目次
主題2.07:ネットワーククライアントの管理
2.07.1 DHCPサーバーの設定と管理
| 重要度 | 2 |
|---|---|
| 概要 | DHCPサーバーを設定できる。これには、デフォルトおよびクライアントごとのオプションの設定と、静的ホストおよびBOOTPホストの追加も含まれる。また、DHCPリレーエージェントの設定とDHCPサーバーの保守も含まれる。 |
| 詳細 | ・DHCPの設定ファイル、用語、ユーティリティ arp, dhcpd, dhcpd.conf, dhcpd.leases syslog や systemd のジャーナル内の DHCP のログメッセージ ・サブネットと動的割り当て範囲の設定 ・DHCPv6 と IPv6 のルータ広告について知っている。 radvd, radvd.conf |
2.07.2 PAM認証
| 重要度 | 3 |
|---|---|
| 概要 | さまざまな方法で認証をサポートするようにPAMを設定できる。これには基本的な SSSD(System Security Services Daemon) の機能を含む。 |
| 詳細 | ・PAMの設定ファイル、用語、ユーティリティ /etc/pam.d/, pam.conf, nsswitch.conf, sssd.conf pam_unix, pam_cracklib, pam_limits, pam_listfile, pam_sss |
2.07.3 LDAPクライアントの利用方法
| 重要度 | 2 |
|---|---|
| 概要 | LDAPサーバーの照会と更新ができる。また、アイテムの追加およびインポートと、ユーザの追加および管理も含まれる。 |
| 詳細 | ・データ管理のLDAPユーティリティ ldapadd, ldapdelete, ldapmodify ・LDAPディレクトリを照会する。 ldapsearch ・ユーザのパスワードを変更する。 ldappasswd |
2.07.4 OpenLDAPサーバーの設定
| 重要度 | 2 |
|---|---|
| 概要 | LDIF形式および重要なアクセス制御に関する知識も含め、基本的なOpenLDAPサーバーを設定する。 |
| 詳細 | ・OpenLDAP slapadd, slapcat, slapindex, slapd, /var/lib/ldap/ ・ディレクトリベースの設定 slapd-config ・アクセス管理 slapd.access ・識別名 (DN) ・LDIF ・ディレクトリ ・エントリの操作 ・スキーマ オブジェクト ID、属性、クラス ・ホワイトページ |
主題2.08:ドメインネームサーバー
2.08.1 BINDの設定と管理
| 重要度 | 3 |
|---|---|
| 概要 | 権威サーバー、再帰サーバー、キャッシュ専用DNSサーバーとして機能するようにBINDを設定できる。これには、稼働中のサーバーを管理すること、ログの設定も含まれる。 |
| 詳細 | ・BIND の設定ファイル、用語、ユーティリティ named.conf, host, dig, nslookup ・BIND の設定ファイルで、BINDゾーンファイルの位置を定義する。 named.conf ・変更した設定ファイルおよびゾーンファイルの再読込 rndc, named-checkconf ・代替ネームサーバーとしての dnsmasq, Unbound, NSD, PowerDNS について知っている。 |
2.08.2 ゾーン情報の管理
| 重要度 | 2 |
|---|---|
| 概要 | 正引き、逆引きのゾーンファイルおよびルートヒントファイルを作成できる。これには、レコードに適切な値を設定すること、ホストをゾーンに追加すること、ゾーンをDNSに追加することも含まれる。また、他のDNSサーバーにゾーンの委任を行うことも含まれる。 |
| 詳細 | ・BINDゾーンファイルのレイアウト、内容、ファイル配置 ゾーンファイルの書式, リソースレコードの書式 ・逆引きゾーンを含む、ゾーンファイルに新しいホストを追加する際の確認方法 named-compilezone, named-checkzone |
2.08.3 セキュアなDNSサーバーの実現
| 重要度 | 2 |
|---|---|
| 概要 | DNSサーバーをroot以外のユーザとしてchroot 環境で実行するよう設定できる。これには、DNSサーバー間で安全なデータ交換を行うことも含まれる。 |
