トピック325：暗号化

325.1 X.509証明書と公開鍵基盤

重要度：5

説明：X.509証明書と公開鍵インフラストラクチャを理解する必要があります。 OpenSSLを設定して使用して証明機関を実装し、さまざまな目的でSSL証明書を発行する方法を知っている必要があります。

主な知識分野：

• X.509証明書、X.509証明書ライフサイクル、X.509証明書フィールド、X.509v3証明書拡張
• 信頼チェーンと公開キー基盤の理解
• 公開鍵と秘密鍵の生成と管理
• 証明機関の作成、運用、保護
• サーバー証明書とクライアント証明書の要求、署名、管理
• 証明書と証明機関を取り消す

以下は、使用されるファイル、用語、およびユーティリティの一部の一覧です。

• 関連するサブコマンドを含むopenssl
• OpenSSLの設定
• PEM、DER、PKCS
• CSR
• CRL
• OCSP

325.2 暗号化、署名、および認証のためのX.509証明書

重要度：4

説明：サーバー認証とクライアント認証の両方にX.509証明書を使用する方法を理解する必要があります。Apache HTTPDのユーザー認証とサーバー認証を実装できるはずです。 対象となるApache HTTPDのバージョンは2.4以上です。

主な知識分野：

• SSL、TLS、プロトコルのバージョンを理解する
• Man-in-the-Middleなど、一般的なトランスポート層セキュリティの脅威を理解する
• mod_sslでApache HTTPDを設定し、HTTPSサービス（SNIとHSTSを含む）を提供する
• 証明書を使用してユーザーを認証するためにmod_sslでApache HTTPDを構成する
• mod_sslを使用してApache HTTPDを構成し、OCSPステープルを提供する
• SSL / TLSクライアントとサーバーのテストにOpenSSLを使用する

用語とユーティリティ：

• Intermediate certification authorities
• Cipher configuration (no cipher-specific knowledge)
• httpd.conf
• mod_ssl
• opensslの

325.3 暗号化ファイルシステム

重要度：3

説明：暗号化されたファイルシステムをセットアップして構成できる必要があります。

主な知識分野：

• ブロックデバイスとファイルシステムの暗号化について理解する
• LUデバイスでdm-cryptを使用してブロックデバイスを暗号化する
• eCryptfsを使用して、ホームディレクトリとファイルシステムを含むファイルシステムを暗号化します。
• PAMの統合
• プレーンなdm-cryptとEncFSを認識してください

用語とユーティリティ：

• cryptsetup
• cryptmount
• /etc/crypttab
• ecryptfsd
• ecryptfs-* コマンド
• mount.ecryptfs、umount.ecryptfs
• pam_ecryptfs

325.4 DNSと暗号化

重要度：5

説明：BINDを使用してDNSとその実装のコンテキストで暗号の経験と知識を持っている必要があります。 BINDのバージョンは9.7以上です。

主な知識分野：

• DNSSECとDANEの理解
• BINDをDNSSECセキュアゾーンに対応する権限ネームサーバーとして構成およびトラブルシューティングする
• BINDをクライアントの代わりにDNSSEC検証を実行する再帰ネームサーバとして設定する
• 鍵署名鍵、ゾーン署名鍵、鍵タグ
• キー生成、キーストレージ、キー管理、キーロールオーバー
• ゾーンのメンテナンスと再署名
• DANEを使用してX.509証明書情報をDNSに発行する
• BINDとの安全な通信にTSIGを使用する

用語とユーティリティ：

• DNS, EDNS, Zones, Resource Records
• DNS resource records: DS, DNSKEY, RRSIG, NSEC, NSEC3, NSEC3PARAM, TLSA
• DO-Bit,  AD-Bit
• TSIG
• named.conf
• dnssec-keygen
• dnssec-signzone
• dnssec-settime
• dnssec-dsfromkey
• rndc
• dig
• delv
• openssl

トピック326：ホストのセキュリティ

326.1ホストの強化

重要度：3

説明：共通の脅威に対してLinuxを実行しているコンピュータを保護できるはずです。 これにはカーネルとソフトウェアの設定が含まれます。

主な知識分野：

• BIOSとブートローダ（GRUB 2）のセキュリティを設定する
• 役に立たないソフトウェアやサービスを無効にする
• セキュリティ関連のカーネル設定、特にASLR、Exec-Shield、IP / ICMP設定にはsysctlを使用してください
• Exec-ShieldおよびIP / ICMP設定
• リソースの使用を制限する
• chroot環境での作業
• 不要な機能を削除
• 仮想化のセキュリティ上の利点に注意してください

