学易

試験名

試験番号:303-200

試験名:LPIC-3 303 Security(セキュリティ) バージョン2.0

認定資格:LPIC3 303

有効期間:5年

試験情報のページ

概要

本試験はLinux技術者試験の「LPICレベル3 セキュリティ」認定資格を取得するための試験です。

本試験に合格すると「LPICレベル3 セキュリティ」に認定されます。受験に関しての前提条件はありませんが、認定にあたり「LPICレベル2」の認定が前提条件となっています。

本試験の他にLPICレベル3試験として、「LPIC-3 300:混在環境」、「LPIC-3 304:仮想化とハイアベイラビリティ」が存在しています。これらは独立しており、本試験を含めて、いずれかの試験に合格すればLPICレベル3として認定されます。LPICレベル2まではそのレベルのすべての試験に合格しなければ認定されなませんでしたので、この点が異なります。

一方、いずれかのLPICレベル3試験に合格するとそのLPICレベル3の有効期間まで下位のレベルの認定期間も延長されますが、その他のLPICレベル3認定の有効期間は延長されません。

試験はCBT形式で、随時テストセンターで受験可能です。

下位の資格に「LPIC-2:Linuxエンジニア」、「LPIC-1:システム管理者」があり、上位の資格はありません。

LPICと同様の試験にLinuCが存在しており、試験範囲は同じです。ただ、LPICが世界的に有効であるのに対し、LinuCは日本に特化した試験です。

試験情報

受験料 32,400円(税込み)
試験時間 90 分
出題数 60 問
出題方式 単一選択問題・複数選択問題(選択肢は4~5)、語句入力問題
合格ライン 500点 (得点範囲は200~800点の偏差値方式)

試験範囲

※公式試験情報ページより引用

トピック325:暗号化

325.1 X.509証明書と公開鍵基盤

重要度5

説明:X.509証明書と公開鍵インフラストラクチャを理解する必要があります。 OpenSSLを設定して使用して証明機関を実装し、さまざまな目的でSSL証明書を発行する方法を知っている必要があります。

主な知識分野:

  • X.509証明書、X.509証明書ライフサイクル、X.509証明書フィールド、X.509v3証明書拡張
  • 信頼チェーンと公開キー基盤の理解
  • 公開鍵と秘密鍵の生成と管理
  • 証明機関の作成、運用、保護
  • サーバー証明書とクライアント証明書の要求、署名、管理
  • 証明書と証明機関を取り消す

以下は、使用されるファイル、用語、およびユーティリティの一部の一覧です。

  • 関連するサブコマンドを含むopenssl
  • OpenSSLの設定
  • PEM、DER、PKCS
  • CSR
  • CRL
  • OCSP

 

325.2 暗号化、署名、および認証のためのX.509証明書

重要度4

説明:サーバー認証とクライアント認証の両方にX.509証明書を使用する方法を理解する必要があります。Apache HTTPDのユーザー認証とサーバー認証を実装できるはずです。 対象となるApache HTTPDのバージョンは2.4以上です。

主な知識分野:

  • SSL、TLS、プロトコルのバージョンを理解する
  • Man-in-the-Middleなど、一般的なトランスポート層セキュリティの脅威を理解する
  • mod_sslでApache HTTPDを設定し、HTTPSサービス(SNIとHSTSを含む)を提供する
  • 証明書を使用してユーザーを認証するためにmod_sslでApache HTTPDを構成する
  • mod_sslを使用してApache HTTPDを構成し、OCSPステープルを提供する
  • SSL / TLSクライアントとサーバーのテストにOpenSSLを使用する

用語とユーティリティ:

  • Intermediate certification authorities
  • Cipher configuration (no cipher-specific knowledge)
  • httpd.conf
  • mod_ssl
  • opensslの

 

325.3 暗号化ファイルシステム

重要度:3

説明:暗号化されたファイルシステムをセットアップして構成できる必要があります。

主な知識分野:

  • ブロックデバイスとファイルシステムの暗号化について理解する
  • LUデバイスでdm-cryptを使用してブロックデバイスを暗号化する
  • eCryptfsを使用して、ホームディレクトリとファイルシステムを含むファイルシステムを暗号化します。
  • PAMの統合
  • プレーンなdm-cryptとEncFSを認識してください

用語とユーティリティ:

