miki_yさんの助け合いフォーラム投稿一覧
本文の選択肢
ダウンタイムを短縮するためのロードバランスクラスタの導入
は、「ロードバランスクラスタは負荷分散を行うため、ダウンタイムを短縮することとは関係ありません。」という理由で不正解となっています。
ですが、「参考」の説明にこうあります。
「冗長性の確保」「ダウンタイムの短縮」という目的のために、具体的には、複数コンピュータで同じサービスを提供できる構成によって冗長性を確保し、
また、業務をいつでも引き継げる状態にすることで、ダウンタイムの短縮を図ります。
本試験では、これらの目的を達成するクラスタ構成として、ロードバランスクラスタとフェイルオーバークラスタの二つのクラスタを取り上げています。
ロードバランスクラスタについては
「高可用クラスタと別に扱われる、としつつも、本試験では同じ括りとされ」
「ロードバランスクラスタの可用性確保は副次的要素であり」
などの表現がされていますが、
結局、
(1)可用性に効果があるのか無いのか
(2)可用性の目的である「冗長性の確保」と「ダウンタイムの短縮」の両方または一方に対して一定の効果があるのか無いのか
に対しスタンスが曖昧になっている印象です。
ロードバランスクラスタが(2)のどちらの目的にも寄与しないのであれば可用性には一切関係ないことになりますが
であれば先述の「本試験では、これらの目的を達成するクラスタ構成として、ロードバランスクラスタとフェイルオーバークラスタの二つのクラスタを取り上げています。」という説明と矛盾するように思います。
本文の選択肢にIPv6がありますが
そもそもIPv6はFreeIPAの動作要件というだけで、コンポーネントという括りに入れるのは違和感があります。
FreeIPAをインストールするとIPv6もインストールされるのでしょうか?
そもそもIPv6はNICやカーネルモジュールレベルで対応するものでは?
tshark -i eth0 -f "!udp"
これが不正解のようですが
https://www.toyo.co.jp/ict/casestudy/detail/id=42419
Wiresharkの方は否定に「!」が使えますが
tsharkは使えないのでしょうか?
本問の「参考」の説明にて、
昨今では、生体認証やUSBキーでのブートなどに対応した機種ならば選択肢の一つとしてよいでしょう。また、盗難などの場合を考慮するならばディスクの暗号化なども検討すべきでしょう。
とありますが、なぜBIOSパスワードの有効性が、そういう機種では上がるのか、よくわかりません。
これらの機種とて、BIOSパスワードはROMに書かれていてCMOSクリアされると無力化するのは変わらないのでは?
上記の説明は、生体認証やUSBキー単体の有効性のことを言っているだけで、別にこれがあるだけで
BIOSパスワードの有効性が上がる理屈にはならないのでは?
単純に、OSのパスワードがバレた場合の二重の保険として、
(盗難した人間が皆CMOSクリアの知見があるわけではないので)BIOSパスワードに一定の有効性はある、
という理解していますが、生体認証やUSBキー機能があることでその有効性が増す理屈がわかりませんでした。
cryptsetupで暗号化パーティションを構築する場合、
原本である1個のマスターキーに対し、最大8つのパスフレーズで暗号化されたマスターキーがキースロットに格納されますが、
これに対し、
・cryptmount -c で変更できる"パスワード"とは、上記"パスフレーズ"と同じものを指しているのでしょうか。
・cryptmount -g で作成できる"復号キー"とは、上記"マスターキー"と同じものを指しているのでしょうか。
そもそも両コマンドは同じ暗号化パーティションに対し相補的に使うものではなく
全く別の管理機構のため1つの暗号化パーティションに対してはどちらかを選択した方だけを使って構築・管理する、というイメージですか?
本文の正解のSSLStaplingCacheへの設定値 "type" は正しいのでしょうか。
調べましたがSSLStaplingCacheは、本文の解説中の設定例にもあるように
キャッシュのストレージ場所+括弧書きでキャッシュサイズ
の指定では? 正解にある"type" の意味合いは?
