最終更新日 2025年10月15日
Contents
はじめに
LPIC-300(Mixed Environment)は、LinuxとWindowsを統合管理する“上級者向け試験”です。
Version 3.0では、LDAPディレクトリサービス、Kerberos認証、SambaによるAD連携、NFS・SSHを含むクライアント管理が中心となっています。
この記事では、LPIC-300で頻出の約460用語をまとめました。
是非学習の参考にしてみてください!
① LDAP ディレクトリサービスの構築と管理(301)
LDAPはLinux・Windows間の「認証の中核」です。
OpenLDAPの構成、スキーマ、ACL、TLS設定、レプリケーション、バックアップが出題範囲。
特に cn=config 形式の動的設定や syncrepl レプリケーションは頻出。
ACL・TLS・schema・replication の4点を重点的に理解すると得点源になります。
| 用語 | 意味 | 主な使い方や構成要素 | 試験でのポイント |
|---|---|---|---|
| LDAP(Lightweight Directory Access Protocol) | 階層構造のデータベースにアクセスするためのプロトコル | TCP/UDPポート389を使用し、ディレクトリ情報を検索・参照する | LDAPは“軽量なX.500”として設計されたことを理解する |
| slapd | OpenLDAPのサーバデーモン | /etc/openldap/slapd.conf または cn=config(動的設定)を使用 | slapd.conf形式とcn=config形式の違いを区別する |
| slapd.conf | OpenLDAPの旧形式設定ファイル | スキーマ、ACL、データベース設定などを記述 | 新形式cn=configへの移行が推奨される点を押さえる |
| cn=config | OpenLDAPの動的設定ディレクトリ | 設定をLDAPエントリとして管理可能 | slapcat/slapaddでの編集ではなくldapmodifyで変更する |
| slapcat | データベースの内容をLDIF形式で出力 | バックアップやデータ移行に使用 | slapcatはslapd停止中でも実行可能 |
| slapadd | LDIF形式のデータをインポート | 新しいディレクトリの初期化に利用 | slapd停止中に実行する必要がある |
| slapindex | インデックス再構築ツール | attribute index 再生成に利用 | slapd停止が必要、index定義後に実施 |
| ldapsearch | LDAPクエリを行うコマンド | ldapsearch -x -b "dc=example,dc=com" | 匿名バインド(-x)とSASLバインドの違いを理解 |
| ldapadd / ldapmodify | LDAPエントリの追加・変更ツール | LDIFファイルを指定して実行 | ldapmodify -a オプションで新規追加可能 |
| ldapdelete | エントリ削除コマンド | DNを指定して削除 | 誤削除防止のためにfilter指定を確認する |
| LDIF(LDAP Data Interchange Format) | LDAPデータのテキスト表現形式 | .ldif拡張子を持ち、属性: 値の形式で記述 | backup・restoreや移行時の標準フォーマット |
| DIT(Directory Information Tree) | ディレクトリ階層構造 | dc、ou、cnなどの属性を階層的に配置 | DIT設計時に命名規則を守ることが重要 |
| DN(Distinguished Name) | エントリの一意識別名 | 例:cn=admin,dc=example,dc=com | DNとRDNの違いを理解する |
| RDN(Relative Distinguished Name) | DNの一部、親からの相対名 | 例:cn=admin | DN構築時に階層を意識する |
| dc(domainComponent) | ドメイン名の要素 | dc=example,dc=com のように使用 | DNS名との対応関係を理解 |
| ou(organizationalUnit) | 組織単位を表す属性 | ou=People, ou=Groups など | 構造設計時によく使われる基本要素 |
| cn(commonName) | 一般的な名前属性 | cn=admin, cn=user01 など | 多くのオブジェクトで用いられる標準属性 |
| uid | ユーザID属性 | uid=user1 など | POSIXアカウントと連携時に必須 |
| gidNumber / uidNumber | UNIXアカウント識別子 | NSS/SSSDと連携時に使用 | LDAPユーザのUNIXログイン統合に必要 |
| objectClass | エントリの種類を定義 | inetOrgPerson, posixAccountなど | スキーマの定義理解が必要 |
| inetOrgPerson | ユーザエントリの標準objectClass | sn, givenName, mail などを保持 | LDAPユーザの標準構造として頻出 |
| posixAccount | UNIXアカウント属性クラス | uidNumber, gidNumber, homeDirectory など | LDAPとNSS/PAM連携で使用 |
| posixGroup | UNIXグループクラス | cn, gidNumber, memberUid 属性 | UNIXグループ連携で重要 |
| schema | 属性やobjectClassの定義集合 | /etc/openldap/schema 以下に配置 | カスタムスキーマ追加時の編集方法を理解 |
| core.schema | OpenLDAP標準スキーマ | inetOrgPerson, organizationなどを含む | 必須スキーマとしてロードされる |
| cosine.schema | インターネット属性拡張スキーマ | mail, labeledURI などの属性を定義 | inetOrgPerson利用時に必須になることがある |
| nis.schema | UNIX互換スキーマ | posixAccount, posixGroupなどを含む | UNIX連携での利用頻度が高い |
| custom schema | 独自拡張スキーマ | 企業独自属性を追加 | OID管理が重要(1.3.6.x など) |
| OID(Object Identifier) | スキーマ識別用番号 | 例:1.3.6.1.4.1.1466.344 | 重複禁止、企業独自OIDの申請可能 |
| access control(ACL) | アクセス制御ルール | access to 属性 by 誰 認可 | 匿名・認証済みの区別理解が必須 |
| olcAccess | cn=config形式でのACL設定 | olcDatabase={1}mdb,cn=config配下に記述 | ldapmodifyで設定変更 |
| SASL(Simple Authentication and Security Layer) | 認証拡張フレームワーク | DIGEST-MD5, GSSAPI などの方式をサポート | Kerberos連携のベース技術 |
| GSSAPI(Generic Security Service API) | Kerberosベースの認証API | ldapsearch -Y GSSAPI などで利用 | LDAPとKerberos連携で試験頻出 |
| TLS/SSL | 通信暗号化プロトコル | ポート636(LDAPS)使用 | olcTLSCertificateFile等の設定理解 |
| olcTLSCertificateFile | サーバ証明書のパス指定 | /etc/openldap/certs/server.pem など | 秘密鍵と証明書の整合性確認 |
| olcTLSCACertificateFile | CA証明書指定 | クライアント検証用に必要 | 双方向認証構成時に重要 |
| replication | データ複製機能 | master-slave, multi-master | syncrepl設定を理解 |