  • cryptsetup
  • cryptmount
  • /etc/crypttab
  • ecryptfsd
  • ecryptfs-* コマンド
  • mount.ecryptfs、umount.ecryptfs
  • pam_ecryptfs

 

325.4 DNSと暗号化

重要度5

説明:BINDを使用してDNSとその実装のコンテキストで暗号の経験と知識を持っている必要があります。 BINDのバージョンは9.7以上です。

主な知識分野:

  • DNSSECとDANEの理解
  • BINDをDNSSECセキュアゾーンに対応する権限ネームサーバーとして構成およびトラブルシューティングする
  • BINDをクライアントの代わりにDNSSEC検証を実行する再帰ネームサーバとして設定する
  • 鍵署名鍵、ゾーン署名鍵、鍵タグ
  • キー生成、キーストレージ、キー管理、キーロールオーバー
  • ゾーンのメンテナンスと再署名
  • DANEを使用してX.509証明書情報をDNSに発行する
  • BINDとの安全な通信にTSIGを使用する

用語とユーティリティ:

  • DNS, EDNS, Zones, Resource Records
  • DNS resource records: DS, DNSKEY, RRSIG, NSEC, NSEC3, NSEC3PARAM, TLSA
  • DO-Bit,  AD-Bit
  • TSIG
  • named.conf
  • dnssec-keygen
  • dnssec-signzone
  • dnssec-settime
  • dnssec-dsfromkey
  • rndc
  • dig
  • delv
  • openssl

トピック326:ホストのセキュリティ

326.1ホストの強化

重要度3

説明:共通の脅威に対してLinuxを実行しているコンピュータを保護できるはずです。 これにはカーネルとソフトウェアの設定が含まれます。

主な知識分野:

  • BIOSとブートローダ(GRUB 2)のセキュリティを設定する
  • 役に立たないソフトウェアやサービスを無効にする
  • セキュリティ関連のカーネル設定、特にASLR、Exec-Shield、IP / ICMP設定にはsysctlを使用してください
  • Exec-ShieldおよびIP / ICMP設定
  • リソースの使用を制限する
  • chroot環境での作業
  • 不要な機能を削除
  • 仮想化のセキュリティ上の利点に注意してください

用語とユーティリティ:

  • grub.cfg
  • chkconfig、systemctl
  • ulimit
  • /etc/security/limits.conf
  • pam_limits.so
  • chroot
  • sysctl
  • /etc/sysctl.conf

 

326.2ホスト侵入検知

重要度4

説明:一般的なホスト侵入検知ソフトウェアの使用と設定に精通している必要があります。 これには、更新と保守だけでなく自動化されたホストスキャンも含まれます。

主な知識分野:

  • Linux監査システムの使用と設定
  • chkrootkitを使用する
  • アップデートを含むrkhunterの使用と設定
  • Linuxマルウェア検出を使用する
  • cronを使用してホストスキャンを自動化する
  • ルール管理を含むAIDEの設定と使用
  • OpenSCAPに気づく

用語とユーティリティ:

  • auditd
  • auditctl
  • ausearch、aureport
  • auditd.conf
  • auditd.rules
  • pam_tty_audit.so
  • chkrootkit
  • rkhunter
  • /etc/rkhunter.conf
  • maldet
  • conf.maldet
  • aide
  • /etc/aide/aide.conf

 

326.3ユーザー管理と認証

重要度:5

説明:ユーザーアカウントの管理と認証に精通している必要があります。 これには、NSS、PAM、SSSD、Kerberosの設定とローカルディレクトリとリモートディレクトリと認証メカニズムの両方の使用、パスワードポリシーの適用が含まれます。

主な知識分野:

  • NSSの理解と設定
  • PAMの理解と構成
  • パスワードの複雑さのポリシーと定期的なパスワードの変更を強制する
  • 失敗したログイン試行後に自動的にアカウントをロックする
  • SSSDの設定と使用
  • SSSDで使用するためのNSSとPAMの設定
  • Active Directory、IPA、LDAP、Kerberosおよびローカルドメインに対してSSSD認証を設定する
  • Kerberosとローカルドメイン
  • Kerberosチケットを取得して管理する

用語とユーティリティ:

