Wszystkie pytanka ze wszystkich lat – by Teemonek W RAMACH

Transkrypt

Wszystkie pytanka ze wszystkich lat – by Teemonek
W RAMACH SAMOPOMOCY CHŁOPSKIEJ
DOPISUJCIE NA NIEBIESKO [RGB(0, 0, 255)]
KOMENTARZE, POPRAWKI I UWAGI, TAGUJĄC JE SWOIM NICKIEM
KOMENTARZ DO CAŁEGO PYTANIA POD DANYM PYTANIEM
everyone's commit matters
kto załatwia pytania na egzamin metodą gumowego węża?
metoda gumowego węża wymaga jaj ze stali
Jarek is a good man - Just type: man jarek //man 666 jarek
Które z poniższych protokołów służą realizacji kryptograficznych tuneli wirtualnych:
a) LDAP
b) X.400
c) IPsec
d) SSL
1.
2.
Które z poniższych protokołów służą realizacji kryptograficznych tuneli wirtualnych z
ochroną poufności:
a) AH
b) ESP
c) PGP
d) X.400
3.
Które z poniższych protokołów służą realizacji kryptograficznych tuneli wirtualnych z
ochroną poufności:
a) PEM
b) X.400
c) IPsec
d) SSL
4. Które z poniższych protokołów służą realizacji kryptograficznych tuneli wirtualnych:
a) IPsec
b) TLS
c) SSL
d) L2TP zgodnie z sugestią Jarka, L2TP wykorzystuje IPsec do zabezpieczeń, sam ich nie realizuje
Do zrealizowania zamaskowanego kanału komunikacyjnego może potencjalnie posłużyć:
a) port szeregowy // dlaczego nie? A jak zestawię po porcie szeregowym połączenie sieciowe do
kolejki drukowania? -- Jarek; Kuba: ideą Sz. jest to, że transmisję na porcie szeregowym można
było łatwo podsłuchać, do tego jest dość jawna; no i port ten służy do komunikacji, więc nie jest to
specjalnie zamaskowany sposób :)
b) kolejka drukowania
c) system plików
d) obciążenie systemu
5.
Wersja 3DES-EDE jest wzmocnieniem algorytmu kryptograficznego DES osiągniętym
poprzez:
a) trzystopniowe sprawdzenie losowości doboru klucza
6.
b) podział wyniku szyfrowania na 3 porcje różnej długości wg standardu Electronic Data Exchange
c) trzykrotne użycie algorytmu DES w trybie szyfrowania, deszyfrowania i ponownie
szyfrowania
d) trzykrotne zastosowanie konwersji jednokierunkowej Electronic Data Exchange
??? Jakie funkcje mogą pełnić systemy HIPS?
a) sondowanie usług (port enumeration) //Jarek: NIE
b) zamek-i-klucz //Artur: wg mnie NIE, a przynajmniej nic o tym nie ma, no a co to by było za pytanie
gdyby wszystkie odpowiedzi były prawdziwe ;) Jarek: wg. mnie też NIE. HIPS to tylko host IPS, a
nie żadna rekonfiguracja sieci/firewalli, ogranicza się do jednego systemu
c) monitor antywirusowy
d) ochrona przed atakami DoS
//Artur: w ostatnim wykładzie z zeszłego roku jest apropo (Intrusion Detection Systems) :
* monitorowanie ruchu sieciowego w celu wykrycia zagrożeń :
- podejrzanej aktywności (skanowania portów, adresów sieciowych)
- podejrzanej zawartości pakietów wirusów)
- dostępu do usług informacyjnych i katalogowych
- ataków DoS
na podstawie bazy wzorców ataków
* raportowanie stanu bezpieczeństwa
* półapek / przynęty - IPS (Intrusion Prevention Systems)
- mają za zadanie skierować intruza w "ślepy zaułek" (fałszywe servery) odwodząc go od serwerów
właściwych
- dając administratorowi czas na reakcję
A na następnym slajdzie :
Systemy IDS / IPS mogą pracować jako:
Host IDS (HIDS/HIPS)
- ochrona lokalnego systemu operacyjnego / aplikacji (np. przed buffer overflow)
7.