用語とユーティリティ：

• grub.cfg
• chkconfig、systemctl
• ulimit
• /etc/security/limits.conf
• pam_limits.so
• chroot
• sysctl
• /etc/sysctl.conf

326.2ホスト侵入検知

重要度：4

説明：一般的なホスト侵入検知ソフトウェアの使用と設定に精通している必要があります。 これには、更新と保守だけでなく自動化されたホストスキャンも含まれます。

主な知識分野：

• Linux監査システムの使用と設定
• chkrootkitを使用する
• アップデートを含むrkhunterの使用と設定
• Linuxマルウェア検出を使用する
• cronを使用してホストスキャンを自動化する
• ルール管理を含むAIDEの設定と使用
• OpenSCAPに気づく

用語とユーティリティ：

• auditd
• auditctl
• ausearch、aureport
• auditd.conf
• auditd.rules
• pam_tty_audit.so
• chkrootkit
• rkhunter
• /etc/rkhunter.conf
• maldet
• conf.maldet
• aide
• /etc/aide/aide.conf

326.3ユーザー管理と認証

重要度：5

説明：ユーザーアカウントの管理と認証に精通している必要があります。 これには、NSS、PAM、SSSD、Kerberosの設定とローカルディレクトリとリモートディレクトリと認証メカニズムの両方の使用、パスワードポリシーの適用が含まれます。

主な知識分野：

• NSSの理解と設定
• PAMの理解と構成
• パスワードの複雑さのポリシーと定期的なパスワードの変更を強制する
• 失敗したログイン試行後に自動的にアカウントをロックする
• SSSDの設定と使用
• SSSDで使用するためのNSSとPAMの設定
• Active Directory、IPA、LDAP、Kerberosおよびローカルドメインに対してSSSD認証を設定する
• Kerberosとローカルドメイン
• Kerberosチケットを取得して管理する

用語とユーティリティ：

• nsswitch.conf
• /etc/login.defs
• pam_cracklib.so
• chage
• pam_tally.so、pam_tally2.so
• faillog
• pam_sss.so
• sssd
• sssd.conf
• sss_* コマンド
• krb5.conf
• kinit、klist、kdestroy

326.4 FreeIPAのインストールとSambaの統合

重要度：4

説明：FreeIPA v4.xに精通している必要があります。 これには、FreeIPAドメインを使用するサーバーインスタンスのインストールと保守、およびFreeIPAとActive Directoryの統合が含まれます。

主な知識分野：

• FreeIPAのアーキテクチャとコンポーネントを理解する
• FreeIPAをインストールするためのシステムと構成の前提条件について理解する
• FreeIPAサーバーとドメインのインストールと管理
• Active DirectoryレプリケーションとKerberosクロスドメインの信頼を理解して構成する
• FreeIPAのsudo、autofs、SSHとSELinuxの統合に注意してください

用語とユーティリティ：

• 389 Directory Server, MIT Kerberos, Dogtag Certificate System, NTP, DNS, SSSD, certmonger
• ipa, including relevant subcommands
• ipa-server-install、ipa-client-install、ipa-replica-install
• ipa-replica-prepare、ipa-replica-manage

トピック327：アクセス制御

327.1任意アクセス制御

重要度：3

説明：任意アクセス制御を理解し、アクセス制御リストを使用してそれを実装する方法を理解する必要があります。 さらに、候補者は拡張属性の使用方法を理解し、理解する必要があります。

主な知識分野：

• SUIDとSGIDを含むファイルの所有権とパーミッションの理解と管理
• アクセス制御リストの理解と管理
• 拡張属性と属性クラスの理解と管理

用語とユーティリティ：

• getfacl
• setfacl
• getfattr
• setfattr

327.2強制アクセス制御

重要度：4

説明：Linux用の強制アクセス制御システムに精通している必要があります。 具体的には、SELinuxに関する十分な知識を持っている必要があります。 また、Linux用の他の強制アクセス制御システムにも注意する必要があります。 これには、これらのシステムの主な機能が含まれますが、設定や使用は含まれません。

