舞いがDNSSECバリデーションとして機能する、再帰ネームサーバとしてBINDを設定する。
  • CAAやTLSAのようなDNSレコードに関連する、CAAとDANEの理解。
  • DNSで、X.509証明書と認証局/CAの情報を発行する、CAAとDANEを利用する。
  • BINDでセキュアな接続を行うため、TSIGを利用する。
  • DNS over TLSとDNS over HTTPSの知識。
  • マルチキャストDNSの知識。

用語とユーティリティ:

  • named.conf
  • dnssec-keygen
  • dnssec-signzone
  • dnssec-settime
  • dnssec-dsfromkey
  • rndc (関連するサブコマンドを含む)
  • dig
  • delv
  • openssl (関連するサブコマンドを含む)



課題 332: ホストセキュリティ

332.1 ホストハーデニング (総重量: 5)

総重量 5
説明 一般的な脅威に対して、Linuxが稼働しているコンピュータをよりセキュアにする。

主な知識分野:

  • BIOSとboot loader(GRUB 2)セキュリティの設定。
  • 利用していないソフトウエアとサービスを無効化する。
  • 特定のsystemdユニットと全体システムに対して、不必要な機能を理解し削除する。
  • アドレス空間のランダム化(ASLR: Address Space Layout Randomization )、Data Execution Prevention (DEP) 、 Exec-Shieldを理解し設定する。
  • ブラックリスト・ホワイトリストに分けられたUSBデバイスを、USBGuardを利用して、コンピュータに接続する。
  • CAを利用してホストとユーザーキーのSSH CA、SSH証明書を作成し、OpenSSHがSSH証明書を利用するように設定する。
  • chroot環境での作業
  • システムコールとプロセスに対して有効な機能を制限するために、systemdユニットを利用する。
  • 特定のファイルやデバイスに、アクセスを制限したりアクセスさせないようにして、プロセスを起動するようにsystemdユニットを利用する。
  • 専用のテンポラリディレクトリや/devディレクトリがあり、ネットワークアクセスができない状態のプロセスを起動するように、systemdユニットを利用する。
  • プロセスが消費することができるシステムリソースを制限するように、systemdユニットを利用することができる。
  • Linux MeltdownとSpectreの回避策の影響の理解と、回避策の有効化・無効化。
  • polkitの知識
  • 仮想化とコンテナ化のセキュリティの利点の知識

用語とユーティリティ:

  • grub.cfg
  • systemctl
  • getcap
  • setcap
  • capsh
  • sysctl
  • /etc/sysctl.conf
  • /etc/usbguard/usbguard-daemon.conf
  • /etc/usbguard/rules.conf
  • usbguard
  • ssh-keygen
  • /etc/ssh/
  • ~/.ssh/
  • /etc/ssh/sshd_config
  • chroot


332.2 ホストの侵入検知 (総重量: 5)

総重量 5
説明 一般的なのホスト侵入検知ソフトウエアの利用と設定の知識がある必要がある。これには、Linux Auditシステムとシステムの一貫性の検証が含まれる。

主な知識分野:

  • Linux Auditシステムの設定と利用
  • chkrootkitの利用
  • rkhunterの、利用・設定・アップデート
  • Linux Malware Detect(マルウェア検出ツール)の利用。
  • cronを利用したホストのスキャンの自動化。
  • インストールされたファイルの一貫性の検証のため、RPMやDPKGのパッケージ管理ツールの利用。
  • ルール管理を含んだAIDEの設定と利用。
  • OpenSCAPの知識

用語とユーティリティ:

  • auditd
  • auditctl
  • ausearch, aureport
  • auditd.conf
  • audit.rules
  • pam_tty_audit.so
  • chkrootkit
  • rkhunter
  • /etc/rkhunter.conf
  • maldet
  • conf.maldet
  • rpm
  • dpkg
  • aide
  • /etc/aide/aide.conf


332.3 リソース制御 (総重量: 3)

総重量 3
説明 サービスとプログラムが利用可能なリソースを制限できる。

主な知識分野:

  • ulimitsの理解と設定
  • クラス・リミット・アカウンティングを含むcgroupsの理解。
  • cgroupsの管理と、cgroup associationの加工。
  • スライスを含む、systemdリソース制御の理解
  • systemdユニットのリソース制限の設定。
  • cgmanagerとlibcgroupユーティリティーの知識。

用語とユーティリティ:

  • ulimit
  • /etc/security/limits.conf
  • pam_limits.so
  • /sys/fs/group/
  • /proc/cgroups
  • systemd-cgls
  • systemd-cgtop



課題 333: Access Control

333.1 任意アクセス制御 (総重量: 3)

総重量 3
説明 任意アクセス制御(DAC: discretionary access control)を理解していて、アクセス制御リスト(ACL: access control list)を利用してどのように実装するかの知識があります。さらに、拡張された属性をどのように利用するかを理解しているひつようがあります。

主な知識分野:

  • SetUID, SetGIDビットを含む、ファイルの所有権・パーミッションの管理と理解。
  • アクセス制御リスト(ACL)の管理と理解。
  • 拡張属性と属性クラスの管理と理解。

用語とユーティリティ:

  • getfacl
  • setfacl
  • getfattr
  • setfattr


333.2 強制アクセス制御 (総重量: 5)

総重量 5
説明 Linuxの強制アクセス制御(MAC: mandatory access control)の知識がある 特にSELinux全体の知識がある。Linuxの他の強制アクセス制御の知識も必要である。これには、システムの主な機能が含まれるが、設定や利用に関しては含まれない。

主な知識分野:

  • Type Enforcement・ロールベースアクセス制御(RBAC: role based access control)・強制アクセス制御・任意アクセス制御の概念を理解している。
  • SELinuxを管理・設定する。
  • AppArmorとSmackの知識

用語とユーティリティ:

  • getenforce
  • setenforce
  • selinuxenabled
  • getsebool
  • setsebool
  • togglesebool
  • fixfiles
  • restorecon
  • setfiles
  • newrole
  • setcon
  • runcon
  • chcon
  • semanage
  • sestatus
  • seinfo
  • apol
  • seaudit
  • audit2why
  • audit2allow
  • /etc/selinux/*



課題 334:ネットワークセキュリティ

334.1 ネットワークハーデニング (総重量: 4)

総重量 4
説明 一般的な脅威に対して、ネットワークをセキュアに設定できる。これには、特定のノードとプロトコルについて、ネットワークトラフィックを解析が含まれている。

主な知識分野:

  • ワイヤレスネットワークのセキュリティ機構を理解する。
  • ネットワークノードの認証のため、FreeRADIUSを設定する。
  • ネットワークトラフィックの分析・フィルタ・統計取得のため、Wiresharkやtcpdumpを利用する。
  • ワイヤレスネットワークを解析し、ワイヤレスネットワークのトラフィックを取得するために、Kismetを利用する。
  • 不正なRA(rogue router advertisement: ルータアドバタイズメント)とDHCPメッセージの確認と取り扱い。
  • aircrack-ngとbettercapの知識

用語とユーティリティ:

  • radiusd
  • radmin
  • radtest
  • radclient
  • radlast
  • radwho
  • radiusd.conf
  • /etc/raddb/*
  • wireshark
  • tshark
  • tcpdump
  • kismet
  • ndpmon


334.2 ネットワーク侵入検知 (総重量: 4)

総重量 4
説明 ネットワークのセキュリティスキャン・ネットワークモニタ・ネットワークの侵入検知ソフトウエアの設定・利用について理解している。これには、セキュリティスキャナの更新と管理が含まれる。

主な知識分野:

  • 利用帯域モニタリングの実施
  • Snortの利用と設定とルール管理
  • NASLを含むOpenVASの利用と設定

用語とユーティリティ:

  • ntop
  • snort
  • snort-stat
  • pulledpork.pl
  • /etc/snort/*
  • openvas-adduser,
  • openvas-rmuser
  • openvas-nvt-sync
  • openvassd
  • openvas-mkcert
  • openvas-feed-update
  • /etc/openvas/*


334.3 パケットフィルタリング (総重量: 5)

