dandyleoponさんの助け合いフォーラム投稿一覧

rkhunter の wiki には以下のようにありますので、
「システムの監査をする」という目的ならroot権限で行うべき、という認識でよいのではないでしょうか。
https://sourceforge.net/p/rkhunter/wiki/first-scan/

ただ、インストール先は「/usr/bin/rkhunter」でしたし、一般ユーザでもコマンドの実行は可能でした。

Audit の設定の優先度は
・設定順が上の方が優先される
・より具体的な設定があれば上書きされる
という動作をしたはずです。
ただ audit.rules や auditctl の man に優先度についての記載が見当たらないので記憶だけで申し訳ないのですが。。
（一応、ChatGPTに尋ねたら同じ回答をしてくれました）

今回の場合は「すべてのシステムコールを記録する」よりも
「openとcloseを除外する」という具体的な設定の方が優先されるのではないかなと思います。

このような動作のようです。whatis もくっつけておきます。

$ whatis passwd
sslpasswd (1ssl)     - compute password hashes
passwd (1)           - update user's authentication tokens
passwd (5) 

$ apropos passwd
checkPasswdAccess (3) - query the SELinux policy database in the kernel
chgpasswd (8)        - update group passwords in batch mode
chpasswd (8)         - update passwords in batch mode
fgetpwent_r (3)      - get passwd file entry reentrantly
getpwent_r (3)       - get passwd file entry reentrantly
gpasswd (1)          - administer /etc/group and /etc/gshadow
grub2-mkpasswd-pbkdf2 (1) - Generate a PBKDF2 password hash.
htpasswd (1)         - Manage user files for basic authentication
lpasswd (1)          - Change group or user password
lppasswd (1)         - add, change, or delete digest passwords.
pam_localuser (8)    - require users to be listed in /etc/passwd
passwd (1)           - update user's authentication tokens
sslpasswd (1ssl)     - compute password hashes
passwd (5)           - password file
passwd2des (3)       - RFS password encryption
pwhistory_helper (8) - Helper binary that transfers password hashes from passwd or shadow to o...
saslpasswd2 (8)      - set a user's sasl password
selinux_check_passwd_access (3) - query the SELinux policy database in the kernel
smbpasswd (5)        - The Samba encrypted password file
SSL_CTX_set_default_passwd_cb (3ssl) - set passwd callback for encrypted PEM file handling
SSL_CTX_set_default_passwd_cb_userdata (3ssl) - set passwd callback for encrypted PEM file han...
vncpasswd (1)        - change the VNC password

「patch-4.7.3.xz」が、4.7.2 との差分なのか 4.7 との差分なのか、というところでしょうか？（違ったらすみません）
以下が参考になると思います。
（カーネル5.x の話ですが、考え方としては 4.x も同じだと思います。）
https://www.kernel.org/doc/html/next/process/applying-patches.html#normal-patches

Normal patches
These patches are not incremental, meaning that for example the 5.7.3 patch does not apply on top of the 5.7.2 kernel source, but rather on top of the base 5.7 kernel source.
So, in order to apply the 5.7.3 patch to your existing 5.7.2 kernel source you have to first back out the 5.7.2 patch (so you are left with a base 5.7 kernel source) and then apply the new 5.7.3 patch.

したがって、「patch-4.7.3.xz」を適用するなら、
移動先ディレクトリ（適用するカーネル）は 4.7 でなくてはならず、
4.7.2 に移動（4.7.2 のカーネルに適用）するのなら、
いったん 4.7.2 の変更を取り消して（4.7 の状態にして）適用する、ということなのではないかなと思います。

ちなみに ChatGPT に尋ねたら私も同じような事を言われました。

「patch-4.7.3.xz」は4.7.2と4.7.3の間の差分を表していると解釈するのが妥当です。

ちょっと困惑しましたが、Linux側が言ってることを信じていいと思います。
というか ChatGPT の答えはうのみにできないということですね。。

こちら「暗黙の保管」ってkeepのことを指しているんじゃないでしょうか
keepとfileintoの動作の違いのひっかけ問題かなと思っていました。

ちなみに保管も配送も、「メールボックスに保存する」（配送の場合は「振り分けて保存する」かな？）
という意味なのではないかなと思います。

手元のスピマスのLinuC対策本を見てみましたが、少なくともsarは載ってました。
キャパシティとかリソースの確認ということであれば、どっちも出題されてもおかしくはないコマンドなんじゃないかなーとは思います。
（LinuC202も取りましたが、実際出たかどうかは覚えてないです。すみません）

https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/6/html/deployment_guide/sec-loading_a_module
https://kazmax.zpp.jp/cmd/m/modules.dep.5.html
このあたりには「modprobeはmodules.depを読み取る」的なことが書かれてますので、直接的にしろ間接的にしろ参照しているという理解でいいのではないかなと思います。