主な知識分野：

• TE、RBAC、MAC、およびDACの概念を理解する
• SELinuxの設定、管理、使用
• AppArmorとSmackを理解する

用語とユーティリティ：

• getenforce、setenforce、selinuxenabled
• getsebool、setsebool、togglesebool
• fixfiles、restorecon、setfiles
• newrole,  runcon
• semanage
• sestatus、seinfo
• apol
• seaudit、seaudit-report、audit2why、audit2allow
• / etc / selinux / *

327.3ネットワークファイルシステム

重要度：3

説明：NFSv4クライアントとサーバー、およびCIFSクライアントサービスの使用と構成におけるセキュリティ上の問題の経験と知識を持っている必要があります。 以前のバージョンのNFSでは、知識は必要ありません。

主な知識分野：

• NFSv4のセキュリティの問題と改善点を理解する
• NFSv4サーバーとクライアントを構成する
• NFSv4認証メカニズム（LIPKEY、SPKM、Kerberos）を理解して構成する
• NFSv4疑似ファイルシステムの理解と使用
• NFSv4 ACLの理解と使用
• CIFSクライアントを設定する
• CIFS Unix Extensionsの理解と使用
• CIFSセキュリティモード（NTLM、Kerberos）の理解と構成
• LinuxシステムでのCIFS ACLおよびSIDのマッピングと処理の理解と管理

用語とユーティリティ：

• /etc/exports
• /etc/idmap.conf
• nfs4acl
• mount.cifs parameters related to ownership, permissions and security modes
• winbind
• getcifsacl、setcifsacl

トピック328：ネットワークセキュリティ

328.1ネットワークの強化

重要度：4

説明：共通の脅威に対してネットワークを保護できる必要があります。 これには、セキュリティ対策の有効性の検証も含まれます。

主な知識分野：

• FreeRADIUSを設定してネットワークノードを認証する
• nmapを使用してネットワークやホストをスキャンする
• Wiresharkを使用して、フィルタや統計情報などのネットワークトラフィックを分析する
• 不正なルーター広告とDHCPメッセージを特定して処理する

用語とユーティリティ：

• radiusd
• radmin
• radtest、radclient
• radlast,  radwho
• radiusd.conf
• /etc/raddb/*
• nmap
• wireshark
• tshark
• tcpdump
• ndpmon

328.2ネットワーク侵入検知

重要度：4

説明：ネットワークセキュリティスキャン、ネットワーク監視、ネットワーク侵入検知ソフトウェアの使用と設定に精通している必要があります。 これには、セキュリティスキャナの更新と保守が含まれます。

主な知識分野：

• 帯域幅の使用状況の監視を実装する
• Snortの設定と使用（ルール管理を含む）
• NASLを含むOpenVASの設定と使用

用語とユーティリティ：

• ntop
• Cacti
• snort
• snort-stat
• / etc / snort / *
• openvas-adduser、openvas-rmuser
• openvas-nvt-sync
• openvassd
• openvas-mkcert
• / etc / openvas / *

328.3パケットフィルタリング

重要度：5

説明：パケットフィルタの使用と設定に精通している必要があります。 これには、netfilter、iptables、ip6tables、nftables、nft、ebtablesの基本的な知識が含まれます。

主な知識分野：

• DMZを含む一般的なファイアウォールアーキテクチャを理解する
• netfilter、iptables、ip6tables（標準モジュール、テスト、ターゲットを含む）の理解と使用
• IPv4とIPv6の両方に対してパケットフィルタリングを実装する
• 接続追跡とネットワークアドレス変換の実装
• IPセットを定義し、それらをネットフィルタルールで使用する
• nftablesとnftの基本知識を持っている
• ebtablesの基本知識を持っている
• conntrackdに気づく

用語とユーティリティ：

• iptables
• ip6tables
• iptables-save、iptables-restore
• ip6tables-save、ip6tables-restore
• ipset
• nft
• ebtables

328.4仮想プライベートネットワーク

重要度：4

説明：OpenVPNとIPsecの使用に精通している必要があります。

主な知識分野：

• ブリッジVPNネットワークとルーテッドVPNネットワークの両方でOpenVPNサーバーとクライアントを構成して運用する
• IPsec-Tools / racoonを使用してルーティングされたVPNネットワークのIPsecサーバーとクライアントを構成し、運用する
• L2TPの認識

用語とユーティリティ：

• /etc/openvpn/*
• openvpn server and client
• setkey
• /etc/ipsec-tools.conf
• /etc/racoon/racoon.conf