202 試験
LPIC-2 試験 202
試験のバージョン: 4.5 (試験コード202-450).
目的別の重さについて: 各項目には、重み付けの値が割り当てられています。重みは、試験における各目標の相対的な重要性を示しています。重みが高い目標は、より多くの問題で試験に取り上げられます。
バウチャーを購入する
課題 207: ドメインネームサーバー
207.1 DNSサーバ設定の基本
総重量: 3
説明: 候補者は、キャッシュ専用DNSサーバーとして機能するようにBINDを構成できる必要があります。 この課題には、実行中のサーバーを管理し、ログを構成する機能が含まれます。
主な知識分野:
- BIND 9.x設定ファイル、用語およびユーティリティ
- BIND設定ファイル内のBINDゾーンファイルの場所の定義
- 変更された構成ファイルとゾーンファイルの再ロード
- 代替ネームサーバとしてのdnsmasq、djbdns、およびPowerDNSの知識
用語とユーティリティ:
- /etc/named.conf
- /var/named/
- /usr/sbin/rndc
- kill
- host
- dig
207.2 DNSゾーンの作成と保守
総重量: 3
説明: 候補者は、正引きゾーンまたは逆引きゾーンのゾーンファイル、およびルートサーバーのヒントファイルを作成できる必要があります。 この課題には、レコードへの適切な値の設定、ゾーン内のホストの追加、DNSへのゾーンの追加が含まれます。 また、候補者はゾーンを別のDNSサーバーに委任できる必要があります。
主な知識分野:
- BIND 9設定ファイル、用語、ユーティリティ
- DNSサーバーから情報を取り出すユーティリティ
- BINDゾーンファイルのレイアウト、コンテンツ、およびファイルの場所
- ゾーンファイルに新しいホストを追加するさまざまな方法(逆引きゾーンを含む)
用語とユーティリティ:
- /var/named/
- ゾーンファイルの書式
- リソースレコードの書式
- named-checkzone
- named-compilezone
- masterfile-format
- dig
- nslookup
- host
207.3 DNSサーバーを保護する
総重量: 2
説明: 候補者は、ルート以外のユーザーとして実行し、chroot jailで実行するようにDNSサーバーを構成できる必要があります。 この課題は、DNSサーバー間の安全なデータ交換を含みます。
主な知識分野:
- BIND 9の設定ファイル
- BINDをchroot jailで実行するように設定する
- forwardersステートメントを使用してBINDの構成を分割する
- トランザクションシグネチャの設定と使用(TSIG)
- DNSSECと基本ツールの認識
- DANEと関連レコードの認識
用語とユーティリティ:
- /etc/named.conf
- /etc/passwd
- DNSSEC
- dnssec-keygen
- dnssec-signzone
課題 208: Webサービス
208.1 Webサーバーの実装
総重量: 4
説明: 候補者はWebサーバーをインストールして構成できる必要があります。 この課題には、サーバーの負荷とパフォーマンスの監視、クライアントユーザーへのアクセス制限、モジュールによるスクリプト言語サポートの構成、およびクライアントユーザー認証の設定が含まれます。 また、リソースの使用を制限するためのサーバーオプションの設定も含まれています。 候補者は、仮想ホストを使用してファイルアクセスをカスタマイズするようにWebサーバーを構成できる必要があります。
主な知識分野:
- Apache 2.4構成ファイル、用語、ユーティリティ
- Apacheログファイルの設定と内容
- アクセス制限の方法とファイル
- mod_perlとPHPの設定
- クライアントユーザー認証ファイルとユーティリティ
- リクエスト数、およびサーバーとクライアントの最大数の構成
- Apache 2.4仮想ホストの実装(専用IPアドレスありとなし)
- Apacheの設定ファイルでリダイレクト文を使用してファイルアクセスをカスタマイズする
用語とユーティリティ:
- アクセスログとエラーログ
- .htaccess
- httpd.conf
- mod_auth_basic、 mod_authz_host、および mod_access_compat