8. Metoda uzgadniania klucza Diffiego-Hellmana:
a) jest odporna na ataki aktywne
b) pozwala przekazać bezpiecznie klucz publiczny odbiorcy
c) jest odporna na ataki pasywne
d) pozwala przekazać bezpiecznie klucz publiczny nadawcy
Adamus: zgadzam się, DH służy do uzgodnienia klucza sesji, nie jest odporne na MITM za to nic
nikomu nie da podsłuch
Artur: zgadzam się z Kubą i Adamusem.
W metodzie uzgadniania klucza Diffiego-Hellmana system kompromituje (narusza
bezpieczeństwo):
a) przechwycenia jednego z wymienianych kluczy
b) przechwycenia obu wymienianych kluczy
Kuba: jestem na NIE (nawet jeśli przechwycisz obie
Alpha^klucz, nie zrobisz z tego użytecznego klucza do odczytu wiadomości)
//Artur: a przynajmniej nie zrobisz tego “efektywnie”, w tych slajdach co unv na forum podał jest :
“Bezpieczenstwo opiera sie na trudnosci rozwiazania problemu
logarytmu dyskretnego: znajac p, g, g^a i g^b, nie umiemy
efektywnie obliczyc a, b i g^ab.”
adamus: żadne przechwycenie nic nie da, więc dwie pierwsze odpowiedzi nie mogą być poprawne
c) podstawienie fałszywego klucza w miejsce każdego z wymienianych
d) podstawienie fałszywego klucza w miejsce dowolnego z wymienianych
adamus: angielskie wiki twierdzi, że potrzeba, aby atakujący robił za pośrednika wobec obydwu stron,
czyli musi podstawić swoje wartości klucza w miejsce każdej wymienianej między stronami
//Artur: za pośrednika tak, ale co mu po tym jak nie odczyta tych wiadomości, chyba że piszesz że
9.
podmieni także na etapie negocjacji kluczy
adamus: “za pośrednika”, czyli nie będzie bezpośredniej komunikacji A-B tylko będzie A-E-B,
w domyśle nigdy nie będzie bezpośredniej komunikacji między nimi, przede wszystkim na etapie
wymiany klucza
10. Mechanizm ochrony anty-spamowej o nazwie szare-listy polega na:
a) automatycznym weryfikowaniu listy zabronionych adresów nadawców przez MTA
b) odesłaniu komunikatu SMTP o czasowej niedostępności usługi
c) analizie nagłówka SMTP przez MUA
d) dynamicznym weryfikowaniu listy podejrzanych adresów nadawców przez użytkownika
11. Jaki rodzaj filtracji umożliwia podejmowanie decyzji o filtracji pakietów z uwzględnieniem
stanu sesji, do której przynależą?
a) filtry kontekstowe
b) Stateful Packet Filtering
c) filtry statyczne
d) filtry bezstanowe
12. Które z poniższych reguł są prawdziwe w przypadku mechanizmu Mandatory Access Control
(MAC): "Podmiot nie może ...
