Linux-LPI - LPIC-3 (303: Security)

Seminarinformationen

Seminar - Ziel

In diesem 5-tägigen Seminar „Linux-LPI - LPIC-3 (303: Security)“ bereiten wir Sie umfassend auf die LPIC-3-Zertifizierungsprüfung 303 im Bereich Security vor. Der Fokus dieses Seminars liegt darauf, Ihre fortgeschrittenen Linux-Kenntnisse im Bereich IT-Sicherheit zu vertiefen und nicht nur auf das Bestehen der Prüfung.

Das Seminar vermittelt Ihnen nicht nur den Prüfungsstoff, sondern legt besonderen Wert auf praktische Erfahrungen und den souveränen Umgang mit Linux. Die Ausbildung zielt darauf ab, Ihnen das notwendige Wissen für die LPIC-3-Zertifizierung zu vermitteln und Sie auf reale Aufgaben in der Administration oder im IT-Sicherheitsservice vorzubereiten.

Wir unterstützen Sie gezielt bei der Vorbereitung auf die Zertifizierungsprüfungen des Linux Professional Institute und fördern gleichzeitig Ihre Softskills in den Bereichen Problemlösung, Planung und Anpassung von IT-Umgebungen. Bitte beachten Sie, dass die Prüfungsgebühren nicht im Seminarpreis enthalten sind.

Unser Seminarangebot umfasst verschiedene Spezialisierungen auf LPIC-3-Level, darunter Linux LPI - LPIC-3 (300: Mixed Environment), Linux-LPI - LPIC-3 (303: Security) sowie 304: Virtualisierung und Hochverfügbarkeit.

Teilnehmer - Zielgruppe

• Administratoren

Kurs - Voraussetzungen

Besuch der Schulungen

• Linux-LPI - Komplettausbildung zur LPIC-1 (101 und 102)
• Linux-LPI - Komplettausbildung zur LPIC-2 (201 und 202)

Seminardauer

• 5 Tage
• 09:00 Uhr bis 17:00 Uhr

Schulungsunterlagen

• nach Absprache

Seminar-Inhalt / Agenda

Topic 331: Kryptographie

331.1 X.509 Zertifikate und Public Key Infrastrukturen

• X.509 Zertifikate, X.509 Zertifikatslebenszyklus, X.509 Zertifikatsfelder und X.509v3 Zertifikatserweiterungen verstehen
• Vertrauenskette und Public Key Infrastrukturen inklusive Zertifikatstransparenz verstehen
• Öffentliche und private Schlüssel generieren und verwalten
• Zertifizierungsstelle erstellen, betreiben und sichern
• Server- und Client-Zertifikate anfordern, signieren und verwalten
• Zertifikate und Zertifizierungsstellen widerrufen
• Grundlegende Kenntnisse von Let's Encrypt, ACME und certbot
• Grundlegende Kenntnisse von CFSSL

Verwendete Dateien, Begriffe und Utilities:

• openssl (inkl. relevanter Subcommands)
• OpenSSL Konfiguration
• PEM, DER, PKCS
• CSR
• CRL
• OCSP

331.2 X.509 Zertifikate für Verschlüsselung, Signierung und Authentifizierung

• SSL, TLS inklusive Protokollversionen und Chiffren verstehen
• Apache HTTPD mit mod_ssl für HTTPS-Dienste konfigurieren, inklusive SNI und HSTS
• Apache HTTPD mit mod_ssl für die Bereitstellung von Zertifikatsketten konfigurieren und Chiffre-Konfiguration anpassen
• Apache HTTPD mit mod_ssl für die Benutzerauthentifizierung mit Zertifikaten konfigurieren
• Apache HTTPD mit mod_ssl für OCSP Stapling konfigurieren
• OpenSSL für SSL/TLS Client- und Server-Tests verwenden

Verwendete Dateien, Begriffe und Utilities:

• httpd.conf
• mod_ssl
• openssl (inkl. relevanter Subcommands)

331.3 Verschlüsselte Dateisysteme

• Blockgeräte- und Dateisystemverschlüsselung verstehen
• dm-crypt mit LUKS1 zur Verschlüsselung von Blockgeräten verwenden
• eCryptfs zur Verschlüsselung von Dateisystemen, inklusive Home-Verzeichnisse und PAM-Integration verwenden
• Kenntnis von plain dm-crypt
• Kenntnis von LUKS2 Funktionen
• Konzeptuelles Verständnis von Clevis für LUKS-Geräte und Clevis PINs für TPM2 und Network Bound Disk Encryption (NBDE)/Tang

Verwendete Dateien, Begriffe und Utilities:

• cryptsetup (inkl. relevanter Subcommands)
• cryptmount
• /etc/crypttab
• ecryptfsd
• ecryptfs-* commands
• mount.ecryptfs, umount.ecryptfs
• pam_ecryptfs

331.4 DNS und Kryptographie

• Konzepte von DNS, Zonen und Ressourcerecords verstehen
• DNSSEC inklusive Key Signing Keys, Zone Signing Keys und relevante DNS-Records wie DS, DNSKEY, RRSIG, NSEC, NSEC3 und NSEC3PARAM verstehen
• BIND als autoritativen Nameserver für DNSSEC-gesicherte Zonen konfigurieren und Fehler beheben
• DNSSEC-signierte Zonen verwalten, inklusive Schlüsselgenerierung, Schlüsselrotation und Neusignierung von Zonen
• BIND als rekursiven Nameserver konfigurieren, der DNSSEC-Validierung für seine Clients durchführt
• CAA und DANE inklusive relevanter DNS-Records wie CAA und TLSA verstehen
• CAA und DANE verwenden, um X.509 Zertifikate und Zertifizierungsstelleninformationen in DNS zu veröffentlichen
• TSIG für sichere Kommunikation mit BIND verwenden
• Kenntnis von DNS über TLS und DNS über HTTPS
• Kenntnis von Multicast DNS

Verwendete Dateien, Begriffe und Utilities:

• named.conf
• dnssec-keygen
• dnssec-signzone
• dnssec-settime
• dnssec-dsfromkey
• rndc (inkl. relevanter Subcommands)
• dig
• delv
• openssl (inkl. relevanter Subcommands)

Topic 332: Host Security

332.1 Host Hardening

• BIOS und Bootloader (GRUB 2) Sicherheit konfigurieren
• Unbenutzte Software und Dienste deaktivieren
• Unnötige Fähigkeiten für spezifische systemd Units und das gesamte System verstehen und entfernen
• Address Space Layout Randomization (ASLR), Data Execution Prevention (DEP) und Exec-Shield konfigurieren
• USB-Geräte mit USBGuard black- und whitelisten
• SSH CA erstellen, SSH-Zertifikate für Host- und Benutzerschlüssel mit der CA erstellen und OpenSSH für die Verwendung von SSH-Zertifikaten konfigurieren
• Mit chroot-Umgebungen arbeiten
• systemd Units verwenden, um Systemaufrufe und Fähigkeiten für einen Prozess zu begrenzen
• systemd Units verwenden, um Prozesse mit eingeschränktem oder keinem Zugriff auf bestimmte Dateien und Geräte zu starten
• systemd Units verwenden, um Prozesse mit dedizierten temporären und /dev-Verzeichnissen und ohne Netzwerkzugriff zu starten
• Auswirkungen von Linux Meltdown und Spectre Abschwächungen verstehen und diese aktivieren/deaktivieren
• Kenntnis von polkit
• Kenntnis der Sicherheitsvorteile von Virtualisierung und Containerisierung

Verwendete Dateien, Begriffe und Utilities:

• grub.cfg
• systemctl
• getcap
• setcap
• capsh
• sysctl
• /etc/sysctl.conf
• /etc/usbguard/usbguard-daemon.conf
• /etc/usbguard/rules.conf
• usbguard
• ssh-keygen
• /etc/ssh/
• ~/.ssh/
• /etc/ssh/sshd_config
• chroot

332.2 Host Intrusion Detection

• Linux Audit-System verwenden und konfigurieren
• chkrootkit verwenden
• rkhunter verwenden und konfigurieren, inklusive Updates
• Linux Malware Detect verwenden
• Host-Scans mit cron automatisieren
• RPM und DPKG Paketverwaltungstools verwenden, um die Integrität installierter Dateien zu überprüfen
• AIDE konfigurieren und verwenden, inklusive Regelverwaltung
• Kenntnis von OpenSCAP

Verwendete Dateien, Begriffe und Utilities:

• auditd
• auditctl
• ausearch, aureport
• auditd.conf
• audit.rules
• pam_tty_audit.so
• chkrootkit
• rkhunter
• /etc/rkhunter.conf
• maldet
• conf.maldet
• rpm
• dpkg
• aide
• /etc/aide/aide.conf

332.3 Resource Control

• ulimits verstehen und konfigurieren
• cgroups verstehen, inklusive Klassen, Limits und Accounting
• cgroups verwalten und Prozesse cgroup-Zuordnungen zuweisen
• systemd Slices, Scopes und Services verstehen
• systemd Units verwenden, um die Systemressourcen zu begrenzen, die Prozesse verbrauchen können

Verwendete Dateien, Begriffe und Utilities:

• ulimit
• /etc/security/limits.conf
• pam_limits.so
• /sys/fs/cgroup/
• /proc/cgroups
• systemd-cgls
• systemd-cgtop

Topic 333: Access Control

333.1 Discretionary Access Control

• Dateibesitz und -berechtigungen verstehen und verwalten, inklusive SetUID und SetGID Bits
• Zugriffskontrolllisten verstehen und verwalten
• Erweiterte Attribute und Attributklassen verstehen und verwalten

Verwendete Dateien, Begriffe und Utilities:

• getfacl
• setfacl
• getfattr
• setfattr

333.2 Mandatory Access Control

• Konzepte von Type Enforcement, rollenbasierter Zugriffskontrolle, Mandatory Access Control und Discretionary Access Control verstehen
• SELinux konfigurieren, verwalten und verwenden
• Kenntnis von AppArmor und Smack

Verwendete Dateien, Begriffe und Utilities:

• getenforce
• setenforce
• selinuxenabled
• getsebool
• setsebool
• togglesebool
• fixfiles
• restorecon
• setfiles
• newrole
• setcon
• runcon
• chcon
• semanage
• sestatus
• seinfo
• apol
• seaudit
• audit2why
• audit2allow
• /etc/selinux/*

Topic 334: Network Security

334.1 Network Hardening

• Sicherheitsmechanismen von drahtlosen Netzwerken verstehen
• FreeRADIUS konfigurieren, um Netzwerkknoten zu authentifizieren
• Wireshark und tcpdump verwenden, um Netzwerkverkehr zu analysieren, inklusive Filter und Statistiken
• Kismet verwenden, um drahtlose Netzwerke zu analysieren und drahtlosen Netzwerkverkehr zu erfassen
• Rogue Router Advertisements und DHCP-Nachrichten identifizieren und behandeln
• Kenntnis von aircrack-ng und bettercap

Verwendete Dateien, Begriffe und Utilities:

• radiusd
• radmin
• radtest
• radclient
• radlast
• radwho
• radiusd.conf
• /etc/raddb/*
• wireshark
• tshark
• tcpdump
• kismet
• ndpmon

334.2 Network Intrusion Detection

• Bandbreitennutzung überwachen
• Snort konfigurieren und verwenden, inklusive Regelverwaltung
• OpenVAS konfigurieren und verwenden, inklusive NASL
• Kenntnis von ntop