また、解説中のssl.confの設定一覧表にもSSLStaplingCacheの設定値に「タイプ」と書かれていますが
「タイプ」とは何を指定するのでしょうか。
匿名バインドはバインドDNもパスワードも無しのバインド
非認証バインドはバインドDNのみがあるバインド
とping-tの解説等のとおり明確に区別した前提で質問です。
①allow bind_anon_cred、 disallow bind_anon が許可/禁止する対象は
どちらも「匿名バインド」のみですよね?非認証バインドも含んでいたりしませんよね?
②disallow側には、なぜ「非認証バインド」の禁止設定が無いのでしょうか
③ping-tのディレクティブの表のallow側の説明にて、わざわざ"(DNが指定されていない場合)" "(DNが指定されている場合)"などの
注釈カッコ書きがあるのはなぜですか。単純に匿名バインドの許可,禁止と書けばよいのでは。
④他サイトですが
https://linuc.org/study/samples/3328/
ここの回答と解説にて
非認証バインドはデフォルトでは使用不可になっており、slapd.confに"allow bind_anon_cred"を指定することで使用可能となる
と書かれています。ping-tを信じるとallow bind_anon_cred は匿名バインドの許可であり非認証バインドの許可ではありませんよね。
上記サイトの解説側が間違っているということになりますか。
冒頭で書いた「匿名バインド」「非認証バインド」の定義は本当に徹底されているんですかね。
実は「匿名バインド」が広義の意味で、狭義の匿名バインドと非認証バインドを 合わせて呼んでいたり
ブレてたりしませんかね。
snort -i eth0 -D -l ./sample.log -u pingt -g pingt
に対して、本問の正解、つまり"誤っている"選択肢は
・ログは「./sample.log」へ出力される
とのことですが、これが"誤っている"理由がわかりませんでした。
-l で指定するログディレクトリとして 「./sample.log」を指定しているから、
このディレクトリへログが出力される。それで合っているのではないでしょうか?
「sample.log」がファイル(名)のことだとはどこにも書いてませんし、
仮にファイルだとしたら、そもそもこのコマンドが異常終了するのだからその他の選択肢も皆成り立たなくなるのでは。
本文の解説にて
・ユーザがホームディレクトリを暗号化し利用するためのツールとしてecryptfs-setup-privateとecryptfs-mount-privateがあります。
・ecryptfs-setup-privateを実行することにより、マウントポイント用の「~/Private」ディレクトリなどがホームディレクトリに作成されます。
とありますが、ここで出てくる「ecryptfs-setup-private」は「ecryptfs-migrate-home」ではないのでしょうか?
解説にて
「デフォルトで設定されている認証データベース以外を操作する際に「-b」オプションを使用します。」
とありますが
それは、passdb backend で使用データベースが指定されているか否かによらず
常にSambaとしてのデフォルトのデータベース(Samba3ならtdbsam) というわけではないですよね?
「passdb backendで指定されたデータベース、未指定ならSambaのデフォルトのデータベース」以外を操作する際には
-b で指定する、と理解しましたが合ってますでしょうか。
本問の正誤には関係ありませんが
本問の解説や参考には書いてないようですが、
PDCにするには
server role = classic primary domain controller
も設定必須ですよね?
server roleは「Samba4のAD互換ドメインコントローラ」の節に登場しますが
なぜか本節「SambaのPDCとBDC」には触れられていないように思います。
(勘違いだったらすみません)
ojixiiさん
ありがとうございます。ずいぶん昔に仕様が変わってINPUTも使用可能になったとありますね。
ping-t事務局さん
いかがでしょうか。適切な対応をお願いします。
本問の「参考」の説明にて、
natテーブルで使用可能なチェインについて
「◎nat ... INPUT、OUTPUT、PREROUTING、POSTROUTING」
と書かれているが、
LinuC 202 では 問題23148 やその「参考」の説明文にて、
natで使用可能なチェインは「OUTPUT、PREROUTING、POSTROUTING」の3種類でありINPUTは入っていない。
どちらが正しいのか。