LPIC303 試験の概要 LPIC303 で求められる人材像マルチサイトの企業や負荷が非常に高いインターネットサイトなどのように複雑な自動化の問題向けにカスタマイズしたソリューションを設計して実装することができることプロジェクトを開始し予算を意識して作業することができることアシスタントを

LPIC303 試験の概要 LPIC303 で求められる人材像マルチサイトの企業や負荷が非常に高いインターネットサイトなどのように複雑な自動化の問題向けにカスタマイズしたソリューションを設計して実装することができることプロジェクトを開始し予算を意識して作業することができることアシスタントを監督し問題のトラブルシューティングを支援することができること上位管理職のコンサルタントとなれること主題主題 325: 暗号化主題 326: ホストセキュリティ主題 327: アクセス制御主題 328: ネットワークセキュリティ LPI-Japan 2015. All rights reserved. 2

LPIC 303 出題範囲の改訂 303 試験が Ver2.0 に改訂 2016 年 3 月 1 日から開始 Ver1.0 は 2016 年 8 月 31 日まで主な変更点 OpenSSL 証明書およびX.509 証明書の拡張 DNSのセキュリティについて DNSSECとDANEに関する知識暗号化ファイルシステムeCryptfsの追加侵入検知および監視にOpenVASを追加パケットフィルタリングの範囲を拡張 IPV6 etables nftablesおよびnft ホストの構成管理 (Puppet) およびPGPは範囲外に LPI-Japan 2015. All rights reserved. 3

SSL の概要 SSL (Secure Sockets Layer) はセキュリティーを要求される通信を行うためのプロトコル IETF では TLS(Transport Layer Security) でインターネット標準とされている主な機能通信相手の認証通信内容の暗号化改竄の検出など OpenSSL SSL プロトコル TLS プロトコルのオープンソースで開発提供されるソフトウェアサポート :SSL 2.0 3.0 TLS 1.0 1.1 1.2 DTLS 1.0 1.2 暗号方式 :DES RC2 RC4 RC5 SEED IDEA AES などハッシュ関数 :MD5 MD2 SHA-1 SHA-2 MDC-2 公開鍵暗号方式 :RSA 暗号 DSA Diffie-Hellman 鍵共有 LPI-Japan 2015. All rights reserved. 6

SSL による通信手順クライアントサーバ使用するアルゴリズムの合意サーバ認証のアルゴリズム鍵交換のアルゴリズムなどサーバの認証サーバからサーバ証明書を送るクライアントではサーバの証明書を確認するハンドシェークフェーズデータ伝送で使用する鍵の確立鍵生成関数を使用してランダムな文字列から暗号鍵とMAC 鍵を生成するハンドシェイクが正しくおこなわれたことの確認データ伝送データ伝送フェーズ LPI-Japan 2015. All rights reserved. 7

自己署名証明書を作成する秘密鍵の生成 (RSA 形式 ) # openssl genrsa -des3 -out privkey.key 2048 署名リクエスト CSR(Certificate Signing Request) の作成 #openssl req -new -sha256 -key privkey.key -out server.csr サーバ証明書の作成 #openssl ca -out server.crt -infiles server.csr LPI-Japan 2015. All rights reserved. 9

Web サーバの設定とテスト Apache にサーバ証明書を組み込む /etc/httpd/conf.d/ssl.conf SSLCertificateFile /etc/httpd/conf.d/server.crt SSLCertificateKeyFile /etc/httpd/conf.d/privkey.key サーバ証明書のパス秘密鍵のパス SSL のテスト : サーバのポート 443 に接続する # openssl s_client -connect centos.example.net:443 LPI-Japan 2015. All rights reserved. 10

DNS プロトコルの弱点 DNS 通信は UDP を利用しており問い合わせと応答の 1 セッションで終了する識別には送信元 IP アドレスポート番号クエリ名 ID を使用している送信元 IP アドレスの詐称がしやすく ID さえわかれば偽装した応答パケットをキャッシュサーバに送ることができる結果としてキャッシュポイズニング ( 毒入れ ) の影響を受けやすい権威サーバ問い合わせ正しい応答情報が返ってくる前に偽の応答情報をキャッシュサーバに送る正しい応答情報偽の応答情報キャッシュサーバ LPI-Japan 2015. All rights reserved. 11