| syncrepl | OpenLDAPの複製設定構文 | provider, bindmethod, searchbase など | cn=configで設定管理 |
| delta-syncrepl | 差分レプリケーション方式 | changelogDB利用 | 大規模環境での負荷軽減 |
| rid(Replica ID) | レプリケーション識別子 | 各slaveで固有番号を付与 | 重複禁止、競合防止に重要 |
| contextCSN | レプリカ間同期状態識別子 | データ変更の最終状態を表す | レプリケーションの整合性確認に使用 |
| slaptest | 設定ファイル検証ツール | slaptest -f /etc/openldap/slapd.conf | cn=config変換にも利用可能 |
| slapacl | ACL評価テストツール | 指定DNに対するアクセス権確認 | ACLデバッグで利用 |
| back-mdb | デフォルトのバックエンドデータベース | 高速・堅牢なMemory-Mapped DB | back-hdbは非推奨化されている |
| back-hdb | 旧バックエンド形式 | BDB互換のツリー構造 | 現在はback-mdb推奨 |
| olcDatabase | データベース設定項目 | olcDatabase={1}mdb,cn=config | データ保存パスやインデックス設定を含む |
| olcSuffix | データベースのルートDN指定 | 例:dc=example,dc=com | 一貫性確保のため1DBに1suffix |
| olcRootDN | 管理者DN | cn=Manager,dc=example,dc=com | slapd.confでのrootdn相当 |
| olcRootPW | 管理者パスワード | hashedで保存(slappasswdで生成) | 平文パスワード禁止 |
| slappasswd | パスワードハッシュ生成ツール | SHA, SSHA, MD5など対応 | {SSHA}形式で保存される |
| olcDbDirectory | データベースファイル格納ディレクトリ | /var/lib/ldap など | 権限設定(ldap:ldap)を忘れない |
| olcDbIndex | 属性のインデックス設定 | eq, pres, sub などのタイプ指定 | 検索速度最適化に重要 |
| olcDbCacheSize | キャッシュサイズ設定 | メモリチューニングに関係 | 大規模環境での性能最適化に使用 |
| pam_ldap | PAM認証用LDAPモジュール | /etc/ldap.conf に設定 | pam.dとの連携理解が必要 |
| nss_ldap | NSS用LDAPモジュール | /etc/nsswitch.conf と連携 | getent passwd で動作確認 |
| sssd | System Security Services Daemon | LDAP/Kerberos統合認証デーモン | 近年はnss_ldapよりSSSDが主流 |
| sssd.conf | SSSD設定ファイル | [domain/example.com], [sssd], [nss]など | 認証・キャッシュ設定が試験対象 |
| authconfig / authselect | 認証設定ユーティリティ | RHEL系ディストリでSSSD設定補助 | GUI/CLI両方で設定可能 |
| ldap.conf | LDAPクライアント設定ファイル | /etc/openldap/ldap.conf | BASE, URI, TLS設定理解 |
| BASE | LDAPクライアント検索ベースDN | dc=example,dc=com | 全クエリの検索範囲に影響 |
| URI | LDAPサーバの接続先指定 | ldap://ldap.example.com | LDAPSはldaps://を使用 |
| STARTTLS | 通信の動的暗号化開始 | 389ポートでも暗号化可能 | openssl s_clientで検証可能 |
| replication log(changelog) | レプリケーション用変更ログ | delta-syncreplで使用 | データ不整合時の再同期確認 |
| backup & restore | データ保全手順 | slapcat → slapadd | バージョン互換性注意 |
| monitoring | cn=Monitorディレクトリ | slapd統計情報を保持 | ldapsearchで統計確認可能 |
| cn=Subschema | スキーマ情報を保持するエントリ | 属性一覧を確認可能 | schemaの確認に使用 |
| olcLogLevel | ログレベル設定 | stats, acl, sync など指定可能 | デバッグ時に利用 |
| rsyslog連携 | slapdログをsyslogで管理 | local4.* /var/log/slapd.log | ログローテート設定も確認 |
| memberOf overlay | グループ所属逆参照機能 | グループ検索を高速化 | Active Directory互換性に寄与 |
| refint overlay | 参照整合性確保 | 削除時に関連エントリ更新 | データ整合性維持に必須 |
| ppolicy overlay | パスワードポリシー拡張 | 有効期限、履歴、強度設定 | セキュリティ管理で重要 |
| auditlog overlay | 変更履歴出力 | LDIF形式で保存 | 監査要件対応に使用 |
| translucent overlay | ローカル属性オーバーレイ | 外部LDAP属性を上書き | 認証統合時の特殊用途 |
| relay backend | LDAP転送用バックエンド | 外部ディレクトリへ転送 | フロントLDAP構成に使用 |
| chain overlay | リファラル自動フォロー | referral自動解決 | クライアント側設定不要 |
| proxy backend | LDAPプロキシ | 下位サーバへ転送 | 負荷分散や統合時に利用 |
| slapd -d | デバッグモード起動 | ログレベルを指定可能 | 設定トラブル時に有効 |
| LD_LIBRARY_PATH | slapd実行時のライブラリパス | 一部環境で必要 | OpenSSL連携時に確認 |
| TLSVerifyClient | クライアント証明書検証設定 | never, allow, demandなど | 双方向TLS時に重要 |
| olcSecurity | セキュリティパラメータ設定 | ssf(minimum encryption level) | 認証強度の強制に使用 |
| olcIdleTimeout | セッションタイムアウト設定 | 秒単位で指定 | 不要接続の切断制御 |
| olcConcurrency | 同時スレッド数設定 | 性能チューニング用 | CPUコア数に合わせ最適化 |
| cn=Configバックアップ | 設定データのバックアップ | slapcat -n 0 | 設定レベルのバックアップ理解 |
| cn=Config復元 | 設定のリストア | slapadd -n 0 | 運用時の復旧に重要 |
| ldapwhoami | 現在の認証ユーザ確認 | -Y GSSAPIなどと併用 | 認証トラブル解析に使用 |
| SASL realm | 認証ドメイン指定 | saslRealm: EXAMPLE.COM | Kerberos連携時に必須 |
| tls_cacertdir | CA証明書ディレクトリ | /etc/openldap/cacerts | hash化(c_rehash)が必要 |
| password policy DN | パスワードポリシー設定DN | cn=default,ou=policies,dc=example,dc=com | ppolicy overlayで参照される |
| olcThreads | スレッド数指定 | 同時クエリ処理数 | 高負荷環境の最適化 |
| olcDbCheckpoint | DBチェックポイント間隔 | kbyte数・時間指定可能 | 障害時のリカバリ性能に関係 |
| indexタイプ eq/pres/sub | 検索タイプ指定 | eq=等価, pres=存在, sub=部分一致 | 検索性能改善に必須 |