a) ...zapisać danych o etykiecie niższej niż jego aktualna"
b) ...uruchomić procesu o etykiecie wyższej niż jego aktualna" Kuba: Ok, ze slajdów wynika że
Execute jest na równi z Read
c) ...zapisać danych o etykiecie wyższej niż jego aktualna"
d) ...czytać danych o etykiecie niższej niż jego aktualna"
13. Które z wymienionych technik mogą być wykorzystane do uwierzytelniania z hasłami
jednorazowymi: unv: sprawdzone
a) jednokrotne uwierzytelniane (single sign-on)
b) certyfikacja klucza sesji
c) metoda zawołanie-odzew (challenge-response)
d) synchronizacja czasu
adamus: jeszcze lista haseł
14. Mechanizm OTP (one-time passwords):
a) uniemożliwia atak poprzez odtwarzanie (replaying)
b) weryfikuje nietrywialność hasła podczas jego zmiany
c) jest niewrażliwy na podsłuch adamus: kwestia dyskusyjna, ale chyba lepiej nie zaznaczać;
Jarek: ja bym zaznaczył, łatwiej wybronić w dyskusji ;-) Przykładowy scenariusz ataku: dosujemy
użytkownika/serwer podczas logowania. User wysyła hasło, my je podsłuchujemy, nie dolatuje do
serwera, … kwestia tego, czy zaznaczamy odpowiedź poprawną, czy taką, jakiej oczekuje Omikron.
adamus: tak tak, był omawiany taki przypadek -- chodzi o to, że nikt nie będzie z Tobą nad tym
pytaniem się rozwodził -- jak klikaliśmy takie testy u omikrona na sopach to nie było zmiłuj.
Zaznaczyłem odpowiedź poprawną u omikrona na sopach i straciłem ważny punkt, tyle z mojej
strony, ale co tutaj jest wg nich poprawne to nie wiem, na pewno sama odpowiedź A jest bezpieczna
Artur: z tego co nam mówił ostatnio na labkach BB, to nie będzie ujemnych punktów za zaznaczenie
złej, pod warunkiem że nie przekroczymy limitu poprawych odpowiedzi
J: Ale to na labach, nie egzaminie. Na labach będzie znana liczba poprawnych odpowiedzi, na examie
nie.
adamus: nie rozumiem (acha, o liczbie poprawnych odpowiedzi to nie wiedziałem)
d) uniemożliwia zdobycie hasła metodą przeszukiwania wyczerpującego
15. Przykładem realizacji mechanizmu uwierzytelniania z udziałem zaufanej trzeciej strony jest:
a) protokół Kerberos
b) urząd CA ???
c) system PKI
d) protokół Diffiego-Hellmana
//Artur: miałbym wątpliwości co do odpowiedzi b) i c)
// J: też. B wg. mnie nie jest “mechanizmem”, C miałem zaznaczone
// u: zależy jak definiuje się “mechanizm”. Wszystko można podpiąć pod mechanizm.
16. Atak typu TCP spoofing wymaga:
a) intensywnego zalewania segmentami SYN
b) odgadnięcia numeru sekwencyjnego pierwszego segmentu strony dającej nawiązania połączenia
c) odgadnięcia numeru ISN strony odbierającej żądanie nawiązania połączenia
d) zalewania żądaniami nawiązania połączenia TCP w trybie rozgłoszeniowym
17. Jaka usługa jest szczególnie narażona na atak TCP spoofing?
a) ftp, ponieważ domyślnie serwery działają w trybie pasywnym,
b) ftp, ponieważ domyślnie serwery działają w trybie aktywnym,
c) rcp, ponieważ używa adresu klienta do uwierzytelnienia
d) rcp, ponieważ nie używa adresu klienta do uwierzytelnienia
18. Które zdania poprawnie opisują protokół IKE w IPsec?
a) oferuje uwierzytelnianie stron
b) korzysta z UDP //port 500
c) korzysta z ICMP
d) oferuje negocjację algorytmów szyfrujących
19. Które zdania poprawnie opisują protokół IKE w IPsec?
a) oferuje uwierzytelnianie stron
b) oferuje podpis cyfrowy pakietów IP
c) oferuje negocjację algorytmów szyfrujących
d) oferuje wymianę kluczy metodą Diffiego-Hellmana
20. Jaki mechanizm może wykorzystać administrator do dynamicznego uaktywnienia specjalnie
przygotowanych reguł filtracji umożliwiających obejście ograniczeń narzuconych na
normalny ruch sieciowy?