DNSSEC DNSSEC(DNS Security Extensions) とは DNS 応答が正しいものかどうか検証することで DNS のセキュリティを向上させる仕組み出自の認証 DNSの応答がドメイン名の正当な管理者が作成したものであること完全性の保証 DNSの応答において DNSレコードの改変や欠落が無いこと署名済みデータを格納 DNS レコード署名 DNS レコード署名署名を検証正しい DNS 応答権威 DNS サーバキャッシュ DNS サーバ LPI-Japan 2015. All rights reserved. 12

DNSSEC の仕組み KSK (Key Signing Key) ゾーンに署名するための鍵 ZSK (Zone Signing Key) ゾーンの公開鍵に署名する鍵 DS (Delegation Signer) 上位の権威 DNSサーバに登録する情報上位の権威 DNS サーバ KSK 公開鍵から作成された DS キャッシュ DNS サーバ署名 KSK 公開鍵の KSK 公開鍵登録ハッシュ値を計算権威 DNSサーバ KSK 公開鍵署名 KSK 秘密鍵 ZSK 公開鍵署名 DS と比較する ZSK 公開鍵署名検証 ZSK 秘密鍵署名 A レコード署名 A レコード署名検証 LPI-Japan 2015. All rights reserved. 13

DNSSEC の鍵作成方法 (ZSK) dnssec-keygen コマンド KSK と ZSK の鍵を作成するコマンド ZSKの鍵を作成する dnssec-keygen -K /var/named/dnsseckeys -a RSASHA256 -b 1024 -P now -A now -I +1mo -D +2mo example.net 鍵生成アルゴリズムビット長 ZSKは1024 以上ゾーンへの出力時刻署名鍵としての使用開始時刻署名鍵使用終了時刻 (1ヶ月) ゾーンからの削除時刻 (1ヶ月) 鍵生成ディレクトリゾーン名 LPI-Japan 2015. All rights reserved. 14

DNSSEC の鍵作成方法 (KSK) KSK の鍵を作成する dnssec-keygen -K /var/named/dnsseckeys -a RSASHA256 -b 2048 -f KSK -P now -A now -I +13mo example.net KSK のときは 2048 以上 KSK のときは指定する ZSK KSK の公開鍵と秘密鍵ができるがファイル名だけだと区別がつかないそのため鍵のファイル内を確認する 256 3 8 256:ZSK 257:KSK -P -A は省略可能デフォルトは now 3: プロトコルフィールド 8: アルゴリズム (RSASHA256) LPI-Japan 2015. All rights reserved. 15

ゾーンへの署名 dnssec-signzone ゾーンに対する署名を行うコマンド dnssec-signzone -S -K /var/named/dnsseckeys -d /var/named/dnsseckeys -H 3-3 'd0ec' -N unixtime -o example.net スマート署名を利用する /var/named/chroot/var/named/example.net.zone 鍵のあるディレクトリを指定する DSレコードファイルの格納場所ハッシュの繰り返し回数 NSEC3の使用を指定しソルトを16 進数で指定する SOAのシリアル番号を指定するゾーン名の指定ゾーンファイル example.net.zone.signed という署名ファイルが出来上がる DS レコードをもつ dsset-example.net. が出来上がる LPI-Japan 2015. All rights reserved. 16

DNSSEC のリソースレコードレコード DNSKEY DS RRSIG NSEC NSEC3 NSEC3PARAM KSK と ZSK の公開鍵説明子ゾーンの KSK を親ゾーンで承認していることを示す各 DNS レコードへの署名を示す存在しないことを示すためのレコード NSEC レコードをたどるとゾーンデータを入手できてしまうのでドメイン名をハッシュ関数でハッシュ化したもの権威 DNS サーバ側が NSEC3 の生成を行うために必要なレコード DNSSECを使用したゾーンを公開する場合自身のDSレコードを上位の権威 DNSサーバに登録公開してもらう必要がある (dsset-example.net. を使用する ) LPI-Japan 2015. All rights reserved. 17

