Sécurité Linux LPIC-3. Examen 303

ATTENTION : Si vous appartenez au programme LaaS Cert , la formation n'inclut pas d'examen.

Cours officiel Linux LPI : Sécurité LPIC-3 – examen 303

La certification LPIC-3 est l'aboutissement du programme de certification professionnelle à plusieurs niveaux du Linux Professional Institute (LPI).

Objectifs

Ce cours couvre les sujets de préparation à l'examen 303 , nécessaire à la certification Linux LPI LPIC-3.

Contenu de la certification

Pour recevoir la certification LPIC-3 Enterprise Security, vous devez être certifié LPIC-2 et réussir l'examen 303.

Examen LPIC-3 303 :

• Thème 331 : Cryptographie
  
• Thème 332 : Contrôle d'accès
  
• Thème 333 : Sécurité des applications
  
• Thème 334 : Sécurité des opérations
  
• Thème 335 : Filet de sécurité

Examen LPIC-3 303

Thème 331 : Cryptographie

331.1 Certificats X.509 et infrastructures à clés publiques

Les candidats doivent comprendre les certificats X.509 et les infrastructures à clés publiques. Ils doivent savoir comment configurer et utiliser OpenSSL pour mettre en œuvre des autorités de certification et émettre des certificats SSL à diverses fins.

Domaines de connaissances clés :

• Comprendre les certificats X.509, le cycle de vie des certificats X.509, les champs de certificat X.509 et les extensions de certificat X.509v3.
  
• Comprendre les chaînes de confiance et les infrastructures à clés publiques, y compris la transparence des certificats.
  
• Générer et gérer des clés publiques et privées
  
• Créer, exploiter et sécuriser une autorité de certification
  
• Demander, signer et gérer les certificats serveur et client
  
• Révoquer les certificats et les autorités de certification
  
• Connaissance des fonctions de base de Let's Encrypt, ACME et certbot
  
• Connaissance des caractéristiques de base du CFSSL

331.2 Certificats X.509 pour le chiffrement, la signature et l'authentification

Les candidats doivent être capables d’utiliser les certificats X.509 pour l’authentification du serveur et du client. Cela inclut la mise en œuvre de l'authentification utilisateur et serveur pour Apache HTTPD. La version Apache HTTPD couverte est 2.4 ou supérieure.

Domaines de connaissances clés :

• Comprendre SSL, TLS, y compris les versions de protocole et les chiffrements.
  
• Configurer Apache HTTPD avec mod_ssl pour fournir un service HTTPS, y compris SNI et HSTS
  
• Configurer Apache HTTPD avec mod_ssl pour servir les chaînes de certificats et configurer les paramètres de cryptage (aucune connaissance spécifique de cryptage requise)
  
• Configurer Apache HTTPD avec mod_ssl pour authentifier les utilisateurs à l'aide de certificats
  
• Configurer Apache HTTPD avec mod_ssl pour fournir l'agrafage OCSP
  
• Utilisez OpenSSL pour les tests client et serveur SSL/TLS

331.3 Chiffrement des systèmes de fichiers

Les candidats doivent être capables d’installer et de configurer des systèmes de fichiers cryptés.

Domaines de connaissances clés :

• Comprendre le chiffrement des périphériques de blocs et des systèmes de fichiers
  
• Utilisez dm-crypt avec LUKS1 pour crypter les périphériques de bloc
  
• Utilisez eCryptfs pour crypter les systèmes de fichiers, y compris les répertoires personnels et l'intégration PAM
  
• Connaissance du dm-crypt simple
  
• Connaissance des fonctionnalités de LUKS2
  
• Compréhension conceptuelle de l'épingle à cheveux pour les périphériques LUKS et les codes PIN d'épingle à cheveux pour TMP2 et le chiffrement de disque lié au réseau (NBDE)/Tang

331.4 DNS et cryptographie

Les candidats doivent avoir une expérience et des connaissances en cryptographie dans le contexte du DNS et de sa mise en œuvre à l'aide de BIND. La version de BIND couverte est 9.7 ou supérieure.

Domaines de connaissances clés :

• Comprendre les concepts de DNS, de zones et d’enregistrements de ressources.
  
• Comprendre DNSSEC, y compris les clés de signature de clé, les clés de signature de zone et les enregistrements DNS pertinents tels que DS, DNSKEY, RRSIG, NSEC, NSEC3
  et NSEC3PARAM
• Configurer et dépanner BIND en tant que serveur de noms faisant autorité servant des zones protégées DNSSEC
• Gérer les zones signées DNSSEC, y compris la génération de clés, le renouvellement de clés et la re-signature de zone
• Configurer BIND comme un serveur de noms récursif qui effectue la validation DNSSEC au nom de ses clients
• Comprendre CAA et DANE, y compris les enregistrements DNS pertinents tels que CAA et TLSA
• Utilisez CAA et DANE pour publier les informations de certificat X.509 et d'autorité de certification dans DNS
• Utilisez TSIG pour une communication sécurisée avec BIND
• Connaissance du DNS sur TLS et du DNS sur HTTPS
• Comprendre le DNS multidiffusion

Thème 332 : Sécurité de l'hôte

332.1 Renforcement de l'hôte

Les candidats doivent être capables de protéger les ordinateurs exécutant Linux contre les menaces courantes.