a) zamek-i-klucz
b) dynamiczny skaner portów
c) sniffer dynamiczny
d) NIDS lub HIPS //Network Intrusion Detection System, Host-based Intrusion Prevention System
21. Wskaż operacje stosowane w metodzie ARP cache detekcji snifferów:
a) wysłanie zapytania ICMP echo request z fałszywym adresem źródłowym IP na adres
podejrzewanej stacji
b) wysłanie ogłoszenia ARP o fałszywym adresie IP
c) wysłanie zapytania ICMP echo request z fałszywym adresem docelowym IP i oczekiwaniu na
odpowiedź
d) odpytanie podejrzewanej stacji o wszystkie adresy MAC sieci lokalnej
22. Klasa B1 wg TCSEC („Orange Book”) lub równoważna jej klasa EAL4 wg Common Criteria
wymaga m. in.:
a) ochrony systemowych obszarów pamięci
C1 < B1, czyli TAK
b) uwierzytelniania użytkowników
C1 < B1, czyli TAK
c) ścisłej kontroli dostępu do danych (MAC)
TAK
d) szyfrowania plików
Kuba: wynika to ze slajdów 46 - 48 z wykładu 1.
Artur: apropo c), a czy tam nie jest napisane że DAC a nie MAC?
...ale jest, że są etykietowane poziomy ochrony danych (= ścisła kontrola dostępu (s.41, wykład 1))
23. Jakie komponenty tworzą każdą zaporę sieciową?
a) dekoder ramek PDU
b) filtr pakietów
c) sniffer pakietów
d) skaner portów
24. ??? Funkcja skrótu dająca wynik 512-bitowy:
a) ma teoretyczną odporność na kolizje = 2^256
b) wymaga klucza 512b
c) wymaga klucza 256b
d) ma teoretyczną odporność na atak urodzinowy = 2^256
Adamus: wiki mówi, że odporność na kolizje w typowej funkcji skrótu to ½ długości wyniku, co do
ataku urodzinowego to można domniemywać, że D również jest poprawne (nie ma tego jakoś wprost
napisane, po prostu 2^{k/2} ma duże szanse znalezienia kolizji) -- pewnie chodzi o to, że odporność
wynosi ½ długości skrótu ZE WZGLĘDU NA atak urodzinowy -- wtedy byłoby wszystko jasne
25. Skrót KDC w systemie Kerberos oznacza *1+:
a) Key Distribution Center
b) Kerberos Domain Controler
c) Kerberos Directory Center
d) Kerberos Designated Certificate
26. Do szyfrów symetrycznych zaliczamy:
a) Rijndael
b) Blowfish
c) ElGamal
d) żadne z powyższych
27. Ochronę SYSKEY wprowadzono w systemie MS Windows w celu:
a) szyfrowania plików użytkowników w systemie NTFS
b) wzmocnionego szyfrowania postaci hash haseł użytkowników
c) odszyfrowania plików przez systemową usługę odzyskiwania plików
d) szyfrowania plików systemowych w systemie NTFS
28. Które zdania poprawnie opisują proces uwierzytelniania w usłudze pocztowej?
a) standard ESMTP umożliwia uwierzytelnianie metodą zawołanie-odzew
b) standard SMTP umożliwia uwierzytelnianie metodą zawołanie-odzew
c) w standardzie SMTP serwery uwierzytelniane są na podstawie adresów
d) standard ESMTP oferuje mechanizmy uwierzytelniania SASL i TLS
29. Standard SASL (Simple Authentication and Security Layer) umożliwia: // tmnk: na stronce
domowej jest o tym, myślę, że potwierdzone
a) rozszerzenie mechanizmu uwierzytelniania protokołu SMTP o mechanizm haseł
jednorazowych
b) rozszerzenie mechanizmu uwierzytelniania protokołu IMAP o współpracę z systemem
Kerberos
c) rozszerzenie mechanizmu kontroli dostępu do katalogu domowego o listy ACL
d) redukcję mechanizmu kontroli dostępu do plików w Windows do postaci rwx
30. ??? Które protokoły umożliwiają propagację portów w tunelu kryptograficznym?
