目次
2.12.1 iptables や firewalld によるパケットフィルタリング
重要度:☆☆☆(3)
概要
- IPパケットを転送したり、ネットワークアドレス変換(NATやIPマスカレード)を実行するようシステムを設定し、ネットワークを保護することができる。これには、ポートリダイレクトの設定、フィルタルールの管理、攻撃の回避も含まれる。
詳細
- iptables および ip6tables のツール
- iptables, ip6tables
- IPパケットの転送
- /proc/sys/net/ipv4/, /proc/sys/net/ipv6/
- ルーティングテーブルを管理するためのツール
- ポートリダイレクト
- 発信元や宛先のプロトコルやポート、アドレスに基づいて、IP パケットの受入と拒否を行うフィルタおよびルールの表示と保存
- /etc/services
- フィルタ設定の保存および再読込
- iptables-save, iptables-restore
- firewalld で設定の確認と変更ができる。
- firewalld, firewall-cmd
- ufw で設定の確認と変更ができる。
- ufw
2.12.1の例題
2.12.2 OpenSSH サーバーの設定と管理
重要度:☆☆☆☆(4)
概要
- SSHデーモンの設定と保護ができる。これには、鍵の管理とユーザ用にSSHを設定することも含まれる。
詳細
- OpenSSH サーバーの設定ファイルとデーモン
- sshd, /etc/ssh/sshd_config
- /etc/ssh/ssh_host_*_key および ssh_host_*_key.pub
- スーパーユーザおよび一般ユーザのログインを制限する。
- PermitRootLogin, PubKeyAuthentication, AllowUsers, PasswordAuthentication
2.12.3 OpenVPNの設定と管理
重要度:☆☆(2)
概要
- VPN (仮想プライベートネットワーク) の設定および安全なポイントツーポイントまたはサイトツーサイトの接続ができる。
詳細
- OpenVPN の機能概要を理解している。
- OpenVPN の設定ファイルとツール
- /etc/openvpn/, openvpn
2.12.3の例題
2.12.4 セキュリティ業務
重要度:☆☆☆(3)
概要
- さまざまな情報源からセキュリティ警告を収集できる。侵入検知システムをインストール、設定、および実行できる。セキュリティパッチやバグ修正を適用できる。
詳細
- サーバーのポートをテストおよびスキャンするユーティリティ
- netcat(nc, ncat), nmap, iptables, firewalld
- Bugtraq、CERT、CIACやその他のセキュリティ警告を報告する組織と、そのアドレスに関する知識
- IDS(Intrusion Detection System:侵入検知システム)を実装するユーティリティ
- fail2ban, snort
- OpenVAS や OpenSCAPについて知っている。