Contents
202試験(Version 10.0)出題範囲
LinuCレベル2に認定されるためには201試験と202試験に合格し、かつ、有意なレベル1認定を保有している必要があります。
どの試験から受験しても構いません。
レベル2の出題範囲ではLinuxのディストリビューションに共通するLinux技術者にとって必要な高度な技術をカバーしています。
出題範囲のそれぞれの項目には、重要度として重み付けがなされています。
重要度は、それぞれのトピックスの相対的な重要性を示しています。
重要度が高いトピックスほど、試験において多くの問題が出題されます。
なにを優先して勉強すべきか?
重要度を参考に考えますと、以下を最優先に勉強すべきです。
- Sambaの設定と管理
- OpenSSH サーバーの設定と管理
主題2.07: ネットワーククライアントの管理
2.07.1 DHCPサーバーの設定と管理
重要度は以下のようになっています。
2
概要は以下のようになっています。
- DHCPサーバーを設定できる。これには、デフォルトおよびクライアントごとのオプションの設定と、静的ホストおよびBOOTPホストの追加も含まれる。また、DHCPリレーエージェントの設定とDHCPサーバーの保守も含まれる。
詳細は以下のようになっています。
- DHCPの設定ファイル、用語、ユーティリティ
- arp, dhcpd, dhcpd.conf, dhcpd.leases
- syslog や systemd のジャーナル内の DHCP のログメッセージ
- サブネットと動的割り当て範囲の設定
- DHCPv6 と IPv6 のルータ広告について知っている。
- radvd, radvd.conf
2.07.2 PAM認証
重要度は以下のようになっています。
3
概要は以下のようになっています。
- さまざまな方法で認証をサポートするようにPAMを設定できる。これには基本的な SSSD(System Security Services Daemon) の機能を含む。
詳細は以下のようになっています。
- PAMの設定ファイル、用語、ユーティリティ
- /etc/pam.d/, pam.conf, nsswitch.conf, sssd.conf
- pam_unix, pam_cracklib, pam_limits, pam_listfile, pam_sss
2.07.3 LDAPクライアントの利用方法
重要度は以下のようになっています。
2
概要は以下のようになっています。
- LDAPサーバーの照会と更新ができる。また、アイテムの追加およびインポートと、ユーザの追加および管理も含まれる。
詳細は以下のようになっています。
- データ管理のLDAPユーティリティ
- ldapadd, ldapdelete, ldapmodify
- LDAPディレクトリを照会する。
- ldapsearch
- ユーザのパスワードを変更する。
- ldappasswd
2.07.4 OpenLDAPサーバーの設定
重要度は以下のようになっています。
2
概要は以下のようになっています。
- LDIF形式および重要なアクセス制御に関する知識も含め、基本的なOpenLDAPサーバーを設定する。
詳細は以下のようになっています。
- OpenLDAP
- slapadd, slapcat, slapindex, slapd, /var/lib/ldap/
- ディレクトリベースの設定
- slapd-config
- アクセス管理
- slapd.access
- 識別名 (DN)
- LDIF
- ディレクトリ
- エントリの操作
- スキーマ
- オブジェクト ID、属性、クラス
- ホワイトページ
主題2.08: ドメインネームサーバー
2.08.1 BINDの設定と管理
重要度は以下のようになっています。
3
概要は以下のようになっています。
- 権威サーバー、再帰サーバー、キャッシュ専用DNSサーバーとして機能するようにBINDを設定できる。これには、稼働中のサーバーを管理すること、ログの設定も含まれる。
詳細は以下のようになっています。
- BIND の設定ファイル、用語、ユーティリティ
- named.conf, host, dig, nslookup
- BIND の設定ファイルで、BINDゾーンファイルの位置を定義する。
- named.conf
- 変更した設定ファイルおよびゾーンファイルの再読込
- rndc, named-checkconf
- 代替ネームサーバーとしての dnsmasq, Unbound, NSD, PowerDNS について知っている。
2.08.2 ゾーン情報の管理
重要度は以下のようになっています。
2
概要は以下のようになっています。
- 正引き、逆引きのゾーンファイルおよびルートヒントファイルを作成できる。これには、レコードに適切な値を設定すること、ホストをゾーンに追加すること、ゾーンをDNSに追加することも含まれる。また、他のDNSサーバーにゾーンの委任を行うことも含まれる。
詳細は以下のようになっています。
- BINDゾーンファイルのレイアウト、内容、ファイル配置
- ゾーンファイルの書式, リソースレコードの書式
- 逆引きゾーンを含む、ゾーンファイルに新しいホストを追加する際の確認方法