- htpasswd
- AuthUserFile, AuthGroupFile
- apachectl, apache2ctl
- httpd, apache2
208.2 HTTPS用のApache構成
総重量: 3
説明: 候補者は、HTTPSを提供するようにWebサーバーを構成できる必要があります。
主な知識分野:
- SSL設定ファイル、ツール、ユーティリティ
- 商用CAを利用する際の、サーバー秘密鍵とCSRを生成する
- 自己署名証明書を生成する
- 鍵と証明書を、中間CAを含めてインストールする
- サーバー名表記を使用した仮想ホスティングの設定 (SNI)
- 仮想ホスティングとSSLの使用に関する知識
- SSLのセキュリティ問題、安全でないプロトコルや暗号を無効にする
用語とユーティリティ:
- Apache2 の設定ファイル
- /etc/ssl/, /etc/pki/
- openssl, CA.pl
- SSLEngine, SSLCertificateKeyFile, SSLCertificateFile
- SSLCACertificateFile, SSLCACertificatePath
- SSLProtocol, SSLCipherSuite, ServerTokens, ServerSignature, TraceEnable
208.3 プロキシサーバーの実装
総重量: 2
説明: 候補者は、アクセスポリシー、認証、リソースの使用など、プロキシサーバーをインストールして構成できる必要があります。
主な知識分野:
- Squid 3.xの設定ファイル、用語、ユーティリティ
- アクセス制限方法
- クライアントユーザーの認証方法
- Squid構成ファイルにおけるACLの書式と内容
用語とユーティリティ:
- squid.conf
- acl
- http_access
208.4 NginxのWebサーバーおよびリバースプロキシとしての設定
総重量: 2
説明: 候補者は、リバースプロキシサーバとしてNginxをインストールして構成することができる必要があります。これには、Nginxを基本的なHTTPサーバとして構成することを含みます。
主な知識分野:
- Nginx
- リバースプロキシ
- 基本的なWebサーバー
用語とユーティリティ:
- /etc/nginx/
- nginx
課題 209: ファイル共有
209.1 SAMBAサーバーの設定
総重量: 5
説明: 候補者は、さまざまなクライアントのためにSambaサーバを設定できる必要があります。この課題には、Sambaをスタンドアロンサーバーとしてセットアップすること、およびSambaをActive Directoryのメンバーとして統合することを含みます。また、シンプルなCIFSとプリンタ共有を構成することも含みます。さらに、Sambaサーバを使用するためのLinuxクライアントの設定も含みます。 インストールのトラブルシューティングもテストされます。
主な知識分野:
- Samba 4のドキュメント
- Samba 4設定ファイル
- Samba 4のツール、ユーティリティ、およびデーモン
- LinuxにおけるCIFS共有のマウント
- Windowsユーザー名をLinuxユーザー名にマッピングする
- ユーザーレベル、共有レベル、およびADセキュリティ
用語とユーティリティ:
- smbd, nmbd, winbindd
- smbcontrol, smbstatus, testparm, smbpasswd, nmblookup
- samba-tool
- net
- smbclient
- mount.cifs
- /etc/samba/
- /var/log/samba/
209.2 NFSサーバー構成
総重量: 3
説明: 候補者は、NFSを使用してファイルシステムをエクスポートできる必要があります。 この課題には、アクセス制限、クライアントにNFSファイルシステムをマウントすること、NFSを保護することが含まれます。
主な知識分野:
- NFSバージョン3の設定ファイル
- NFSツールとユーティリティ
- 特定のホスト、および/または、サブネットへのアクセス制限
- サーバーとクライアントのマウントオプション
- TCPラッパー
- NFSv4の知識
用語とユーティリティ:
- /etc/exports
- exportfs
- showmount