DNSSEC の有効化 ( 権威サーバ ) 権威サーバの設定 named.confの設定 options { dnssec-enable yes; } ゾーンファイルを変更する zone "example.net" { type master; file "example.net.zone.signed"; }; named プロセスに設定を読み込ませる rndc reload LPI-Japan 2015. All rights reserved. 18

キャッシュ DNS サーバ信頼の連鎖設定信頼の連鎖 ( トラストアンカー ) とは信頼できる人が信頼できる人を紹介するとその人も信頼できるルートDNSからDSレコードを生成して設定するルートゾーンの公開鍵を入手 $ dig. DNSKEY grep -w 257 > root-anchors.key 公開鍵から DS レコードを生成する $ dnssec-dsfromkey -a SHA-256 root-anchors.key named.conf に公開鍵を設定する managed-keys { }; "." initial-key 257 3 8 "AwEAAa ( 省略 )"; ルートゾーンの公開鍵が正しいものであるかハッシュ値を計算して検証する必要があるが今回は割愛 LPI-Japan 2015. All rights reserved. 20

バリデーションの確認 dig コマンドで dnssec の設定を確認する $ dig @127.0.0.1 centos.example.net +dnssec dig コマンドの flags に ad (Authentic Data) があるか確認する Answer セクションに RRSIG レコードが追加されている dnssec を無効にした問い合わせ $ dig @127.0.0.1 centos.example.net +nodnssec dig コマンドの flags に ad (Authentic Data) がない Answer セクションに RRSIG レコードがない通常の DNS と同じ問い合わせ結果が表示されることを確認する LPI-Japan 2015. All rights reserved. 21

ACL( アクセス制御コントロール ) Linux の基本パーミションは所有者所有グループその他しかないある特定のユーザやグループのパーミションを設定することができない ACLを利用するとある特定のユーザやグループにパーミションを設定することができる例 : ファイル :testに対してユーザ:user1への読取り書き込み権限を設定 Linuxカーネルの2.6から標準採用された機能拡張属性をサポートしているファイルシステムを利用する ext2 ext3 ext4 XFSなどマウントするときに acl オプションが必要 LPI-Japan 2015. All rights reserved. 24

ACL を利用するための設定 /etc/fstab に acl オプションを設定する拡張属性も使用したい場合は user_xattr を使用する /dev/sda5 /mnt/acl ext4 defaults,acl,user_xattr 0 0 マウントする mount /mnt/acl マウント状態を確認 # mount /dev/sda5 on /mnt/acl type ext4 (rw,acl,user_xattr) LPI-Japan 2015. All rights reserved. 25

setfacl getfacl コマンド ACL の確認 getfacl testfile testfile にユーザ centuser の rw 権限を設定 setfacl -m u:centuser:rw testfile testfile からユーザ centuser の権限を削除する setfacl -x u:centuser testfile testfile からすべての ACL を消去する setfacl -b testfile LPI-Japan 2015. All rights reserved. 26

ACL の拡張属性拡張属性 (EA:Extended Attribute) とはファイルシステムで保存できないような属性をユーザがファイルに結びつけることができる例文書の著者プレーンテキストの文字コード誤り検出訂正符号などマウントのオプションに user_xattr をつけると利用できる名前空間拡張属性には名前空間がある system: カーネルが主にアクセス制御リストとして利用 security: 例えばSELinuxが利用 trusted: 信頼できるプロセスのみが利用 user: ファイルやディレクトリに割り当てることができる LPI-Japan 2015. All rights reserved. 27

SELinux の概要 1 Linux のカーネルに強制アクセス制御機能を付加する強制アクセス制御 MAC(Mandatory Access Control) SELinuxを使用しないLinuxのアクセス権はファイルやディレクトリのパーミッションに基づいて行われる rootはこのパーミッションを無視してアクセスが可能 root 権限が乗っ取られると致命的な被害を受けるファイルによるパーミッションの設定は任意アクセス制御と呼ばれる任意アクセス制御 (DAC: Discretionary Access Control) SELinux では以下のようなことが可能 HTTP FTP といったプロセスごとにアクセス制限をかける Type Enforcement (TE) root も含む全てのユーザに関して制限をかけるロールベースアクセス制御 (RBAC) LPI-Japan 2015. All rights reserved. 29

