arashi1977さんの助け合いフォーラム投稿一覧

日本語難しいね的な話かもしれませんが、設問の

プライベートサブネット上のEC2インスタンスに、インターネット経由でOSのアップデートを実行したい。

は、解説や正答選択肢からすると

• 「EC2インスタンスにて」または「EC2インスタンスから」
• 「インターネット経由でOSのアップデートを実行したい」→「OSのアップデートをインターネットから取得させたい」

の意図なのではないかなと思います。

矛盾しないですね。
たとえば有線LANの環境をイメージしてもらいたいのですが

• ツイストペアケーブル（UTP/STP）と光ファイバーは互換性がない（＝周波数帯が異なる場合は通信できない）
• ツイストペアケーブルを使用する規格（Ethernet, FastEthernet, GigabitEthernet）には互換性がある
• カテゴリ5以上のツイストペアケーブルを使用して接続する場合、両端の装置で 802.3u や 802.3ab といった規格が一致しなければならない（＝同じ規格で通信する必要がある）
• GigabitEthernetのスイッチにFastEthernetのNICを持つ装置を繋いでも通信できるのは、GigabitEthernet（802.3ab対応）のスイッチが下位の規格であるFastEthernet（802.3u）にも対応しているため

というだけの話です。

参考）
802.3についてはこちら https://e-words.jp/w/IEEE_802.3.html
装置が単体で複数の規格に対応している例（Catalyst 9200）はこちら https://www.cisco.com/c/ja_jp/products/collateral/switches/catalyst-9200-series-switches/nb-06-cat9200-ser-data-sheet-cte-en.html#%E7%AE%A1%E7%90%86%E6%A9%9F%E8%83%BD%E3%81%8A%E3%82%88%E3%81%B3%E6%A8%99%E6%BA%96%E8%A6%8F%E6%A0%BC%E3%81%AE%E3%82%B5%E3%83%9D%E3%83%BC%E3%83%88

問題演習中はできないようになっていたかと思います。別ウィンドウで開いても現在演習中のセッションに復帰するので、そのやり方も多分ダメですね。
試験同様に「最後までやる」しかないですが、これも試験の練習だと思えば… (^^;

トラフィックが一致しているとアクションが実行されないのであれば、denyエントリは何のために存在するのでしょう？

シーケンス10では「アクセスリスト100にマッチしたら破棄」となっているので、「アクセスリストにマッチしないものは破棄しない」ということです。なので、明示的に「シーケンス10の処理対象としない（破棄させたくない）トラフィック」をdenyしておくことで、処理対象から外す、というのが存在する理由ですかね。

別の仕組みの名前を使うと「ホワイトリスト」「ブラックリスト」をどう実装しているか、です。
ACL100は拒否する対象を定義している「ブラックリスト」のように見えますが、VLANアクセスマップの中では「ACL100にマッチしたら破棄」となっており挙動としては「permitされたものが破棄される」ので、その逆の「denyエントリにマッチするものは破棄対象とならない」ことが確実になることから「ホワイトリスト」を定義していると理解されると良いのではないかと

これがわかりやすいかもしれません、。
https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/6/html/security_guide/sect-security_guide-tcp_wrappers_and_xinetd

「図2.4 ネットワークサービスへのアクセス制御」にあるように、まずはTCP Wrapperで仕分けたのちに ”さらに” xinetdで管理するサービスごとの設定を確認して（２段階目の）アクセス制御を行うという感じですかね。

こっちのドキュメントにも書いてありますね。
https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/6/html/security_guide/sect-security_guide-tcp_wrappers_and_xinetd-xinetd

クライアントが xinetd が制御するネットワークサービスへの接続を試みると、スーパーサービスはリクエストを受け取り、TCP Wrappers アクセス制御ルールを確認します。
アクセスが許可されると、xinetd は、そのサービスの独自のアクセスルールで接続が許可されていることを確認します。

確かに設問の通りであればおかしいですね。

ネットワークIPアドレスが192.168.10.0、サブネットマスクが255.255.128.0のとき、IPアドレスをCIDRで表記したもの

192.168.10.0をネットワークアドレスとする255.255.128.0なサブネットって存在しないですもんね。/25（255.255.255.128）ならあり得ますが。
単に「ネットワークIPアドレス」が「IPアドレス」の誤記かもしれませんが、その辺はPing-tさんの確認待ちですかね。

もう終わってるっぽいですが。
SSH接続できる環境でやってみましたが、 usermod -L するとまずそもそもログインできませんでした。

$ ssh testuser@192.168.64.2
testuser@192.168.64.2's password:
Permission denied, please try again.
testuser@192.168.64.2's password:
Permission denied, please try again.
testuser@192.168.64.2's password:
testuser@192.168.64.2: Permission denied (publickey,password).