Domaines de connaissances clés :

• Configuration de la sécurité du BIOS et du chargeur de démarrage (GRUB 2)
  
• Désactiver les logiciels et services inutilisés
  
• Comprendre et supprimer les fonctionnalités inutiles pour des unités systemd spécifiques et pour l'ensemble du système
  
• Comprendre et configurer la randomisation de la disposition de l'espace d'adressage (ASLR), la prévention de l'exécution des données (DEP) et Exec-Shield
  
• Liste blanche et liste noire des périphériques USB connectés à un ordinateur à l'aide d'USBGuard
  
• Créez une autorité de certification SSH, créez des certificats SSH pour les clés d'hôte et d'utilisateur à l'aide de l'autorité de certification et configurez OpenSSH pour utiliser les certificats SSH
  
• Travailler avec des environnements chroot
  
• Utilisez les unités systemd pour limiter les appels système et les capacités disponibles pour un processus
  
• Utilisez les unités systemd pour démarrer des processus avec un accès limité ou inexistant à des fichiers et périphériques spécifiques
  
• Utilisez les unités systemd pour démarrer des processus avec des répertoires temporaires et /dev dédiés et sans accès réseau
  
• Comprendre les implications des mesures d'atténuation de Linux Meltdown et Spectre et activer/désactiver les mesures d'atténuation
  
• Sensibilisation à Polkit
  
• Sensibilisation aux avantages de la virtualisation et de la conteneurisation en matière de sécurité

332.2 Détection d'intrusion sur l'hôte

Les candidats doivent être familiarisés avec l’utilisation et la configuration des logiciels courants de détection d’intrusion sur l’hôte. Cela comprend la gestion du système d’audit Linux et la vérification de l’intégrité du système.

Domaines de connaissances clés :

• Utilisation et configuration du système d'audit Linux
  
• Utiliser chkrootkit
  
• Utilisation et configuration de rkhunter, y compris les mises à jour
  
• Utiliser Linux Malware Detect
  
• Automatiser les analyses d'hôtes à l'aide de cron
  
• Utilisez les outils de gestion de paquets RPM et DPKG pour vérifier l’intégrité des fichiers installés.
  
• Configurer et utiliser AIDE, y compris la gestion des règles
  
• Sensibilisation à OpenSCAP

332.3 Contrôle des ressources

Les candidats devraient être en mesure de limiter les ressources que les services et les programmes peuvent consommer.

Domaines de connaissances clés :

• Comprendre et configurer les ulimits
  
• Comprendre les cgroups, y compris les classes, les limites et la comptabilité.
  
• Gérer les cgroups et traiter l'association des cgroups
  
• Comprendre les tranches, les portées et les services de systemd
  
• Utilisez les unités systemd pour limiter les ressources système que les processus peuvent consommer
  
• Connaissance des utilitaires cgmanager et libcgroup

Thème 333 : Contrôle d'accès

333.1 Contrôle d'accès discrétionnaire

Les candidats doivent comprendre le contrôle d’accès discrétionnaire (DAC) et savoir comment le mettre en œuvre à l’aide de listes de contrôle d’accès (ACL). De plus, ils doivent comprendre et savoir utiliser les attributs étendus.

Domaines de connaissances clés :

• Comprendre et gérer la propriété et les autorisations des fichiers, y compris les bits SetUID et SetGID
  
• Comprendre et gérer les listes de contrôle d'accès
  
• Comprendre et gérer les attributs étendus et les classes d'attributs

333.2 Contrôle d'accès obligatoire

Les candidats doivent être familiarisés avec les systèmes de contrôle d’accès obligatoire (MAC) pour Linux. Plus précisément, ils doivent avoir une compréhension approfondie de SELinux. Ils doivent également être familiarisés avec d’autres systèmes de contrôle d’accès obligatoires pour Linux. Cela inclut les principales caractéristiques de ces systèmes, mais pas leur configuration ou leur utilisation.

Domaines de connaissances clés :

• Comprendre les concepts d’application de type, de contrôle d’accès basé sur les rôles, de contrôle d’accès obligatoire et de contrôle d’accès discrétionnaire.
  
