Objectifs de l’examen LPI 202 v.4
Sujet 207 : Serveur de nom de domaine
207.1 Configuration de base d’un serveur DNS (valeur : 3)
| Valeur | 3 |
| Description | Les candidats doivent être en mesure de configurer BIND pour fonctionner comme serveur DNS de cache. Cet objectif inclut la gestion d’un serveur en cours d’exécution et la configuration de la journalisation. |
Domaines de connaissance les plus importants :
- Fichiers, termes et utilitaires de configuration de BIND 9.x
- Détermination de l’emplacement des fichiers de zone dans les fichiers de configuration de BIND
- Actualisation après modification des fichiers de configuration ou de zone
- Sensibilisation à dnsmasq, djbdns et PowerDNS comme serveurs de nom alternatifs
Liste partielle de termes, fichiers et utilitaires utilisés pour cet objectif :
- /etc/named.conf
- /var/named/
- /usr/sbin/rndc
- kill
- host
- dig
207.2 Création et mise à jour des zones DNS (valeur : 3)
| Valeur | 3 |
| Description | Les candidats doivent être capables de créer des fichiers de zone pour une zone directe ou une zone inverse ainsi que la zone d’indices (hints) pour les serveurs racine. Cet objectif inclut la définition de bonnes valeurs pour les enregistrements, l’ajout d’hôtes dans une zone et l’ajout de zones au DNS. Un candidat doit aussi être capable de déléguer des zones à un autre serveur DNS. |
Domaines de connaissance les plus importants :
- Fichiers, termes et utilitaires de configuration de BIND 9.x
- Utilitaires de requête sur les serveurs DNS
- Format, contenu et emplacement des fichiers de zone de BIND
- Différentes méthodes d’ajout de nouveaux hôtes dans les fichiers de zone, y compris dans les zones inversées
Liste partielle de termes, fichiers et utilitaires utilisés pour cet objectif :
- /var/named/
- syntaxe des fichiers de zone
- formats des enregistrements
- dig
- nslookup
- host
207.3 Sécurisation d’un serveur DNS (valeur : 2)
| Valeur | 2 |
| Description | Les candidats doivent être en mesure de configurer un serveur DNS afin qu’il s’exécute en tant qu’utilisateur non root et dans un environnement d’exécution restreint (chroot jail). Cet objectif inclut l’échange sécurisé de données entre des serveurs DNS. |
Domaines de connaissance les plus importants :
- Fichiers de configuration de BIND 9
- Configuration de BIND afin qu’il s’exécute dans dans un environnement restreint (chroot jail)
- Fractionnement de la configuration de BIND en utilisant l’instruction forwarders
- Configuration et utilisation des signatures de transaction (TSIG)
- Sensibilisation à DNSSEC et outils basiques liés
Liste partielle de termes, fichiers et utilitaires utilisés pour cet objectif :
- /etc/named.conf
- /etc/passwd
- DNSSEC
- dnssec-keygen
- dnssec-signzone
Sujet 208 : Services Web
208.1 Configuration élémentaire d’Apache (valeur : 4)
| Valeur | 4 |
| Description | Les candidats doivent être en mesure d’installer et de configurer un serveur Web. Cet objectif inclut le contrôle de la charge et de la performance du serveur, la restriction d’accès aux utilisateurs, la configuration de la prise en charge via des modules des langages de scripts et le paramétrage de l’authentification utilisateur. La configuration des options du serveur pour restreindre l’accès aux ressources est également au programme. Les candidats doivent être en mesure de configurer un serveur Web avec des serveurs virtuels et de personnaliser les accès aux fichiers. |
Domaines de connaissance les plus importants :
- Fichiers, termes et utilitaires de configuration pour Apache 2.x
- Configuration et contenu des fichiers journaux Apache
- Méthodes et fichiers de restriction d’accès
- Configuration de mod_perl et de PHP
- Utilitaires et fichiers d’authentification utilisateur
- Configuration du nombre maximum de requêtes, des nombres minimums et maximums de serveurs et de clients
- Mise en place des serveurs virtuels (virtualhost) Apache 2.x, avec ou sans adresse IP dédiée
- Utilisation des déclarations de redirection dans la configuration d’Apache pour personnaliser l’accès aux fichiers
Liste partielle de termes, fichiers et utilitaires utilisés pour cet objectif :
- journaux d’accès et d’erreurs
- .htaccess
- httpd.conf
- mod_auth
- htpasswd
- AuthUserFile, AuthGroupFile
- apache2ctl
- httpd
208.2 Configuration d’Apache pour HTTPS (valeur : 3)
| Valeur | 3 |
| Description | Les candidats doivent être en mesure de configurer un serveur web pour fournir un service HTTPS. |
Domaines de connaissance les plus importants :
