Mục tiêu Bài thi LPIC-2 202


Phiên bản Mục tiêu Bài thi: 3.0

Mã thi: 303-300

Về Các Trọng số Mục tiêu: Mỗi mục tiêu được gán một giá trị trọng số. Các trọng số cho thấy tầm quan trọng tương đối của từng mục tiêu trong bài kiểm tra. Các mục tiêu có trọng số cao hơn sẽ được đề cập trong bài kiểm tra với nhiều câu hỏi hơn.

Purchase Voucher

Chủ đề 331: Mật mã học (Cryptography)

331.1 Các chứng chỉ X.509 và cơ sở hạ tầng khóa công khai (trọng số: 5)

Trọng số 5
Mô tả Các thí sinh cần hiểu về các chứng nhận X.509 và các hạ tầng khóa công khai. Họ nên biết cách định cấu hình và sử dụng OpenSSL để thực hiện các cơ quan chứng chỉ và cấp chứng nhận SSL cho các mục đích khác nhau.

Các phạm vi kiến thức chính:

  • Hiểu về các chứng nhận X.509, vòng đời chứng nhận X.509, các lĩnh vực chứng nhận X.509 và phần mở rộng chứng nhận X.509v3
  • Hiểu về các chuỗi tin cậy và các cơ sở hạ tầng khóa công khai, bao gồm tính minh bạch của chứng nhận
  • Tạo và quản lý khóa công khai và khóa riêng tư
  • Tạo, vận hành và bảo mật một đơn vị cấp chứng chỉ (certification authority )
  • Yêu cầu, ký và quản lý các chứng nhận server và client
  • Thu hồi các chứng nhận và đơn vị cấp chứng chỉ
  • Kiến thức cơ bản về tính năng của Let ‘s Encrypt, ACME và certbot
  • Kiến thức cơ bản về tính năng của CFSSL

Sau đây là một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

  • openssl (bao gồm các lệnh con có liên quan)
  • OpenSSL configuration
  • PEM, DER, PKCS
  • CSR
  • CRL
  • OCSP

 

331.2 Các chứng chỉ X.509 cho mã hóa, ký và xác thực X.509 (trọng số: 4)

Trọng số 4
Mô tả Các thí sinh có khả năng sử dụng các chứng nhận X.509 cho cả xác thực server và client. Điều này bao gồm việc thực hiện xác thực người dùng và server cho Apache HTTPD. Phiên bản Apache HTTPD được đề cập là 2.4 hoặc cao hơn.

Các phạm vi kiến thức chính:

  • Hiểu về SSL, TLS, bao gồm các phiên bản và mật mã giao thức
  • Định cấu hình Apache HTTPD với mod_ssl để cung cấp dịch vụ https, bao gồm SNI và HSTS
  • Định cấu hình Apache HTTPD với mod_ssl để xử lý các chuỗi chứng nhận và điều chỉnh cấu hình mật mã (không có kiến thức cipher-specific)
  • Định cấu hình Apache HTTPD với mod_ssl để xác thực người dùng bằng các chứng nhận
  • Định cấu hình Apache HTTPD với mod_ssl để cung cấp ghim OCSP
  • Sử dụng OpenSSL để kiểm tra client and server SSL/TLS

Một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

  • httpd.conf
  • mod_ssl
  • openssl (bao gồm các lệnh phụ có liên quan)

 

331.3 Các hệ thống tệp được mã hóa (trọng số: 3)

Trọng số 3
Mô tả Các thí sinh phải có khả năng thiết lập và cấu hình các hệ thống tệp được mã hóa.