- named-compilezone, named-checkzone
2.08.3 セキュアなDNSサーバーの実現
重要度は以下のようになっています。
2
概要は以下のようになっています。
- DNSサーバーをroot以外のユーザとしてchroot 環境で実行するよう設定できる。これには、DNSサーバー間で安全なデータ交換を行うことも含まれる。
詳細は以下のようになっています。
- chroot 環境で稼働するようBINDを設定する。
- forwarders文を使用してBINDの構成を分割する。
- named.conf
- DNSSEC および基本的なツールについて知っている。
- dnssec-keygen, dnssec-signzone, TSIG(Transaction Signature)
- DANE および関連レコードについて知っている。
主題2.09: HTTPサーバーとプロキシサーバー
2.09.1 Apache HTTPサーバーの設定と管理
重要度は以下のようになっています。
3
概要は以下のようになっています。
- Apache HTTP サーバーのインストールと設定ができる。これには、サーバーの負荷と性能の監視、クライアントからのユーザアクセスの制限、モジュールとしてのスクリプト言語をサポートする設定、およびクライアントユーザの認証設定も含まれる。また、サーバーのオプション設定でリソースの使用を制限することも含まれる。仮想ホストを使用するようApache HTTP サーバーを設定し、ファイルへのアクセスをカスタマイズできる。
詳細は以下のようになっています。
- Apache HTTP サーバー の設定ファイル、用語、ユーティリティ
- httpd, apache2
- httpd.conf, mod_auth_basic, mod_authz_host
- apachectl, apache2ctl
- Apache HTTP サーバーのログファイルの設定と内容
- アクセスログとエラーログ
- アクセス制限の方法とファイル
- .htaccess, AuthUserFile, AuthGroupFile
- クライアントユーザを認証するファイルとユーティリティ
- htpasswd
- 最大リクエスト数、最小/最大サーバー数およびクライアント数の設定
- Apache HTTP サーバー における仮想ホストの実装
- ファイルへのアクセスをカスタマイズするために、Apache HTTP サーバーの設定ファイルで Redirect 文を使用する。
2.09.2 OpenSSLとHTTPSの設定
重要度は以下のようになっています。
3
概要は以下のようになっています。
- HTTPSを提供するために Apache HTTPサーバーを設定できる。
詳細は以下のようになっています。
- SSL設定ファイル、ツール
- /etc/ssl/, /etc/pki/
- Apache HTTPサーバーの設定ファイル
- SSLEngine, SSLCertificateKeyFile, SSLCertificateFile
- SSLProtocol, SSLCipherSuite
- サーバーの秘密鍵および商用 CA向けのCSR を生成する。
- openssl
- 自己署名証明書を生成する。
- openssl
- 中間 CA を含む鍵および証明書をインストールする。
- SSLCACertificateFile, SSLCACertificatePath
- SSLの使用に関するセキュリティ問題および安全でないプロトコルと cipher を無効にする。
2.09.3 nginxの設定と管理
重要度は以下のようになっています。
3
概要は以下のようになっています。
- リバースプロキシサーバーであるnginxのインストールおよび設定ができる。これには、HTTPサーバーとしてのnginx の設定が含まれる。
詳細は以下のようになっています。
- nginx の設定と管理
- /etc/nginx/, nginx
- nginx のSSL設定
- ssl, ssl_certificate, ssl_certificate_key, ssl_ciphers, ssl_protocols
- リバースプロキシサーバーとしての設定
- proxy_pass, proxy_http_version, proxy_set_header
- nginx でリダイレクトを行う
2.09.4 Squidの設定と管理
重要度は以下のようになっています。
2
概要は以下のようになっています。
- プロキシサーバーのインストールと設定ができる。これには、アクセスポリシー、認証、リソースの利用方法も含まれる。
詳細は以下のようになっています。
- Squid 3.xの設定ファイル、用語、ユーティリティ
- squid.conf, squidclient
- アクセス制限の方法
- http_access
- クライアントユーザの認証方法
- Squid設定ファイルにおけるACLのレイアウトと内容
- acl
主題2.10: 電子メールサービス
2.10.1 Postfixの設定と管理
重要度は以下のようになっています。
3
概要は以下のようになっています。