SELinux の概要 2 TE(Type Enforcement) 全てのプロセスに対してドメインと呼ばれるラベルを付加するリソース ( ファイルやディレクトリ ) に対しても同じくタイプと呼ばれるラベルを付与する各リソースにはアクセスベクタが割り当てられるアクセスベクタとは読み込み書き込みといったリソースに対して行える操作の種類各ドメインとタイプに対して許可されるアクセスベクタをセキュリティーポリシーとして設定可能 RBAC(Role-based access control) ロールと呼ばれるいくつかのドメインを束ねたものを設定しそれをユーザに付与する仕組みユーザは付与されたロール内のドメインの権限でのみファイルにアクセス可能この機能により各ユーザ毎に細かく権限を付与制限することが可能である LPI-Japan 2015. All rights reserved. 30

コンテキスト (contexts) SELinux を有効にするとリソースやプロセスにコンテキストが付与されるコンテキストには以下の識別子があるユーザ識別子ロール識別子タイプ識別子 MLS(Multi Level Security) リソース ( ファイル ) のコンテキスト -rw-rw-r--. centuser centuser unconfined_u:object_r:user_home_t:s0 testfile ユーザ識別子 MLS ロール識別子タイプ識別子 LPI-Japan 2015. All rights reserved. 31

ドメイン遷移ドメイン遷移とは通常は子プロセスは親プロセスと同じドメインで動作する設定により親プロセスとは違うドメインで子プロセスを実行すること httpdプロセスの実行 /etc/init.d/httpd start ドメイン : initrc_t /usr/sbin/httpd タイプ : httpd_exec_t( エントリポイント ) httpdプロセスドメイン : httpd_t ドメイン遷移の役割プロセスに権限 ( ドメイン ) を割り当てることができる不要な権限の昇格が避けられる SUIDによる一般ユーザからrootへの昇格など LPI-Japan 2015. All rights reserved. 34

SELinux を有効にする SELinuxが有効か確認する getenforce ステート Enforcing SELinuxが有効になっている ( 強制モード ) Permissive SELinuxは有効になっている ( 許容モード ) Disabled SELinuxは無効になっている SELinuxを設定するコマンドで設定 setenforce setenforce 0 Permissiveモードで動作する setenforce 1 Enforcingモードで動作する設定ファイルで設定 /etc/selinux/config SELINUX=enforcing SELINUX=permissive SELINUX=disable LPI-Japan 2015. All rights reserved. 35

ポリシーアクセス制御を行うルールはポリシーによって決められている CentOS のデフォルトポリシーは targeted が設定されている targeted ネットワークやデーモンについて制限している strict すべてにおいて制限しているポリシーは自作することもできるがルールが非常に複雑である targeted ポリシーをもとにカスタマイズする方法が容易ポリシーの変更は /etc/selinux/config で行う LPI-Japan 2015. All rights reserved. 37

semanage semangeは以下のことができる SELinuxの有効 / 無効リソースに対するセキュリティコンテキストの変更ユーザに対するセキュリティコンテキストの割当てネットワークに対するセキュリティコンテキストの割当て booleanの設定 semanage で制御できる項目は man のマニュアルなどで調べてください LPI-Japan 2015. All rights reserved. 38

Boolean SELinux のポリシーを変更するのは複雑であるポリシーは変更せずにある特定の機能だけを有効にしたり無効にする機能がある現在の boolean 値を確認する # semanage boolean -l もしくは # getsebool -a boolean 値を変更する # setsebool -P allow_ftpd_full_access on ( 再起動後も設定値を維持する場合は -P オプションを使用する ) 設定値が変更されたか確認する # getsebool allow_ftpd_full_access LPI-Japan 2015. All rights reserved. 39

Snort の概要侵入検知ソフトウェア Snortの特徴 IPネットワーク上でのリアルタイムの解析 GPLライセンスパケットスニファ / パケットロガーとしても使用できる豊富なプリプロセッサが用意されている - portscan: ポートスキャンの検出を行う - frag2:ipフラグメントの再構築を行う - stream4:tcpストリームの再構築とステートフルな解析を行う - telnet_decode:telnetの制御文字を正規化するさまざまな形式でアラートを出力することができる公式サイト :https://www.snort.org/ LPI-Japan 2015. All rights reserved. 41