Các phạm vi kiến thức chính:

  • Hiểu về mã hóa thiết bị chặn và hệ thống tệp
  • Sử dụng dm-crypt với Luks1 để mã hóa các thiết bị chặn
  • Sử dụng eCryptfs để mã hóa các hệ thống tệp, bao gồm các thư mục trang chủ và tích hợp PAM
  • Nhận biết về plain dm-crypt
  • Nhận biết về các tính năng của Luks2
  • Hiểu biết khái niệm về CULIS cho các thiết bị LUKS và các mã PIN Clevis cho TMP2 và Network Bound Disk Encryption (NBDE)/Tang

Sau đây là một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

  • cryptsetup (bao gồm các lệnh phụ có liên quan)
  • cryptmount
  • /etc/crypttab
  • ecryptfsd
  • ecryptfs-* commands
  • mount.ecryptfs, umount.ecryptfs
  • pam_ecryptfs

 

331.4 DNS và Mật mã (trọng số: 5)

Trọng số 5
Mô tả Các thí sinh cần có kinh nghiệm và kiến thức về mật mã trong bối cảnh DNS và việc thực hiện nó bằng cách sử dụng BIND. Phiên bản của BIND được đề cập là 9.7 hoặc cao hơn.

Các phạm vi kiến thức chính:

  • Hiểu các khái niệm về DNS, vùng và mẫu tin tài nguyên (resource records)
  • Hiểu DNSSEC, bao gồm các khóa ký khóa, khóa ký vùng và các mẫu tin DNS có liên quan như DS, DNSKEY, RRSIG, NSEC, NSEC3 và NSEC3PARAM
  • Định cấu hình và khắc phục sự cố BIND như một server tên miền có thẩm quyền xử lý các vùng bảo mật DNSSEC
  • Quản lý các vùng đã ký DNSSEC, bao gồm tạo khóa, chuyển đổi khóa và ký lại các vùng
  • Định cấu hình BINH như một server tên miền đệ quy thực hiện xác thực DNSSEC thay mặt cho các client của nó
  • Hiểu CAA và DANE, bao gồm các mẫu tin DNS có liên quan như CAA và TLSA
  • Sử dụng CAA và DANE để xuất bản thông tin chứng nhận và cơ quan cấp chứng nhận X.509 trong DNS
  • Sử dụng TSIG để bảo mật liên lạc với BIND
  • Nhận biết về DNS qua TLS và DNS qua https
  • Nhận biết về Multicast DNS

Một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

  • named.conf
  • dnssec-keygen
  • dnssec-signzone
  • dnssec-settime
  • dnssec-dsfromkey
  • rndc (bao gồm các lệnh phụ có liên quan)
  • dig
  • delv
  • openssl (bao gồm các lệnh phụ có liên quan)

 

Chủ đề 332: Bảo mật Máy chủ

332.1 Quá trình nâng cao tính bảo mật Máy chủ (Host Hardening) (trọng số: 5)

Trọng số 5
Mô tả Các thí sinh phải có khả năng bảo mật các máy tính chạy Linux trước các mối đe dọa phổ biến.

Các phạm vi kiến thức chính:

  • Định cấu hình bảo mật BIOS và trình tải khởi động (GRUB 2)
  • Vô hiệu hóa phần mềm và dịch vụ không sử dụng
  • Hiểu và loại bỏ các khả năng không cần thiết cho các đơn vị systemd cụ thể và toàn bộ hệ thống
  • Hiểu và định cấu hình ngẫu nhiên hóa sơ đồ không gian địa chỉ (Address Space Layout Randomization – ASLR), ngăn chặn thực thi dữ liệu (Data Execution Prevention – DEP) và Exec-Shield
  • Danh sách đen và trắng cho các thiết bị USB được gắn vào một máy tính bằng USBGuard
  • Tạo một SSH CA, tạo các chứng nhận SSH cho các khóa máy chủ và khóa người dùng bằng CA và định cấu hình OpenSSH để sử dụng các chứng nhận SSH
  • Làm việc với các môi trường chroot
  • Sử dụng các đơn vị systemd để giới hạn các cuộc gọi hệ thống và khả năng có sẵn cho một quy trình
  • Sử dụng các đơn vị systemd để bắt đầu các quy trình với quyền truy cập hạn chế hoặc không có quyền truy cập vào các tệp và thiết bị cụ thể
  • Sử dụng các đơn vị systemd để bắt đầu các quy trình với các thư mục tạm thời và /dev chuyên dụng và không có quyền truy cập mạng
  • Hiểu được ý nghĩa của việc giảm thiểu sự cố Linux Meltdown và Spectre và bật/tắt các giảm thiểu
  • Nhận biết về polkit
  • Nhận biết về các lợi thế bảo mật của ảo hóa và container hóa