| 詳細 | ・chroot 環境で稼働するようBINDを設定する。 ・forwarders文を使用してBINDの構成を分割する。 named.conf ・DNSSEC および基本的なツールについて知っている。 dnssec-keygen, dnssec-signzone, TSIG(Transaction Signature) ・DANE および関連レコードについて知っている。 |
主題2.09:HTTPサーバーとプロキシサーバー
2.09.1 Apache HTTPサーバーの設定と管理
| 重要度 | 3 |
|---|---|
| 概要 | Apache HTTP サーバーのインストールと設定ができる。これには、サーバーの負荷と性能の監視、クライアントからのユーザアクセスの制限、モジュールとしてのスクリプト言語をサポートする設定、およびクライアントユーザの認証設定も含まれる。また、サーバーのオプション設定でリソースの使用を制限することも含まれる。仮想ホストを使用するようApache HTTP サーバーを設定し、ファイルへのアクセスをカスタマイズできる。 |
| 詳細 | ・Apache HTTP サーバー の設定ファイル、用語、ユーティリティ httpd, apache2 httpd.conf, mod_auth_basic, mod_authz_host apachectl, apache2ctl ・Apache HTTP サーバーのログファイルの設定と内容 アクセスログとエラーログ ・アクセス制限の方法とファイル .htaccess, AuthUserFile, AuthGroupFile ・クライアントユーザを認証するファイルとユーティリティ htpasswd ・最大リクエスト数、最小/最大サーバー数およびクライアント数の設定 ・Apache HTTP サーバー における仮想ホストの実装 ・ファイルへのアクセスをカスタマイズするために、Apache HTTP サーバーの 設定ファイルでRedirect 文を使用する。 |
2.09.2 OpenSSLとHTTPSの設定
| 重要度 | 3 |
|---|---|
| 概要 | HTTPSを提供するために Apache HTTPサーバーを設定できる。 |
| 詳細 | ・SSL設定ファイル、ツール /etc/ssl/, /etc/pki/ Apache HTTPサーバーの設定ファイル SSLEngine, SSLCertificateKeyFile, SSLCertificateFile SSLProtocol, SSLCipherSuite ・サーバーの秘密鍵および商用 CA向けのCSR を生成する。 openssl ・自己署名証明書を生成する。 openssl ・中間 CA を含む鍵および証明書をインストールする。 SSLCACertificateFile, SSLCACertificatePath ・SSLの使用に関するセキュリティ問題および安全でないプロトコルと cipher を無効にする。 |
2.09.3 nginxの設定と管理
| 重要度 | 3 |
|---|---|
| 概要 | リバースプロキシサーバーであるnginxのインストールおよび設定ができる。これには、HTTPサーバーとしてのnginx の設定が含まれる。 |
| 詳細 | ・nginx の設定と管理 /etc/nginx/, nginx ・nginx のSSL設定 ssl, ssl_certificate, ssl_certificate_key, ssl_ciphers, ssl_protocols ・リバースプロキシサーバーとしての設定 proxy_pass, proxy_http_version, proxy_set_header ・nginx でリダイレクトを行う |
2.09.4 Squidの設定と管理
| 重要度 | 2 |
|---|---|
| 概要 | プロキシサーバーのインストールと設定ができる。これには、アクセスポリシー、認証、リソースの利用方法も含まれる。 |
| 詳細 | ・Squid 3.xの設定ファイル、用語、ユーティリティ squid.conf, squidclient ・アクセス制限の方法 http_access ・クライアントユーザの認証方法 ・Squid設定ファイルにおけるACLのレイアウトと内容 acl |
主題2.10:電子メールサービス
2.10.1 Postfixの設定と管理
| 重要度 | 3 |
|---|---|
| 概要 | 電子メールサーバーを管理できる。これには、電子メールのエイリアス、アクセス制限、仮想ドメインの設定も含まれる。また、内部的な電子メールリレーの設定および電子メールサーバーの監視も含まれる。 |