• Configurer, gérer et utiliser SELinux
  
• Connaissance d'AppArmor et de Smack

Thème 334 : Sécurité des réseaux

334.1 Renforcement du réseau

Les candidats doivent être capables de protéger les réseaux contre les menaces courantes. Cela comprend l’analyse du trafic réseau provenant de nœuds et de protocoles spécifiques.

Domaines de connaissances clés :

• Comprendre les mécanismes de sécurité des réseaux sans fil
  
• Configurer FreeRADIUS pour authentifier les nœuds du réseau
  
• Utilisez Wireshark et tcpdump pour analyser le trafic réseau, y compris les filtres et les statistiques.
  
• Utilisez Kismet pour analyser les réseaux sans fil et capturer le trafic réseau sans fil
  
• Identifier et traiter les fausses publicités de routeur et les messages DHCP
  
• Sensibilisation à Aircrack-ng et BetterCap

334.2 Détection d'intrusion réseau

Les candidats doivent être familiarisés avec l’utilisation et la configuration des logiciels d’analyse, de surveillance et de détection d’intrusion du réseau. Cela comprend la mise à jour et la maintenance des scanners de sécurité.

Domaines de connaissances clés :

• Mettre en œuvre la surveillance de l'utilisation de la bande passante
  
• Configurer et utiliser Snort, y compris la gestion des règles
  
• Configurer et utiliser OpenVAS, y compris NASL

334.3 Filtrage de paquets

Les candidats doivent être familiarisés avec l'utilisation et la configuration du filtre de paquets Linux netfilter.

Domaines de connaissances clés :

• Comprendre les architectures de pare-feu courantes, y compris la DMZ
  
• Comprendre et utiliser iptables et ip6tables, y compris les modules standard, les tests et les cibles.
  
• Implémenter le filtrage des paquets pour IPv4 et IPv6
  
• Mettre en œuvre le suivi des connexions et la traduction des adresses réseau
  
• Gérer les pools IP et les utiliser dans les règles NetFilter
  
• Connaissance des nftables et des NFT
  
• Connaissance des débits
  
• Conscience du contrôle

334.4 Réseaux privés virtuels

Les candidats doivent être familiarisés avec l’utilisation d’OpenVPN, IPsec et WireGuard pour configurer l’accès à distance et les VPN de site à site.

Domaines de connaissances clés :

• Comprendre les principes des VPN routés et pontés
  
• Comprendre les principes et les principales différences entre les protocoles OpenVPN, IPsec, IKEv2 et WireGuard.
  
• Configurer et exploiter les serveurs et clients OpenVPN
  
• Configurer et exploiter des serveurs et des clients IPsec à l'aide de strongSwan
  
• Configurer et exploiter les serveurs et clients WireGuard
  
• Sensibilisation à L2TP

Thème 335 : Évaluation des menaces et de la vulnérabilité

335.1 Vulnérabilités et menaces de sécurité courantes

Les candidats doivent comprendre les principes des principaux types de vulnérabilités et de menaces de sécurité.

Domaines de connaissances clés :

• Compréhension conceptuelle des menaces contre les nœuds individuels
  
• Compréhension conceptuelle des menaces réseau
  
• Compréhension conceptuelle des menaces applicatives
  
• Compréhension conceptuelle des menaces pesant sur les informations d'identification et la confidentialité
  
• Compréhension conceptuelle des pots de miel

335.2 Tests de pénétration

Les candidats comprennent les concepts des tests de pénétration, y compris la connaissance des outils couramment utilisés. De plus, ils devraient pouvoir utiliser nmap pour vérifier l’efficacité des mesures de sécurité du réseau.

Domaines de connaissances clés :

• Comprendre les concepts de tests de pénétration et de piratage éthique.
  
• Comprendre les implications juridiques des tests de pénétration
  
• Comprendre les phases des tests de pénétration, telles que la collecte d’informations actives et passives, l’énumération, l’obtention d’accès, l’escalade des privilèges, le maintien de l’accès et la dissimulation des pistes.
  
• Comprendre l'architecture et les composants de Metasploit, y compris les types de modules Metasploit et la manière dont Metasploit intègre divers outils de sécurité.
  
• Utilisez nmap pour analyser les réseaux et les hôtes, y compris différentes méthodes d'analyse, analyses de version et reconnaissance du système d'exploitation.
  
• Comprendre les concepts du moteur de script Nmap et exécuter des scripts existants
  
• Connaissance de Kali Linux, Armitage et du Social Engineering Toolkit (SET)

Langue

Les composants e-Learning sur lesquels la formation est dispensée sont en anglais et en espagnol .

Langues d'examen disponibles dans les centres de test VUE : anglais, japonais

Langues d'examen disponibles en ligne via OnVUE : anglais, japonais

Exigences

Le candidat doit avoir une certification LPIC-2 active pour recevoir la certification LPIC-3.