a) ESP
b) SSH // tmnk: poprawne
c) SSL
d) AH
31. Określ prawidłową kolejność pełnej sekwencji odwołań klienta do serwerów w przypadku
dostępu do usługi SMTP w środowisku Kerberos:
a) serwer TGS - serwer AS - serwer TGS- serwer SMTP
b) serwer AS - serwer TGS - serwer SMTP - serwer AS
c) serwer AS - serwer TGS - serwer SMTP
d) serwer TGS - serwer AS - serwer SMTP
32. Moduły PAM (Pluggable Authentication Modules) umożliwiają:
a) oddzielenie konfiguracji procesu uwierzytelniania od kodu aplikacji
b) integrację uwierzytelniania użytkowników sieci pomiędzy systemami Windows i Linux //
Jarek: wg. mnie też, dzięki PAM można uwierzytelniać użytkowników pod Linuksem na przykład za
pomocą LDAP albo ActiveDirectory, z których mogą też korzystać windowsy (za pomocą własnych
mechanizmów)
c) dostęp serwera usługi www (np. z systemu operacyjnego MS Windows w środowisku domenowym)
do zewnętrznych źródeł danych uwierzytelniających, np. bazy danych // Jarek: jak serwer WWW
obsługuje PAM, to czemu by nie? Czy ktoś to inaczej rozumie?
d) implementuje filtry Bayesa do ochrony poczty przed niepodanymi przesyłkami
33. Która zasada realizacji zabezpieczeń wymaga konsekwentnego zastosowania odpowiedniego
mechanizmu ochrony wobec wszystkich wykorzystywanych protokołów aplikacyjnych:
a) spójności poziomej
b) spójności pionowej
c) naturalnego styku
d) obligatoryjnej kontroli dostępu
34. Protokół IPv6:
a) oferuje mechanizm AH w celu zapewnienia autentyczności
b) oferuje mechanizm ESP w celu zapewnienia poufności
c) nie oferuje AH, jako że jego zadania powiela ESP
d) nie oferuje żadnych mechanizmów bezpieczeństwa (wymaga dodatkowej implementacji IPsec)
35. ??? Wskaż możliwe środki ochronne przed atakami przepełnienia bufora:
a) niewykonywany segment kodu
b) niewykonywany segment stosu
c) kontrola zakresu danych globalnych programu na etapie wykonania // tmnk: kanarek?; Jarek:
niekoniecznie, starczy po prostu za każdym razem sprawdzać rozmiar bufora, jak robi Java.
d) kontrola zakresu danych lokalnych funkcji na etapie kompilacji
36. Do szyfrów niesymetrycznych zaliczamy:
a) MD4
b) MD5
c) DES
a) Rijndael
b) Blowfish
c) ElGamal
38. Wskazać szyfry symetryczne
a) Blowfish
b) DES
c) ElGamal
d) żaden z powyższych
39. Klucze w szyfrowaniu symetrycznym:
a) zapewniają autentyczność i niezaprzeczalność pod warunkiem zachowania tajności klucza
b) mogą być publicznie dostępne pod warunkiem certyfikacji
c) zawsze powinny być znane tylko komunikującym się stronom
d) wymagają losowego wyboru dużych liczb pierwszych
40. ??? Wskaż zagrożenia bezpieczeństwa związane z fragmentacją datagramów w protokole IP?
a) fragmentacja uniemożliwia stosowanie AH IPsec
b) fragmentacja uniemożliwia stosowanie ESP IPsec
c) scalanie w węźle nadawcy fragmentów perfidnie przygotowanych // Jędrek uświadomił mi, że tu
jest napisane ‘nadawcy”... -- Jarek
d) fragmentacja utrudnia filtrację pakietów ? dlaczego
(w wykładzie jest że “często filtry przetwarzają właściwie (np. odrzucają) tylko pierwszy fragment
pakietu” (bo tylko tam są użyteczne inforamcje))
41. Wskaż funkcje biblioteczne odpowiedzialne za podatność na atak przepełnienia bufora:
a) gets()
b) strncpy()
c) strcpy()
d) shellcode()
42. Które z wymienionych protokołów i standardów oferują szyfrowaną transmisję wiadomości
pocztowych?