- nfsstat
- /proc/mounts
- /etc/fstab
- rpcinfo
- mountd
- portmapper
課題 210: ネットワーククライアント管理
210.1 DHCP設定
総重量: 2
説明: 候補者はDHCPサーバーを構成できる必要があります。 この課題には、デフォルトおよびクライアントごとのオプションの設定、スタティックホストとBOOTPホストの追加が含まれます。また、DHCPリレーエージェントの設定とDHCPサーバのメンテナンスも含まれています。
主な知識分野:
- DHCPの構成ファイル、用語およびユーティリティ
- サブネットと動的に割り当てられる範囲の設定
- DHCPv6およびIPv6ルーター広告に関する知識
用語とユーティリティ:
- dhcpd.conf
- dhcpd.leases
- syslogもしくはsystemdジャーナルにおけるDHCPログメッセージ
- arp
- dhcpd
- radvd
- radvd.conf
210.2 PAM認証
総重量: 3
説明: 受験者は、利用可能なさまざまな方法を使用して認証をサポートするようにPAMを構成できる必要があります。 これには、基本的なSSSD機能が含まれます。
主な知識分野:
- PAM構成ファイル、用語およびユーティリティ
- passwdとshadowパスワード
- LDAP認証にsssdを使用する
用語とユーティリティ:
- /etc/pam.d/
- pam.conf
- nsswitch.conf
- pam_unix, pam_cracklib, pam_limits, pam_listfile, pam_sss
- sssd.conf
210.3 LDAPクライアントの使用法
総重量: 2
説明: 候補者は、LDAPサーバーに対する照会および更新を実行できる必要があります。 また、アイテムのインポートと追加だけでなく、ユーザーの追加と管理も含まれています。
主な知識分野:
- データ管理と問い合わせ用のLDAPユーティリティ
- ユーザーのパスワードを変更する
- LDAPディレクトリのクエリ
用語とユーティリティ:
- ldapsearch
- ldappasswd
- ldapadd
- ldapdelete
210.4 OpenLDAPサーバの設定
総重量: 4
説明: 候補者は、LDIF形式と基本的なアクセス制御の知識を持ち、基本的なOpenLDAPサーバーを構成できる必要があります。
主な知識分野:
- OpenLDAP
- ディレクトリごとの設定
- アクセス制御
- 識別名
- Changetype操作
- スキーマとWhitepages
- ディレクトリ
- オブジェクトID、属性、およびクラス
用語とユーティリティ:
- slapd
- slapd-config
- LDIF
- slapadd
- slapcat
- slapindex
- /var/lib/ldap/
- loglevel
課題 211: 電子メールサービス
211.1 電子メールサービス
総重量: 4
説明: 候補者は、電子メールのエイリアス、クォータ、仮想ドメインの設定などを行い、メールサーバーを管理できる必要があります。この課題には、内部的なメールリレーの構成と、メールサーバーの監視が含まれます。
主な知識分野:
- postifxの設定ファイル
- postfixの基本的なTLS設定
- SMTPプロトコルの基本知識
- sendmailとeximの知識
用語とユーティリティ:
- postfixの設定ファイルとコマンド
- /etc/postfix/
- /var/spool/postfix/
- sendmailをエミュレートするコマンド群
- /etc/aliases
- /var/log/にあるメール関係のログ
211.2 メール配送を管理する
総重量: 2
説明: 候補者は、着信したユーザーのメールを、フィルタ、分類、監視するメール管理ソフトウェアを実装できる必要があります。
主な知識分野:
- Sieveの機能、構文、演算子の理解
- Sieveを使用して、送信者、受信者、ヘッダー、およびサイズなどで、メールのフィルタリングと分類を行う
- procmailの知識
用語とユーティリティ:
- 条件と比較の操作
- keep、fileinto、redirect、reject、discard、stop
- Dovecotのvacation拡張