  • nsswitch.conf
  • /etc/login.defs
  • pam_cracklib.so
  • chage
  • pam_tally.so、pam_tally2.so
  • faillog
  • pam_sss.so
  • sssd
  • sssd.conf
  • sss_* コマンド
  • krb5.conf
  • kinit、klist、kdestroy

 

326.4 FreeIPAのインストールとSambaの統合

重要度4

説明:FreeIPA v4.xに精通している必要があります。 これには、FreeIPAドメインを使用するサーバーインスタンスのインストールと保守、およびFreeIPAとActive Directoryの統合が含まれます。

主な知識分野:

  • FreeIPAのアーキテクチャとコンポーネントを理解する
  • FreeIPAをインストールするためのシステムと構成の前提条件について理解する
  • FreeIPAサーバーとドメインのインストールと管理
  • Active DirectoryレプリケーションとKerberosクロスドメインの信頼を理解して構成する
  • FreeIPAのsudo、autofs、SSHとSELinuxの統合に注意してください

用語とユーティリティ:

  • 389 Directory Server, MIT Kerberos, Dogtag Certificate System, NTP, DNS, SSSD, certmonger
  • ipa, including relevant subcommands
  • ipa-server-install、ipa-client-install、ipa-replica-install
  • ipa-replica-prepare、ipa-replica-manage

トピック327:アクセス制御

327.1任意アクセス制御

重要度3

説明:任意アクセス制御を理解し、アクセス制御リストを使用してそれを実装する方法を理解する必要があります。 さらに、候補者は拡張属性の使用方法を理解し、理解する必要があります。

主な知識分野:

  • SUIDとSGIDを含むファイルの所有権とパーミッションの理解と管理
  • アクセス制御リストの理解と管理
  • 拡張属性と属性クラスの理解と管理

用語とユーティリティ:

  • getfacl
  • setfacl
  • getfattr
  • setfattr

 

327.2強制アクセス制御

重要度4

説明:Linux用の強制アクセス制御システムに精通している必要があります。 具体的には、SELinuxに関する十分な知識を持っている必要があります。 また、Linux用の他の強制アクセス制御システムにも注意する必要があります。 これには、これらのシステムの主な機能が含まれますが、設定や使用は含まれません。

主な知識分野:

  • TE、RBAC、MAC、およびDACの概念を理解する
  • SELinuxの設定、管理、使用
  • AppArmorとSmackを理解する

用語とユーティリティ:

  • getenforce、setenforce、selinuxenabled
  • getsebool、setsebool、togglesebool
  • fixfiles、restorecon、setfiles
  • newrole,  runcon
  • semanage
  • sestatus、seinfo
  • apol
  • seaudit、seaudit-report、audit2why、audit2allow
  • / etc / selinux / *

 

327.3ネットワークファイルシステム

重要度3

説明:NFSv4クライアントとサーバー、およびCIFSクライアントサービスの使用と構成におけるセキュリティ上の問題の経験と知識を持っている必要があります。 以前のバージョンのNFSでは、知識は必要ありません。

主な知識分野:

  • NFSv4のセキュリティの問題と改善点を理解する
  • NFSv4サーバーとクライアントを構成する
  • NFSv4認証メカニズム(LIPKEY、SPKM、Kerberos)を理解して構成する
  • NFSv4疑似ファイルシステムの理解と使用
  • NFSv4 ACLの理解と使用
  • CIFSクライアントを設定する
  • CIFS Unix Extensionsの理解と使用
  • CIFSセキュリティモード(NTLM、Kerberos)の理解と構成
  • LinuxシステムでのCIFS ACLおよびSIDのマッピングと処理の理解と管理

用語とユーティリティ:

  • /etc/exports
  • /etc/idmap.conf
  • nfs4acl
  • mount.cifs parameters related to ownership, permissions and security modes
  • winbind
  • getcifsacl、setcifsacl

トピック328:ネットワークセキュリティ

328.1ネットワークの強化

重要度4

説明:共通の脅威に対してネットワークを保護できる必要があります。 これには、セキュリティ対策の有効性の検証も含まれます。

主な知識分野:

  • FreeRADIUSを設定してネットワークノードを認証する
  • nmapを使用してネットワークやホストをスキャンする
  • Wiresharkを使用して、フィルタや統計情報などのネットワークトラフィックを分析する
  • 不正なルーター広告とDHCPメッセージを特定して処理する

