最終更新日 2025年10月18日
Contents
はじめに
LPIC-202は、Linuxサーバ管理者としての実践力を問う中級レベルの試験です。
本記事では、最新バージョン(202-450 / Version 4.5)に準拠した出題範囲を完全カバーし、
暗記すべき用語を500語以上をまとめました。
DNS・Apache・Samba・Postfix・OpenSSH・iptablesなど、日々の業務で頻繁に使う技術が中心です。
是非参考にしてみてください!
スポンサーリンク① DNSサービスの構築と運用(BIND9, systemd-resolved, DNSSEC)
本章の暗記のポイントは以下の通りです。
-
ゾーンファイルの構造を完全理解する
SOA・NS・A・MX・CNAMEなどのレコード定義は、シンタックスミスの原因になりやすい箇所です。
各レコードの「意味・順序・TTLの継承関係」を整理して覚えましょう。 -
named.confとview構成を意識する
options・zone・acl・viewの階層関係を図で理解しておくと、内部/外部DNS分離構成問題に強くなります。
allow-queryとrecursionの違いも頻出。 -
DNSSECの手動署名手順を把握する
dnssec-keygen → dnssec-signzone → DS登録の流れを理解しましょう。
KSKとZSKの役割区別は出題率が非常に高いです。
| 用語 | 意味 | 主な使い方や構成要素 | 試験でのポイント |
|---|---|---|---|
| DNS (Domain Name System) | 名前解決システム | ドメイン名をIPアドレスに変換 | 名前解決プロセスの流れを理解 |
| BIND9 | Linuxで主に使用されるDNSサーバ | /etc/named.conf で設定 | LPICでは設定ファイル構造が頻出 |
| named | BINDのデーモン名 | systemdでは named.service として起動 | サービス起動とログの確認コマンド |
| /etc/named.conf | BINDのメイン設定ファイル | includeでzoneファイルを指定 | 各ディレクティブの意味を理解 |
| zoneファイル | ドメイン情報を定義するファイル | /var/named/example.com.zone など | SOA・NS・A・MXなどの定義 |
| SOAレコード | ゾーンの開始を示す情報 | シリアル番号・リフレッシュ間隔など | 各フィールドの意味を暗記 |
| NSレコード | 権威DNSサーバの指定 | ns1.example.com. など | 親ゾーンへの登録も重要 |
| Aレコード | ホスト名→IPv4アドレス変換 | www IN A 192.0.2.10 | 一番頻出のレコード |
| AAAAレコード | ホスト名→IPv6アドレス変換 | www IN AAAA 2001:db8::1 | IPv6対応の確認 |
| CNAMEレコード | 別名(エイリアス)定義 | ftp IN CNAME www | CNAMEの連鎖禁止規則に注意 |
| MXレコード | メール配送先サーバの指定 | IN MX 10 mail.example.com. | 優先度数字の意味も理解 |
| PTRレコード | IPアドレス→ホスト名変換 | 逆引きゾーンで使用 | 逆引き構成の構文問題に注意 |
| TTL | キャッシュ有効時間 | 秒単位で設定 | デフォルトTTLの優先順序理解 |
| Serial番号 | SOAの更新判定用番号 | 例:YYYYMMDDnn形式 | ゾーン更新時にインクリメント |
| refresh | スレーブの問い合わせ間隔 | 秒単位 | リフレッシュ周期を調整 |
| retry | 再試行間隔 | マスターに接続失敗時の再試行時間 | refreshと混同しない |
| expire | スレーブデータ無効期限 | マスターから更新なし時に破棄 | データ整合性維持に重要 |
| minimum | キャッシュネガティブTTL | 以前はSOA内の最終項目 | RFC2308での扱いを確認 |
| forwarders | 上位DNSを指定 | /etc/named.confのoptionsで定義 | 企業LAN構成で重要 |
| recursion | 再帰的問い合わせ許可設定 | recursion yes; | キャッシュDNSと権威DNSの違い理解 |
| allow-query | 問い合わせ元制御 | any や localhost; 指定 | 不要公開防止のセキュリティ設定 |
| listen-on | バインドするIP設定 | 127.0.0.1; や特定インターフェース | 内外分離時に重要 |
| rndc | BIND制御コマンド | rndc reload rndc status | 動的再読み込み操作を理解 |
| rndc.conf / rndc.key | 管理者用認証ファイル | secret共有による制御 | named.confとの対応が出題 |
| dig | DNS問い合わせコマンド | dig @server domain type | +trace +short オプション理解 |
| host | シンプルな名前解決ツール | host example.com | -t MXなどタイプ指定可 |
| nslookup | 旧来の問い合わせツール | 対話モードあり | LPICではdigとの比較問題あり |
| named-checkconf | 設定ファイルの構文チェック | named-checkconf /etc/named.conf | 構文エラー検出コマンドを覚える |
| named-checkzone | ゾーンファイル検証 | named-checkzone example.com zonefile | 出力内容の解釈を問われる |
| chroot環境 | セキュリティ隔離 | /var/named/chrootで運用 | bind-chrootパッケージ |
| views | クライアント別の応答制御 | 内部/外部ゾーン分離 | ACLと組み合わせ設定 |
| acl | アクセス制御リスト | acl "internal" { 192.168.0.0/16; }; | セキュリティ設定の中心 |
| TSIG | ゾーン転送認証 | 共有鍵によるHMAC署名 | rndc-confgenで生成 |
| DNSSEC | DNSの署名検証機能 | dnssec-enable yes; | 公開鍵・署名管理理解 |
| KSK / ZSK | DNSSEC鍵の種類 | KSK=公開鍵署名、ZSK=ゾーン署名 | 鍵用途を区別 |
| dnssec-keygen | 鍵生成コマンド | dnssec-keygen -a RSASHA256 -b 2048 example.com | コマンド構文を覚える |
| dnssec-signzone | ゾーン署名コマンド | .signedファイル生成 | 手動署名手順出題あり |
| dssetファイル | 親ゾーンへの登録情報 | DSレコード登録用 | 署名連鎖の理解 |
| rndc reload | 設定再読み込み | サービス再起動不要 | 再起動より安全な運用法 |
| systemd-resolved | systemdの名前解決機構 | /etc/systemd/resolved.conf | 競合時の優先順位理解 |
| resolvectl | systemd-resolved管理コマンド | resolvectl status resolvectl query | /etc/resolv.conf連携 |
| /etc/resolv.conf | DNSクライアント設定 | nameserver 8.8.8.8など | search設定も理解 |
| searchドメイン | 補完用ドメイン設定 | search example.com | 複数指定時の解決順序 |
| /etc/hosts | 静的名前解決 | 優先順位は /etc/nsswitch.conf による | hosts優先設定理解 |
| /etc/nsswitch.conf | 名前解決順序制御 | hosts: files dns | 順序変更問題が頻出 |
| zone転送 | スレーブへの同期 | allow-transfer { slaves; }; | TSIG利用推奨設定理解 |
| AXFR | 全ゾーン転送 | フルコピー方式 | セキュリティリスクあり |
| IXFR | 差分ゾーン転送 | シリアル比較による更新転送 | 効率的な更新 |
| マスターサーバ | ゾーンデータの管理元 | /etc/named.confでtype master | スレーブ設定と対比 |
| スレーブサーバ | ゾーンデータの複製先 | type slave; masters { IP; }; | フェイルオーバ構成理解 |
| キャッシュDNSサーバ | 再帰問い合わせを行うサーバ | recursion yes; | BIND・Unboundとも出題あり |
| Unbound | 軽量DNSリゾルバ | /etc/unbound/unbound.conf | BIND以外の実装比較問題 |
| stubゾーン | 特定ゾーンの委任用設定 | type stub | フォワードとの差異理解 |
| forwardゾーン | 上位DNS転送設定 | forward only;またはfirst; | 内部DNSでよく使用 |
| rootヒント | ルートサーバ一覧 | /var/named/named.ca | ルートサーバ更新理解 |
| DNSキャッシュ | 応答の一時保存 | TTLに基づき保持 | キャッシュ汚染対策も出題 |
| キャッシュポイズニング | 不正応答挿入攻撃 | DNSSECで防御可能 | 攻撃対策問題あり |
| split-DNS | 内外で異なるゾーン提供 | view設定で実現 | 内部情報漏洩防止 |
| dynamic update | クライアントからの動的更新 | DHCP連携で利用 | TSIGで認証必須 |
| ddns-update | DHCPによるDNS更新 | ddns-update-style interim; | namedとdhcpd連携理解 |
