LPIC-303(ES)

From LPI Wiki
Revision as of 18:44, 10 December 2017 by Restaurador (Talk | contribs)

(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to: navigation, search

Introduccion

La descripción del programa completo LPIC-3 figura en la lista aquí.

Información de versión

Estos son los objetivos de la versión 2.0.0. La versión 1.x objetivos se puede encontrar aquí.


Traducciones de objetivos

Las siguientes traducciones de los objetivos están disponibles en esta wiki:


Objetivos

Topic 325: Criptografía

325.1 X.509 Certificados e Infraestructuras de Clave Pública (peso: 5)

Weight 5
Description Los candidatos deben comprender los certificados X.509 y las infraestructuras de clave pública. Deben saber cómo configurar y usar OpenSSL para implementar las autoridades de certificación y emitir certificados SSL para diversos fines.

Áreas de conocimiento clave:

  • Comprender los certificados X.509, el ciclo de vida del certificado X.509, los campos del certificado X.509 y las extensiones de certificado X.509v3.
  • Comprender las cadenas de confianza y las infraestructuras de clave pública.
  • Generar y administrar claves públicas y privadas.
  • Crear, operar y asegurar una autoridad de certificación.
  • Solicitar, firmar y administrar certificados de servidor y cliente.
  • Revocar certificados y autoridades de certificación.

La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:

  • openssl, incluidos los subcomandos pertinentes
  • Configuración de OpenSSL
  • PEM, DER, PKCS
  • CSR
  • CRL
  • OCSP


Certificados para encriptación, firma y autenticación (peso: 4) 325.2 X.509

Weight 4
Descripcion Los candidatos deben saber cómo usar certificados X.509 para autenticación de servidor y cliente. Los candidatos deben ser capaces de implementar la autenticación de usuario y servidor para Apache HTTPD. La versión de Apache HTTPD cubierta es 2.4 o superior.

Áreas de conocimiento clave:

  • Comprender las versiones de los protocolos SSL y TLS.
  • Comprender las amenazas de seguridad comunes de la capa de transporte, por ejemplo Man-in-the-Middle.
  • Configurar Apache HTTPD con mod_ssl para proporcionar servicio HTTPS, incluidos SNI y HSTS.
  • Configurar Apache HTTPD con mod_ssl para autenticar a los usuarios que usan certificados.
  • Configurar Apache HTTPD con mod_ssl para proporcionar el engrapado OCSP.
  • Usar OpenSSL para pruebas de servidor y cliente SSL / TLS.

La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:

  • Autoridades de certificación intermedias
  • Configuración de cifrado (sin conocimiento específico de cifrado)
  • httpd.conf
  • mod_ssl
  • openssl


325.3 Sistemas de archivos encriptados (peso: 3)

Peso 3
Descripcion Los candidatos deben ser capaces de configurar y configurar sistemas de archivos encriptados.

Áreas de conocimiento clave:

  • Comprender los dispositivo de bloque y el cifrado del sistema de archivos.
  • Usar dm-crypt con LUKS para encriptar dispositivos de bloque.
  • Usar eCryptfs para cifrar sistemas de archivos, incluidos directorios personales e integración de PAM.
  • Conocer y tener en cuenta dm-crypt simple y EncFS.

La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:

  • cryptsetup
  • cryptmount
  • /etc/crypttab
  • ecryptfsd
  • comandos ecryptfs-*
  • mount.ecryptfs, umount.ecryptfs
  • pam_ecryptfs


325.4 DNS y criptografía (peso: 5)

Peso 5
Descripcion Los candidatos deben tener experiencia y conocimiento de la criptografía en el contexto del DNS y su implementación utilizando BIND. La versión de BIND cubierta es 9.7 o superior.

Áreas de conocimiento clave:

  • Comprensión de DNSSEC y DANE.
  • Configure y solucione problemas BIND con un servidor de nombres autorizado que sirve zonas seguras de DNSSEC.
  • Configure BIND con un servidor de nombres recursivo que realiza la validación de DNSSEC en nombre de sus clientes.
  • Key Signing Key, Zone Signing Key, Key Tag
  • Generación de claves, almacenamiento de claves, gestión de claves y renovación de claves
  • Mantenimiento y nueva firma de zonas
  • Usar DANE para publicar información del certificado X.509 en DNS.
  • Usar TSIG para una comunicación segura con BIND.

La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:

  • DNS, EDNS, Zones, Resource Records
  • DNS resource records: DS, DNSKEY, RRSIG, NSEC, NSEC3, NSEC3PARAM, TLSA
  • DO-Bit, AD-Bit
  • TSIG
  • named.conf
  • dnssec-keygen
  • dnssec-signzone
  • dnssec-settime
  • dnssec-dsfromkey
  • rndc
  • dig
  • delv
  • openssl



Topic 326: Seguridad del host

326.1 Hardening del host (peso: 3)

Peso 3
Descripcion Los candidatos deben poder proteger las computadoras que ejecutan Linux contra amenazas comunes. Esto incluye kernel y configuración de software.