Snort の設定ソースからインストールを行うソースからのインストールは複雑なため Linux セキュリティ標準教科書を参照してくださいソースを展開したディレクトリから設定ファイルをコピーする # cp snort-2.9.7.3/rpm/snort.sysconfig /etc/sysconfig/snort /etc/sysconfig/snortを編集する INTERFACE=eth1 USER=snort GROUP=snort LOGDIR=/var/log/snort Listen するネットワークインターフェースを指定する LPI-Japan 2015. All rights reserved. 42

Snort の設定起動用スクリプトをコピーする # cp /home/centuser/work/snort-2.9.7.3/rpm/snortd /etc/init.d/ # chmod 755 /etc/init.d/snortd コミュニティ版ルールの配置 # mkdir -p /etc/snort/rules # chown -R snort.snort /etc/snort # wget https://www.snort.org/rules/community.tar.gz # tar -xvfz community.tar.gz -C /etc/snort/rules ライブラリが利用するディレクトリの作成 # mkdir /usr/local/lib/snort_dynamicrules ログ領域の作成 # mkdir /var/log/snort ; chown -R snort.snort /var/log/snort LPI-Japan 2015. All rights reserved. 43

Snort の基本設定設定ファイル /etc/snort/snort.conf ネットワークの設定を行う ipvar HOME_NET 192.168.56.0/24 ipvar EXTERNAL_NET any 以下の変数のパスをカレントディレクトリからのパスとする (../ を./ に変更する ) var RULE_PATH./rules var SO_RULE_PATH./so_rules var PREPROC_RULE_PATH./preproc_rules var WHITE_LIST_PATH./rules var BLACK_LIST_PATH./rules LPI-Japan 2015. All rights reserved. 44

Snort のルール設定読み込むルールの設定を記述 include $RULE_PATH/local.rules 追加する include $RULE_PATH/community.rules 追加する # これ以下ルールはすべてコメントにする #include $RULE_PATH/app-detect.rules #include $RULE_PATH/attack-responses.rules 独自ルールを作成する # vi /etc/snort/rules/local.rules alert icmp any any -> any any (msg: "ICMP Packet detected"; sid:999999;) LPI-Japan 2015. All rights reserved. 45

Snort の実行プロミスキャスモードの設定 # vi /etc/sysconfig/network-scripts/ifcfg-eth1 PROMISC=yes ファイルの最後に記述する - (VirtulaBox を使用している場合はネットワークの設定でプロミスキャスモードを許可にする ) Snort を起動する /etc/init.d/snortd start Snort が起動しない場合は /var/log/messages にエラーメッセージが出力されていないか確認動作テスト他のホストからpingを実行してみる /var/log/snort/alertにログが出力されていればok LPI-Japan 2015. All rights reserved. 46

Snort シグネチャシグネチャのルールはルールヘッダとルールボディから成る書式 <ルールアクション> <プロトコル> <IPアドレス> <ポート番号 > < 方向演算子 > <IPアドレス> <ポート番号 > <( オプション )> ルールヘッダルールボディルールアクション activate alert dynamic log pass 説明ルールに該当するパケットが存在する場合警告を出す (dynamic アクションを呼び出す ) ルールに該当するパケットを記録し警告を出す activate アクションから呼び出され該当するパケットを記録するルールに該当するパケットを記録するルールに該当するパケットを無視する LPI-Japan 2015. All rights reserved. 47

シグネチャの例例 1 alert tcp any any -> any 80 (msg: "http request GET" ; content:"get"; http_method; sid:1000000) 例 2 alert tcp any any -> any 80 (msg: "http request URI" ; content:"/index.html"; http_uri; sid:1000001) msg: ログに出力するメッセージ content: パケットのペイロード部にマッチする文字列を指定する httpd_method HTTPリクエストのメソッドでマッチするもの http_uri HTTPリクエストのURIでマッチするもの sid: シグネチャのIDを指定する独自ルールは1,000,000 以上 LPI-Japan 2015. All rights reserved. 48

iptables Linuxのパケットフィルタリングはカーネルが備えている機能カーネル2.4 以降からNetfilterというパケット処理フレームワークを実装カーネルのモジュールとして実装されている iptablesはnetfilterを操作するためのコマンドフィルタリングする対象を選ぶテーブル各テーブルにおいてどのタイミングで処理するかを示すチェインで構成される NAT 帯域制御負荷分散 DoS 対策といった機能も利用可能 IPv6 は ip6tables コマンドを使用する (IPv4 版とほぼ同じ ) iptables の実行には root 権限が必要です LPI-Japan 2015. All rights reserved. 49