| rndc freeze/thaw | ゾーン凍結/解凍 | 手動編集時に使用 | 実務的知識出題あり |
| BINDログ | /var/log/messages 等に出力 | channel 設定で出力先制御 | 問題トラブルシュート対策 |
| journalファイル | 動的更新の差分保存 | .jnlファイル | 削除時の注意点あり |
| includeディレクティブ | 他設定ファイルの取り込み | include "/etc/named.rfc1912.zones"; | ゾーン定義分離構成理解 |
| named-recurse-stats | 再帰統計情報 | 統計解析時に使用 | BIND統計機能出題あり |
| rndc flush | キャッシュクリア | 問題発生時に使用 | 効果的な再解決手順理解 |
| rndc stats | 統計出力 | /var/named/named.stats生成 | キャッシュ統計問題あり |
| DNS over TLS | 暗号化通信方式 | 853/TCPポート使用 | systemd-resolved連携理解 |
| DNS over HTTPS | HTTPS経由の名前解決 | ブラウザ実装で採用 | ネットワーク診断問題あり |
| dig +trace | ルートから逐次解決 | 階層構造を確認 | 権威委任理解 |
| glueレコード | 委任時に親ゾーンに含まれるAレコード | NSが同一ドメイン内にある場合必須 | 再帰解決に必要 |
| /etc/named.rfc1912.zones | サンプルゾーン設定 | Red Hat系で採用 | include先の構造把握 |
| localhost.zone | ループバックゾーン定義 | 127.0.0.1向け | テスト環境設定 |
| 0.0.127.in-addr.arpa | 逆引きループバックゾーン | PTRでlocalhost定義 | 基本構文問題あり |
| BINDパッケージ | bind, bind-utils, bind-chroot | ディストリごとに名称異なる | CentOS/Ubuntu違い |
| SELinuxコンテキスト | named_t等 | chroot時の設定注意 | 権限拒否の原因理解 |
| AppArmor | Ubuntuのアクセス制御 | /etc/apparmor.d/usr.sbin.named | ログ解析問題あり |
| DNSログレベル | category設定 | category queries { null; }; | 問題解析に重要 |
| IPv6対応DNS | AAAAレコードとip6.arpa逆引き | ip6.arpaゾーン定義 | 16進表記理解 |
| delegations | ゾーン委任 | 子ゾーンへNS登録 | 正しい委任構文理解 |
| lame delegation | 不適切な委任設定 | 権威応答しないNS登録 | トラブル要因として出題 |
| rndc reconfig | 設定再読込(ゾーン追加含む) | reloadとの違いあり | 違い問題出題あり |
| TTLの優先順位 | RR > $TTL > default | 定義の階層理解 | 問題でよく問われる |
| localhost / loopback | 特殊DNSエントリ | テスト用設定 | IPループバックとの関係理解 |
② Webサーバの構築と管理(Apache, Nginxなど)
本章の暗記のポイントは以下の通りです。
-
Apache 2.4以降の認可ディレクティブに慣れる
「Require all granted」「Require ip」などの新方式は、Order/Allow/Denyよりも優先されます。
旧構文との違いを理解しておくことが重要です。 -
mod_rewriteとmod_proxyを区別して覚える
RewriteRuleはURLの内部変換、ProxyPassは外部サーバ転送という役割の違いを意識しましょう。
リバースプロキシ構成図をイメージしておくと定着します。 - Nginxのブロック構造に慣れる server/location/root の階層を理解し、ApacheのVirtualHostとの対比で整理すると暗記しやすいです。
| 用語 | 意味 | 主な使い方や構成要素 | 試験でのポイント |
|---|---|---|---|
| Apache HTTP Server | 代表的なWebサーバ | /etc/httpd/conf/httpd.conf | LPICで最頻出のWebサーバ |
| httpd | Apacheの実行デーモン名 | systemdでは httpd.service | 起動・再起動・状態確認 |
| /etc/httpd/conf/httpd.conf | メイン設定ファイル | Includeで個別設定を参照 | ファイル構成を理解 |
| DocumentRoot | 公開ディレクトリ指定 | 例:/var/www/html | 相対パスの基点になる |
| Listen | 受信ポート定義 | 例:Listen 80 | 複数ポート指定も可能 |
| ServerName | 仮想ホスト識別名 | ServerName www.example.com | FQDN指定の必須理解 |
| ServerAdmin | 管理者メールアドレス | エラーページで表示される | 不正公開に注意 |
| Directoryディレクティブ | ディレクトリ単位の設定 | <Directory /var/www/html> | AllowOverrideなどと併用 |
| AllowOverride | .htaccessの許可設定 | AllowOverride All | 無効化すると.htaccess無視 |
| Options | ディレクトリ操作許可設定 | Indexes FollowSymLinks | セキュリティリスクに注意 |
| Indexes | ディレクトリリスティング許可 | ファイル一覧を表示 | セキュリティ上非推奨 |
| FollowSymLinks | シンボリックリンク許可 | 実体ファイルへアクセス可能 | リンク追跡設定を理解 |
| Require | アクセス制御設定 | Require all granted | 2.4以降の認可ディレクティブ |
| Order, Allow, Deny | 旧認可方式 | Apache 2.2以前 | 試験では2.4以降との違い |
| <VirtualHost> | 仮想ホスト定義ブロック | Name-based/Port-based対応 | 設定構文を覚える |
| Name-based VirtualHost | 名前ベースの仮想ホスト | ServerNameで識別 | 一般的な構成方式 |
| Port-based VirtualHost | ポート別の仮想ホスト | 例::8080 | 異ポートの複数サイト |
| Include | 設定ファイルの読み込み | /etc/httpd/conf.d/*.conf | モジュール別に管理 |
| conf.modules.d | モジュール設定格納先 | .loadファイルで管理 | モジュール有効化確認 |
| mod_status | サーバ稼働情報表示モジュール | /server-status で表示 | ステータス確認に重要 |
| mod_info | 設定内容をWeb出力 | /server-info | 情報漏洩リスクとして出題 |
| mod_rewrite | URL書き換えモジュール | .htaccessで利用可 | RewriteRule構文理解 |
| RewriteEngine | mod_rewrite有効化 | RewriteEngine On | 必須ディレクティブ |
| RewriteRule | URL書き換えルール | RewriteRule ^old$ new [R=301] | リダイレクト設定問題あり |
| RewriteCond | 条件指定 | RewriteCond %{HTTPS} off | 条件付き書き換えに使用 |
| .htaccess | ディレクトリ単位設定 | 動的変更可能 | AllowOverrideが必須 |
| ErrorDocument | エラーページ指定 | ErrorDocument 404 /404.html | ステータスコード理解 |
| CustomLog | アクセスログ設定 | CustomLog logs/access_log combined | ログ形式問題あり |
| LogFormat | ログ書式定義 | %h %l %u %t "%r" %>s %b | combined, commonの違い |
| ErrorLog | エラーログ出力先 | logs/error_log | トラブル解析で使用 |
| LogLevel | ログ出力レベル | warn, info, debug | デバッグ時に調整 |
| ServerTokens | サーバ情報出力制御 | Prod で最小化 | 情報漏洩対策として出題 |
| ServerSignature | フッタ情報制御 | Off で非表示 | セキュリティ強化項目 |
| KeepAlive | 持続的接続設定 | KeepAlive On | パフォーマンス最適化 |
| Timeout | リクエストタイムアウト | 秒単位 | 長すぎるとDoSリスク |
| DirectoryIndex | デフォルトページ指定 | index.html index.php | 順序優先を理解 |
| MIMEタイプ | ファイル種別識別 | /etc/mime.types | Content-Typeの仕組み |
| AddType | 拡張子とMIME対応追加 | AddType text/html .html | 動的設定で出題 |
| mod_ssl | SSL/TLS機能提供モジュール | HTTPS通信を実現 | SSL設定問題で頻出 |
| SSLEngine | SSL有効化設定 | SSLEngine on | HTTPSサイトで必須 |
| SSLCertificateFile | 証明書ファイル指定 | server.crt | フルパス指定に注意 |
