TOP＞書籍連動＞ 解答

徹底攻略 LPI問題集 Level 2対応 第１４回：セキュリティ 著者：クロノス  中島 能和 編者：ソキウス・ジャパン   2006/2/20

前のページ  1  2

解答

1ページ目の問題の解答を掲載します。解答には、問題の正解やその理由だけでなく、用語や重要事項などが詳しく解説されています。

第1問の解答：D

ipchainsコマンドは、カーネル2.2系でパケットフィルタリングを設定するコマンドです。パケットフィルタリングとは、入出力パケットをチェックして不要なパケットを遮断したり、あらかじめ設定された処理を行ったりすることです。ipchainsコマンドの書式は次のとおりです。  [ ]内は省略可能。<< >>内はいずれかを選択。< >内は必須

ipchains -<<AD>> <チェイン> <ルール> ipchains -<<RI>> <チェイン> <ルール番号> <ルール> ipchains -L [チェイン] ipchains -<<NX>> <チェイン> ipchains -P <チェイン> <ターゲット>

-A ……指定したチェインにルールを追加 -D ……指定したチェインからルールを削除 -I ……指定したチェインへルールを挿入 -L ……指定したチェインのすべてのルールを表示 -N ……指定した名前のチェインを新規作成 -P ……指定したチェインのポリシーを設定 -R ……指定したチェインのルールを置き換え -X ……指定した空のチェインを削除

input ………入力 output ……出力 forward ……転送

-d（--destination） ……送信先を指定 -i（--interface） ………パケットが通過するインタフェースを指定 -j（--jump） ………………ルールのターゲットを指定 -p（--protocol） …………プロトコルを指定 -s（--source） ……………送信元を指定

ACCEPT ……パケットの通過を許可 DENY ………パケットを無視 REJECT ……パケットを拒否し、送信元にはICMPメッセージを通知 MASQ ………IPマスカレードを行う

ターゲットでDENYを指定した場合は、対象パケットを無視します。REJECTを指定した場合は、対象パケットを拒否し、破棄したというICMPメッセージを送信元に送ります。問題には「ICMPメッセージが返らないように」とあるので、DENYを指定します。したがって、Dが正解です。

第2問の解答：C

/proc/sys/net/ipv4/ip_forwardファイルには、IPパケットの転送を行うかどうかのカーネルパラメータが格納されています。パラメータが「0」の場合、パケットの転送は行われません。パケットが転送されるようにするには、「1」が書き込まれている必要があります。したがって、Cが正解です。echoコマンドを使ってリダイレクトで書き込むと、リアルタイムで設定を変更できます。sysctlコマンドを使って設定を変更しても同様です。    ただし、これらの方法では、再起動すると設定が元に戻ってしまいます。/etc/sysctl.confファイルに設定を記述しておくことなどで、恒久的な設定を行うことができます。以下は、/etc/sysctl.confファイルの設定例です。 /etc/sysctl.confファイルの設定例

net.ipv4.ip_forward = 1

また、/etc/sysconfig/networkファイルに「FORWARD_IPV4=yes」の記述が必要になる場合などもあります。 A. /etc/networksは、ネットワーク名とIPアドレスの対応を記述するファイルです。また、forward行という指定はありません。 B. デフォルトゲートウェイの設定は、この場合関係ありません。 D. ifconfigコマンドに「enable forward」というオプションはありません。また、パケット転送にifconfigコマンドは関係ありません。

第3問の解答：B、D

DOS（Denial of Service）攻撃とは、ネットワークやシステムに過剰な負荷をかけるなどして、正規のユーザーがサービスを利用できなくするタイプの攻撃です。その中でも、SYN flood攻撃とは、TCPの3ウェイハンドシェイクの仕組みを利用してバッファオーバーフローを引き起こし、TCP接続ができないようにするものです。この攻撃を回避する方法の1つとして、/proc/sys/net/ipv4/tcp_syncookiesファイルの利用があります。このカーネルパラメータに「1」をセットすることでSYNcookieが有効になり、正規ユーザーとSYN flood攻撃とを区別して、正規ユーザーのリクエストにこたえられるようになります。SYNcookiesを有効にするには、echoコマンドを使って/proc/sys/net/ipv4/tcp_syncookiesに直接「1」を書き込むか、sysctlコマンドを使って設定を行います。したがって、BとDが正解です。 A. /proc/sys/net/ipv4/ip_forwardは、IPパケット転送の有効／無効を設定するファイルです。 C. TCPプロトコルをすべて遮断してしまうと、ネットワークの利用に支障をきたします。

第4問の解答：B

公開鍵と秘密鍵のペアを使って認証を行うには、サーバ側の~/.ssh/authorized_keysファイルに、クライアント側の公開鍵を登録します。したがって、Bが正解です。以下は、SSHバージョン1での実行例です。 authorized_keysファイルにクライアントの公開鍵を登録する

# scp ~/.ssh/identity.pub server:identity.pub # cat identity.pub >> ~/.ssh/authorized_keys # chmod 600 ~/.ssh/authorized_keys

このようにすることで、パスワードなしでログインすることができるようになります。

A. ssh_host_keyは、ホストの秘密鍵ファイルです。 C. sshd_configは、sshdの主要な設定ファイルです。 D. ssh_host_key.pubは、ホストの公開鍵ファイルです。 E. known_hostsは、ホストの公開鍵を登録するファイルです。

前のページ  1  2

書籍紹介 徹底攻略 LPI問題集 Level 2対応 本書は、LPI認定試験レベル2の合格を目指す方を対象とした問題集です。LinuxとLPI認定資格の研究を長年続けてきた著者が、受験者が試験範囲を効率よく学習を進めることができ、かつ確実に実力が付くことを第一に考え、執筆しています。試験範囲の「201試験（Linux応用管理）」と「202試験（Linuxネットワーク管理）」について300問以上の問題を収録し、実際の試験に近い形式で網羅しているので、問題を解くごとに合格レベルの実力が身に付きます。解説を読めば、Linuxとネットワークに関する知識や、用語と重要項目の理解度もますます深まります！　Linuxエンジニアを目指す、すべての方におすすめです。 発売日：2003.09.30発売 販売価格：3,150円 (税込)

著者プロフィール 株式会社クロノス  中島 能和 株式会社クロノス常務取締役。LPI認定試験対策メールマガジンの発行や各種セミナーを通じて、LPI認定試験の啓蒙活動を行っている。 編者プロフィール 株式会社ソキウス・ジャパン クォリティ・メディア・カンパニーを標榜する出版社。2001年11月設立。2002年10月より株式会社インプレスと協業し、これまで30冊近い「徹底攻略問題集」を編纂する。また、自社で月刊「オープン・エンタープライズ・マガジン」を発行、発売している。 http://www.sociusjapan.co.jp/

INDEX 第14回：セキュリティ   問題 解答

徹底攻略 LPI問題集 Level 2対応 第1回 カーネル 第2回 システムの起動 第3回 ファイルシステム 第4回 ファイル共有サービス 第5回 ハードウェア 第6回 システムメンテナンス 第7回 スクリプト、スケジューリング 第8回 トラブルシューティング 第9回 ネットワーク 第10回 メールとネットニュース 第11回 ネームサーバ 第12回 Webサーバ 第13回 クライアント管理 第14回 セキュリティ