Sau đây là một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

  • grub.cfg
  • systemctl
  • getcap
  • setcap
  • capsh
  • sysctl
  • /etc/sysctl.conf
  • /etc/usbguard/usbguard-daemon.conf
  • /etc/usbguard/rules.conf
  • usbguard
  • ssh-keygen
  • /etc/ssh/
  • ~/.ssh/
  • /etc/ssh/sshd_config
  • chroot

 

332.2 Phát hiện xâm nhập máy chủ (trọng số: 5)

Trọng số 5
Mô tả Các thí sinh nên làm quen với việc sử dụng và cấu hình phần mềm phát hiện xâm nhập máy chủ phổ biến. Điều này bao gồm quản lý hệ thống Kiểm toán Linux và xác minh tính toàn vẹn của hệ thống.

Các phạm vi kiến thức chính:

  • Sử dụng và định cấu hình hệ thống Kiểm toán Linux
  • Sử dụng chkrootkit
  • Sử dụng và định cấu hình rkhunter, bao gồm các bản cập nhật
  • Sử dụng trình quét phần mềm độc hại cho Linux (Linux Malware Detect)
  • Tự động quét máy chủ bằng cron
  • Sử dụng các công cụ quản lý gói RPM và DPKG để xác minh tính toàn vẹn của các tệp đã cài đặt
  • Định cấu hình và sử dụng AIDE, bao gồm quản lý quy tắc
  • Nhận biết về OpenSCAP

Một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

  • auditd
  • auditctl
  • ausearch, aureport
  • auditd.conf
  • audit.rules
  • pam_tty_audit.so
  • chkrootkit
  • rkhunter
  • /etc/rkhunter.conf
  • maldet
  • conf.maldet
  • rpm
  • dpkg
  • aide
  • /etc/aide/aide.conf

 

332.3 Kiểm soát tài nguyên (trọng số: 3)

Trọng số 3
Mô tả Các thí sinh có khả năng hạn chế các dịch vụ và chương trình tài nguyên có thể tiêu thụ.

Các phạm vi kiến thức chính:

  • Hiểu và định cấu hình ulimits
  • Hiểu về cgroups, bao gồm các lớp, giới hạn và tính toán
  • Quản lý cgroup và xử lý liên kết cgroup
  • Hiểu các lớp, phạm vi và dịch vụ systemd
  • Sử dụng các đơn vị systemd để hạn chế các quy trình tài nguyên hệ thống có thể tiêu thụ
  • Nhận biết về các tiện ích cgmanager và libcgroup

Một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

  • ulimit
  • /etc/security/limits.conf
  • pam_limits.so
  • /sys/fs/group/
  • /proc/cgroups
  • systemd-cgls
  • systemd-cgtop

 

Chủ đề 333: Điều khiển Truy cập

333.1 Điều khiển Truy cập Tùy quyền (trọng số: 3)

Trọng số 3
Mô tả Các thí sinh nên hiểu về Điều khiển truy cập tùy quyền (discretionary access control – DAC) và biết cách thực hiện nó bằng cách sử dụng các danh sách điều khiển truy cập (access control lists – ACL). Ngoài ra, các thí sinh phải hiểu và biết cách sử dụng các thuộc tính mở rộng.

Các phạm vi kiến thức chính:

  • Hiểu và quản lý quyền sở hữu và quyền truy cập tệp, bao gồm các bit SetUID và SetGID
  • Hiểu và quản lý các danh sách điều khiển truy cập
  • Hiểu và quản lý các thuộc tính mở rộng và các lớp thuộc tính (attribute class)

Một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

  • getfacl
  • setfacl
  • getfattr
  • setfattr

 

333.2 Điều khiển truy cập bắt buộc (trọng số: 5)

Trọng số 5
Mô tả Các thí sinh nên làm quen với các hệ thống điều khiển truy cập bắt buộc (mandatory access control – MAC) dành cho Linux. Cụ thể, các thí sinh cần có kiến thức vững chắc về SELinux. Ngoài ra, các thí sinh nên biết về các hệ thống điều khiển truy cập bắt buộc khác cho Linux. Điều này bao gồm các tính năng chính của các hệ thống này nhưng không bao gồm cấu hình và việc sử dụng.