Áreas de conocimiento clave:

  • Configurar la seguridad del BIOS y del gestor de arranque (GRUB 2).
  • Deshabilitar software y servicios inútiles.
  • Use sysctl para la configuración del kernel relacionada con la seguridad, particularmente ASLR, Exec-Shield y la configuración de IP / ICMP.
  • Limitar el uso de recursos.
  • Trabajar con entornos chroot.
  • Eliminar capacidades innecesarias.
  • Tenga en cuenta las ventajas de seguridad de la virtualización.

La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:

  • grub.cfg
  • chkconfig, systemctl
  • ulimit
  • /etc/security/limits.conf
  • pam_limits.so
  • chroot
  • sysctl
  • /etc/sysctl.conf


326.2 Detecion de Intrusos en Host (peso: 4)

Peso 4
Descripcion Los candidatos deben estar familiarizados con el uso y la configuración del software común de detección de intrusión de host. Esto incluye actualizaciones y mantenimiento, así como escaneos de host automatizados.

Áreas de conocimiento clave:

  • Usar y configurar el sistema de auditoría de Linux.
  • Utiliza chkrootkit.
  • Utiliza y configura rkhunter, incluidas las actualizaciones.
  • Use Linux Malware Detect.
  • Automatice las exploraciones de host usando cron.
  • Configure y use AIDE, incluida la administración de reglas.
  • Tenga en cuenta OpenSCAP.

La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:

  • auditd
  • auditctl
  • ausearch, aureport
  • auditd.conf
  • audit.rules
  • pam_tty_audit.so
  • chkrootkit
  • rkhunter
  • /etc/rkhunter.conf
  • maldet
  • conf.maldet
  • aide
  • /etc/aide/aide.conf


326.3 Gestión y autenticación de usuarios (peso: 5)

Peso 5
Descripcion Los candidatos deben estar familiarizados con la gestión y la autenticación de cuentas de usuario. Esto incluye la configuración y el uso de NSS, PAM, SSSD y Kerberos para los directorios locales y remotos y los mecanismos de autenticación, así como la aplicación de una política de contraseñas.

Áreas de conocimiento clave:

  • Comprender y configurar NSS.
  • Comprender y configurar PAM.
  • Aplicar políticas de complejidad de contraseña y cambios de contraseña periódicos.
  • Bloquee cuentas automáticamente después de intentos fallidos de inicio de sesión.
  • Configurar y usar SSSD.
  • Configure NSS y PAM para usar con SSSD.
  • Configure la autenticación SSSD contra Active Directory, IPA, LDAP, Kerberos y dominios locales.
  • Obtenga y administre tickets de Kerberos.

La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:

  • nsswitch.conf
  • /etc/login.defs
  • pam_cracklib.so
  • chage
  • pam_tally.so, pam_tally2.so
  • faillog
  • pam_sss.so
  • sssd
  • sssd.conf
  • sss_* commands
  • krb5.conf
  • kinit, klist, kdestroy


326.4 Instalación de FreeIPA e integración de Samba (peso: 4)

Peso 4
Descripcion Los candidatos deben estar familiarizados con FreeIPA v4.x. Esto incluye la instalación y el mantenimiento de una instancia de servidor con un dominio FreeIPA, así como la integración de FreeIPA con Active Directory.

Áreas de conocimiento clave:

  • Comprender FreeIPA, incluida su arquitectura y componentes.
  • Comprender los requisitos previos del sistema y la configuración para instalar FreeIPA.
  • Instalar y administrar un servidor y dominio FreeIPA.
  • Comprender y configurar la replicación de Active Directory y los cross-realm trusts de Kerberos.
  • Tenga en cuenta la integración de sudo, autofs, SSH y SELinux en FreeIPA.

La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:

  • 389 Directory Server, MIT Kerberos, Dogtag Certificate System, NTP, DNS, SSSD, certmonger
  • ipa, including relevant subcommands
  • ipa-server-install, ipa-client-install, ipa-replica-install
  • ipa-replica-prepare, ipa-replica-manage



Topic 327: Access Control

327.1 Control de acceso discrecional (peso: 3)

Peso 3
Descripcion Los candidatos deben comprender el Control de acceso discrecional y saber cómo implementarlo usando las Listas de control de acceso. Además, los candidatos deben comprender y saber cómo utilizar atributos extendidos.

Áreas de conocimiento clave:

  • Comprender y administrar la propiedad y los permisos del archivo, incluidos SUID y SGID.
  • Comprender y administrar las listas de control de acceso.
  • Entender y administrar atributos extendidos y clases de atributos.

La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:

  • getfacl
  • setfacl
  • getfattr
  • setfattr


327.2 Control de acceso obligatorio (MAC) (weight: 4)

Peso 4
Descripcion Los candidatos deben estar familiarizados con los sistemas de control de acceso obligatorio para Linux. Específicamente, los candidatos deben tener un conocimiento profundo de SELinux. Además, los candidatos deben conocer otros sistemas de control de acceso obligatorio para Linux. Esto incluye las principales características de estos sistemas, pero no la configuración y el uso.

Key Knowledge Areas:

  • Comprender los conceptos de TE, RBAC, MAC y DAC.
  • Configurar, administrar y usar SELinux.
  • Conocer de AppArmor y Smack.