Verwendete Dateien, Begriffe und Utilities:

• ntop
• snort
• snort-stat
• pulledpork.pl
• /etc/snort/*
• openvas-adduser
• openvas-rmuser
• openvas-nvt-sync
• openvassd
• openvas-mkcert
• openvas-feed-update
• /etc/openvas/*

334.3 Packet Filtering

• Gängige Firewall-Architekturen verstehen, inklusive DMZ
• iptables und ip6tables verstehen und verwenden, inklusive Standardmodule, Tests und Ziele
• Paketfilterung für IPv4 und IPv6 implementieren
• Verbindungstracking und Network Address Translation implementieren
• IP-Sets verwalten und in netfilter-Regeln verwenden
• Kenntnis von nftables und nft
• Kenntnis von ebtables
• Kenntnis von conntrackd

Verwendete Dateien, Begriffe und Utilities:

• iptables
• ip6tables
• iptables-save
• iptables-restore
• ip6tables-save
• ip6tables-restore
• ipset

334.4 Virtual Private Networks

• Prinzipien von gebridgten und gerouteten VPNs verstehen
• Prinzipien und Hauptunterschiede der Protokolle OpenVPN, IPsec, IKEv2 und WireGuard verstehen
• OpenVPN-Server und -Clients konfigurieren und betreiben
• IPsec-Server und -Clients mit strongSwan konfigurieren und betreiben
• WireGuard-Server und -Clients konfigurieren und betreiben
• Kenntnis von L2TP

Verwendete Dateien, Begriffe und Utilities:

• /etc/openvpn/
• openvpn
• /etc/strongswan.conf
• /etc/strongswan.d/
• /etc/swanctl/swanctl.conf
• /etc/swanctl/
• swanctl
• /etc/wireguard/
• wg
• wg-quick
• ip

Topic 335: Threats and Vulnerability Assessment

335.1 Common Security Vulnerabilities and Threats

• Konzeptuelles Verständnis von Bedrohungen gegen einzelne Knoten
• Konzeptuelles Verständnis von Bedrohungen gegen Netzwerke
• Konzeptuelles Verständnis von Bedrohungen gegen Anwendungen
• Konzeptuelles Verständnis von Bedrohungen gegen Anmeldeinformationen und Vertraulichkeit
• Konzeptuelles Verständnis von Honeypots

Verwendete Dateien, Begriffe und Utilities:

• Trojaner
• Viren
• Rootkits
• Keylogger
• DoS und DDoS
• Man in the Middle
• ARP und NDP Fälschung
• Rogue Access Points, Router und DHCP-Server
• Link Layer Adress- und IP-Adress-Spoofing
• Buffer Overflows
• SQL und Code Injections
• Cross Site Scripting
• Cross Site Request Forgery
• Privilegieneskalation
• Brute Force Angriffe
• Rainbow Tables
• Phishing
• Social Engineering

335.2 Penetration Testing

• Konzepte von Penetrationstests und ethischem Hacking verstehen
• Rechtliche Implikationen von Penetrationstests verstehen
• Phasen von Penetrationstests verstehen, wie aktive und passive Informationsbeschaffung, Enumeration, Zugriffserlangung, Privilegieneskalation, Zugriffsaufrechterhaltung, Spurenverwischung
• Architektur und Komponenten von Metasploit verstehen, inklusive Metasploit-Modultypen und wie Metasploit verschiedene Sicherheitstools integriert
• nmap verwenden, um Netzwerke und Hosts zu scannen, inklusive verschiedener Scan-Methoden, Versionsscans und Betriebssystemerkennung
• Konzepte der Nmap Scripting Engine verstehen und bestehende Skripte ausführen
• Kenntnis von Kali Linux, Armitage und dem Social Engineer Toolkit (SET)

Verwendete Dateien, Begriffe und Utilities:

• nmap

Weitere Schulungen zu Thema LPI Linux Professional Institute