- Fichiers de configuration, outils et utilitaires pour SSL
- Aptitude à générer une clé privée et un CSR pour une autorité de certification commerciale
- Aptitude à générer un certificat autosigné à partir d’une autorité de certification personnelle
- Aptitude à installer la clé et le certificat
- Sensibilisation aux problèmes pour l’utilisation de SSL et des serveurs virtuels (virtual host)
- Problèmes de sécurité dans l’utilisation de SSL
Liste partielle de termes, fichiers et utilitaires utilisés pour cet objectif :
- Fichiers de configuration d’Apache2
- /etc/ssl/, /etc/pki/
- openssl, CA.pl
- SSLEngine, SSLCertificateKeyFile, SSLCertificateFile, SSLCertificateChainFile
- SSLCACertificateFile, SSLCACertificatePath
- SSLProtocol, SSLCipherSuite, ServerTokens, ServerSignature, TraceEnable
208.3 Mise en place du serveur mandataire squid (valeur : 2)
| Valeur | 2 |
| Description | Les candidats doivent être en mesure d’installer et de configurer un serveur mandataire (proxy), y compris les règles d’accès, l’authentification et l’utilisation de ressource. |
Domaines de connaissance les plus importants :
- Fichiers, termes et utilitaires de configuration de Squid 3.x
- Méthodes de restriction d’accès
- Méthodes d’authentification utilisateur
- Format et contenu des ACL dans la configuration de Squid
Liste partielle de termes, fichiers et utilitaires utilisés pour cet objectif :
- squid.conf
- acl
- http_access
208.4 Mise en place de Nginx en tant que serveur Web et proxy inverse (valeur : 2)
| Valeur | 2 |
| Description | Les candidats doivent être en mesure d’installer et de configurer un proxy inverse avec Nginx. La configuration élémentaire de Nginx en tant que serveur HTTP est incluse. |
Domaines de connaissance les plus importants :
- Nginx
- Proxy inverse
- Serveur Web
Liste partielle de termes, fichiers et utilitaires utilisés pour cet objectif :
- /etc/nginx/
- nginx
Sujet 209 : Partage de fichiers
209.1 Configuration d’un serveur SAMBA (valeur : 5)
| Valeur | 5 |
| Description | Les candidats doivent être en mesure de paramétrer un serveur SAMBA pour différents clients. Cet objectif inclut le paramétrage de Samba pour les connexions utilisateur, le paramétrage du groupe de travail auquel participe le serveur et la définition des répertoires partagés et des imprimantes. La configuration d’un client Linux utilisateur du serveur Samba est aussi au programme. L’examen porte également sur la résolution de problème sur les installations. |
Domaines de connaissance les plus importants :
- Documentation de Samba 3
- FIchiers de configuration de Samba
- Outils et utilitaires Samba
- Montage des partages Samba sous Linux
- Services Samba
- Mise en correspondance des comptes utilisateur Windows avec les comptes utilisateurs Linux
- Sécurité au niveau utilisateur et au niveau partage
Liste partielle de termes, fichiers et utilitaires utilisés pour cet objectif :
- smbd, nmbd
- smbstatus, testparm, smbpasswd, nmblookup
- smbclient
- net
- /etc/smb/
- /var/log/samba/
209.2 Configuration d’un serveur NFS (valeur : 3)
| Valeur | 3 |
| Description | Les candidats doivent être en mesure d’exporter les systèmes de fichiers avec NFS. Cet objectif inclut les restrictions d’accès, le montage d’un système de fichiers NFS sur un client et la sécurisation du service NFS. |
Domaines de connaissance les plus importants :
- Fichiers de configuration NFS version 3
- Outils et utilitaires NFS
- Restrictions d’accès à certaines machines et/ou sous-réseaux
- Options de montage sur le serveur et les clients
- TCP Wrappers
- Sensibilisation à NFSv4
Liste partielle de termes, fichiers et utilitaires utilisés pour cet objectif :
- /etc/exports
- exportfs
- showmount
- nfsstat
- /proc/mounts
- /etc/fstab
- rpcinfo
- mountd
- portmapper
Sujet 210 : Gestion des clients réseau
210.1 Configuration DHCP (valeur : 2)
| Valeur | 2 |
| Description | Les candidats doivent être en mesure de configurer un serveur DHCP. Cet objectif inclut le paramétrage des options par défaut et par client, l’ajout d’adresses statiques et l’ajout de postes clients BOOTP. La configuration d’agents relais DHCP et la maintenance des serveurs DHCP sont également au programme. |
Domaines de connaissance les plus importants :
- Fichiers, termes et utilitaires de configuration de DHCP
- Configuration de plages d’adresses par sous-réseaux et allouées dynamiquement
Liste partielle de termes, fichiers et utilitaires utilisés pour cet objectif :
- dhcpd.conf