用語とユーティリティ:

  • radiusd
  • radmin
  • radtest、radclient
  • radlast,  radwho
  • radiusd.conf
  • /etc/raddb/*
  • nmap
  • wireshark
  • tshark
  • tcpdump
  • ndpmon

 

328.2ネットワーク侵入検知

重要度:4

説明:ネットワークセキュリティスキャン、ネットワーク監視、ネットワーク侵入検知ソフトウェアの使用と設定に精通している必要があります。 これには、セキュリティスキャナの更新と保守が含まれます。

主な知識分野:

  • 帯域幅の使用状況の監視を実装する
  • Snortの設定と使用(ルール管理を含む)
  • NASLを含むOpenVASの設定と使用

用語とユーティリティ:

  • ntop
  • Cacti
  • snort
  • snort-stat
  • / etc / snort / *
  • openvas-adduser、openvas-rmuser
  • openvas-nvt-sync
  • openvassd
  • openvas-mkcert
  • / etc / openvas / *

 

328.3パケットフィルタリング

重要度5

説明:パケットフィルタの使用と設定に精通している必要があります。 これには、netfilter、iptables、ip6tables、nftables、nft、ebtablesの基本的な知識が含まれます。

主な知識分野:

  • DMZを含む一般的なファイアウォールアーキテクチャを理解する
  • netfilter、iptables、ip6tables(標準モジュール、テスト、ターゲットを含む)の理解と使用
  • IPv4とIPv6の両方に対してパケットフィルタリングを実装する
  • 接続追跡とネットワークアドレス変換の実装
  • IPセットを定義し、それらをネットフィルタルールで使用する
  • nftablesとnftの基本知識を持っている
  • ebtablesの基本知識を持っている
  • conntrackdに気づく

用語とユーティリティ:

  • iptables
  • ip6tables
  • iptables-save、iptables-restore
  • ip6tables-save、ip6tables-restore
  • ipset
  • nft
  • ebtables

 

328.4仮想プライベートネットワーク

重要度:4

説明:OpenVPNとIPsecの使用に精通している必要があります。

主な知識分野:

  • ブリッジVPNネットワークとルーテッドVPNネットワークの両方でOpenVPNサーバーとクライアントを構成して運用する
  • IPsec-Tools / racoonを使用してルーティングされたVPNネットワークのIPsecサーバーとクライアントを構成し、運用する
  • L2TPの認識

用語とユーティリティ:

  • /etc/openvpn/*
  • openvpn server and client
  • setkey
  • /etc/ipsec-tools.conf
  • /etc/racoon/racoon.conf

 

受験のポイント

試験範囲が非常に広く、細かい点が問われる

本試験は多くのソフトウェアについて扱う上に、通常の使用では気に留めないような点について問われるため、LPICレベル3の中でも学習が非常に困難です。

学易ならどこでも学習できますので、いつでも繰り返し学習し、知識の定着を図れます。

 

偏差値式の採点をされます

他の多くの受験者が正解した易しい問題に正解しても得点は少なく、難しい問題を多く解かないと合格点に到達できません。また、複数選択方式の問題でも部分点はありません。

学易なら分野別に問題を選択して解けますので、苦手分野を集中して学習することができます。

 

熟読する問題はありません

本試験に関しては熟読しなければ問題が理解できないという問題はありません。その為、試験時間の不足を気にする必要はありません。正解に関する知識があるかないかが問われます。実際には存在しない、ひっかけの選択肢がありますので、知識がないと確実に得点することは困難です。

学易なら実際の試験と同じ形式で学習できます。受験の練習に最適です。

 

2回目の試験は全く別の問題が出ます

LPIC試験の特徴として、試験に不合格になり、再度受験しても同じ問題はほぼ出ません。その為、一度練習の為に受験して、二度目に合格するという方法はできません。また、受験料が非常に高額の為、何度も受験するのは経済的な負担が大きいです。

学易なら一度の試験で確実に合格するべく、本試験で問われるであろう知識のみに絞って問題を作成し、解説を記載しています。

 

提供商品について

本サイトでは下記期間・価格で問題を利用できます。
利用期間価格(税込み)
1か月6,480円
3か月8,100円
6か月8,640円

※現在の価格はキャンペーンなどで変更になっている可能性があります。購入画面で確認してください。

学習を開始する