lpic 102 セキュリティ

100問 • 1年前

問題一覧

SUID/SGIDが設定されたファイルを検索するには？

find [検索場所] -perm -6000（モード）を実行する。　[モード]で指定されている許可属性ビットのすべてが、ファイルでも立っていたら真 SUID「4000」の4をビットに直すと100、SGID「2000」の2をビットにすると010、これらのビットが立っているファイルが検索対象のため、110、つまり先頭の数字が6の「6000」が正解となる。また、SUID、SGIDの「両方が設定された」のため、モードの前は「-」を指定する

所有グループがrootであり、かつSGIDが設定されたファイルやディレクトリをすべて把握するには？

・find / -perm -g+s -gid 0 ・find / -perm -2000 -gid 0 を実行する SGIDが設定されたモードを数字表現で表すと「2000」、記号表現では「g+s」となる。また、「-uid」で所有権を持つユーザIDを、「-gid」で所有権を持つグループIDを指定して検索できる。rootユーザはユーザID、グループIDともに「0」。

「/var/log/wtmp」ファイルを参照し、最近ログインしたユーザの一覧を表示するコマンドは？

last

「/var/log/wtmp」とは？

ユーザのログイン/ログアウト情報が記録されているバイナリファイル

特定のポートを使用しているプロセスなど、ローカルホストの様々なプロセス情報を表示させることができるコマンドは？

lsof

lsofコマンドで特定のポート番号を指定する際のオプションは？

-i:［ポート番号］

システムの特定のリソースを使用中のプロセスを検索し、強制終了することのできるコマンドは？

fuser [オプション] 検索対象

fuserコマンドのオプションでプロセスにSIGKILLを送信するものは？また、送りたいシグナルを指定するときは？

-k（kill） -シグナル名

fuserコマンドのオプションでマウントされたファイルシステムを指定するものは？

-m（mount）

fuserコマンドのオプションで検索する領域（名前空間）を指定するものは？また、何が指定できる？

-n（namespace） file（ファイル名:デフォルト）、udp（UDPポート番号）、tcp（TCPポート番号）

fuserコマンドのオプションで検索結果にユーザー名を追加するものは？

-u（user）

fuserコマンドのオプションで詳細な情報を表示するものは？

-v（verbose）

lsofコマンドとfuserコマンドの違いは？

lsofコマンドは情報を表示するだけだが、fuserコマンドでは表示だけではなく、検索したプロセスに対してシグナルを送ることができる

findコマンドの検索式でファイルの種類で検索できるものは？

findコマンドの検索式に「-type ファイルの種類」を指定する

ログイン中に別のユーザーに切り替わる事ができるコマンドは？

su（Switch User）

suコマンドで引数に「-」をつけるとどうなる？

切り替わる先のユーザの環境変数を使用する

suコマンドでユーザー名を指定しない場合どうなる？

rootユーザへ切り替わる

suコマンドでユーザを切り替える時に求められるパスワードは？

切り替わる先のユーザのパスワード

suコマンドでパスワードが求められない場合とは？

rootユーザから別のユーザに切り替わる時

ユーザやシェルが利用するリソースを制限するコマンドは？

ulimit [オプション] [制限値]

ulimitコマンドを使用する理由は？

ユーザーの誤操作やプログラムのバグ、悪意のあるユーザーによるリソースの消費などを回避する為

ulimitコマンドのオプションでリソースの制限値をすべて表示するものは？

-a（all）

ulimitコマンドのオプションでコアファイルのサイズを制限するものは？

-c（core）

ulimitコマンドのオプションで出力ファイルのサイズを制限するものは？

-f（file）

ulimitコマンドのオプションでユーザー1人が起動できるプロセス数を制限するものは？

-u（user process）

ulimitコマンドのオプションでシェルが利用できる仮想メモリを制限するものは？

-v（virtual memory）

コアファイルとは？

プログラムが異常終了した時にプログラムが使用していたメモリ情報をファイルに書きだしたもの

コアファイルのサイズを制限することが一般的な理由は？

主にデバッグのために使用するが、一般ユーザーが通常使用するものではなく、またプログラムによっては多くのメモリを使用するためコアファイルが巨大になることがある。ファイルシステムの容量を食いつぶさないようにするため。