| 詳細 | ・Postfixの設定ファイル、スプール、ログファイル /etc/postfix/, /etc/aliases, /var/spool/postfix/, /var/log/のメール関連のログ ・Postfixの基本的な TLS の設定 ・SMTP認証の設定 ・SMTPプロトコルに関する基本的な知識 ・eximを知っている。 |
2.10.2 Dovecotの設定と管理
| 重要度 | 2 |
|---|---|
| 概要 | POPおよびIMAPのデーモンのインストールと設定ができる。 |
| 詳細 | ・Dovecot の POP と IMAP の設定と管理 /etc/dovecot/, dovecot.conf , doveconf, doveadm ・Dovecot 向けの基本的な TLS の設定 |
主題2.11:ファイル共有サービス
2.11.1 Sambaの設定と管理
| 重要度 | 4 |
|---|---|
| 概要 | さまざまなクライアント用にSambaサーバーを設定できる。これには、クライアントがログインするSambaの設定やサーバーが参加するワークグループの設定、共有ディレクトリの定義、インストールにおけるトラブルシューティングも含まれる。 |
| 詳細 | ・Samba の設定ファイルとログファイル /etc/samba/, /var/log/samba/ ・Samba のユーティリティとデーモン samba, smbd, nmbd, winbindd smbcontrol, smbstatus, testparm, smbpasswd, nmblookup, net, smbclient, samba-tool ・Windowsのユーザ名をLinuxのユーザ名にマッピングする。 ・ACL および AD のセキュリティ getfacl, setfacl |
2.11.2 NFSサーバーの設定と管理
| 重要度 | 3 |
|---|---|
| 概要 | NFSを使用してファイルシステムをエクスポートできる。これには、アクセス制限、クライアントでのNFSファイルシステムのマウント、NFSの保護も含まれる。 |
| 詳細 | ・NFS の設定ファイル /etc/exports ・NFSのユーティリティとデーモン exportfs, showmount, nfsstat, rpcinfo mountd, portmapper ・特定のホストやサブネットへのアクセス制限 ・サーバーとクライアントにおけるマウントオプション /etc/fstab, /proc/mounts |
主題2.12:システムのセキュリティ
2.12.1 iptables や firewalld によるパケットフィルタリング
| 重要度 | 3 |
|---|---|
| 概要 | IPパケットを転送したり、ネットワークアドレス変換(NATやIPマスカレード)を実行するようシステムを設定し、ネットワークを保護することができる。これには、ポートリダイレクトの設定、フィルタルールの管理、攻撃の回避も含まれる。 |
| 詳細 | ・iptables および ip6tables のツール iptables, ip6tables ・IPパケットの転送 /proc/sys/net/ipv4/, /proc/sys/net/ipv6/ ・ルーティングテーブルを管理するためのツール ・ポートリダイレクト ・発信元や宛先のプロトコルやポート、アドレスに基づいて、IP パケットの受入と拒否を 行うフィルタおよびルールの表示と保存 /etc/services ・フィルタ設定の保存および再読込 iptables-save, iptables-restore ・firewalld で設定の確認と変更ができる。 firewalld, firewall-cmd ・ufw で設定の確認と変更ができる。 ufw |
2.12.2 OpenSSH サーバーの設定と管理
| 重要度 | 4 |
|---|---|
| 概要 | SSHデーモンの設定と保護ができる。これには、鍵の管理とユーザ用にSSHを設定することも含まれる。 |
| 詳細 | ・OpenSSH サーバーの設定ファイルとデーモン sshd, /etc/ssh/sshd_config /etc/ssh/ssh_host_*_key および ssh_host_*_key.pub ・スーパーユーザおよび一般ユーザのログインを制限する。 PermitRootLogin, PubKeyAuthentication, AllowUsers, PasswordAuthentication |
2.12.3 OpenVPNの設定と管理
| 重要度 | 2 |
|---|---|
| 概要 | VPN (仮想プライベートネットワーク) の設定および安全なポイントツーポイントまたはサイトツーサイトの接続ができる。 |