| replication provider/consumer | 複製の役割 | provider=マスター, consumer=スレーブ | 双方向構成時に整合性維持 |
| bindDN | レプリケーション認証ユーザ | cn=replicator,dc=example,dc=com | bindmethod=simple時に使用 |
| bindmethod | 認証方式指定 | simple / sasl / GSSAPI | セキュリティ方針で選択 |
| searchbase | レプリケーション対象ベースDN | dc=example,dc=com | 部分同期設定も可能 |
| retry | 同期再試行設定 | 60 + 5 + 300 | 接続切断時のリトライ制御 |
| timeout | 同期タイムアウト設定 | 秒単位で指定 | 通信遅延環境で調整 |
② ネットワーク認証とセキュリティ(302)
Kerberos・SASL・PAM・SSSDによる統合認証とTLS通信がテーマ。
KerberosのTGT/TGSフロー、/etc/krb5.conf の構成、PAMモジュールの順序は確実に押さえる。
sssd.conf の設定やLDAP+Kerberos連携も実務的に重要。
セキュリティ対策としてTLS証明書・パスワードポリシー・時刻同期も出題されます。
| 用語 | 意味 | 主な使い方や構成要素 | 試験でのポイント |
|---|---|---|---|
| Kerberos | チケットベースの認証プロトコル | KDC・TGSを利用し、暗号化チケットで認証を行う | 対称鍵方式(共通鍵暗号)を利用する点を押さえる |
| KDC(Key Distribution Center) | Kerberosの中核となる認証サーバ | AS(Authentication Server)とTGS(Ticket Granting Server)を含む | 「KDC=AS+TGS」で構成される点を理解 |
| AS(Authentication Server) | クライアント初回認証を担当 | パスワードからTGTを発行 | ユーザ名と鍵を用いて初回ログイン認証を行う |
| TGS(Ticket Granting Server) | サービスアクセス時にTGSチケットを発行 | ASで発行されたTGTを用いて要求 | TGT→TGS→Service Ticketの流れを理解 |
| TGT(Ticket Granting Ticket) | サービスチケット取得用の中間チケット | 有効期限付き、暗号化されている | 再認証を減らすためのキャッシュ的役割 |
| Service Ticket | サービスにアクセスするための認証トークン | TGSから発行される | 対象サーバとの共通鍵で暗号化される |
| krb5.conf | Kerberosクライアント設定ファイル | /etc/krb5.conf に配置 | [libdefaults], [realms], [domain_realm]を理解 |
| /etc/krb5.keytab | サーバ秘密鍵を保存 | 自動認証用、kinit不要でログイン可能 | サービスプリンシパルと紐づく |
| kinit | Kerberosチケット取得コマンド | kinit user@REALM | 認証成功でTGTが発行される |
| klist | Kerberosチケットの確認 | klist -lでキャッシュ確認 | 有効期限や発行元を確認可能 |
| kdestroy | チケットキャッシュの削除 | セキュリティ目的で使用 | ログアウト時に自動削除することも可能 |
| realm | Kerberosの管理ドメイン | 大文字表記(例:EXAMPLE.COM) | DNSドメインとは区別される |
| principal | Kerberosのユーザ識別名 | 形式:user@REALM | サービスの場合はhost/server@REALM |
| keytab | サーバ側秘密鍵ファイル | /etc/krb5.keytabに格納 | klist -kで内容を確認 |
| kadmin | Kerberos管理ツール | ユーザ・ポリシー・鍵登録 | 管理サーバ上で実行 |
| kadmind | Kerberos管理デーモン | 管理要求(addprinc等)を受け付け | TCPポート749を使用 |
| kdb5_util | データベース管理ツール | create, dump, load など | バックアップ・復旧で使用 |
| kadmind5.acl | Kerberos管理権限設定 | 管理者や操作範囲を定義 | ACL構文を理解する必要あり |
| krb5kdc | KDCデーモン | ポート88/TCP・UDP | サーバ起動確認はsystemctl status krb5kdc |
| krbtgt | 特殊プリンシパル | TGT発行用アカウント | 自動生成される(krbtgt/REALM) |
| PAM(Pluggable Authentication Modules) | 認証をモジュール化した仕組み | /etc/pam.d/ 以下でサービス単位設定 | 認証順序と制御フラグを理解 |
| /etc/pam.d/system-auth | PAMの共通設定ファイル | ほとんどのサービスがこれを参照 | include指定の理解が必要 |
| pam_unix.so | 標準UNIX認証モジュール | /etc/passwd, /etc/shadow を参照 | 最後にlocal fallbackとして使用されることが多い |
| pam_ldap.so | LDAP認証用モジュール | /etc/ldap.conf で設定 | LDAP連携の基本となる |
| pam_krb5.so | Kerberos認証モジュール | Kerberosチケットを使用 | LDAP+Kerberos連携で頻出 |
| pam_sss.so | SSSD認証モジュール | SSSDを介して統合認証 | RHEL 8以降では標準的手法 |
| pam_tally2 / pam_faillock | 認証失敗回数の制限 | ロックアウトポリシーの設定に使用 | セキュリティ強化の観点で出題される |
| SSSD(System Security Services Daemon) | LDAP/Kerberos統合認証デーモン | 認証キャッシュ、オフライン認証対応 | nss_ldapより新しい仕組み |
| /etc/sssd/sssd.conf | SSSD設定ファイル | [domain/example], [sssd], [nss] | permission: 600でなければ起動失敗 |
| sssd_nss | NSSプラグイン | LDAPからユーザ情報取得 | getentコマンドで確認できる |
| sssd_pam | PAMプラグイン | 認証リクエストをSSSDに中継 | パスワード変更要求もサポート |
| sssd_be | バックエンドモジュール | LDAP, AD, IPAなどを統合 | 各ドメイン別の設定が可能 |
| nsswitch.conf | 名前解決とユーザ情報の検索順序 | passwd, group, shadow, hostsなど | LDAPを追加する構文を理解 |
| authselect | RHELの認証設定ツール | sssd, winbind, local等を簡易設定 | GUI・CLI両対応、RHEL8以降標準 |
| NSS(Name Service Switch) | 名前サービス統合メカニズム | ローカルファイルとLDAPを連携 | sssd経由で取得できる構造を理解 |
| GSSAPI(Generic Security Service API) | Kerberos認証API標準 | LDAPやSSHなどで利用 | SASL経由の認証実装で重要 |
| SASL(Simple Authentication and Security Layer) | アプリケーション認証の共通フレーム | DIGEST-MD5, GSSAPI, PLAINなどをサポート | LDAPやSMTPで多く使われる |
| SASL mechanism | 認証メソッド種別 | PLAIN, LOGIN, GSSAPIなど | 暗号化レイヤーとの関係を押さえる |
| /usr/lib/sasl2/ | SASLモジュール格納ディレクトリ | mechlist確認で利用可 | 使用するメカニズムに応じた設定要 |