チェインとテーブルチェイン INPUT OUTPUT FORWARD PREROUTING POSTROUTING 説明プロセスに渡す前にルールを適用するプロセスで処理をした後ルールを適用するパケット転送するときにルールを適用するルーティングテーブルの適用前にルールを適用するパケットを送信する直前にルールを適用するテーブル名適用チェイン filter パケットフィルタ INPUT/FORWARD/OUTPUT nat NAT 用 PREROUTING/OUTPUT/POSTROUTING mangle Qos/SECMARK などのパケット変換 INPUT/FORWARD/OUTPUT/PREROUTING/ POSTROUTING LPI-Japan 2015. All rights reserved. 51

iptables のコマンドルールの表示 (--list) iptables [-t テーブル名 ] -L チェイン [ オプション ] -n ポート番号などを数字で表示 -v 詳細表示ルールの追加 (--append) iptables [-t テーブル名 ] -A チェインルール [ オプション ] ルールの削除 (--delete) iptables [-t テーブル名 ] -D チェインルール番号 [ オプション ] ポリシー設定 (--policy) iptables [-t テーブル名 ] -P チェインターゲット [ オプション ] LPI-Japan 2015. All rights reserved. 52

iptables ポリシーの設定ポリシーの基本方針ホストに設定する場合は INPUT チェインを利用する基本のポリシーはパケットを破棄許可するルールを後から加えるポリシーの設定 INPUTチェインにパケット破棄を設定 iptables -A -P INPUT DROP ターゲットの種類主なターゲット説明 ACCEPT DROP REJECT LOG パケットを通すパケットを破棄するパケットを破棄してパケット送信相手に ICMP エラーメッセージを表示マッチしたパケットをカーネルログに記録する LPI-Japan 2015. All rights reserved. 53

iptables の設定 1 HTTP(80) と HTTPS(443) を許可する iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT 192.168.56.0/24 からの ICMP は許可する iptables -A INPUT -p icmp --icmp-type echo-request -s 192.168.56.0/24 -d 192.168.56.150 -j ACCEPT -p (--protocol) チェックされるパケットのプロトコル tcp udp icmp allのいずれか -s(--source) 送信元 IPアドレスを指定 -d(--destination) 送信先 IPアドレスを指定 --dport (--destination-port) 送信先ポート番号の指定 -j (--jump) ターゲットを指定 LPI-Japan 2015. All rights reserved. 54

iptables の設定例 2 自分自身の通信を許可する iptables -A INPUT -i lo -j ACCEPT データを持たないパケットを破棄 iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP ステルススキャンと思われるパケットを破棄 iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP -i インターフェースを指定 --tcp-flags mask comp TCP フラグが指定されたものと等しい場合にマッチする第 1 引数は評価対象とするフラグでコンマ区切りのリスト第 2 引数はこのうち設定されていなければならないフラグ指定できるもの :SYN ACK FIN RST URG PSH ALL NONE LPI-Japan 2015. All rights reserved. 55

iptables の設定例 3 確立済みの通信はポート番号に関係なく許可する iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT 新規の接続でSYNフラグ以外を破棄する iptables -A INPUT -p tcp! --syn -m state --state NEW --dport 22 -j DROP --syn SYNビットが設定され ACK と RST ビットがクリアされている! を前におくことによってマッチングの意味を逆にできる -m モジュール名を指定する --state コンマで区切られた接続状態のリスト INVALID: 既知の接続と関係していない ESTABLISHED: 過去双方向にやり取りされた接続のパケット NEW: 接続を開始したか双方向にやり取りされていない接続のパケット RELATED: 新しい接続を開始しているが FTP データ転送や ICMP エラーのように既存の接続に関係している LPI-Japan 2015. All rights reserved. 56