- dhcpd.leases
- /var/log/daemon.log et /var/log/messages
- arp
- dhcpd
210.2 Authentification PAM (valeur : 3)
| Valeur | 3 |
| Description | Les candidats doivent être en mesure de configurer PAM pour la prise en charge de l’authentification à partir des différentes méthodes disponibles. |
Domaines de connaissance les plus importants :
- Fichiers, termes et utilitaires de configuration de PAM
- Mots de passe passwd et shadow
Liste partielle de termes, fichiers et utilitaires utilisés pour cet objectif :
- /etc/pam.d/
- pam.conf
- nsswitch.conf
- pam_unix, pam_cracklib, pam_limits, pam_listfile
210.3 Clients LDAP (valeur : 2)
| Valeur | 2 |
| Description | Les candidats doivent être en mesure d’interroger et de mettre à jour les données d’un serveur LDAP. L’import et l’ajout d’éléments ainsi que l’ajout et la gestion des utilisateurs sont également au programme. |
Domaines de connaissance les plus importants :
- Utilitaires LDAP pour la gestion des données et les requêtes
- Modification des mots de passe utilisateurs
- Requêtes sur l’annuaire LDAP
Liste partielle de termes, fichiers et utilitaires utilisés pour cet objectif :
- ldapsearch
- ldappasswd
- ldapadd
- ldapdelete
210.4 Configuration d’un serveur OpenLDAP (valeur : 4)
| Valeur | 4 |
| Description | Les candidats doivent être en mesure d’établir une configuration simple d’un serveur OpenLDAP, y compris la connaissance du format LDIF et l’essentiel des contrôles d’accès. Cet objectif inclut la compréhension du rôle de SSSD dans l’authentification et la gestion d’identité. |
Domaines de connaissance les plus importants :
- OpenLDAP
- Contrôle d’accès
- DN (Distinguished Names)
- Opérations changetype
- Schémas et pages blanches
- Annuaires
- Identifiants objet (Object ID), attributs et classes
- Sensibilisation à SSSD (System Security Services Daemon)
Liste partielle de termes, fichiers et utilitaires utilisés pour cet objectif :
- slapd
- slapd.conf
- LDIF
- slapadd
- slapcat
- slapindex
- /var/lib/ldap/
- loglevel
Sujet 211 : Services de courrier électronique
211.1 Utilisation des serveurs de messagerie (valeur : 4)
| Valeur | 4 |
| Description | Les candidats doivent être en mesure de gérer un serveur de messagerie (e-mail), y compris la configuration des alias de courriel, la mise en place des quotas et la gestion des domaines virtuels. Cet objectif inclut la configuration de serveurs de relais internes et le contrôle des serveurs de messagerie. |
Domaines de connaissance les plus importants :
- Fichiers de configuration de Postfix
- Connaissances de base du protocole SMTP
- Sensibilisation à sendmail et exim
Liste partielle de termes, fichiers et utilitaires utilisés pour cet objectif :
- Fichiers et commandes de configuration de Postfix
- /etc/postfix/
- /var/spool/postfix/
- Couche d’émulation des commandes sendmail
- /etc/aliases
- Journaux relatifs au courrier électronique dans /var/log
211.2 Distribution locale des courriels (valeur : 2)
| Valeur | 2 |
| Description | Les candidats doivent être en mesure de mettre en place des logiciels permettant de filtrer, trier et contrôler les courriels utilisateurs entrants. |
Domaines de connaissance les plus importants :
- Fichiers, outils et utilitaires de configuration de procmail
- Utilisation de procmail à la fois côté serveur et côté client
Liste partielle de termes, fichiers et utilitaires utilisés pour cet objectif :
- ~/.procmailrc
- /etc/procmailrc
- procmail
- Formats mbox et Maildir
211.3 Distribution distante des courriels (valeur : 2)
| Valeur | 2 |
| Description | Les candidats doivent être en mesure d’installer et de configurer les services POP et IMAP. |
Domaines de connaissance les plus importants :
- Configuration de Courier IMAP et Courier POP
- Configuration de Dovecot
Liste partielle de termes, fichiers et utilitaires utilisés pour cet objectif :
- /etc/courier/
- dovecot.conf
Sujet 212 : Sécurité du système
212.1 Configuration d’un routeur (valeur : 3)
| Valeur | 3 |
| Description | Les candidats doivent être en mesure de configurer un système pour effectuer de la traduction d’adresse réseau (NAT, IP masquerading) et montrer leur compétence dans la protection d’un réseau. Cet objectif inclut la configuration de la redirection de ports, la gestion des règles de filtrage et la prévention des attaques. |
Domaines de connaissance les plus importants :
- Fichiers, outils et utilitaires de configuration iptables
- Fichiers, outils et utilitaires de gestion des tables de routage.