| SSLCertificateKeyFile | 秘密鍵ファイル指定 | server.key | パーミッション管理 |
| SSLCertificateChainFile | 中間CA証明書指定 | chain.crt | 連鎖構成の理解 |
| SSLProtocol | 許可プロトコル指定 | -all +TLSv1.2 | 脆弱SSL禁止を確認 |
| SSLCipherSuite | 暗号スイート設定 | 強度順に設定 | OWASP推奨構成を理解 |
| HTTPSポート | SSL通信の標準ポート | 443 | Listen 443 と設定 |
| Redirect | リダイレクト設定 | Redirect /old /new | 永久/一時区別 |
| Alias | 仮想パス定義 | Alias /images /var/www/img | シンボリックアクセス用 |
| ScriptAlias | CGIスクリプトパス設定 | /cgi-bin/ | 実行権限設定に注意 |
| mod_cgi | CGI実行モジュール | /usr/lib/cgi-bin | 動作方式を理解 |
| mod_proxy | プロキシ機能提供 | ProxyPass設定で使用 | 逆プロキシ設定出題 |
| mod_proxy_http | HTTPプロキシモジュール | ProxyPass /app http://127.0.0.1:8080/ | バックエンド連携理解 |
| mod_proxy_balancer | 負荷分散モジュール | BalancerMember指定 | バランサ構文問題あり |
| mod_headers | ヘッダ操作モジュール | Header set X-Frame-Options "DENY" | セキュリティヘッダ設定 |
| mod_security | WAF機能モジュール | OWASPルール適用 | Web攻撃防御で注目 |
| httpd -t | 設定構文チェック | httpd -t | 出力メッセージ確認 |
| apachectl | Apache制御コマンド | apachectl graceful | 再起動方式の違い |
| systemctl reload httpd | 設定再読み込み | graceful reload | 停止なし再読込を理解 |
| SELinux | Apache制御に影響 | setsebool -P httpd_enable_homedirs on | 権限トラブル出題あり |
| /var/log/httpd/ | ログ格納ディレクトリ | access_log / error_log | トラブル調査で活用 |
| /etc/httpd/conf.d/ssl.conf | SSL設定ファイル | mod_sslが生成 | ポート443定義確認 |
| h2モジュール | HTTP/2サポート | Protocols h2 http/1.1 | TLS必須条件 |
| ProxyPass | リバースプロキシ設定 | /api http://localhost:8080/ | 内部転送設定を理解 |
| ProxyPassReverse | 応答ヘッダ書換 | クライアントURL維持 | 実運用設定で重要 |
| Reverse Proxy | クライアント代理で内部転送 | 負荷分散やセキュリティ強化 | Nginxでも対応可能 |
| Basic認証 | シンプルな認証方式 | .htpasswdを使用 | 暗号化されないことに注意 |
| htpasswd | Basic認証ユーザー登録 | htpasswd -c /etc/httpd/.htpasswd user | 暗号化形式も出題あり |
| Digest認証 | MD5による認証 | .htdigest使用 | Basicとの違い理解 |
| CGI (Common Gateway Interface) | サーバ側スクリプト実行 | /cgi-bin/ | 環境変数で通信 |
| FastCGI | 高速CGI方式 | mod_fcgid利用 | PHP, Python連携で使用 |
| PHPモジュール | Apache拡張 | mod_php | 動的生成の仕組み理解 |
| Nginx | 軽量高性能Webサーバ | /etc/nginx/nginx.conf | Apacheとの違い出題あり |
| worker_processes | ワーカー数設定 | CPUコア数に合わせる | パフォーマンス調整項目 |
| eventsブロック | 接続制御設定 | use epoll;など | OS依存構成理解 |
| httpブロック | サーバ全体設定 | server ブロックを含む | 階層構造の理解 |
| serverブロック | 仮想ホスト設定 | server_name example.com; | Apacheとの比較 |
| locationブロック | パス別設定 | location /images/ {} | 正規表現指定可 |
| rootディレクティブ | ドキュメントルート指定 | root /usr/share/nginx/html; | 相対パス不可に注意 |
| index | デフォルトページ指定 | index index.html; | ApacheのDirectoryIndexに相当 |
| access_log | アクセスログ設定 | access_log /var/log/nginx/access.log; | ログ書式指定も理解 |
| error_log | エラーログ設定 | error_log /var/log/nginx/error.log warn; | エラーレベル確認 |
| try_files | 静的/動的ファイル振分け | try_files $uri $uri/ =404; | 404制御理解 |
| proxy_pass | リバースプロキシ設定 | proxy_pass http://127.0.0.1:8080; | URL結合ルールに注意 |
| proxy_set_header | ヘッダ転送設定 | proxy_set_header Host $host; | Hostヘッダ転送重要 |
| gzip | 圧縮転送設定 | gzip on; | 帯域削減に有効 |
| ssl_certificate | 証明書指定 | /etc/nginx/ssl/server.crt; | Apacheとの構文比較 |
| ssl_protocols | 許可TLSバージョン | TLSv1.2 TLSv1.3 | 脆弱バージョン無効化 |
| ssl_ciphers | 暗号スイート設定 | HIGH:!aNULL:!MD5 | セキュリティ設定理解 |
| systemctl restart nginx | Nginx再起動 | 設定変更時に必要 | Apache同様確認 |
| nginx -t | 構文テスト | nginx: configuration file ok | 出力文確認 |
| httpd vs nginx | プロセスモデルの違い | Prefork vs Event-driven | メモリ効率問題出題あり |
| HTTPヘッダ | クライアント/サーバ通信情報 | Host, User-Agent, Cookie | リクエスト構造理解 |
| HTTPステータスコード | 応答状態番号 | 200, 301, 404, 500など | 3xxと4xxの区別重要 |
③ ファイル共有と転送(Samba, NFS, FTP)
本章の暗記のポイントは以下の通りです。
-
Samba認証モード(security=)の違いを整理する
user/share/adsの3種類を状況に応じて選択できるように。
adsはKerberosと連携するため、LDAP構成との関連性も押さえましょう。 -
NFS v3とv4の構造的な違いを理解する
v4ではrpcbindが不要で、単一ポート(2049/TCP)で通信します。
/etc/idmapd.confによるUIDマッピングの設定も頻出です。 - FTPとSFTPの違いを明確に FTPは平文通信、SFTPはSSHトンネル。試験ではセキュリティ上の比較問題として出やすいです。
| 用語 | 意味 | 主な使い方や構成要素 | 試験でのポイント |
|---|---|---|---|
| Samba | Windows互換ファイル共有サービス | SMB/CIFSプロトコル実装 | 異種OS間共有の中心技術 |
| smb.conf | Sambaの設定ファイル | /etc/samba/smb.conf | 各セクション構造を理解 |
| [global]セクション | 全体設定ブロック | サーバ名・認証方式など定義 | 全共有に影響する設定 |
| [share]セクション | 共有ディレクトリ設定 | パスやアクセス制御定義 | 複数共有を定義可能 |
| workgroup | ワークグループ名 | Windowsネットワーク識別名 | 同一グループで発見可能 |
| server string | サーバ説明文字列 | LAN上で表示される説明 | 任意記述可能 |
| security | 認証モード指定 | user / share / ads | adsはAD連携時に使用 |
| map to guest | 未認証時の扱い | Bad Userなど | ゲストアクセス制御 |
| passdb backend | 認証データベース指定 | tdbsam, ldapsam など | アカウント管理方式理解 |
| smbpasswd | Sambaユーザー登録コマンド | smbpasswd -a user | Linuxユーザーと対応付け |
| pdbedit | アカウント管理ツール | pdbedit -L | 一覧表示・削除など |
| testparm | 設定構文チェック | testparm /etc/samba/smb.conf | 出力結果の意味を理解 |
| netコマンド | ネットワーク操作 | net join net rpc | ドメイン参加で使用 |
| smbd | ファイル共有デーモン | TCP 445/139 ポート使用 | ファイル転送担当 |
| nmbd | NetBIOS名管理デーモン | UDP 137/138 使用 | 名前解決担当(古い方式) |