| mechlist | SASL利用メカニズムリスト | 例:GSSAPI, PLAIN | 利用可能な認証方式を確認 |
| /etc/saslauthd.conf | saslauthd設定ファイル | ldap_servers, mech, search_base等 | LDAP認証連携時に必要 |
| saslauthd | SASL認証デーモン | PAM, LDAP, Kerberosに連携 | systemctlで起動確認可能 |
| TLS(Transport Layer Security) | 通信暗号化プロトコル | SSLの後継、バージョン1.2/1.3主流 | OpenLDAPやメール通信でも利用 |
| SSL証明書 | 通信暗号化と認証に使用 | 公開鍵+署名 | 有効期限・CN一致が重要 |
| CSR(Certificate Signing Request) | 証明書署名要求 | openssl req -new -key server.key -out server.csr | CA署名の前段階 |
| CA(Certificate Authority) | 証明書を発行する機関 | ルート・中間CAで階層化 | 自己署名CAの作成方法も出題される |
| openssl | 暗号関連コマンド群 | 証明書生成・確認・暗号化 | openssl x509 -in cert.pem -textで内容確認 |
| Diffie-Hellman鍵交換 | 共通鍵を安全に生成する方式 | TLSなどで使用 | 鍵交換の仕組み理解が必要 |
| AES | 共通鍵暗号方式 | TLSやKerberosで使用 | 速度と強度のバランスが良い |
| HMAC | メッセージ認証コード | ハッシュ+秘密鍵で改ざん検知 | SHA256などと組み合わせ使用 |
| RC4 | 旧式のストリーム暗号 | Kerberos v4などで利用されていた | 現在は非推奨 |
| GPG(GNU Privacy Guard) | 公開鍵暗号ツール | メールやファイルの署名・暗号化 | 鍵ペア生成・インポートコマンド確認 |
| gpg –gen-key | 鍵ペア生成 | 対話式でRSA等選択 | 秘密鍵保護パスフレーズも設定 |
| gpg –export / –import | 公開鍵共有・受信 | 信頼レベル管理が必要 | fingerprint確認が重要 |
| gpg –sign / –verify | デジタル署名 | 送信者認証と改ざん検出 | SHA256署名などで試験頻出 |
| SSH(Secure Shell) | 暗号化されたリモート接続 | 公開鍵・秘密鍵で認証 | パスワード認証より安全 |
| ~/.ssh/authorized_keys | 許可された公開鍵リスト | 接続ユーザ毎に設定 | 権限600でないと無効 |
| sshd_config | SSHサーバ設定ファイル | PermitRootLogin, PasswordAuthentication等 | 鍵認証優先設定が問われやすい |
| ssh-agent | 鍵管理エージェント | 一度入力したパスフレーズを保持 | ssh-addで鍵を登録 |
| ssh-keygen | 鍵ペア生成ツール | -t rsa -b 4096 などで生成 | コメント・パスフレーズ指定を理解 |
| known_hosts | 接続先ホストの公開鍵DB | ホスト認証に使用 | 初回接続時に登録される |
| Fail2ban | ログ監視によるブルートフォース対策 | sshdログなどを監視 | /etc/fail2ban/jail.confで設定 |
| firewalld | 動的ファイアウォール | zone, service, rich rule等で制御 | LDAP/TLS/Kerberosポート開放設定が出題 |
| nftables | 新世代パケットフィルタ | iptablesの後継 | 設定構文が異なる点を理解 |
| iptables | 旧来のパケットフィルタ | filter/nat/mangleテーブル | INPUT, OUTPUT, FORWARDを理解 |
| SELinux | アクセス制御機構 | enforcing, permissive, disabled | LDAP/Samba動作時に影響することがある |
| getenforce / setenforce | SELinuxモード確認・変更 | 試験中のトラブル原因にされやすい | audit2allowで許可ルール生成できる |
| auditd | 監査ログ収集デーモン | /etc/audit/audit.rules設定 | ファイルアクセス監査設定が出題される |
| tcpdump | パケットキャプチャツール | -i eth0 port 389など | LDAP/TLS通信確認で活用 |
| wireshark | GUIパケット解析ツール | プロトコル層詳細分析 | TLSハンドシェイクやGSSAPIトレース確認 |
| failover認証 | 認証サーバ障害時の冗長化 | SSSDやKerberosでサポート | 複数サーバ指定方法を理解 |
| password policy | パスワード強度ポリシー | 最小長・履歴・期限 | LDAP ppolicy overlayと併用可能 |
| krb5_realms | Kerberosドメイン設定 | /etc/krb5.confの[realms]で指定 | DNS SRVレコード連携も確認される |
| DNS SRVレコード | サービス自動発見 | _kerberos._udp.example.com | Kerberos自動検出に必須 |
| LDAP + Kerberos統合 | 一元認証基盤 | sssdやpam_krb5で連携 | 同一UID・Realm統合設定に注意 |
| OpenSSL verify | 証明書検証コマンド | openssl verify -CAfile ca.pem cert.pem | 鎖の整合性チェックに利用 |
| PKCS#12 | 証明書+秘密鍵の複合形式 | 拡張子.p12 / .pfx | ブラウザやWindows移行で利用 |
| OCSP | 証明書失効確認プロトコル | Online Certificate Status Protocol | 失効リスト(CRL)と併用される |
| CRL(Certificate Revocation List) | 失効証明書一覧 | openssl crl -in crl.pem -text | 有効期限管理と併せて出題 |
| sssd_cache | 認証情報キャッシュ | オフライン認証時に使用 | キャッシュTTL設定が試験対象 |
| Kerberos clock skew | クライアントとサーバの時刻差 | ±5分以内に収める必要 | ntpd/chronyd設定が必須 |
| chronyd | 時刻同期デーモン | systemdベースのNTP代替 | Kerberos認証エラー防止に必須 |
| /etc/chrony.conf | chronyd設定 | server pool.ntp.org iburst | driftfileやallow設定も確認される |
| GSSAPI + LDAP | セキュアLDAP認証統合 | ldapsearch -Y GSSAPIで使用 | SASL経由でのシングルサインオン実現 |
③ Sambaとファイル共有(303)
Samba4によるActive Directoryドメインコントローラ構築が中心。
smb.conf のセクション構成、net ads join によるドメイン参加、winbind 連携設定を理解。
ファイル共有では valid users・vfs_audit・map acl inherit など実務的設定も登場。
AD連携・アクセス制御・ログ監査・VFSモジュールが得点のカギです。
| 用語 | 意味 | 主な使い方や構成要素 | 試験でのポイント |
|---|---|---|---|
| Samba | LinuxでWindows共有を実現するソフトウェア | SMB/CIFSプロトコルを実装 | ファイル共有・認証・ADドメイン構築が可能 |
| SMB(Server Message Block) | Windows系ファイル共有プロトコル | TCPポート445で通信 | CIFSはSMB1の拡張版、SMB3が最新 |