- Plages d’adresses privées
- Redirection de ports et transmission IP (IP forwarding)
- Liste et écriture de règles et de filtres basées sur le protocole, l’adresse ou le port source ou destination pour accepter ou bloquer des datagrammes
- Enregistrement et rechargement des configurations de filtrage
- Sensibilisation au filtrage et à ip6tables
Liste partielle de termes, fichiers et utilitaires utilisés pour cet objectif :
- /proc/sys/net/ipv4/
- /etc/services
- iptables
212.2 Gestion des serveurs FTP (valeur : 2)
| Valeur | 2 |
| Description | Les candidats doivent être en mesure de configurer un serveur FTP pour le téléchargement et l’envoi de données anonymes. Cet objectif inclut les précautions à prendre dans le cas où les envois anonymes sont autorisés et la configuration des accès utilisateurs. |
Domaines de connaissance les plus importants :
- Fichiers, outils et utilitaires de configuration de Pure-FTPd et vsftpd
- Sensibilisation à ProFTPd
- Compréhension des différences entre les connexions FTP passives et les connexions actives.
Liste partielle de termes, fichiers et utilitaires utilisés pour cet objectif :
- vsftpd.conf
- Options importantes de la ligne de commande de Pure-FTPd
212.3 Shell sécurisé (SSH) (valeur : 4)
| Valeur | 4 |
| Description | Les candidats doivent être en mesure de configurer et de sécuriser un serveur SSH. Cet objectif inclut la gestion des clés et la configuration de SSH pour les utilisateurs. Les candidats devraient également être en mesure d’encapsuler un protocole applicatif sur SSH et de gérer les connexions SSH. |
Domaines de connaissance les plus importants :
- Fichiers, outils et utilitaires de configuration d’OpenSSH
- Restrictions de connexions pour le superutilisateur et les utilisateurs normaux
- Gestion des clés serveur et client pour les connexions sans mot de passe
- Utilisation de multiples connexions à partir de multiples machines pour éviter les pertes de connexions distantes lors des changements de configuration
Liste partielle de termes, fichiers et utilitaires utilisés pour cet objectif :
- ssh
- sshd
- /etc/ssh/sshd_config
- /etc/ssh/
- Fichiers de clés privées et publiques
- PermitRootLogin, PubKeyAuthentication, AllowUsers, PasswordAuthentication, Protocol
212.4 Tâches de sécurité (valeur : 3)
| Valeur | 3 |
| Description | Les candidats doivent être en mesure de recevoir les alertes de sécurité à partir de diverses sources, d’installer, configurer et exécuter des systèmes de détection d’intrusion et d’appliquer des correctifs de bogues ou de problèmes de sécurité . |
Domaines de connaissance les plus importants :
- Outils et utilitaires permettant de balayer (scan) et de tester les ports sur un serveur
- Sites et organisations qui informent des alertes de sécurité comme Bugtraq, CERT ou d’autres sources
- Outils et utilitaires pour mettre en place un système de détection d’intrusion (IDS)
- Sensibilisation à OpenVAS et Snort
Liste partielle de termes, fichiers et utilitaires utilisés pour cet objectif :
- telnet
- nmap
- fail2ban
- nc
- iptables
212.5 OpenVPN (valeur : 2)
| Valeur | 2 |
| Description | Les candidats doivent être en mesure de configurer un VPN (réseau privé virtuel) et de mettre en place des connexions de point à point ou de site à site sécurisées. |
Domaines de connaissance les plus importants :
- OpenVPN
Liste partielle de termes, fichiers et utilitaires utilisés pour cet objectif :
- /etc/openvpn/
- openvpn
Considérations de modifications ultérieures
Les prochaines versions des objectifs pourront inclure les changements suivants :
- shell EFI shell, gdisk, sans parted. Plus approprié pour une mise à jour de la certification LPIC-1.
- lighttpd aurait été de trop pour la couverture des services Web. Dans la prochaine révision, il faudra peut-être réduire la couverture d’Apache pour faire de la place.
- Des outils de détection d’intrusion au niveau machine (host level IDS) comme tripwire, AIDE, etc. devraient faire partie de la future certification LPIC-1.
- la prise en compte de sieve et maildrop sera à prendre en considération pour une future mise à jour.
- SAN, AoE, et FCoE seront à prendre en considération pour une future mise à jour.
- les systèmes de fichiers chiffrés sont couverts en détail dans l’examen LPI-303.
- mention de DANE