| winbindd | Windows認証連携 | ADユーザーID解決 | /etc/nsswitch.confと連携 |
| nsswitch.conf | 名前解決順序 | passwd: files winbind | Winbindと連携理解 |
| wbinfo | Winbind動作確認 | wbinfo -u -g | ユーザー・グループ確認 |
| smbclient | Sambaクライアントコマンド | smbclient //server/share | FTP風インターフェース |
| mount -t cifs | CIFS共有のマウント | mount -t cifs //srv/share /mnt | /etc/fstab記載も出題 |
| credentialsファイル | 認証情報ファイル | username=... password=... | パーミッション管理重要 |
| /etc/fstab | 永続マウント設定 | CIFS/NFS共通 | オプション構文理解 |
| browseable | 共有一覧に表示 | yes/no | noで非公開共有 |
| writable | 書き込み許可 | yes/no | read onlyと排他 |
| valid users | アクセス許可ユーザー | user1 user2 | グループ指定も可能 |
| force user | 強制ユーザー指定 | 共有ファイル所有者統一 | 権限トラブル対策 |
| hosts allow / deny | アクセス元制限 | CIDR形式指定可 | TCPラッパ同様の構文 |
| vfs objects | 仮想ファイルシステムモジュール | recycle, acl_xattr等 | 拡張機能問題あり |
| log file | ログ出力ファイル | /var/log/samba/log.%m | クライアント別ログ |
| log level | ログ出力詳細度 | 数値指定 | デバッグ時に利用 |
| smbstatus | 接続状況表示 | ロック・セッション確認 | 監査系問題出題あり |
| netstat | ポート監視 | 445/139確認 | サービス起動確認 |
| SELinux samba_share_t | SELinuxコンテキスト | chcon -t samba_share_t /share | 権限拒否対策 |
| Samba4 | Active Directory互換実装 | samba-tool domain provision | DC構築出題あり |
| samba-tool | AD管理コマンド | user add, group list | 管理操作を理解 |
| ADSモード | Active Directory連携 | Kerberos認証利用 | セキュリティ強化構成 |
| kerberos認証 | チケットベース認証 | /etc/krb5.conf | AD統合時に必須 |
| realm | Kerberos領域 | 大文字ドメイン名指定 | [libdefaults]セクション |
| kinit | チケット取得 | kinit user@REALM | 認証テスト手順を理解 |
| klist | チケット一覧 | キャッシュ内容表示 | 有効期限確認 |
| kdestroy | チケット削除 | 再認証時に使用 | クリーンアップ手順 |
| nfs-utils | NFS関連パッケージ | サーバ・クライアント両方に必要 | ディストリ依存名も確認 |
| rpcbind | RPCポートマッピング | NFSv3以前で使用 | v4では不要 |
| nfsd | NFSサーバデーモン | /usr/sbin/rpc.nfsd | サービス起動確認 |
| /etc/exports | NFS共有設定ファイル | dir client(options) | オプション構文を理解 |
| exportfs | NFS設定反映コマンド | exportfs -ra | 再読み込み時に使用 |
| showmount | 共有一覧表示 | showmount -e server | クライアント側で利用 |
| /etc/fstab (NFS) | 永続マウント設定 | server:/dir /mnt nfs defaults | vers指定出題あり |
| no_root_squash | root権限保持オプション | セキュリティリスクあり | デフォルトはroot_squash |
| sync / async | 書き込み同期方式 | syncで安全性、asyncで速度 | データ整合性に注意 |
| rw / ro | 読み書き設定 | rwで双方向 | 読み取り専用も可能 |
| subtree_check | サブディレクトリ検証 | ディレクトリ再配置時に影響 | 非推奨化傾向理解 |
| fsid | NFSエクスポート識別子 | 一意の番号付与 | 同一ボリューム識別に使用 |
| NFSv4 | 最新プロトコル | 2049/TCPのみ使用 | IDマッピング統合 |
| /etc/idmapd.conf | NFSv4のIDマッピング | Domain = example.com | UID/GID変換を理解 |
| rpc.idmapd | IDマップデーモン | v4専用 | クライアント設定で使用 |
| nfsstat | NFS統計情報確認 | nfsstat -s | トラブル時分析に使用 |
| systemctl restart nfs-server | サービス再起動 | 設定変更時に必須 | 再起動コマンド問われる |
| autofs | 自動マウントサービス | /etc/auto.master | 大規模環境で便利 |
| /etc/auto.master | autofsメイン設定 | マップファイル指定 | 階層構造理解 |
| /etc/auto.misc | サンプルマップ | NFSやCIFS指定可 | 構文問題出題あり |
| ftp | ファイル転送プロトコル | 20/21 ポート使用 | 平文通信の危険性 |
| vsftpd | 高速・安全なFTPサーバ | /etc/vsftpd/vsftpd.conf | 試験で頻出のFTP実装 |
| anonymous_enable | 匿名アクセス設定 | YES/NO | セキュリティリスクに注意 |
| local_enable | ローカルユーザー許可 | YESで有効 | 認証制御理解 |
| write_enable | 書き込み許可 | YESでアップロード可 | デフォルト無効 |
| chroot_local_user | ユーザーを自身のホームに制限 | YESで隔離 | 安全性向上設定 |
| pam_service_name | PAM設定ファイル指定 | vsftpd | 認証方式の確認 |
| ascii_upload_enable | ASCII転送許可 | YES | バイナリ転送との違い理解 |
| ftpusers | アクセス拒否リスト | /etc/ftpusers | root禁止がデフォルト |
| userlist_enable | 許可/拒否リスト制御 | /etc/vsftpd.user_list | allow_listと組み合わせ |
| xferlog_file | 転送ログファイル | /var/log/vsftpd.log | 監査・追跡に利用 |
| banner_file | ログイン時メッセージ | /etc/vsftpd/banner | 注意喚起メッセージ設定 |
| ssl_enable | FTPS有効化 | YES | 暗号化通信を実現 |
| rsa_cert_file | サーバ証明書指定 | /etc/ssl/certs/vsftpd.pem | OpenSSL連携理解 |
| pasv_min_port / max_port | パッシブモード範囲 | ファイアウォール設定と関連 | NAT環境での対策出題 |
| systemctl restart vsftpd | サービス再起動 | 設定変更反映 | 再起動コマンドを覚える |
| ncftp / lftp | 高機能FTPクライアント | スクリプト転送可 | 試験範囲に含まれる |
| sftp | SSHトンネルFTP | port 22 | vsftpdと区別される |
| scp | SSH経由コピー | scp file user@host:/path | sftpとの違い理解 |
| rsync | 高速差分転送ツール | rsync -avz src dest | SSH併用が推奨 |
| rsyncd | デーモンモード | /etc/rsyncd.conf | サービスモード構文 |
| /etc/rsyncd.conf | rsync設定ファイル | [share]で共有定義 | NFS・Samba類似構成 |
| –deleteオプション | 同期時削除 | 不要ファイルを削除 | 注意点出題あり |
| –exclude | 除外パターン指定 | .gitなど除外 | バックアップ制御で重要 |
| rsync + ssh | 暗号化転送 | rsync -e ssh | 安全なバックアップ構成 |
| cron + rsync | 定期同期設定 | /etc/cron.daily/など | 自動化設定問題あり |
④ メールサービスの設定(Postfix, Dovecotなど)
本章の暗記のポイントは以下の通りです。
-
Postfixの配送経路をイメージで覚える
pickup → cleanup → qmgr → smtpd の流れを理解しておくと、キュー障害時に強いです。
main.cfとmaster.cfの役割も明確にしましょう。 - SASLとTLSの設定パラメータをセットで覚える smtpd_sasl_auth_enable、smtpd_tls_cert_file、smtpd_tls_auth_only など、認証と暗号化の両立が問われます。
- Dovecot連携のソケット設定を理解する `/var/spool/postfix/private/auth` の定義場所を押さえておくことで、認証エラー問題を回避できます。