| CIFS(Common Internet File System) | SMB1の改良版プロトコル | SMB2以降で置換済み | 現在は非推奨、互換用のみ使用 |
| SMB2/SMB3 | 高速化・暗号化対応の新世代SMB | SMB2でパイプライン化、SMB3で暗号化導入 | 互換性とパフォーマンス改善に注意 |
| /etc/samba/smb.conf | Sambaのメイン設定ファイル | [global], [homes], [share]セクション | 設定構文・パラメータの意味を理解 |
| [global] セクション | 全体設定を記述 | workgroup, security, server role等 | サーバモードを指定する重要項目 |
| [homes] セクション | 各ユーザのホームディレクトリ共有 | 自動でユーザディレクトリを共有 | ログインユーザ名と同名でマウントされる |
| [share] セクション | 任意の共有領域設定 | path, valid users, browsable等 | アクセス権とセキュリティ制御に注意 |
| workgroup | Windowsワークグループ名 | デフォルト=WORKGROUP | AD連携時はREALMと一致させることが多い |
| netbios name | サーバのNetBIOS名 | Windowsから見える共有名 | 短い識別名を設定する |
| security パラメータ | 認証モード指定 | user, share, domain, ads | adsはActive Directory連携時に使用 |
| security = user | ユーザ単位認証 | 最も一般的なモード | Sambaサーバが認証を担当 |
| security = share | 共有単位認証 | 古い方式(非推奨) | SMB1時代の互換目的でのみ使用 |
| security = ads | Active Directory認証 | Kerberos連携が必要 | ドメイン参加前提の構成 |
| passdb backend | 認証情報の保存先指定 | tdbsam, ldapsam, smbpasswd | AD連携時はldapsamが主流 |
| tdbsam | Samba標準のローカルDB認証 | /var/lib/samba/passdb.tdb | 小規模環境向け |
| smbpasswd | 旧形式のパスワードファイル | /etc/samba/smbpasswd | 現在は非推奨 |
| ldapsam | LDAPバックエンドを使用 | LDAPサーバと連携 | AD連携・大規模環境で使用 |
| pdbedit | Sambaユーザ管理コマンド | -a(追加), -L(一覧), -x(削除) | LDAP利用時も内部DB同期が必要 |
| smbpasswd コマンド | Sambaパスワード登録 | smbpasswd -a user | PAM認証と独立した管理 |
| testparm | smb.confの構文チェックツール | エラー検出や設定確認 | デバッグ時の基本コマンド |
| smbd | ファイル共有デーモン | TCPポート445を使用 | メインサービス、systemd経由で起動 |
| nmbd | NetBIOSネーム解決デーモン | UDP137,138 | SMB1環境でのみ必要(SMB2以降は不要) |
| winbindd | Windowsドメイン統合デーモン | AD認証・SIDマッピング | Linuxユーザとドメインユーザの統合に必須 |
| wbinfo | winbind情報確認コマンド | wbinfo -u, wbinfo -g | ドメイン参加確認に利用 |
| net ads join | ADドメインへの参加コマンド | net ads join -U Administrator | 成功後、Kerberosチケット確認 |
| net rpc join | NT4ドメイン参加用コマンド | 古い互換モード | security=domain構成で使用 |
| realm | Active Directoryのドメイン名 | EXAMPLE.COMなど | /etc/krb5.confと一致させる必要あり |
| idmap config | UID/GIDマッピング設定 | backend, rangeを指定 | winbind連携でUID重複を防ぐ |
| idmap backend | SID→UID変換方式指定 | tdb, rid, ad, ldap等 | rid=自動計算、ad=属性参照型 |
| ridバックエンド | SIDからUID/GIDを自動生成 | 計算式ベースで一貫性維持 | 複数DC構成でも衝突しにくい |
| adバックエンド | AD属性を直接利用 | sssd/ldapと整合性が取れる | RFC2307拡張が必要 |
| winbind use default domain | ドメイン名省略を許可 | yes推奨 | ログイン名簡略化に便利 |
| kerberos method | Kerberos利用設定 | secrets and keytabなど | ADドメイン参加時に必須 |
| dedicated keytab file | Kerberos keytabファイル指定 | /etc/krb5.keytab | サービスプリンシパル管理に必要 |
| map to guest | 無効ユーザの扱い | Bad User → guest | 匿名共有構成時に使用 |
| guest account | ゲストユーザ名指定 | nobody など | セキュリティ面で制限注意 |
| valid users | アクセス許可ユーザ設定 | valid users = user1, @group | 共有アクセス制御の基本 |
| invalid users | アクセス拒否ユーザ設定 | rootを除外する設定に利用 | セキュリティ強化策 |
| read only | 読み取り専用設定 | yes/no | defaultはyesなので注意 |
| write list | 書き込み許可ユーザ | 特定ユーザのみ書き込み可 | 読み取り専用共有でも例外設定可能 |
| create mask / directory mask | ファイル・ディレクトリ権限指定 | 例:0775, 0644 | 共有作成時のパーミッション制御 |
| force user / force group | 共有ファイルの所有者指定 | 例:force user = shareuser | アクセス統一に便利 |
| browseable | 共有を一覧表示対象にする | yes/no | 一部非表示共有で使用($付与でも可) |
| hosts allow / deny | 接続元制限 | 192.168.1. / ALL など | ネットワークアクセス制御に有効 |
| log file | ログ出力先 | /var/log/samba/log.%m | トラブルシューティングで重要 |
| max log size | ログファイル上限KB指定 | 5000など | 自動ローテート設定も可能 |
| vfs objects | Sambaの拡張モジュール | recycle, audit, acl_xattrなど | 特殊機能追加に利用 |
| vfs_recycle | ごみ箱機能 | 削除ファイルを隔離保存 | “誤削除防止”で出題されやすい |
| vfs_audit | アクセス監査ログ出力 | 読み書き操作をsyslogへ記録 | セキュリティ・監査対策に利用 |
| vfs_acl_xattr | ACLを拡張属性に保存 | Windows互換ACLを再現 | “map acl inherit”と併用 |
| map acl inherit | ACL継承制御 | yesにすると親ACLを引き継ぐ | NTFS互換設定で出題される |
| server role | Sambaの役割設定 | standalone, member, active directory domain controller | 役割の違いを理解する |
| server role = active directory domain controller | SambaをAD DCとして動作 | 内部DNS/Kerberosを含む | Samba4から可能になった |