Các phạm vi kiến thức chính:

  • Hiểu các khái niệm về loại thực thi, điều khiển truy cập dựa trên vai trò, điều khiển truy cập bắt buộc và điều khiển truy cập tùy quyền
  • Định cấu hình, quản lý và sử dụng SELinux
  • Nhận biết về AppArmor và Smack

Một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

  • getenforce
  • setenforce
  • selinuxenabled
  • getsebool
  • setsebool
  • togglesebool
  • fixfiles
  • restorecon
  • setfiles
  • newrole
  • setcon
  • runcon
  • chcon
  • semanage
  • sestatus
  • seinfo
  • apol
  • seaudit
  • audit2why
  • audit2allow
  • /etc/selinux/*

 

 

Topic 334: Bảo mật Mạng

334.1 Quá trình nâng cao tính bảo mật Mạng (trọng số: 4)

Trọng số 4
Mô tả Các thí sinh phải có khả năng bảo vệ các mạng lưới trước các mối đe dọa phổ biến. Điều này bao gồm phân tích lưu lượng mạng của các nút mạng và giao thức cụ thể.

Các phạm vi kiến thức chính:

  • Hiểu các cơ chế bảo mật của mạng không dây
  • Định cấu hình FreeRADIUS để xác thực các nút mạng
  • Sử dụng Wireshark và tcpdump để phân tích lưu lượng mạng, bao gồm các bộ lọc và thống kê
  • Sử dụng Kismet để phân tích các mạng không dây và nắm bắt lưu lượng mạng không dây
  • Xác định và xử lý các quảng cáo bộ định tuyến giả mạo và tin nhắn DHCP
  • Nhận biết về aircrack-ng và bettercap

Sau đây là một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

  • radiusd
  • radmin
  • radtest
  • radclient
  • radlast
  • radwho
  • radiusd.conf
  • /etc/raddb/*
  • wireshark
  • tshark
  • tcpdump
  • kismet
  • ndpmon

 

334.2 Phát hiện xâm nhập mạng (trọng số: 4)

Trọng số 4
Mô tả Các thí sinh nên làm quen với việc sử dụng và cấu hình phần mềm quét bảo mật mạng, giám sát mạng và phát hiện xâm nhập mạng. Điều này bao gồm việc cập nhật và bảo trì các máy quét bảo mật.

Các phạm vi kiến thức chính:

  • Thực hiện giám sát sử dụng băng thông
  • Định cấu hình và sử dụng Snort, bao gồm cả quản lý quy tắc
  • Định cấu hình và sử dụng OpenVAS, bao gồm NASL

Một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

  • ntop
  • snort
  • snort-stat
  • pulledpork.pl
  • /etc/snort/*
  • openvas-adduser
  • openvas-rmuser
  • openvas-nvt-sync
  • openvassd
  • openvas-mkcert
  • openvas-feed-update
  • /etc/openvas/*

 

334.3 Lọc Gói (Packet Filtering) (trọng số: 5)

Trọng số 5
Mô tả Các thí sinh nên làm quen với việc sử dụng và cấu hình của bộ lọc gói netfilter Linux.

Các phạm vi kiến thức chính:

  • Hiểu các kiến trúc tường lửa phổ biến, bao gồm DMZ
  • Hiểu và sử dụng iptables và ip6tables, bao gồm các module tiêu chuẩn, các bài kiểm tra và mục tiêu
  • Thực hiện lọc gói cho IPv4 và IPv6
  • Thực hiện theo dõi kết nối và biên dịch địa chỉ mạng
  • Quản lý các bộ IP và sử dụng chúng trong các quy tắc của netfilter
  • Nhận biết về nftables và nft
  • Nhận biết vềebtables
  • Nhận biết về conntrackd

Một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

  • iptables
  • ip6tables
  • iptables-save
  • iptables-restore
  • ip6tables-save
  • ip6tables-restore
  • ipset

 

334.4 Các mạng riêng tư ảo (trọng số: 4)

Trọng số 4
Mô tả Các thí sinh nên làm quen với việc sử dụng OpenVPN, IPsec và WireGuard để thiết lập truy cập từ xa và VPN site to site.