| 用語 | 意味 | 主な使い方や構成要素 | 試験でのポイント |
|---|---|---|---|
| Postfix | 高速・安全なメール転送エージェント (MTA) | /etc/postfix/main.cf | Sendmailの後継として頻出 |
| MTA (Mail Transfer Agent) | メール転送サーバ | Postfix, Sendmail など | SMTPを用いて配送 |
| MUA (Mail User Agent) | メールクライアント | Thunderbird, mutt など | POP/IMAP経由で受信 |
| MDA (Mail Delivery Agent) | メール配送プログラム | Dovecot, procmailなど | MTAからローカルに配送 |
| SMTP (Simple Mail Transfer Protocol) | メール送信プロトコル | TCP 25番ポート | 送信経路に関わる基本技術 |
| SMTPS | SSL/TLS対応SMTP | TCP 465番 | 暗号化による安全通信 |
| Submissionポート | 認証付き送信ポート | TCP 587番 | SASL認証必須で出題あり |
| POP3 | 受信プロトコル | TCP 110 | 古くからの受信方式 |
| IMAP4 | サーバ同期型受信プロトコル | TCP 143 | 複数端末同期が可能 |
| IMAPS | SSL対応IMAP | TCP 993 | Dovecot設定で出題あり |
| /etc/postfix/main.cf | Postfixメイン設定 | 基本パラメータを定義 | 出題頻度高いファイル |
| /etc/postfix/master.cf | サービスごとの設定 | smtp, pickup, cleanupなど | デーモン構造理解 |
| myhostname | サーバのホスト名設定 | myhostname = mail.example.com | FQDN指定必須 |
| mydomain | ドメイン名設定 | example.com | myhostnameから導出も可 |
| myorigin | 送信元ドメイン設定 | $mydomain | ローカル送信時に使用 |
| mydestination | ローカル配送対象指定 | $myhostname, localhost.$mydomain | 自サーバ宛メール判断 |
| inet_interfaces | 受信インターフェース指定 | all or loopback-only | 外部公開可否に関係 |
| inet_protocols | IPv4/IPv6設定 | ipv4, all | デュアルスタック構成 |
| relayhost | 外部中継サーバ指定 | [smtp.provider.net]:587 | スマートホスト設定 |
| mynetworks | 信頼送信元設定 | 127.0.0.0/8, 192.168.1.0/24 | 中継許可範囲の制御 |
| relay_domains | 中継可能ドメイン | デフォルトは空 | スパム中継防止に重要 |
| alias_maps | メールエイリアス定義 | /etc/aliases | メール転送設定問題あり |
| /etc/aliases | ローカル転送設定 | root: admin@example.com | newaliasesで更新必要 |
| newaliases | エイリアスDB再構築 | /etc/aliases.db 生成 | コマンド構文出題あり |
| virtual_alias_maps | 仮想エイリアス設定 | hash:/etc/postfix/virtual | ドメイン別転送で利用 |
| postmap | DBファイル生成コマンド | postmap /etc/postfix/virtual | hash形式を理解 |
| postconf | 設定確認ツール | postconf -n | main.cfの確認に使用 |
| postfix check | 設定構文チェック | エラーを検出 | 再起動前に確認 |
| systemctl restart postfix | サービス再起動 | 設定変更後に必須 | 操作コマンド出題あり |
| queueディレクトリ | メールキュー保存場所 | /var/spool/postfix/ | active, deferredなど |
| mailq | メールキュー表示 | postqueue -p と同等 | 未送信確認に使用 |
| postqueue -f | 再配送トリガ | キュー内再送信 | 遅延解消の操作理解 |
| postsuper | メールキュー管理 | postsuper -d ALL | 強制削除コマンド |
| header_checks | メールヘッダフィルタ | regexp:/etc/postfix/header_checks | 迷惑メール対策設定 |
| body_checks | 本文フィルタ設定 | regexp:/etc/postfix/body_checks | 正規表現で制御 |
| relay_recipient_maps | 宛先検証 | 存在しない宛先を拒否 | スパム防止に重要 |
| smtpd_banner | SMTPバナー設定 | 220 $myhostname ESMTP Postfix | サーバ情報漏洩防止 |
| smtpd_client_restrictions | 接続制御 | permit_mynetworks, reject_unauth_destination | 順序に注意 |
| smtpd_helo_restrictions | HELO制限 | 不正HELO拒否 | スパム防御 |
| smtpd_sender_restrictions | 送信者制限 | 不正送信元拒否 | 拒否ルール構文理解 |
| smtpd_recipient_restrictions | 受信者制限 | permit_mynetworks, reject_unauth_destination | 最重要設定 |
| reject_unauth_destination | 中継防止設定 | スパム対策の中心 | 必須設定として出題 |
| SASL (Simple Auth. and Security Layer) | 認証フレームワーク | SMTP認証に使用 | DovecotやCyrusと連携 |
| smtpd_sasl_auth_enable | SMTP認証有効化 | yes | Submissionポートで必須 |
| smtpd_sasl_type | 認証方式 | dovecotまたはcyrus | Dovecot連携出題あり |
| smtpd_sasl_path | ソケット指定 | /var/spool/postfix/private/auth | Dovecot連携必須設定 |
| smtpd_tls_cert_file | TLS証明書指定 | /etc/ssl/certs/server.crt | 暗号化通信設定 |
| smtpd_tls_key_file | TLS秘密鍵指定 | /etc/ssl/private/server.key | 権限に注意 |
| smtp_use_tls | クライアントTLS使用 | yes | 外部送信時暗号化 |
| smtpd_tls_auth_only | 認証前TLS必須 | yes | 平文送信防止 |
| Dovecot | POP/IMAPサーバ | /etc/dovecot/dovecot.conf | Postfixと組み合わせ出題 |
| protocols | 利用プロトコル指定 | imap imaps pop3 pop3s | 必要分のみ有効化 |
| listen | 待ち受けインターフェース | *, :: | IPv4/6対応設定 |
| mail_location | メール格納形式指定 | maildir:~/Maildir | mbox/maildir違いを理解 |
| mail_privileged_group | 特権アクセスグループ | mail | 権限エラー回避 |
| disable_plaintext_auth | 平文認証禁止 | yes | SSL利用必須化 |
| ssl_cert | SSL証明書ファイル | /etc/ssl/certs/dovecot.pem | 連携設定出題あり |
| ssl_key | 秘密鍵ファイル | /etc/ssl/private/dovecot.pem | 所有権とパーミッション |
| service auth { … } | 認証ソケット設定 | unix_listener /var/spool/postfix/private/auth | Postfix連携箇所 |
| userdb / passdb | ユーザー情報DB | passwd-file, system | 外部認証と連携可能 |
| dovecot -n | 現在設定確認 | 出力から設定解析 | トラブル時必須コマンド |
| maildir形式 | 1メール=1ファイル | ~/Maildir/newなど | IMAPと相性が良い |
| mbox形式 | 1ファイルに全メール格納 | /var/mail/user | 古い形式として比較出題 |
| sieve | メールフィルタ言語 | 条件により振り分け | .dovecot.sieve ファイル使用 |
| managesieve | Sieve管理プロトコル | TCP 4190 | Webメール連携で使用 |
| lmtp | Local Mail Transfer Protocol | DovecotがPostfixから受信 | UNIXソケット連携出題あり |
| spamassassin | スパム検出ソフト | /etc/mail/spamassassin/ | Postfix連携構成問題あり |
| amavisd-new | メールスキャナ | ウイルス/スパム中継 | ClamAV連携構成 |
| clamav | オープンソースウイルス検知 | /var/lib/clamav/ | メール添付検査に使用 |