順序の間違い iptables にはルールの順序がある以下のルールを適用すると iptables -A INPUT -p tcp -j DROP iptables -A INPUT -p tcp -m --dport 80 -j ACCEPT 最初に DROP が適用されるので 2 行目の 80 ポートの ACCEPT は適用されない正しい順番は次の通り iptables -A INPUT -p tcp -m --dport 80 -j ACCEPT iptables -A INPUT -p tcp -j DROP LPI-Japan 2015. All rights reserved. 57

ルールの保存と適用 iptables の情報をファイルに保存 iptables-save > /tmp/iptables iptables の情報を復元 iptables-restore < /tmp/iptables serviceコマンドを使用する場合 iptablesの情報をファイルに保存 (/etc/sysconfig/iptables) service iptables save iptablesの情報を復元 service iptables reload iptablesの情報を消去する service iptables stop LPI-Japan 2015. All rights reserved. 58

参考資料徹底攻略 LPI 問題集 Level3[303/ 304] 対応 2012/2/23 発行金沢泳義 ( 著 ), 菖蒲淳司 ( 著 ), 森嶋秀樹 ( 監修 ), ソキウスジャパン ( 編集 ) 出版社 : 翔泳社 272 ページ価格 3,456 円 ISBN-10: 4844331582 ISBN-13: 978-4844331582 Linux セキュリティ標準教科書 (Ver1.0.0) 詳しくは下記 URL で http://www.lpi.or.jp/linuxtext/security.shtml 発行 : エルピーアイジャパン SELinux 徹底ガイドセキュア OS によるシステム構築と運用基本的な仕組みから高度な運用管理方法までを徹底解説中村雄一 ( 著 ), 水上友宏 ( 著 ), 上野修一 ( 著 ), & 3 その他出版社 : 日経 BP 社 318 ページ価格 4913 円 ISBN-10: 4822221113 ISBN-13: 978-4822221119 食べる!SSL! HTTPS 環境構築から始める SSL 入門 [Kindle 版 ] 小島拓也 ( 著 ), 中嶋亜美 ( 著 ), 吉原恵美子 ( 著 ), 中塚淳 ( 著 ) 119 ページ価格 320 円実践 DNS DNSSEC 時代の DNS の設定と運用民田雅人 ( 著 ), 森下泰宏 ( 著 ), 坂口智哉 ( 著 ), 株式会社日本レジストリサービス (JPRS) ( 監修 ) 出版社 : KADOKAWA / アスキーメディアワークス (2014/2/20) 328 ページ価格 3,024 円 ISBN-10: 4048700731 ISBN-13: 978-4048700733 LPI-Japan 2015. All rights reserved. 59

経験スキルともに豊富な講師陣が技術や資格取得をサポート三浦一志サーバ管理者として 8 年以上の実務経験を積み講師としても 10 年以上のキャリアを持つ法人向けにLPIC 研修 Linuxサーバ構築セキュリティ研修やITIL 研修を主として担当 ITIL 認定講師情報セキュリティスペシャリスト担当講習 Linux/UNUX LPIC 試験対策セキュリティ Java PHP OSS-DB HTML5 河原木忠司 Linux Windows を使ったインフラ環境の構築運用セキュアなインターネットサーバーの構築など企業官公庁向けの技術研修を担当 MCT( マイクロソフト認定トレーナー ) VoIP 認定講師担当講習 Linux Windows VoIP セキュリティ仮想化 LPIC 試験対策 OSS-DB 大崎茂 OSS 研修専任講師として大手電機メーカー通信キャリア大手プロバイダー等 IT 企業の LPIC 対策研修ならびに OSS を中心とした技術研修などを専門に担当担当講習 Linux C 言語 PHP Java Ajax LAMP 関連 LPIC 試験対木村祐 ITILV3 Expert ITILV2 Manager ITILV2 OSA RCV SOA PPO EXIN 認定インストラクター ISO20000 Consultant/Manager 担当講習 ITIL ファウンデーション ITIL エキスパート ITIL プラクティショナー LPI-Japan 2015. All rights reserved. 62