211.3 リモートへのメール配送を管理する
総重量: 2
説明: POPおよびIMAPデーモンをインストールして構成できる必要があります。
主な知識分野:
- Dovecotにおける、IMAPとPOP3の設定と管理
- Dovecotの基本的なTLS設定
- Courierに対する知識
用語とユーティリティ:
- /etc/dovecot/
- dovecot.conf
- doveconf
- doveadm
課題 212: システムセキュリティ
212.1 ルータの設定
総重量: 3
説明: 候補者は、IPパケットを転送し、ネットワークアドレス変換(NAT、IPマスカレード)を実行するようにシステムを構成して、適切なネットワーク保護を行える必要があります。 この課題には、ポート転送の設定、フィルタルールの管理、攻撃からの防衛が含まれます。
主な知識分野:
- iptablesとip6tables設定ファイル、ツール、ユーティリティ
- ルーティングテーブルを管理するためのツール、コマンド、ユーティリティ
- プライベートアドレス範囲(IPv4)と固有ローカルアドレス、リンクローカルアドレス(IPv6)
- ポート転送とIPフォワーディング
- プロトコルや送信元と送信先のポートとアドレスに基づいて、IPパケットを受け入れるかブロックするかを定めるルールやフィルタを、一覧したり作成する
- フィルタリング設定の保存と再読み込み
用語とユーティリティ:
- /proc/sys/net/ipv4/
- /proc/sys/net/ipv6/
- /etc/services
- iptables
- ip6tables
212.2 FTPサーバーを保護する
総重量: 2
説明: 候補者は、匿名のダウンロードとアップロードのために、FTPサーバーを設定できる必要があります。 この課題には、匿名アップロードが許可されていて、かつ、ユーザーアクセスが設定されている場合に必要な予防措置が含まれます。
主な知識分野:
- Pure-FTPdとvsftpdの設定ファイル、ツール、ユーティリティ
- ProFTPdに関する知識
- FTP接続のパッシブモードとアクティブモードに関する理解
用語とユーティリティ:
- vsftpd.conf
- Pure-FTPdの重要なコマンドオプション
212.3 セキュアシェル(SSH)
総重量: 4
説明: 候補者は、SSHデーモンの安全な設定ができる必要があります。 この課題には、キーの管理とユーザー用のSSHの設定が含まれます。 また、SSHを介してアプリケーションプロトコルを転送したり、SSHログインを管理することもできる必要があります。
主な知識分野:
- OpenSSHの設定ファイル、ツール、ユーティリティ
- スーパーユーザーと通常ユーザーのログイン制限
- ログイン時にパスワードを求めるか否かを制御するために、サーバーとクライアントの鍵を管理し、使用する
- 設定変更時にリモートホストへの接続を失わないように、複数のホストから複数の接続を使用する
用語とユーティリティ:
- ssh
- sshd
- /etc/ssh/sshd_config
- /etc/ssh/
- 秘密鍵と公開鍵のファイル
- PermitRootLogin, PubKeyAuthentication, AllowUsers, PasswordAuthentication, Protocol
212.4 セキュリティのタスク
総重量: 3
説明: 候補者は、さまざまなソースからセキュリティ警告を受信し、侵入検知システムをインストール、設定、実行し、セキュリティパッチとバグ修正を適用することができる必要があります。
主な知識分野:
- サーバー上のポートをスキャンしてテストするためのツールとユーティリティ
- Bugtraq、CERTなどのセキュリティ警告をレポートする機関や情報源
- 侵入検知システム(IDS)を実装するためのツールとユーティリティ
- OpenVASとSnortの知識
用語とユーティリティ:
- telnet
- nmap
- fail2ban
- nc
- iptables
212.5 OpenVPN
総重量: 2
説明: 候補者は、VPN(仮想プライベートネットワーク)を構成し、安全なポイントツーポイント接続またはサイトツーサイト接続を作成できる必要があります。
主な知識分野:
- OpenVPN
用語とユーティリティ:
- /etc/openvpn/
- openvpn