| DKIM (DomainKeys Identified Mail) | 署名による送信者認証 | OpenDKIM利用 | DNS TXT登録出題あり |
| OpenDKIM | DKIM署名ツール | /etc/opendkim.conf | milter連携設定 |
| milter | メールフィルタインターフェース | smtpd_milters で設定 | DKIM/SPF連携に使用 |
| SPF (Sender Policy Framework) | 送信元正当性検証 | DNS TXTレコード | 正当な送信サーバ制限 |
| DMARC | SPFとDKIMの統合検証 | DNSポリシーレコード | p=none/quarantine/reject |
| greylisting | 一時拒否によるスパム防御 | postgrey利用 | 初回遅延による防御 |
| TLS (Transport Layer Security) | 通信暗号化プロトコル | SMTP/IMAP/POP3全般 | openssl s_clientで確認 |
| openssl s_client | TLSテストコマンド | -connect host:port | 証明書確認で出題あり |
| /var/log/maillog | メールログ | Postfix/Dovecot両方出力 | 解析問題頻出 |
| /etc/rsyslog.conf | ログ転送設定 | mail.* /var/log/maillog | ログ種別と連携理解 |
| mailq / postqueue | メールキュー確認 | 処理中メール一覧 | 配送障害解析で重要 |
| postlog | ログ出力コマンド | postlog -p warn | 手動ログ出力テスト |
| /etc/hosts | DNS解決設定 | ローカル名解決 | mailサーバ構築で前提 |
| hostnamectl | ホスト名設定 | FQDNを一致させる | myhostnameと連携理解 |
| telnet 25 | SMTP接続テスト | 手動メール送信確認 | HELO/EHLO動作理解 |
| EHLO / HELO | SMTPコマンド | サーバ識別名送信 | SMTP拡張確認で出題 |
| MAIL FROM / RCPT TO | SMTPデータ指定コマンド | 送信元・宛先指定 | SMTPトランザクション理解 |
| DATA / QUIT | メール本文送信・終了 | . で終端 | SMTPの基本手順 |
| 550, 554コード | SMTP拒否応答 | 550:宛先不明, 554:中継拒否 | エラー解析問題あり |
⑤ セキュリティと暗号化(OpenSSH, GPG, TLSなど)
本章の暗記のポイントは以下の通りです。
-
SSH設定ファイルの相関を理解する
/etc/ssh/sshd_config(サーバ)と ~/.ssh/config(クライアント)を区別。
PubkeyAuthentication と PasswordAuthentication の設定順にも注意。 - iptablesとfirewalldの違いを意識する iptablesはルールベース、firewalldはゾーンベース。 RHEL8以降ではnftablesへの移行も出題対象です。
-
GPGとTLSの使い分けを理解する
GPG=データの完全性/TLS=通信経路の暗号化。
目的が異なることを理解しておくと応用問題で有利です。
| 用語 | 意味 | 主な使い方や構成要素 | 試験でのポイント |
|---|---|---|---|
| OpenSSH | 安全なリモート接続プロトコル | /etc/ssh/sshd_config | LPIC頻出の暗号通信基盤 |
| sshd | SSHサーバデーモン | TCP 22番ポート使用 | サービス起動確認 |
| /etc/ssh/sshd_config | SSHサーバ設定ファイル | 認証方式や接続制限 | 各パラメータ理解が重要 |
| PermitRootLogin | rootログイン許可設定 | no 推奨 | セキュリティ強化項目 |
| PasswordAuthentication | パスワード認証許可 | noで鍵認証限定 | 脆弱設定防止 |
| PubkeyAuthentication | 公開鍵認証有効化 | yes | 秘密鍵とペア運用 |
| AuthorizedKeysFile | 公開鍵格納パス | ~/.ssh/authorized_keys | 所有権・パーミッション理解 |
| RSA / Ed25519 | SSH鍵の暗号方式 | ssh-keygen -t ed25519 | 近年はEd25519推奨 |
| ssh-keygen | 鍵ペア生成ツール | ssh-keygen -t rsa -b 4096 | パスフレーズの扱い出題あり |
| ssh-agent | 鍵管理デーモン | ssh-addで登録 | 鍵キャッシュ理解 |
| ssh-add | 鍵登録コマンド | ssh-add ~/.ssh/id_rsa | agent連携確認 |
| ssh-copy-id | 公開鍵登録ツール | ssh-copy-id user@host | 自動で権限設定 |
| ssh_config | クライアント設定ファイル | /etc/ssh/ssh_config | Host単位設定 |
| ProxyJump | SSH経由接続設定 | ssh -J jump host | Bastion構成出題あり |
| Port | 接続ポート指定 | Port 22 | 変更でセキュリティ強化 |
| AllowUsers / AllowGroups | 接続許可制御 | ユーザー単位制御 | 制限構文理解 |
| DenyUsers / DenyGroups | 接続拒否制御 | 明示的ブロック設定 | 優先順位に注意 |
| TCPForwarding | ポート転送許可 | noで制限 | 踏み台対策 |
| X11Forwarding | X転送許可 | no推奨 | 不要な転送防止 |
| ClientAliveInterval | クライアント確認間隔 | 秒単位 | タイムアウト設定 |
| Fail2Ban | SSH不正ログイン防御 | /etc/fail2ban/jail.conf | ブルートフォース対策 |
| iptables | Linuxのパケットフィルタ | /etc/sysconfig/iptables | 試験頻出のファイアウォール |
| iptables -L | ルール一覧 | -v -nで詳細表示 | チェイン構造理解 |
| INPUT/OUTPUT/FORWARD | 基本チェイン | パケット方向を制御 | デフォルトポリシー重要 |
| ACCEPT/DROP/REJECT | パケット処理動作 | 明示的拒否や応答拒否 | REJECTとDROPの違い出題 |
| -A, -I, -D | ルール追加/挿入/削除 | iptables -A INPUT -p tcp --dport 22 -j ACCEPT | コマンド構文理解 |
| -p tcp/udp | プロトコル指定 | 80, 443など | サービス別設定 |
| –dport / –sport | ポート指定 | 送信元/宛先指定可 | よく出題される |
| -s / -d | IPアドレス指定 | アクセス制限 | CIDR表記理解 |
| -m state | 状態モジュール | --state ESTABLISHED | セッション維持制御 |
| NAT | アドレス変換技術 | POSTROUTINGチェイン | SNAT/DNAT理解 |
| SNAT | 送信元変換 | --to-source指定 | 外部通信で使用 |
| DNAT | 宛先変換 | --to-destination指定 | ポートフォワード構成 |
| MASQUERADE | 動的NAT | DHCP環境で使用 | SNATの動的版 |
| iptables-save / restore | 設定保存・復元 | 永続化に使用 | /etc/sysconfig/iptables保存 |
| nftables | 新世代パケットフィルタ | /etc/nftables.conf | iptables後継技術 |
| ufw | Ubuntu系FWツール | ufw allow 22/tcp | 簡易設定で出題あり |
| firewalld | RHEL系FW管理 | firewall-cmd | ゾーンベース設計理解 |
| firewall-cmd | 設定コマンド | --add-service=ssh --permanent | 永続化オプション出題 |
| /etc/firewalld/zones/public.xml | ゾーン設定 | 許可ポート一覧 | firewalld構造理解 |
| SELinux | 強制アクセス制御 | enforcing/permissive | セキュリティ強化必須項目 |
| /etc/selinux/config | SELinux設定ファイル | SELINUX=enforcing | 永続モード変更 |
| getenforce / setenforce | 状態確認・変更 | setenforce 0 | 一時的無効化 |
| semanage | コンテキスト管理 | semanage port -a -t http_port_t -p tcp 8080 | ポート許可設定で出題 |
| chcon | 一時コンテキスト変更 | chcon -t samba_share_t /dir | 永続化はsemanageで |
| restorecon | デフォルトコンテキスト復元 | restorecon -Rv /dir | SELinuxトラブル対策 |
| GPG (GNU Privacy Guard) | 公開鍵暗号化ツール | gpg --gen-key | メール暗号化にも使用 |
| 公開鍵暗号方式 | 鍵ペアによる暗号化 | 公開鍵=暗号化/秘密鍵=復号 | LPIC暗号理論問題あり |
| 対称鍵暗号方式 | 同一鍵で暗号化・復号 | AES, 3DESなど | 処理高速だが共有リスク |
| ハイブリッド暗号 | 公開鍵+共通鍵の組合せ | セッション鍵を暗号化 | 実用的構成で出題 |