| 詳細 | ・OpenVPN の機能概要を理解している。 ・OpenVPN の設定ファイルとツール /etc/openvpn/, openvpn |
2.12.4 セキュリティ業務
| 重要度 | 3 |
|---|---|
| 概要 | さまざまな情報源からセキュリティ警告を収集できる。侵入検知システムをインストール、設定、および実行できる。セキュリティパッチやバグ修正を適用できる。 |
| 詳細 | ・サーバーのポートをテストおよびスキャンするユーティリティ netcat(nc, ncat), nmap, iptables, firewalld ・Bugtraq、CERT、CIACやその他のセキュリティ警告を報告する組織と、そのアドレスに 関する知識 ・IDS(Intrusion Detection System:侵入検知システム)を実装するユーティリティ fail2ban, snort ・OpenVAS や OpenSCAPについて知っている。 |
主題2.13:システムアーキテクチャ
2.13.1 高可用システムの実現方式
| 重要度 | 2 |
|---|---|
| 概要 | 求められる可用性のレベルを実現するシステム構成を把握している。 |
| 詳細 | ・可用性に影響のある事象を理解している。 故障・障害のパターン、メンテナンスによる停止(計画、緊急)など 物理障害と論理障害 SPoF、回復性(難易度、時間) ・可用性の評価方法を知っている。ただし計算式は含まない。 MTBF、MTTR、稼働率、SLA RPO、RTO ・高可用性(HA)を実現するシステム構成を知っている。 冗長化によるHAの実現 Pacemaker, Corosync HA構成の種類として クラスタやロードバランシングの概念を知っている。 ・物理的、地理的な分散による可用性レベルの違いについて知っている。 |
2.13.2 キャパシティプランニングとスケーラビリティの確保
| 重要度 | 2 |
|---|---|
| 概要 | 必要なリソース量を事前に予見できるシステムにおいて、近い将来に向けた拡張方法を知っている。将来的に必要なリソース量が容易に予見できないシステムにおいて、現在のリソース使用状況を継続的に把握できる。 |
| 詳細 | ・キャパシティプランを作成するために把握しておくべきシステムリソースの観点と項目 ・リソースを増減させる方法と必要な対応を知っている。 スケールアップ・ダウン スケールアウト・イン ・スケールアップの方式を知っている。 必要リソース量を搭載したマシンの再構成 ・スケールアウトの方式を知っている。 スケールアウトに対応できるアプリケーション構成(ステートレスな構成 – DB、 セッションなど) 構成管理ツールや仮想マシンイメージを使ったノードの増減 アクセスの振り分け – ロードバランサ、DNS ラウンドロビン |
2.13.3 クラウドサービス上のシステム構成
| 重要度 | 2 |
|---|---|
| 概要 | クラウドサービス上の IaaS を中心としたシステム構成の特徴を理解している。必要に応じて IaaS リソースの増減が可能であることを理解している。 |
| 詳細 | ・クラウドのストレージの種別を理解している。 インスタンス動作中にのみ使用可能なストレージ(エフェメラルストレージ) インスタンス停止/起動をまたいで使用可能なストレージ(永続化ストレージ) ・クラウドのネットワークの種別を理解している。 固定IPアドレス、フローティングIPアドレス ・クラウドのネットワークセキュリティを理解している。 テナントネットワーク、ファイアウォール(セキュリティグループ) ・クラウドを支える主要な技術やサービスを理解している。 オブジェクトストレージ、メッセージングシステム(キュー)、オートスケーラー |
2.13.4 典型的なシステムアーキテクチャ
| 重要度 | 3 |
|---|---|
| 概要 | 高可用性やスケーラビリティを確保するためのシステム構成のパターンを把握している。 |
| 詳細 | ・代表的なシステム構成パターンとその特徴を知っている。 PHP/Apache HTTP Server+PostgreSQL/MySQLによるLAPP、LAMP構成 Webサーバー+APサーバー+DBサーバーによるWeb3層モデル ロードバランサ、HA構成、データベースレプリケーションによる冗長性を 担保したWeb3層モデル ロードバランサ/DNSラウンドロビン+Webサーバーのスケールアウトによる スケーラブルなWebシステム プロキシサーバーによるキャッシュやCDNを活用したスケーラブルなWebシステム メッセージングキューを活用した非同期データ処理システム |