- 電子メールサーバーを管理できる。これには、電子メールのエイリアス、アクセス制限、仮想ドメインの設定も含まれる。また、内部的な電子メールリレーの設定および電子メールサーバーの監視も含まれる。
詳細は以下のようになっています。
- Postfixの設定ファイル、スプール、ログファイル
- /etc/postfix/, /etc/aliases, /var/spool/postfix/, /var/log/のメール関連のログ
- Postfixの基本的な TLS の設定
- SMTP認証の設定
- SMTPプロトコルに関する基本的な知識
- eximを知っている。
2.10.2 Dovecotの設定と管理
重要度は以下のようになっています。
2
概要は以下のようになっています。
- POPおよびIMAPのデーモンのインストールと設定ができる。
詳細は以下のようになっています。
- Dovecot の POP と IMAP の設定と管理
- /etc/dovecot/, dovecot.conf , doveconf, doveadm
- Dovecot 向けの基本的な TLS の設定
主題2.11: ファイル共有サービス
2.11.1 Sambaの設定と管理
重要度は以下のようになっています。
4
概要は以下のようになっています。
- さまざまなクライアント用にSambaサーバーを設定できる。これには、クライアントがログインするSambaの設定やサーバーが参加するワークグループの設定、共有ディレクトリの定義、インストールにおけるトラブルシューティングも含まれる。
詳細は以下のようになっています。
- Samba の設定ファイルとログファイル
- /etc/samba/, /var/log/samba/
- Samba のユーティリティとデーモン
- samba, smbd, nmbd, winbindd
- smbcontrol, smbstatus, testparm, smbpasswd, nmblookup, net, smbclient, samba-tool
- Windowsのユーザ名をLinuxのユーザ名にマッピングする。
- ACL および AD のセキュリティ
- getfacl, setfacl
2.11.2 NFSサーバーの設定と管理
重要度は以下のようになっています。
3
概要は以下のようになっています。
- NFSを使用してファイルシステムをエクスポートできる。これには、アクセス制限、クライアントでのNFSファイルシステムのマウント、NFSの保護も含まれる。
詳細は以下のようになっています。
- NFS の設定ファイル
- /etc/exports
- NFSのユーティリティとデーモン
- exportfs, showmount, nfsstat, rpcinfo
- mountd, portmapper
- 特定のホストやサブネットへのアクセス制限
- サーバーとクライアントにおけるマウントオプション
- /etc/fstab, /proc/mounts
主題2.12: システムのセキュリティ
2.12.1 iptables や firewalld によるパケットフィルタリング
重要度は以下のようになっています。
3
概要は以下のようになっています。
- IPパケットを転送したり、ネットワークアドレス変換(NATやIPマスカレード)を実行するようシステムを設定し、ネットワークを保護することができる。これには、ポートリダイレクトの設定、フィルタルールの管理、攻撃の回避も含まれる。
詳細は以下のようになっています。
- iptables および ip6tables のツール
- iptables, ip6tables
- IPパケットの転送
- /proc/sys/net/ipv4/, /proc/sys/net/ipv6/
- ルーティングテーブルを管理するためのツール
- ポートリダイレクト
- 発信元や宛先のプロトコルやポート、アドレスに基づいて、IP パケットの受入と拒否を行うフィルタおよびルールの表示と保存
- /etc/services
- フィルタ設定の保存および再読込
- iptables-save, iptables-restore
- firewalld で設定の確認と変更ができる。
- firewalld, firewall-cmd
- ufw で設定の確認と変更ができる。
- ufw
2.12.2 OpenSSH サーバーの設定と管理
重要度は以下のようになっています。
4
概要は以下のようになっています。
- SSHデーモンの設定と保護ができる。これには、鍵の管理とユーザ用にSSHを設定することも含まれる。
詳細は以下のようになっています。
- OpenSSH サーバーの設定ファイルとデーモン
- sshd, /etc/ssh/sshd_config
- /etc/ssh/ssh_host*key および ssh_host*key.pub
- スーパーユーザおよび一般ユーザのログインを制限する。
- PermitRootLogin, PubKeyAuthentication, AllowUsers, PasswordAuthentication
2.12.3 OpenVPNの設定と管理
重要度は以下のようになっています。