| gpg –gen-key | 鍵ペア生成 | 鍵タイプ, 有効期限設定 | RSA長指定など出題 |
| gpg –list-keys | 鍵一覧表示 | 公開鍵確認 | 信頼度フィールド理解 |
| gpg –export | 公開鍵出力 | ASCII形式で共有 | --armorオプション |
| gpg –import | 鍵取り込み | 他者の公開鍵登録 | 鍵管理出題あり |
| gpg –sign | デジタル署名 | メッセージの改ざん検知 | 公開鍵で検証可能 |
| gpg –verify | 署名検証 | 改ざん・本人性確認 | 出力結果の読み方出題 |
| gpg –encrypt | 公開鍵で暗号化 | --recipient user指定 | 通信相手に応じた鍵使用 |
| gpg –decrypt | 秘密鍵で復号化 | パスフレーズ入力 | ファイル暗号化問題あり |
| Web of Trust | 鍵の信頼モデル | 相互署名による信頼 | 中央CA不要モデル |
| TLS (Transport Layer Security) | 通信暗号化プロトコル | HTTPS, SMTPS, IMAPSなど | SSLの後継として重要 |
| SSL vs TLS | プロトコル世代差 | TLS1.2/1.3が主流 | SSL2/3は脆弱として出題 |
| X.509証明書 | 公開鍵証明書形式 | PEM/DER形式で保存 | サーバ証明書の基礎 |
| PEM形式 | Base64エンコード証明書 | .crt, .pem | テキスト形式 |
| DER形式 | バイナリ証明書 | .der | Java keystoreで使用 |
| CSR (Certificate Signing Request) | 証明書署名要求 | openssl req -new | CN(共通名)が出題されやすい |
| CA (Certificate Authority) | 証明書発行機関 | 中間CA構成含む | ルート信頼モデル理解 |
| 自己署名証明書 | CAを用いない証明書 | openssl req -x509 | テスト用で頻出 |
| openssl req | 証明書要求作成 | -new -key server.key -out csr.pem | コマンド構文理解 |
| openssl x509 | 証明書内容表示 | openssl x509 -in cert.pem -text | 有効期限・CN確認 |
| openssl verify | 証明書検証 | ルートCAとの連鎖確認 | 中間証明書欠落問題あり |
| openssl enc | 暗号化/復号コマンド | openssl enc -aes-256-cbc | 対称暗号理解 |
| openssl genrsa | RSA秘密鍵生成 | openssl genrsa -out key.pem 2048 | 鍵長理解 |
| openssl rand | 乱数生成 | openssl rand -base64 32 | 鍵素材生成 |
| VPN (Virtual Private Network) | 仮想専用線通信 | PPTP, L2TP, OpenVPN | トンネル構成出題あり |
| OpenVPN | SSL/TLSベースVPN | /etc/openvpn/server.conf | サーバ/クライアント構成理解 |
| dev tun/tap | 仮想ネットワークデバイス | tun=IP層 / tap=Ethernet層 | デバイス種類出題 |
| proto udp/tcp | 通信プロトコル選択 | UDP推奨 | パフォーマンス差理解 |
| tls-auth | HMAC認証鍵設定 | ta.key利用 | 中間者攻撃防止 |
| cipher AES-256-GCM | 暗号スイート指定 | 強度設定 | TLS1.3対応確認 |
| ifconfig-pool | クライアントIP割当 | 動的アドレスプール | DHCP的機能 |
| iptables + VPN | VPN通信制御 | FORWARD許可 | NATとの連携理解 |
| fail2ban vs iptables | ログ監視+FW制御 | SSH攻撃遮断 | 自動BAN動作理解 |
| tcpdump | パケットキャプチャ | tcpdump -i eth0 port 443 | TLSハンドシェイク確認 |
| nmap | ポートスキャンツール | nmap -sS target | セキュリティ診断で出題 |
| chkrootkit / rkhunter | ルートキット検出ツール | /var/log/rkhunter.log | システム整合性確認 |
| tripwire | 改ざん検知ツール | /etc/tripwire/ | ファイル整合性監視 |
| auditd | 監査ログデーモン | /etc/audit/auditd.conf | セキュリティ監査で使用 |
| ausearch / aureport | 監査ログ解析 | ausearch -m USER_LOGIN | 不正アクセス追跡 |
⑥ システム監視とトラブルシューティング(System Monitoring & Maintenance)
本章の暗記のポイントは以下の通りです。
- リソース監視コマンドを分類して覚える CPU系(top, mpstat)、メモリ系(free, vmstat)、I/O系(iostat, iotop)、ネットワーク系(ss, iftop)と整理すると暗記効率UP。
- systemdとjournalctlの関係を理解する journalctlはsystemdサービスと統合されています。 `journalctl -u httpd -xe` のようにユニット単位で調べる習慣をつけましょう。
- トラブル発生時の切り分け手順をパターン化 「ログ確認 → 状態確認 → 再起動 → 構成比較 → 再発防止策」の流れをテンプレート化すると実務にも役立ちます。
| 用語 | 意味 | 主な使い方や構成要素 | 試験でのポイント |
|---|---|---|---|
| systemctl | systemd管理コマンド | systemctl status httpd | サービス状態確認に必須 |
| journalctl | systemdログ閲覧 | journalctl -u sshd | ログフィルタ構文理解 |
| /var/log/messages | 汎用システムログ | syslogd / rsyslog 出力先 | トラブル時の基本調査箇所 |
| /var/log/secure | 認証関連ログ | SSH・sudo・su など | 不正アクセス確認に重要 |
| /var/log/maillog | メールログ | Postfix・Dovecot | メール配送トラブル調査 |
| /var/log/httpd/access_log | Webアクセスログ | Apacheのアクセス履歴 | ステータスコード分析 |
| /var/log/audit/audit.log | SELinux監査ログ | auditdによる出力 | AVC拒否メッセージ解析 |
| dmesg | カーネルメッセージ表示 | ハードウェア・起動時出力 | デバイス関連トラブル調査 |
| rsyslog | Syslog互換のログ管理 | /etc/rsyslog.conf | 転送・出力先指定理解 |
| logger | ログ出力コマンド | logger "test message" | スクリプト連携で利用 |
| uptime | 稼働時間・負荷確認 | load average値 | 1分/5分/15分平均理解 |
| top | 動的プロセス監視 | CPU・メモリ使用率 | sortキーなど出題あり |
| htop | topの拡張版 | 視覚的にプロセス管理 | Fキー操作問題も出題 |
| ps | プロセス表示 | ps aux ps -ef | 列の意味を理解 |
| pstree | 親子関係をツリー表示 | pstree -p | init/systemd構造理解 |
| pgrep / pkill | プロセス検索/終了 | pgrep sshd pkill -9 httpd | 正規表現マッチあり |
| kill / killall | プロセス終了 | kill -9 PID | シグナル番号を理解 |
| nice | 実行優先度指定 | nice -n 10 command | 優先度の範囲理解 |
| renice | 実行中プロセスの優先度変更 | renice +5 PID | root権限で変更可能 |
| vmstat | 仮想メモリ統計 | vmstat 1 | メモリ・I/O状態把握 |
| iostat | ディスクI/O統計 | iostat -x 2 | 利用率・待機時間確認 |
| sar | システム統計記録 | sar -u 5 5 | sysstatパッケージ必須 |
| mpstat | CPUコアごとの統計 | mpstat -P ALL | 負荷分散状態解析 |
| free | メモリ使用状況表示 | free -h | バッファ・キャッシュ差理解 |
| df | ファイルシステム容量確認 | df -h | マウントポイントと対応 |
| du | ディレクトリ容量集計 | du -sh /var/log | ログ肥大化調査 |
| lsof | オープンファイル一覧 | lsof -i :80 | ポート占有確認で出題 |
| netstat | ネットワーク接続確認 | netstat -tuln | LISTENポート確認 |
| ss | ソケット状態確認 | ss -ltnp | netstatの後継 |
| ping | 到達確認 | ping -c 4 8.8.8.8 | ICMP動作確認 |
| traceroute | 経路追跡 | traceroute example.com | ネットワーク経路解析 |
| mtr | 動的経路解析 | mtr -rw host | ping + traceroute複合ツール |
| ip addr / link / route | ネットワーク設定 | ip addr show | ifconfig後継コマンド |