| samba-tool | Samba管理CLIツール | domain, user, dns, fsmo等の管理 | Samba4管理で中心的コマンド |
| samba-tool domain provision | 新しいADドメインを作成 | –use-rfc2307オプションあり | LDAP+Kerberos自動構成を行う |
| samba-tool user create | ADユーザ作成 | パスワード指定含む | Windowsからも認識される |
| samba-tool group addmembers | グループへのメンバ追加 | domain users等の管理 | GUI代替として覚える |
| samba-tool fsmo show | FSMOロール確認 | PDC Emulator等の役割確認 | マルチDC環境での責任確認 |
| samba-tool dns add | 内蔵DNS管理 | A, SRVレコード追加 | Kerberos動作に必須なSRV確認 |
| samba-tool drs replicate | ドメインコントローラ間同期 | レプリケーション状態を確認 | AD複製トラブル時の確認コマンド |
| net rpc rights grant | 管理権限付与 | “SeMachineAccountPrivilege”など | ドメイン参加権限付与で使用 |
| samba_dnsupdate | 内蔵DNSの自動更新 | /usr/sbin/samba_dnsupdate | SRV/Aレコード更新の自動化 |
| dns forwarder | 上位DNS指定 | /etc/resolv.conf相当 | 名前解決トラブル時の確認点 |
| smbstatus | 現在の接続状況確認 | ロック中ファイルや接続ユーザを表示 | ファイルロックトラブル解析に使用 |
| smbclient | SMB共有アクセス用CLIツール | Windowsのnet useに相当 | smbclient -L server で一覧表示 |
| mount -t cifs | CIFS共有マウント | //server/share /mnt/share | ユーザ・パスワード指定で接続 |
| credentialsファイル | CIFSマウント認証情報 | username, password記載 | fstabに利用しやすい |
| /etc/fstab CIFS設定 | 自動マウント設定 | _netdev, credentials=/root/.smbcred | OS起動時マウントに便利 |
| smbcontrol | デーモン制御コマンド | reload-config, close-share等 | 設定反映やデバッグに使用 |
| net usershare | 一般ユーザ共有作成コマンド | デスクトップ共有向け | 家庭用用途で試験外のこともある |
| smb.conf include | 外部設定ファイル読込 | include = /etc/samba/extra.conf | 管理分割に利用 |
| encrypt passwords | パスワード暗号化送信設定 | yes推奨 | 平文パスワード送信は非推奨 |
| lanman auth | 古い認証互換設定 | no推奨 | SMB1互換性用、セキュリティリスク |
| ntlm auth | NTLM認証許可設定 | yes/no | Kerberos導入後はnoが推奨 |
| client min protocol / max protocol | SMBバージョン制限 | SMB2_02~SMB3_11など | セキュリティ方針で制御 |
| signing required | パケット署名必須化 | yes推奨 | 改ざん防止で重要 |
| smb encrypt | 通信暗号化設定 | required / desired / off | SMB3以降対応 |
| dfs(Distributed File System) | 分散共有管理 | dfs rootで設定 | Sambaでもサポートあり |
| spoolss | プリンタスプーラサービス | AD連携時に自動起動 | SMB経由印刷機能の基盤 |
| cups integration | CUPSとの連携印刷 | printing = cups | Linuxサーバプリンタ共有に使用 |
| wins support | WINSサーバ有効化 | yes/no | NetBIOS名解決用、SMB1環境のみ |
| wins server | 外部WINSサーバ指定 | IPアドレス指定 | Windowsとの互換維持に必要 |
| dns proxy | DNSフォールバック設定 | yes/no | WINS解決失敗時に利用 |
| logon path / logon script | ローミングプロファイル指定 | Windowsログオン時に実行 | Samba PDC構成で出題 |
| profile acls | プロファイルACL管理 | yes推奨 | Windowsクライアント互換性確保 |
| ldap admin dn | LDAP管理者DN指定 | ldapsam利用時に必要 | smbpasswdと同期設定が出題される |
| ldap suffix | LDAPベースDN指定 | dc=example,dc=com | Samba-LDAP統合構成で必要 |
| ldap ssl | LDAP通信暗号化指定 | start tls / off | TLS有効化手順を理解 |
| ldap passwd sync | LDAPとパスワード同期設定 | yes / only / no | 双方向同期設定を理解 |
| vfs_shadow_copy | スナップショット参照機能 | Windowsの「以前のバージョン」に対応 | snapshot directoryと連携 |
| recycle:repository | ごみ箱の保存先指定 | .recycleなど | vfs_recycleと併用で出題される |
| strict locking | ファイルロック制御 | yes/no | 同時アクセス制御の挙動に関係 |
| oplocks(opportunistic lock) | クライアントキャッシュ制御 | yes/no | 高速化とデータ整合性のトレードオフ理解 |
| socket options | ネットワーク性能調整 | TCP_NODELAY, SO_RCVBUFなど | チューニングパラメータとして登場 |
| name resolve order | 名前解決順序 | lmhosts, host, wins, bcast | WINS利用時に重要 |
| smb ports | 使用ポート指定 | 445 139 | SMB1/2互換性確認に必要 |
| unix extensions | UNIX属性共有機能 | yes/no | シンボリックリンク共有などに関与 |
| ea support | 拡張属性サポート | yes推奨 | Windows互換ACL保存に必要 |
| dos charset / unix charset | 文字コード変換設定 | CP932 / UTF-8 | 日本語環境では重要 |
| mangled names | 長いファイル名の変換設定 | yes(短縮) | SMB1との互換性で出題 |
| acl map full control | Windows「フルコントロール」対応 | yes/no | ACL権限変換を制御 |
| audit logs | ファイル操作ログ | VFS audit利用 | セキュリティ要件で出題されやすい |
| log level | デバッグレベル | 1〜10 | 高すぎるとパフォーマンス低下 |
| systemctl status smb | Sambaサービス確認 | smbd/nmbd/winbinddの状態確認 | 基本トラブル対応として頻出 |
| systemctl enable smb | 自動起動設定 | 起動対象サービスを管理 | multi-user.targetに登録 |
④ ネットワーククライアント管理(304)
NFS・SSH・CUPS・DNS/DHCPクライアント・ログ・監視まで幅広い範囲。
/etc/exports、autofs、/etc/chrony.conf、rsyslog、journalctlなど設定を正確に理解。
Kerberos認証付きNFS(sec=krb5p)やsystemd-resolvedによるDNS設定も出題されやすい。