で、正解となっている usermod -s /bin/false だと、アカウントは生きているもののシェルが利用できないので対話的ログインできず、すぐに追い出されます。

$ ssh testuser@192.168.64.2
testuser@192.168.64.2's password:
Welcome to Ubuntu 23.10 (GNU/Linux 6.5.0-26-generic aarch64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/pro

This system has been minimized by removing packages and content that are
not required on a system that users do not log into.

To restore this content, you can run the 'unminimize' command.

The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by
applicable law.

Last login: Wed Apr 10 16:08:19 2024 from 192.168.64.1
Connection to 192.168.64.2 closed.

この設問で求められているのは「対話的ログインの禁止」であって「アカウントのロック」ではないのはすでに他の方も言及されている通りです。その上であえていうなら

アカウントがロックされたら対話的ログインもできなくなるから
正解だと思ったのですが、違うのでしょうか。

と疑問に思われている通り「求められていることを達成せず別の操作の副次的な影響で達成（したように）するのをよしとするのか」というところでしょうけど、たとえば「 systemctl stop sshd したらリモートから対話的ログインできなくなるからこれもOK」とか「 passwd hoge2 してパスワード勝手に変えたらログインできなくなるのだからこれもOK」とはならないですよね。

この問題では「最も適切なコマンド」を「2つ」選ぶようになっているので、まずは「求められているもの」を主に考えて、あとは試験テクニック的にも「回答数に合う【より適切な】選択肢を選ぶ」というのが優先かなと思います。その上で、求められているものを達成できるものが回答数に満たない場合は次善の選択肢を検討する、という順番がより良いかと思います。

参考の「プライベートアドレスは以下の範囲内で自由に割り当てることができます（RFC 1918で規定）」の下の表を見るとわかりますが、 172.17.33.55 はクラスBプライベートアドレスの範囲に含まれるからですね。

そうですね。設問は

次のログインに関する設定について正しい記述はどれか。

なので、SSHの設定のような「ログインに関する設定以外」は「省略」の範囲に含まれていると考えるのが妥当かと思います。

間違ってはないと思いますが、質問の趣旨は何ですか？

設問からは

同社はデータセンターの自然災害時の影響を考慮して、AWSを利用した災害復旧（DR：Disaster Recovery）を計画している。

のですから、仮にデータ同期やオンプレミスのシステム停止時切り替えのためにDirectConnectで接続していたとしても、そもそもデータセンターが自然災害により使用不可能な（DirectConnectエンドポイントが機能しない）状態を想定しているので

障害時にAWSに切り替えるには、通常はDirect Connectでつないでいるのが一般的な構成かと思います。

だと、「どこのエンドポイントからAWSのバックアップ環境にDirectConnect接続するの？」って観点が不足しているのではないかなと思います。

DNSに関する用語は定義がはっきりしていなかったりするので曖昧に表現すると齟齬が発生する元なので難しいところです。

ここでいう「ホスト名」は「（完全修飾）ドメイン名」の意味で使われていると思われます。逆に、I-chan0234さんがいう「ドメイン名」が完全修飾ドメイン名（FQDN）を意図しているのであれば同一視しても良いと思います。

まぁ問題的には「IPアドレスではなく、名前」というぐらいの意味で理解しても間違いではなさそうです。

本来NICから送信可能な最大サイズを超えたデータが検出されたという意味ですが、そんなの送ってくる時点で送出側のNICが上限以内に収めることができない（正しく動作できてない）と考えられるからですね。
https://www.cisco.com/c/ja_jp/support/docs/switches/catalyst-6500-series-switches/12027-53.html#toc-hId--939937013

ジャイアント フレームとは、イーサネットの最大フレーム サイズを上回る（1518 バイト以上）、不正な FCS を持つフレームのことです。

参考の【輻輳管理】と【輻輳回避】の項目は確認済みですか？

解説のこの部分についてはcopilotは何か言っていましたか？

また下図の通り、インターフェース（GigabitEthernet0/0）の帯域幅は「bandwidth 100000」によって「100000Kbps」へ変更されています。

うーん…なんか表現の問題な気がしますが

ソリューションアーキテクトは複数のEC2インスタンスで動作するサーバーのストレージについて検討している。

これ、「サーバー」じゃなくて「サービス」とかなら意味がわかるんですよねぇ。
割と「サーバー ＝ EC2インスタンス」な関係だと思うので、Kurojunさんのおっしゃる通り「1つのストレージで複数のインスタンスにアタッチできるもの」という条件にもよめます。でも次の

サーバーのデータは複数のEC2インスタンスにコピーして保存し、データ損失に耐えられるようにする。

からすると「データは複数のインスタンスにコピーされ（複製がある状態にして）データ損失に耐えられる」ためには「1つのストレージ」だと達成できないのですよね。なので「マルチアタッチ」も不適切かなと。

そういうことからすると単純にIOPSだけ見てインスタンスストアってのは導ける気もしますが、なんかうーんって感じますね…

これは違いますか？
https://aws.amazon.com/jp/blogs/news/amazon-rds-now-supports-io2-block-express-volumes-for-mission-critical-database-workloads/