総重量 5
説明 Linuxパケットフィルタのnetfilterの設定と利用の知識がある。

主な知識分野:

  • DMZを含む一般的なファイアウォールと構造の理解。
  • 一般的なモジュール・テスト・ターゲットを含む、iptables, ip6tablesの利用と理解。
  • IPv4とIPv6のパケットフィルタリングの実施。
  • コネクショントラッキングとネットワークアドレス変換(NAT)の実施。
  • IPセットと、IPセットのnetfilterルールでの利用。
  • nftablesとnftの知識
  • ebtablesの知識
  • conntrackdの知識

用語とユーティリティ:

  • iptables
  • ip6tables
  • iptables-save
  • iptables-restore
  • ip6tables-save
  • ip6tables-restore
  • ipset


334.4 バーチャルプライベートネットワーク(VPN) (総重量: 4)

総重量 4
説明 OpenVPN, IPsec, WireGuardについて、サイト間VPNでのリモートアクセスでの設定を行い、利用を熟知している。

主な知識分野:

  • ブリッジ・ルーティングされたVPNの概念を理解している。
  • OpenVPN, IPsec, IKEv2, WIreGuardプロトコルの主な違いと概念を理解している。
  • OpenVPNサーバとクライアントを設定・操作する。
  • IPsecサーバとクライアントを、strongSwanを利用して設定・操作する。
  • WireGuardサーバとクライアントを設定・操作する。
  • L2TPの知識

用語とユーティリティ:

  • /etc/openvpn/
  • openvpn
  • /etc/strongswan.conf
  • /etc/strongswan.d/
  • /etc/swanctl/swanctl.conf
  • /etc/swanctl/
  • swanctl
  • /etc/wireguard/
  • wg
  • ip


課題 335: 脅威と脆弱性評価

335.1 一般的なセキュリティの脆弱性と脅威 (総重量: 2)

総重量 2
説明 主要なセキュリティの脆弱性と脅威について原理を理解している。

主な知識分野:

  • 独立したノードに対する脅威について、概念上の理解がある。
  • ネットワークに対する脅威について、概念上の理解がある。
  • アプリケーションに対する脅威について、概念上の理解がある。
  • 証明書と信頼に対する脅威について、概念上の理解がある。
  • ハニーポットついて、概念上の理解がある。

用語とユーティリティ:

  • トロイの木馬型ウイルス
  • ウイルス
  • ルートキット
  • キーロガー
  • DoSとDDoS
  • Man in the Middle
  • ARP and NDP forgery
  • Rogue Access Points, Routers and DHCP servers
  • Link layer address and IP address spoofing
  • バッファオーバーフロー
  • SQL and Code Injections
  • クロスサイトスクリプティング
  • Cross Site Request Forgery
  • 権限昇格
  • ブルートフォースアタック
  • Rainbow tables
  • フィッシング詐欺
  • ソーシャルエンジニアリング


335.2 ペネトレーションテスト (総重量: 3)

総重量 3
説明 ペネトレーションテスト(侵入を試みるテスト)についての理解していて、一般的に利用されているペネトレーションテストツールの理解もしている。さらに、nmapを利用してネットワークのセキュリティ計測を効果的に行うことができる。

Key Knowledge Areas:

  • ペネトレーションテストとエシカルハッキングの概念の理解。
  • ペネトレーションテストの法的な影響の理解
  • アクティブ・受領的な情報収集・列挙・アクセス権取得・権限昇格・アクセスメンテナンス・カバートラック(侵入後の痕跡を隠す・消すこと)などの、ペネトレーションテストのフェーズを理解する。
  • Metasploitのコンポーネントと構造を理解する。これには、MetasploitモジュールタイプとMetasploitが様々なセキュリティツールをどのように統合しているかの理解も含まれる。
  • nmapをネットワークとホストスキャンに利用する。これには、様々なスキャンの方法・バージョンスキャン・オペレーティングシステムの認識も含まれる。
  • Nmap Scripting Engineの概念の理解と、存在するスクリプトの実行。
  • Kali Linux・Armitage・Social Engineer Toolkit(SET)の知識

用語とユーティリティ:

  • nmap