クライアント管理=“認証・通信・監視の統合” と捉えると理解が深まります。
| 用語 | 意味 | 主な使い方や構成要素 | 試験でのポイント |
|---|---|---|---|
| NFS(Network File System) | ネットワーク経由でファイル共有する仕組み | TCP/UDPポート2049を使用 | NFSv4では認証・ACLが強化されている |
| NFSv3 | クラシックなNFSバージョン | stateless設計、UDP対応 | root_squash設定などが試験対象 |
| NFSv4 | 認証・ロック・ACL統合型NFS | stateful、TCPのみ | Kerberos認証(sec=krb5)対応 |
| /etc/exports | NFSサーバ側設定ファイル | 共有ディレクトリとアクセス許可を記述 | シンタックスミスで起動失敗に注意 |
| exportfs | NFSエクスポート管理コマンド | -a, -r, -u等で設定反映 | 設定変更後は必ずexportfs -ra実行 |
| showmount | NFSクライアントから共有確認 | showmount -e server | NFSサーバの設定確認で使用 |
| mount -t nfs | NFSマウントコマンド | mount -t nfs server:/share /mnt | /etc/fstab登録も出題される |
| /etc/fstab | 永続マウント設定ファイル | nfs, nfs4タイプ対応 | _netdev, autoオプション理解 |
| nfsstat | NFS通信統計確認 | クライアント/サーバ両方で使用 | パフォーマンス問題調査に役立つ |
| rpcbind | RPCポート管理デーモン | NFSv3以前で必要 | NFSv4では不要になった |
| idmapd | NFSv4のUID/GIDマッピング | /etc/idmapd.conf設定 | ドメイン名設定不一致に注意 |
| /etc/idmapd.conf | NFSv4 IDマッピング設定 | Domain, Methodなど | UID整合性維持に重要 |
| sec=krb5 | NFSセキュリティオプション | Kerberos認証でマウント | krb5i(完全性)、krb5p(暗号化)も出題 |
| autofs | 自動マウントデーモン | /etc/auto.master, /etc/auto.misc設定 | 大規模環境の共有管理で使用 |
| automount | autofsサービス起動コマンド | systemctl start autofs | 遅延マウント・自動アンマウント理解 |
| /etc/auto.master | マスターマップ設定 | マップファイルを参照 | サブマップ定義と記述形式を覚える |
| /etc/auto.misc | 自動マウントマップ例 | cd / -fstype=iso9660 … | 自動マウント設定例として出題される |
| /etc/hosts | 名前解決ローカル設定 | DNS不在時に使用 | 優先順位はnsswitch.confで制御 |
| /etc/resolv.conf | DNSクライアント設定ファイル | nameserver, search, options | searchドメイン補完の挙動を理解 |
| systemd-resolved | DNSキャッシュデーモン | /run/systemd/resolve/resolv.conf | RHEL 9以降で利用 |
| resolvectl | DNS設定確認ツール | resolvectl status | DNSサーバ確認・再設定に使用 |
| dig / nslookup | DNS問い合わせツール | dig +trace, nslookup -type=SRV | LDAP/Kerberos SRV確認にも使用 |
| /etc/nsswitch.conf | 名前サービスの順序設定 | hosts, passwd, groupなど | files → dns → myhostname の順序理解 |
| DHCP(Dynamic Host Configuration Protocol) | IPアドレス自動割り当てプロトコル | UDP67/68 | DHCPクライアント設定確認問題が出る |
| dhclient | DHCPクライアントコマンド | dhclient eth0 | 一時IP再取得などで使用 |
| /etc/dhcp/dhclient.conf | DHCPクライアント設定ファイル | request, timeout等 | DNS更新設定も含む |
| nmcli | NetworkManager CLI | 接続・IP・DNS設定変更 | NetworkManager環境で頻出 |
| hostnamectl | ホスト名管理コマンド | set-hostname / status | FQDNと短縮名の違い理解 |
| chronyd | 時刻同期デーモン | /etc/chrony.conf設定 | NTPより軽量で高速 |
| /etc/chrony.conf | chrony設定ファイル | server, driftfile, allow等 | Kerberos認証では時刻同期が必須 |
| timedatectl | 時刻・タイムゾーン確認 | set-time, set-timezone | RTC設定も確認対象 |
| ntpd | 旧来のNTPデーモン | UDP123 | chronydへ移行傾向あり |
| /etc/ntp.conf | NTP設定ファイル | server pool.ntp.org iburst | driftfileの意味も理解 |
| hwclock | ハードウェアクロック制御 | hwclock -s / -w | システム時刻同期時に出題 |
| SSH(Secure Shell) | 暗号化通信によるリモート接続 | TCP22 | 公開鍵・秘密鍵認証理解が必須 |
| sshd | SSHサーバデーモン | /etc/ssh/sshd_config | PasswordAuthentication, PubkeyAuthenticationを理解 |
| ssh_config | SSHクライアント設定 | Host, IdentityFile, Portなど | ~/.ssh/configでの上書きも可 |
| ssh-keygen | 鍵ペア生成 | -t rsa -b 4096など | コメント・パスフレーズ指定理解 |
| ssh-copy-id | 公開鍵をリモート転送 | ssh-copy-id user@host | パスワード不要接続設定で使用 |
| ssh-agent | 鍵管理エージェント | ssh-addで登録 | パスフレーズを一時キャッシュ |
| known_hosts | 接続先ホスト鍵保存ファイル | ~/.ssh/known_hosts | 改ざん検知に利用 |
| PermitRootLogin | rootのSSH接続許可設定 | yes/no/prohibit-password | セキュリティ対策として重要 |
| AllowUsers / DenyUsers | SSHアクセス制御 | AllowUsers user1 user2 | 特定ユーザのみ許可設定理解 |
| X11Forwarding | GUI転送許可設定 | yes/no | Xアプリのリモート実行に利用 |
| sftp-server / scp | SSH経由ファイル転送 | sftpは安全なFTP代替 | ポート22で動作 |
| SSHポートフォワード | 通信トンネル機能 | ssh -L local:remote | 安全なVPN代替手段として出題 |
| SSHトンネル | ローカル→リモート通信転送 | ssh -L 8080:server:80 | SOCKSプロキシも可能 |
| rsync | 高速同期・転送ツール | 差分転送に対応 | ssh経由で安全に同期可 |
| rsync -avz | アーカイブ・圧縮付き同期 | rsync -avz dir/ user@host:/backup | –deleteオプションは注意点 |
| CUPS(Common UNIX Printing System) | Linux標準印刷システム | TCP631 | Web管理(http://localhost:631)可 |