自身に管理者から実行権限が委譲されているコマンドを確認するコマンドは？

sudo -l

sudoコマンドを実行するとパスワードの入力を求められるが、その際のパスワードは？

rootのパスワードではなく、ユーザ自身のパスワード

一般ユーザでも、管理者から実行権限を委譲されたコマンドであれば実行できるコマンドは？

sudo [委譲されたコマンド]

sudoに関する権限委譲の設定はどうやって行う？

「visudo」コマンドで「/etc/sudoers」ファイルを編集する

「/etc/sudoers」ファイルの書式は？

権限を委譲するユーザ名　ホスト名=(実行ユーザ)　委譲するコマンド実行ユーザの部分は省略可能

委譲するコマンドが「NOPASSWD:」で指定されている場合にはどうなる？

ユーザはsudoによりそれらのコマンドをパスワード不要で実行できる。

「PASSWD:」で指定されたコマンドについて、もしくは「NOPASSWD:」も「PASSWD:」もない場合のコマンドについてはどうする必要がある？

sudo使用時にユーザ自身のパスワードを入力する必要がある

パスワードの有効期限の設定に特化したコマンドは？

chage [オプション] ユーザ名

パスワードの有効期限に関する情報はどこに保存される？

「/etc/shadow」ファイル

chageコマンドのオプションで対話モード（ユーザ名の指定は必要）にするものは？

なし

chageコマンドのオプションでパスワードの有効期限に関する情報を表示するものは？

-l（ls）ルートユーザでなくても、実行可能

chageコマンドのオプションでパスワード変更の間隔の最短日数（パスワードを変更できるようになるまでの日数）を指定するものは？

-m（minimum）

chageコマンドのオプションでパスワードが有効な最長日数（何日ごとに必ずパスワードを変更させるか）を指定するものは？

-M（Max）

chageコマンドのオプションでパスワードの有効期限切れ後にアカウントがロックされるまでの日数を指定するものは？

-I（Inactive）

chageコマンドのオプションでパスワードの有効期限が切れる前に警告を表示する日数（有効期限の何日前から警告を行うか）を指定するものは？

-W（Warning）

chageコマンドのオプションでユーザアカウントの有効期限を指定する（YYYY-MM-DD形式）ものは？

-E（Expire）

指定したホストの開いているポートをネットワーク経由で確認（ポートスキャン）、ホストにログインせずに、外部からアクセス可能なポートを調査するコマンドは？

nmap 対象ホスト

「netstat」や「lsof」コマンドと「nmap」コマンドの違いは？

「netstat」や「lsof」コマンドでも空いているポートは確認できるが、これらで表示できるのはローカルホストの情報。「nmap」コマンドはリモートホストの情報も確認できる。

ローカルホストのポートスキャンも可能なコマンドは？

nmap localhost

「/var/run/utmp」ファイルを参照し、現在システムにログインしているユーザーの情報を表示するコマンドは？

「w」と「who」コマンド

「/var/run/utmp」ファイルは？

ログイン中のユーザの情報が格納されているバイナリファイル

「w」コマンドと「who」コマンドの違いは？

「w」コマンドは、「who」コマンドの情報にプラスして、システムの情報やユーザが何をしているのか、まで表示する

所有グループがrootであり、かつSGIDが設定されたファイルやディレクトリをすべて把握するには？

・find / -perm -u+s -uid 0 ・find / -perm -4000 -uid 0 SUIDが設定されたモードを数字表現で表すと「4000」、記号表現では「u+s」となる。また、「-uid」で所有権を持つユーザIDを、「-gid」で所有権を持つグループIDを指定して検索できる。rootユーザはユーザID、グループIDともに「0」。