| iftop | ネットワーク帯域監視 | 実時間で通信状況確認 | 大量通信トラブル分析 |
| ethtool | NIC情報確認 | ethtool eth0 | リンク速度・状態確認 |
| ssmtp / sendmailコマンド | 簡易メール送信 | 通知・監視連携 | MTA連携確認 |
| cron | 定期実行スケジューラ | /etc/crontab, crontab -e | 書式と環境変数出題 |
| anacron | 電源OFF時でも実行 | /etc/anacrontab | ラップトップ環境で重要 |
| systemd-timers | systemdスケジューラ | .timer単位で管理 | cron代替として出題 |
| at | 一回限りのジョブ | at 12:00 | atq, atrmと併用 |
| crontab -l / -e | ユーザーの定期ジョブ | 5フィールド構文理解 | PATHやMAILTO変数 |
| logrotate | ログローテーション管理 | /etc/logrotate.conf | weekly, rotate, compress理解 |
| /etc/logrotate.d/ | 個別設定ディレクトリ | サービスごと設定 | Apacheやyumなどに適用 |
| pidファイル | プロセスID保存ファイル | /var/run/ | 重複起動防止で使用 |
| systemctl isolate | ターゲット切替 | multi-user.targetなど | ランレベルとの対応理解 |
| systemctl rescue / emergency | 救援モード起動 | トラブル時に使用 | rootパスワード要求あり |
| journalctl -xe | 直近エラー表示 | サービス異常の原因特定 | 実務問題で頻出 |
| strace | システムコール追跡 | strace -p PID | プロセス動作解析 |
| ltrace | ライブラリ呼出追跡 | Cライブラリ関数確認 | straceとの違い理解 |
| dstat | 統合リソース監視 | CPU・I/O・ネット | sarの代替として出題 |
| pidstat | プロセス単位の統計 | pidstat -u -p PID | 個別CPU使用率分析 |
| perf | カーネルパフォーマンス解析 | perf top, perf record | 実務レベル問題あり |
| iotop | ディスクI/O監視 | 各プロセスI/O量表示 | I/Oボトルネック特定 |
| sar -r / -b / -n | メモリ/ディスク/ネット統計 | 指標別に分割出力 | コマンドオプション理解 |
| df -i | inode使用率確認 | inode枯渇エラー対策 | ファイル多数時の監視 |
| journalctl –disk-usage | ジャーナル容量確認 | ログ肥大防止 | vacuum-sizeオプション理解 |
| /etc/systemd/journald.conf | ログ保存設定 | SystemMaxUse など | 永続設定で出題 |
| du -sh /var/log | ログ容量調査 | ローテーション管理 | 実務問題として出題 |
| /proc | カーネル情報仮想FS | /proc/cpuinfo, /proc/meminfo | 状態取得で使用 |
| /sys | カーネルデバイス設定 | デバイス属性操作 | udev連携理解 |
| udev | デバイス自動設定デーモン | /etc/udev/rules.d/ | ルール記述理解 |
| lsmod | カーネルモジュール一覧 | `lsmod | grep e1000` |
| modprobe | モジュールロード | modprobe -rで削除 | 永続設定は/etc/modules-load.d |
| lspci / lsusb | ハードウェア情報確認 | PCI/USB機器一覧 | NIC・USBデバイス解析 |
| dmidecode | BIOS/ハード情報表示 | システム型番など | 実務寄り出題あり |
| smartctl | HDD健全性診断 | smartctl -a /dev/sda | SMART値解析 |
| fsck | ファイルシステム検査 | 起動時自動実行あり | 手動実行時はumount必須 |
| mount / umount | ファイルシステム操作 | mount -a で一括 | /etc/fstab連携 |
| /etc/fstab | 永続マウント設定 | デバイス・タイプ・オプション | 項目順序問題出題 |
| swap | 仮想メモリ領域 | /etc/fstabで定義可 | swapon, swapoff理解 |
| swapon / swapoff | スワップ有効化/無効化 | メモリ不足対策 | 優先度設定理解 |
| sysctl | カーネルパラメータ変更 | sysctl -w net.ipv4.ip_forward=1 | 永続化は/etc/sysctl.conf |
| /etc/sysctl.conf | カーネル設定ファイル | ネットワークやFS設定 | IPv4転送設定で出題 |
| i18n / locale | 言語環境設定 | locale, /etc/locale.conf | LANG変数の優先順位 |
| date / timedatectl | 時刻設定 | timedatectl set-timezone Asia/Tokyo | NTP連携確認 |
| chronyd / ntpd | 時刻同期デーモン | /etc/chrony.conf | NTPサーバ構成理解 |
| chronyc sources | 同期状況確認 | オフセット・遅延確認 | 時刻ずれトラブル問題あり |
| rsync / tar | バックアップコマンド | 差分同期/圧縮アーカイブ | スクリプト自動化 |
| dump / restore | ファイルシステム単位バックアップ | ext系対応 | レガシー問題で登場 |
| dd | デバイスコピー | dd if=/dev/sda of=/dev/sdb | バックアップ・復旧 |
| lvm snapshot | 論理ボリュームスナップショット | lvcreate -s | バックアップ直前に使用 |
| systemctl reboot / poweroff | システム再起動/停止 | メンテナンス操作 | runlevel対比出題 |
| who / last | ログイン履歴確認 | /var/log/wtmp参照 | 不正ログイン追跡 |
| lastlog | 全ユーザー最終ログイン表示 | /var/log/lastlog | 改ざん検知 |
| faillog | ログイン失敗記録 | /var/log/faillog | ロックアウト設定関連 |
| passwd -l / -u | アカウントロック/解除 | root権限操作 | 侵入対策設定理解 |
| usermod -L / -U | アカウント制御 | passwdコマンドと同等 | 運用上の管理 |
その他参考情報
LPIC202のその他参考情報を以下に記載します。
LPIC-2 202(Linux Engineer) 概要・前提条件
| 項目 | 内容 |
|---|---|
| 試験コード | 202-450 |
| 試験時間 | 90分 |
| 問題数 | 約60問(選択式+記述式) |
| 認定の有効期間 | 5年 |
| 前提条件 | LPIC-1 の認定を保持していること |
| 試験テーマ | ネットワークサービス・セキュリティ・システム連携・トラブル対応など、実務的なLinux運用スキルの習得と評価 |
| 試験バージョン | Version 4.5.0 |
| 対応OS | Debian / Ubuntu / RHEL / CentOS / SUSE など主要ディストリビューション全般 |
| 注意事項 | LPIC-202は「サーバ・ネットワーク・セキュリティ」を横断的に問う試験。 DNS・Web・Samba・NFS・Postfix・Dovecot・SSH・iptables などが主要領域。 |
出題範囲(トピック別・目安重み)
以下は、LPI公式試験範囲(Version 4.5.0)をもとに整理したLPIC-202 の主要トピック構成と学習の優先度(重み)です。
| トピック | 出題内容 | 重み |
|---|---|---|
| 207:Domain Name Server(DNSサービス) | BIND9による正引き・逆引き設定、ゾーン委任、キャッシュDNS、セキュリティ設定(ACL・chroot・DNSSEC) | 3 |
| 208:Web Services(Webサーバ) | Apache 2.4 / Nginx の構築、仮想ホスト設定、リバースプロキシ、TLS/SSL、mod_rewrite、アクセス制御 | 3 |
| 209:File Sharing(ファイル共有) | Samba によるWindows連携(AD・CIFS)、NFSv4構成、FTP(vsftpd)による転送設定、SELinux対応 | 4 |
| 210:Network Client Management(ネットワーククライアント管理) | DHCPクライアント設定、LDAP/SSSD認証、PAM構成、ローカルおよびリモートユーザー認証、名前解決(nsswitch.conf) | 3 |
| 211:E-Mail Services(メールサービス) | Postfix・Dovecot・SASL・TLSによるメール送受信環境、SPF/DKIM/DMARC、仮想ユーザー設定、メール中継制御 | 5 |
| 212:System Security(システムセキュリティ) | SSH・GPG・iptables/firewalld・VPN・SELinux/AppArmorなどによる暗号化通信・アクセス制御・防御策 | 5 |
| 213:Troubleshooting & Maintenance(監視と保守) | systemd/journalctl・ログ解析・ネットワーク診断(ping, ss, tcpdump)・自動化・障害対応 | 4 |