あとこちらはLPIの資料ですが（P7）
https://lpi.or.jp/news/event/docs/20130316_01_report_01.pdf
にはmodules.depの記述だけですし、
・modules.depにはカーネルモジュールの依存関係が書かれてる
・modpropbeはこの情報を参照して動く
というところを押さえておけばいいのではないでしょうか。
質問の主旨を誤解してたらすみません。

この辺り読んでみましたが概ねご認識の通りでよいのではないかと思います。
https://qiita.com/thatsdone/items/e9592126ec0f8d445113
https://atmarkit.itmedia.co.jp/ait/spv/0803/18/news147_2.html

「chrony server pool」で検索したら以下が引っかかりましたが、疑問の解決になりますでしょうか。

https://happy-nap.hatenablog.com/entry/2022/09/17/232142#%E5%8F%82%E7%85%A7%E5%85%88NTP%E3%82%B5%E3%83%BC%E3%83%90%E3%81%AE%E6%8C%87%E5%AE%9Aserver%E3%81%A8pool%E3%81%AE%E9%81%95%E3%81%84

個人的な理解で恐縮ですが、、
「password required pam_ldap.so」については、
モジュールタイプ password だから認証に影響をもたらさない（影響するのは auth である）
ということかと理解してました。

またコントロールタイプについてはこの問題ではあんまり関係なさそうですが、
required は同じモジュールに影響があるので、この場合は password はこの行にしかいませんから、
やはり認証の成否に関係はないのかなと思います。

シェルを起動しているプロセスから子プロセスが起動されてスクリプトが実行される
という点では同じかと思います。（カーネルから見てどうかまではわかりません。）
以下シェバンについて興味深い検証をしている方がいらしたので参考までに。
https://genzouw.com/entry/2020/09/27/231631/2073/

LPIC レベル1,2くらいの学習で発生する疑問の場合は
検証した情報をwebにまとめてくれている方々が多いので検索してみてもいいかと思います。

noexecだけではなく、その上の
set [-o][+o] オプションの表に記載されている
全ての項目（全てのオプション）にあてはまり、noexecだけに
対する説明ではないと思われたのですが、正しいでしょうか。

こちらそう思われた根拠などはありますか。
ググってみましたが、以下には-n（noexec）の説明や注釈に「対話シェルでは無視する」「非対話型シェルに」などとありましたので、noexecだけに対する説明と受け取っていいのではないでしょうか。
https://atmarkit.itmedia.co.jp/ait/spv/1805/10/news023.html
https://www.ibm.com/docs/ja/zos/2.4.0?topic=descriptions-set-set-unset-command-options-positional-parameters

（相手？というのがよくわからなかったのですが）
秘密鍵は作成した端末で保管するべきもので、別の端末に送付したりしないはずでは？
みたいな考えは自分もしてました。

実際にそういう運用があるのかはわかりませんが、
当時、こちらのかたの回答が参考になったのでもしよければ。。
https://ping-t.com/modules/forum/index.php?topic_id=4867
（的外れな事を言ってたらすみません）

もし /dev/sdb2 以外にも xfs でマウントされてるファイルシステムがあれば、アンマウントされると思います。
が、「/dev/sdb2 だけを」とか「他をアンマウントする事なく」とかの条件もないですし、他に xfs でマウントされてるファイルシステムがあるかもわからないので、考えなくていいところかと思います。

正規表現を使う場面って、テキストファイル中の文字列を検索したいとか置換したい時だと思うので、
「ファイル名に合致するもの」のような設問はシェルのメタキャラクタと考えてました。

正規表現の場合は、問題文にそう書かれてたりgrepやsedで検索（置換）したい、
みたいなことが書かれてるんじゃないかなと思います。

質問の意図を読み違えてたらすみません。

「grep '1234.'」 は '1234<任意の1文字>'を含む 行が抽出されるのがポイントかなと思います。
'1234<任意の1文字>' のパターンにマッチするのであれば前後に何文字あろうが関係なく、
「アンパンマン1234ジャムおじさん」
みたいな行も抽出されます（されました）。

これは間違いの選択肢の解説のところですよね。
間違ってないように見えましたが、どこの部分でしょう？