LinuC-3 - 303試験 - 326:ホストセキュリティ

  1. 326.1 ホストの堅牢化
    重要度 : ★★★
    概要 :
    • 一般的な脅威からLinuxが稼働するコンピュータをセキュアにすることができることが求められる。

    詳細 :
    • BIOSとブートローダー(GRUB 2)強化の設定。
    • 無用なソフトウェアとサービスの無効化。
    • セキュリティ関連のカーネル設定、特にASLR、Exec-Shield および IP / ICMP の設定のためのsysctlの使用。
    • リソース使用量の制限。
    • chroot 環境での作業。
    • 不要な機能権限の削除。
    • 仮想化のセキュリティの有意性についての知識。

    重要なファイル、 用語、ユーティリティ
    【用語例】
    • grub.cfg
    • chkconfig, systemctl
    • ulimit
    • /etc/security/limits.conf
    • pam_limits.so
    • chroot
    • sysctl
    • /etc/sysctl.conf


  2. 326.2 ホストの侵入検知
    重要度 : ★★★★
    概要 :
    • 一般的なホストの侵入検知ソフトウェアの使用方法と設定について精通していることが求められる。これには、自動ホストスキャンと同様に更新や管理を含む。

    詳細 :
    • Linuxの監査システムの使用と設定。
    • chkrootkit の使用。
    • rkhunterの使用、設定、および更新。
    • Linuxのマルウェア検知の使用。
    • cronを使用したホストスキャンの自動化。
    • ルール管理を含むAIDEの設定と使用。
    • OpenSCAPについての知識。

    重要なファイル、 用語、ユーティリティ
    【用語例】
    • auditd
    • auditctl
    • ausearch, aureport
    • /etc/auditd/auditd.conf
    • /etc/auditd/audit.rules
    • pam_tty_audit.so
    • chkrootkit
    • rkhunter
    • /etc/rkhunter.conf
    • maldet
    • conf.maldet
    • aide
    • /etc/aide/aide.conf


  3. 326.3 ユーザの管理と認証
    重要度 : ★★★★★
    概要 :
    • ユーザアカウントの管理と認証について精通していることが求められる。これには、NSS、PAM、SSSDおよびローカルとリモートのディレクトリのKerberos、パスワードポリシーの強要と同様の認証メカニズムの設定と使用を含む。

    詳細 :
    • NSSの理解と設定。
    • PAMの理解と設定。
    • パスワードの複雑性ポリシーと定期変更の施行。
    • ログインの失敗試行回数超過時の自動アカウントロック。
    • SSSDの設定と使用。
    • SSSDと使用するためのNSSとPAMの設定。
    • AD、IPA、LDAP、Kerberosおよびローカルドメインに対するSSSD認証の設定。
    • Kerberosのチケットの取得と管理。

    重要なファイル、 用語、ユーティリティ
    【用語例】
    • nsswitch.conf
    • /etc/login.defs
    • pam_cracklib.so
    • chage
    • pam_tally.so, pam_tally2.so
    • faillog
    • pam_sss.so
    • sssd
    • sssd.conf
    • sss_* コマンド
    • krb5.conf
    • kinit, klist, kdestroy


  4. 326.4 FreeIPA のインストレーションとSambaの統合
    重要度 : ★★★★
    概要 :
    • FreeIPA v4.x に精通していることが求められる。これには、FreeIPAのADとの統合と同様に、FreeIPAドメインでのサーバーインスタンスのインストレーションと管理を含む。

    詳細 :
    • アーキテクチャとコンポーネントを含む、FreeIPAの理解。
    • FreeIPAのインストールに必要なシステムと設定の理解。
    • FreeIPA サーバーとドメインのインストールと管理。
    • ADのレプリケーションとKerberosのcross-realm trustの理解と設定。
    • FreeIPAでのsudo、autofs、SSHおよびSELinuxの統合についての知識。

    重要なファイル、 用語、ユーティリティ
    【用語例】
    • 389 Directory Server, MIT Kerberos, Dogtag Certificate System, NTP, DNS, SSSD, certmonger
    • ipa と関連するサブコマンド
    • ipa-server-install, ipa-client-install, ipa-replica-install
    • ipa-replica-prepare, ipa-replica-manage



   

www.click-rescue.com