Các phạm vi kiến thức chính:

  • Hiểu các nguyên tắc của VPN bắc cầu và định tuyến
  • Hiểu các nguyên tắc và sự khác biệt chính của các giao thức OpenVPN, IPsec, IKEv2 và WireGuard
  • Định cấu hình và vận hành các OpenVPN server và client
  • Định cấu hình và vận hành các IPsec server và client bằng strongSwan
  • Định cấu hình và vận hành các WireGuard server và client
  • Hiểu biết về L2TP

Một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

  • /etc/openvpn/
  • openvpn
  • /etc/strongswan.conf
  • /etc/strongswan.d/
  • /etc/swanctl/swanctl.conf
  • /etc/swanctl/
  • swanctl
  • /etc/wireguard/
  • wg
  • wg-quick
  • ip

 

Topic 335: Đánh giá Các mối đe dọa và Lỗ hổng bảo mật

335.1 Các lỗ hổng và các mối đe dọa bảo mật phổ biến (trọng số: 2)

Trọng số 2
Mô tả Các thí sinh cần hiểu nguyên tắc của các loại lỗ hổng và mối đe dọa bảo mật chính.

Các phạm vi kiến thức chính:

  • Hiểu khái niệm về các mối đe dọa từ các nút riêng cá nhân
  • Hiểu khái niệm về các mối đe dọa từ mạng lưới
  • Hiểu khái niệm về các mối đe dọa từ ứng dụng
  • Hiểu khái niệm về các mối đe dọa từ thông tin xác thực và bảo mật
  • Hiểu biết khái niệm về honeypots

Một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

  • Trojans
  • Viruses
  • Rootkits
  • Keylogger
  • DoS and DDoS
  • Man in the Middle
  • ARP and NDP forgery
  • Rogue Access Points, Routers and DHCP servers
  • Link layer address and IP address spoofing (địa chỉ lớp liên kết và giả mạo địa chỉ IP)
  • Buffer Overflows (tràn bộ nhớ đệm)
  • SQL and Code Injections
  • Cross Site Scripting
  • Cross Site Request Forgery (giả mạo yêu cầu liên trang)
  • Privilege escalation (leo thang đặc quyền)
  • Brute Force Attacks
  • Rainbow tables
  • Phishing (tấn công giả mạo)
  • Social Engineering (lừa đảo qua mạng)

 

335.2 Kiểm tra xâm nhập (trọng số: 3)

Trọng số 3
Mô tả Các thí sinh hiểu các khái niệm về kiểm tra xâm nhập, bao gồm hiểu biết về các công cụ kiểm tra xâm nhập thường được sử dụng. Hơn nữa, các thí sinh cần có khả năng sử dụng nmap để xác minh tính hiệu quả của các biện pháp bảo mật mạng.

Các phạm vi kiến thức chính:

  • Hiểu các khái niệm về kiểm tra xâm nhập và hack có đạo đức (ethical hacking)
  • Hiểu ý nghĩa pháp lý của kiểm tra xâm nhập
  • Hiểu các giai đoạn của kiểm tra xâm nhập, chẳng hạn như thu thập thông tin chủ động và thụ động, trích xuất, truy cập, leo thang đặc quyền, bảo trì truy cập, xóa dấu vết
  • Hiểu về cấu trúc và các thành phần của Metasploit, bao gồm các loại mô-đun Metasploit và cách Metasploit tích hợp các công cụ bảo mật khác nhau
  • Sử dụng nmap để quét mạng và máy chủ, bao gồm các phương pháp quét khác nhau, quét phiên bản và nhận dạng hệ điều hành
  • Hiểu các khái niệm về Nmap Scripting Engine và thực thi các tập lệnh hiện có
  • Nhận biết về Kali Linux, Armitage và Social Engineer Toolkit (SET)

Một phần danh sách các tệp, điều khoản và tiện ích được sử dụng: 

  • nmap

 

    Warning: foreach() argument must be of type array|object, null given in /var/www/html/wp-content/themes/lpi/footer.php on line 19