| cupsd | CUPSデーモン | /etc/cups/cupsd.conf | Listen, Allow, Browse設定確認 |
| lpadmin | プリンタ管理コマンド | lpadmin -p printer -E -v device -m driver | WebUIと同等設定が可能 |
| lpstat | プリンタ状態表示 | lpstat -t | CUPS稼働確認 |
| lpr / lp | 印刷コマンド | lpr file.txt | スプーラ経由で印刷送信 |
| cancel | 印刷ジョブ削除 | cancel -a | キュー制御 |
| /etc/printcap | 古い印刷設定形式 | 現在はCUPSに統合 | 互換知識として出題あり |
| systemctl status cups | CUPSサービス確認 | WebUI接続前に確認 | セキュリティ制限がある環境に注意 |
| logrotate | ログ自動ローテーション | /etc/logrotate.conf設定 | syslog, messagesなどに適用 |
| rsyslog | システムログデーモン | /etc/rsyslog.conf設定 | facility.priority構文を理解 |
| logger | 任意メッセージをsyslog送信 | logger "test message" | rsyslog経由で送信確認可能 |
| journalctl | systemdログ閲覧 | -u ssh -f など | 永続保存設定(/var/log/journal)確認 |
| /etc/systemd/journald.conf | journal設定 | Storage=persistent | ディスク保存制御 |
| top / htop | プロセス監視コマンド | CPU, MEM, load平均確認 | htopはインタラクティブ |
| vmstat | メモリ・CPU統計 | vmstat 1 | ボトルネック解析に利用 |
| iostat | ディスクI/O統計 | iostat -x 1 | ストレージ負荷確認に使用 |
| sar | システムリソース統計収集 | sar -u, -r, -n | sysstatパッケージで提供 |
| ps / pstree | プロセス確認 | 親子関係を可視化 | systemd構造理解に役立つ |
| lsof | オープンファイル確認 | lsof -i :22 | ポート占有調査に利用 |
| netstat / ss | ネットワーク接続確認 | ss -ltnp | ssが新標準コマンド |
| ping / traceroute | ネットワーク疎通確認 | ICMP/Echo, UDP | DNS, ルーティング確認にも使用 |
| curl / wget | HTTP/FTP通信確認 | curl -v https://site | HTTPS証明書検証確認にも活用 |
| tcpdump | パケットキャプチャ | tcpdump -i eth0 port 2049 | NFS通信解析に使用 |
| iftop / nload | リアルタイム通信量表示 | ネットワーク帯域監視 | 大規模共有環境で有効 |
| snmpd | SNMPエージェント | /etc/snmp/snmpd.conf | 監視システム連携(Zabbix, Nagios)に使用 |
| snmpget / snmpwalk | SNMP情報取得コマンド | snmpwalk -v2c -c public localhost | MIB理解が必要 |
| Nagios / Zabbix | 代表的監視ソフト | エージェント通信で状態収集 | サーバ監視・障害通知設定理解 |
| systemctl list-units | systemdユニット一覧 | サービス状態一括確認 | inactive/deadの区別を確認 |
| fail2ban | ログ監視で不正アクセス遮断 | jail.conf設定 | sshd, vsftpdなどと併用可 |
| firewalld / nftables | ファイアウォール管理 | firewall-cmd, nft list ruleset | NFS, SSH, CUPSポート解放理解 |
| traceroute6 / ping6 | IPv6疎通確認 | ICMPv6を使用 | IPv6環境での試験問題あり |
| resolvectl query | DNSクエリ確認 | systemd-resolved環境専用 | dig代替コマンドとして出題される |
| netplan / nmcli | ネットワーク設定管理 | YAML構成ファイル or CLI | Ubuntu系での試験にも登場 |
| remote syslog | 外部ログ転送 | . @@syslog.example.com | TLSログ転送の仕組み理解 |
| at / cron | 定期ジョブスケジューラ | /etc/crontab, /etc/cron.d | root権限での監査ジョブ出題あり |
| /var/log/messages | 汎用システムログ | 一般的な障害検出用 | systemd-journald併用環境に注意 |
| dmesg | カーネルメッセージ出力 | 起動時や障害発生時の確認 | ハードウェアエラー調査で利用 |
| uptime / w / who | 稼働時間・ログイン確認 | システム安定性確認 | 長期稼働環境の基礎確認に出題 |
| scp -r | SSH経由コピー | scp -r dir/ user@host:/path | バックアップにも使用可 |
| rsnapshot / borgbackup | 差分バックアップツール | rsyncベース / 圧縮暗号化対応 | 自動バックアップ構成問題あり |
| sysctl | カーネルパラメータ制御 | sysctl -w net.ipv4.ip_forward=1 | 永続化は/etc/sysctl.conf |
| /etc/sysctl.conf | 永続カーネル設定 | net.ipv4.conf.all.accept_redirects等 | ネットワーク制御系試験頻出 |
| tcp_keepalive_time | TCP維持時間設定 | sysctlパラメータ | SSHやNFSの切断防止に使用 |
| rsyslogリモート転送 | 外部ログサーバ連携 | @@host指定でTCP転送 | セキュリティ監査構成に関与 |
| sudo / visudo | 管理者権限付与 | /etc/sudoers編集 | secure_path設定なども問われる |
| /var/log/secure | 認証ログ | SSH, su, sudo記録 | 不正アクセス検出で重要 |
| auditctl | auditdルール設定 | auditctl -w /etc/passwd -p wa | ファイル改ざん検知で出題 |
| ausearch / aureport | auditログ解析 | aureport -f -i | セキュリティ試験で頻出 |
| ethtool | NIC情報取得 | ethtool eth0 | スピード・Duplex確認に使用 |
| nm-connection-editor | GUIネットワーク設定 | GNOMEで利用 | NetworkManager連携理解 |
| hostnamectl status | FQDN確認 | 静的/一時的ホスト名を区別 | DNS解決と連動可能 |
| resolv.conf searchドメイン | ドメイン補完設定 | search example.com | サーバFQDN解決に影響 |
| /etc/hosts.allow / deny | TCP Wrapperアクセス制御 | vsftpd, sshd等で利用 | ALL, LOCAL構文を理解 |
| mailx / sendmail | システム通知送信 | ログ監視結果送信に利用 | 通知設定試験で触れられる |
| cron + logger | 定期監視ログ出力 | cronでloggerを呼ぶ | 自動監視スクリプトに応用可 |
| uptime監視 | 稼働確認スクリプト | if [ $? -ne 0 ]; then alert | 運用監視実務でも活用される |