La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:

  • getenforce, setenforce, selinuxenabled
  • getsebool, setsebool, togglesebool
  • fixfiles, restorecon, setfiles
  • newrole, runcon
  • semanage
  • sestatus, seinfo
  • apol
  • seaudit, seaudit-report, audit2why, audit2allow
  • /etc/selinux/*


327.3 Sistemas de archivos de red (peso: 3)

Peso 3
Descripcion Los candidatos deben tener experiencia y conocimiento de los problemas de seguridad en el uso y la configuración de los clientes y servidores NFSv4, así como los servicios del cliente CIFS. Las versiones anteriores de NFS no estan dentro del conocimiento requerido.

Áreas de conocimiento clave:

  • Comprender los problemas y las mejoras de seguridad de NFSv4.
  • Configurar el servidor y los clientes de NFSv4.
  • Comprender y configurar los mecanismos de autenticación de NFSv4 (LIPKEY, SPKM, Kerberos).
  • Comprender y usar el sistema de pseudoarchivo NFSv4.
  • Comprender y usar NFSv4 ACL.
  • Configurar clientes CIFS.
  • Comprender y usar extensiones CIFS Unix.
  • Comprender y configurar los modos de seguridad CIFS (NTLM, Kerberos).
  • Comprender y gestionar la asignación y el manejo de CIFS ACL y SID en un sistema Linux.


La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:

  • /etc/exports
  • /etc/idmap.conf
  • nfs4acl
  • parámetros mount.cifs relacionados con los permisos y los modos de seguridad* winbind
  • getcifsacl, setcifsacl



Topic 328: Seguridad de red

328.1 Hardening de Red(peso: 4)

Peso 4
Descripcion Los candidatos deben poder proteger las redes contra amenazas comunes. Esto incluye la verificación de la efectividad de las medidas de seguridad.

Áreas de conocimiento clave:

  • Configure FreeRADIUS para autenticar los nodos de la red.
  • Use nmap para escanear redes y hosts, incluidos diferentes métodos de escaneo.
  • Use Wireshark para analizar el tráfico de la red, incluidos los filtros y las estadísticas.
  • Identificar y tratar con anuncios de enrutadores maliciosos y mensajes DHCP.

La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:

  • radiusd
  • radmin
  • radtest, radclient
  • radlast, radwho
  • radiusd.conf
  • /etc/raddb/*
  • nmap
  • wireshark
  • tshark
  • tcpdump
  • ndpmon


328.2 Detección de intrusión de red (Peso: 4)

Peso 4
Descripcion Los candidatos deben estar familiarizados con el uso y la configuración de la exploración de seguridad de red, el monitoreo de red y el software de detección de intrusos de red. Esto incluye la actualización y el mantenimiento de los escáneres de seguridad.

Áreas de conocimiento clave:

  • Implementar monitoreo de uso de ancho de banda.
  • Configure y use Snort, incluida la administración de reglas.
  • Configure y use OpenVAS, incluido NASL.

The following is a partial list of the used files, terms and utilities:

  • ntop
  • Cacti
  • snort
  • snort-stat
  • /etc/snort/*
  • openvas-adduser, openvas-rmuser
  • openvas-nvt-sync
  • openvassd
  • openvas-mkcert
  • /etc/openvas/*


328.3 Filtrado de paquetes (peso: 5)

Peso 5
Descripcion Los candidatos deben estar familiarizados con el uso y la configuración de los filtros de paquetes. Esto incluye netfilter, iptables e ip6tables, así como el conocimiento básico de nftables, nft y ebtables.

Áreas de conocimiento clave:

  • Comprender las arquitecturas de firewall comunes, incluida DMZ.
  • Comprender y usar netfilter, iptables e ip6tables, incluidos los módulos estándar, pruebas y objetivos.
  • Implementar el filtrado de paquetes para IPv4 e IPv6.
  • Implementar el seguimiento de la conexión y la traducción de direcciones de red.
  • Definir conjuntos de IP y usarlos en las reglas de netfilter.
  • Tener conocimientos básicos de nftables y nft.
  • Tener conocimientos básicos de ebtables.
  • Conocer conntrackd.

La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:

  • iptables
  • ip6tables
  • iptables-save, iptables-restore
  • ip6tables-save, ip6tables-restore
  • ipset
  • nft
  • ebtables


328.4 Redes privadas virtuales (peso: 4)

Peso 4
Descripcion Los candidatos deben estar familiarizados con el uso de OpenVPN e IPsec.

Áreas de conocimiento clave:

  • Configure y maneje el servidor OpenVPN y los clientes para las redes VPN enrutadas y puente.
  • Configure y maneje el servidor IPsec y los clientes para las redes VPN enrutadas usando IPsec-Tools / racoon.
  • Conocimientos sobre L2TP.

La siguiente es una lista parcial de los archivos, términos y utilidades utilizadas:

  • /etc/openvpn/*
  • openvpn server and client
  • setkey
  • /etc/ipsec-tools.conf
  • /etc/racoon/racoon.conf