スーパーサーバinetdやxinetdはアクセス制御を行う際、何を利用する？

TCPラッパー

TCPラッパーは何というデーモンで起動する？

tcpd

inetdデーモンの設定ファイルは？

/etc/inetd.conf

xinetdデーモンの設定ファイルは？

/etc/xinetd.conf

inetdやxinetdが監視しているサービスにアクセスがあると、何をする？

tcpdにその制御を渡します

tcpdはどうやってアクセスを許可するかどうかを判断する？

「/etc/hosts.allow」と「/etc/hosts.deny」ファイルを調べ、アクセスを許可するかどうか判断する。許可する場合にのみ、対象のサービスを起動して制御を渡す。

xinetdデーモンのみがアクセス制御に利用するファイルは？

/etc/xinetd.d/ 内の個別設定ファイル

TCPラッパー（tcpd)の制御ファイルはどの順で評価される？

1.「/etc/hosts.allow」に記載されているホストは許可。 2.「/etc/hosts.allow」に記載されていなければ、「/etc/hosts.deny」を参照し、記載されているホストは拒否。 3.両方のファイルに記載の無いホストは全て許可。

TCPラッパーの制御ファイルの書式は？

（書式）サービス名：対象ホスト

inetdとは？

「スーパーサーバ」と呼ばれる種類のデーモンで、サーバが提供する様々なサービスの窓口となるTCPやUDPのポート番号を監視し、接続があると実際にサービスを提供するデーモンを起動する。すべてのデーモンが常時待ち受け状態で待機している必要がなくなるため、メモリの利用効率などが改善される。

xinetdとは？

inetdの改良版で、inetdではあまり考慮されていなかったセキュリティ関連の機能などが追加されている。inetdと併用されることが多かったTCP wrapperに近いアクセス制御が可能で、IPアドレスや時刻に基づいて接続を制限することができる。

SysVinitの動作するシステムにおいて各種サービスの起動スクリプトを置くディレクトリは？

「/etc/init.d/」

起動スクリプトとは？

initによりシステムの起動時・ランレベルの変更時に実行されるもので、主として各種サービスをランレベルに応じ自動的に起動・終了させるために用いられる

各ランレベルに応じたスクリプトはどこにある？

/etc/rc[0-6].d/

各ランレベルに応じたスクリプトはシンボリックリンクでどこにリンクされている？

/etc/init.d/（サービス名）という起動スクリプトの実体

各サービスの個別設定ファイルを配置するディレクトリはどこで指定する？

「/etc/xinetd.conf」の「includedir」で指定

xinetdでサービスを提供するインターフェースのIPアドレスを設定する項目は？

bind または interface

xinetdでサービスを無効化するかを設定する項目は？

disable （yes:無効化　no:有効化）

xinetdでサーバプログラムの最大起動プロセス数を設定する項目は？

instances

xinetdでログの記録先を設定する項目は？

log_type syslogや記録するログファイルの絶対パスを指定する

xinetdでサービスへのアクセスを拒否する接続元を設定する項目は？

no_access

xinetdでサービスへのアクセスを許可する接続元を設定する項目は？

only_from

xinetdでサーバプログラムの絶対パスを設定する項目は？

server

xinetdでサーバプログラムの起動時に指定する引数を設定する項目は？

server_args

xinetdでストリーム型、データグラム型といったサービスの接続タイプを設定する項目は？

socket_type

xinetdでサーバプログラムを起動するユーザを設定する項目は？

user

xinetdでサーバプログラムへの接続処理を待ち受けるかを設定する項目は？

wait

xinetdの項目でwaitにnoを指定する場合はどんな時？

サーバプログラムがマルチスレッドであり1プロセスで同時に複数処理できる時

xinetdの項目でwaitにyesを指定する場合はどんな時？

シングルスレッドで処理が完了しサーバプログラムが終了するまで接続処理を待ち合わせる時

xinetdによるアクセス制御はどんなルールで判定される？

・only_fromもno_accessも設定されていない場合、サービスへのアクセスは全て許可・only_fromだけが設定されている場合、指定されたアクセス元しかサービスへアクセス出来ない・no_accessだけが設定されている場合、指定されたアクセス元はサービスへアクセス出来ない・only_fromとno_accessが同時に指定された場合、より厳密にマッチするほうに従う