2
概要は以下のようになっています。
- VPN (仮想プライベートネットワーク) の設定および安全なポイントツーポイントまたはサイトツーサイトの接続ができる。
詳細は以下のようになっています。
- OpenVPN の機能概要を理解している。
- OpenVPN の設定ファイルとツール
- /etc/openvpn/, openvpn
2.12.4 セキュリティ業務
重要度は以下のようになっています。
3
概要は以下のようになっています。
- さまざまな情報源からセキュリティ警告を収集できる。侵入検知システムをインストール、設定、および実行できる。セキュリティパッチやバグ修正を適用できる。
詳細は以下のようになっています。
- サーバーのポートをテストおよびスキャンするユーティリティ
- netcat(nc, ncat), nmap, iptables, firewalld
- Bugtraq、CERT、CIACやその他のセキュリティ警告を報告する組織と、そのアドレスに関する知識
- IDS(Intrusion Detection System:侵入検知システム)を実装するユーティリティ
- fail2ban, snort
- OpenVAS や OpenSCAPについて知っている。
主題2.13: システムアーキテクチャ
2.13.1 高可用システムの実現方式
重要度は以下のようになっています。
2
概要は以下のようになっています。
- 求められる可用性のレベルを実現するシステム構成を把握している。
詳細は以下のようになっています。
- 可用性に影響のある事象を理解している。
- 故障・障害のパターン、メンテナンスによる停止(計画、緊急)など
- 物理障害と論理障害
- SPoF、回復性(難易度、時間)
- 可用性の評価方法を知っている。ただし計算式は含まない。
- MTBF、MTTR、稼働率、SLA
- RPO、RTO
- 高可用性(HA)を実現するシステム構成を知っている。
- 冗長化によるHAの実現
- Pacemaker, Corosync
- HA構成の種類として クラスタやロードバランシングの概念を知っている。
- 物理的、地理的な分散による可用性レベルの違いについて知っている。
2.13.2 キャパシティプランニングとスケーラビリティの確保
重要度は以下のようになっています。
2
概要は以下のようになっています。
- 必要なリソース量を事前に予見できるシステムにおいて、近い将来に向けた拡張方法を知っている。
- 将来的に必要なリソース量が容易に予見できないシステムにおいて、現在のリソース使用状況を継続的に把握できる。
詳細は以下のようになっています。
- キャパシティプランを作成するために把握しておくべきシステムリソースの観点と項目
- リソースを増減させる方法と必要な対応を知っている。
- スケールアップ・ダウン
- スケールアウト・イン
- スケールアップの方式を知っている。
- 必要リソース量を搭載したマシンの再構成
- スケールアウトの方式を知っている。
- スケールアウトに対応できるアプリケーション構成(ステートレスな構成 - DB、セッションなど)
- 構成管理ツールや仮想マシンイメージを使ったノードの増減
- アクセスの振り分け - ロードバランサ、DNS ラウンドロビン
2.13.3 クラウドサービス上のシステム構成
重要度は以下のようになっています。
2
概要は以下のようになっています。
- クラウドサービス上の IaaS を中心としたシステム構成の特徴を理解している。
- 必要に応じて IaaS リソースの増減が可能であることを理解している。
詳細は以下のようになっています。
- クラウドのストレージの種別を理解している。
- インスタンス動作中にのみ使用可能なストレージ(エフェメラルストレージ)
- インスタンス停止/起動をまたいで使用可能なストレージ(永続化ストレージ)
- クラウドのネットワークの種別を理解している。
- 固定IPアドレス、フローティングIPアドレス
- クラウドのネットワークセキュリティを理解している。
- テナントネットワーク、ファイアウォール(セキュリティグループ)
- クラウドを支える主要な技術やサービスを理解している。
- オブジェクトストレージ、メッセージングシステム(キュー)、オートスケーラー
2.13.4 典型的なシステムアーキテクチャ
重要度は以下のようになっています。
3
概要は以下のようになっています。
- 高可用性やスケーラビリティを確保するためのシステム構成のパターンを把握している。
詳細は以下のようになっています。
- 代表的なシステム構成パターンとその特徴を知っている。
- PHP/Apache HTTP Server+PostgreSQL/MySQLによるLAPP、LAMP構成
- Webサーバー+APサーバー+DBサーバーによるWeb3層モデル
- ロードバランサ、HA構成、データベースレプリケーションによる冗長性を担保したWeb3層モデル
- ロードバランサ/DNSラウンドロビン+WebサーバーのスケールアウトによるスケーラブルなWebシステム
- プロキシサーバーによるキャッシュやCDNを活用したスケーラブルなWebシステム
- メッセージングキューを活用した非同期データ処理システム