systemdの動作するシステムで、特定のサービス宛のネットワーク接続を監視する、スーパーサーバの代わりに使えるものは？

socketユニット

socketユニットの定義ファイルでは何のために何を指定する？

待ち受けるIPアドレスとポート番号を指定し、接続があったら対応するserviceユニットを起動してリクエストに応答する。

xinetdの設定項目でinstances未指定の場合どうなる？

UNLIMITED（無制限）となり、サーバリソースが枯渇する恐れがあるため、適度な上限値を設定するのが運用上好ましい

xinetdの設定項目「log_type」でsyslogに出力する場合はどのように設定する？

log_type = SYSLOG ファシリティ [ プライオリティ ] プライオリティは省略可能。省略した場合はINFOレベルとして出力。

「/etc/nologin」ファイルが存在するとどうなる？

rootユーザ以外の、一般ユーザによるログインを禁止するときに作成する。一般ユーザアカウントは必要だけれど、ログインはさせたくない場合などに使用する

TCPラッパーで利用するアクセス制限の設定を変更した場合に、それを適用するにはどうしたらよい？

設定ファイルは、ネットワークサービスが外部からの新しい接続リクエストを受け付けるたびに読み込まれる。そのため、設定を変更した場合、特別な再読込や再起動の手順を踏む必要はない。設定ファイルを編集して保存した瞬間から、その変更はシステムに認識され、TCPラッパーで利用可能な状態になる。新しい設定は、次回の接続で読み込まれた際に、自動的に適用される

ssh接続を行う際に使用するコマンドは？

ssh [ オプション ] [ユーザ名@]接続先ホスト

sshコマンドでログインユーザ名の指定（本オプションと［ユーザ名@］のどちらも省略された場合は現在のユーザ名を使用）するオプションは？

-l

sshコマンドで接続先ポート番号を指定するオプションは？

-p

sshコマンドで秘密鍵のファイルを指定するオプションは？

-i

sshコマンドでssh_configで設定できるオプションを指定するオプションは？

-o

クライアントがSSHでサーバへログインする際に行われる2つの認証は？

1. ホスト認証（認証方式：公開鍵方式） 2. ユーザ認証（認証方式：公開鍵方式、もしくはID/パスワード方式）

sshのホスト認証とは？

サーバの持つ公開鍵をクライアントに登録しておき、クライアントがサーバへSSH接続を行った際、クライアントは登録されている公開鍵とサーバの公開鍵が一致するかどうかを確認する。一致しなければログインしない。これにより偽のサーバが本来のサーバになりすますのを防ぐ。

sshのユーザ認証とは？

クライアントの持つ公開鍵をサーバに登録しておき、サーバがSSH接続を受け付けた際、サーバは登録されている公開鍵とユーザの秘密鍵のペアが一致するかどうかを確認する。一致しなければログインさせない。これによりID/パスワード方式よりもセキュリティ上強固なユーザ認証を実現する。

ユーザ認証で公開鍵方式を使う場合、クライアントで公開鍵/秘密鍵のペアを作成するコマンドは？また、そのデフォルトの保存先は？

ssh-keygen ~/.ssh」ディレクトリで、sshコマンドで接続時に秘密鍵ファイルを指定しないと「~/.ssh」配下の秘密鍵がユーザ認証で使用される。

「~/.ssh」以外の場所にある秘密鍵を認証で使用したい場合は？

「-i 秘密鍵ファイル」で指定するか、ssh_configで接続先ホストのエントリで「IdentityFile 秘密鍵ファイル」を設定します。ssh_configの設定値はsshコマンドに直接「-o オプション名」を指定しても有効になる。

公開鍵は、事前にサーバのどこに登録されている必要がある？

「~/.ssh/authorized_keys」ファイル

Linuxではssh接続の際に何を使う？

オープンソースのSSH実装である「OpenSSH」

100

OpenSSHには何が含まれる？

SSHのデーモンであるsshdと、SSHクライアントであるsshコマンド

AWSのしくみと技術がわかる　5

サラリーマンサラリーマン · 61問 · 1年前

AWSのしくみと技術がわかる　5