a) X.400
b) S/MIME
c) PGP
d) SMTP
43. Które zdania poprawnie opisują nawiązywanie sesji SSL?
a) serwer przesyła komunikat ServerHello ze swoim certyfikatem
b) klient uwierzytelnia serwer na podstawie odebranego certyfikatu
c) serwer przesyła komunikat ServerHello z opcjonalnym losowym zawołaniem
d) klient odsyła podpisane zawołanie do serwera tylko jeśli serwer żądał uwierzytelnienia klienta
44. Czy certyfikaty SSL dla obu stron połączenia vpn nawiązanego przy pomocy programu
OpenVPN muszą by podpisane przez tą sam zaufaną stronę trzecią?:
a) nie, ponieważ nie ma takiej opcji w OpenVPN // tmnk: Nic o tym nie znalazłem
b) nie, ponieważ nie ma znaczenia czy to jest to samo CA, ważne aby zaufanie strony trzeciej było
ogólnie znane CA, np. Thawte, VeriSign, Unizeto
c) nie trzeba podawać parametru wskazującego na CA, jest to opcjonalne
d) tak // Tak, muszą być podpisane przez to samo CA. Jest w manualu. -- Jarek
45. Szyfrowanie asymetryczne zapewnia:
a) autentyczność pod warunkiem zachowania tajności klucza prywatnego odbiorcy
b) poufność pod warunkiem zachowania tajności klucza prywatnego nadawcy
c) poufność pod warunkiem zachowania tajności klucza prywatnego odbiorcy
d) autentyczność pod warunkiem zachowania tajności klucza prywatnego nadawcy
46. SFTP to:
a) klient protokołu ftp będący częścią pakietu SSH
b) niezależna implementacja protokołu SecureFTP
c) SslFTP wersja protokołu ftp wykorzystująca mechanizm certyfikatów SSL
d) podsystem ssh służący do przesyłania plików
e) podsystem raportowania o błędach w SSH
47. Które z poniższych mechanizmów stosują programy malware w celu kamuflażu swojej
obecności:
a) opancerzenie (armor)
b) zamaskowane węzły (shadow i-node)
c) fingerprinting
d) polimorfizm
48. Jakie restrykcje pozwala narzucić systemowa funkcja chroot() systemu Unix?
a) ograniczenie odczytu do określonego poddrzewa systemu plików
b) ograniczenie komunikacji sieciowej do wybranych portów
c) niedostępność odziedziczonych deskryptorów
d) ograniczenie zapisu do określonego poddrzewa systemu plików
49. Mechanizm ACL:
a) wyróżnia systemy MAC od DAC
b) jest trybem pracy szyfrowania asymetrycznego
c) oferuje niezaprzeczalność odbioru wiadomości
d) oferuje niezaprzeczalność nadania wiadomości
e) jest narzędziem kontroli dostępu do zasobów
50. Mechanizm ACL umożliwia:
a) nadawanie praw (rwx) wielu użytkownikom i grupom
b) odtwarzanie zniszczonych plików
c) nadawanie nowych praw (np. dopisywania) wielu użytkownikom // tmnk: Jeśli chodzi o
prawo “dopisywanie”, na pewno jest to błędna odpowiedź.; “dopisywanie” pod Linuksem to atrybuty
(chattr, lsattr), więc co innego
d) ustanowienie szyfrowania plików
51. Które funkcje i parametry konfiguracyjne PHP mogą być wykorzystane do ochrony przed
atakami typu command injection?
a) magic_quotes_gpc
b) addslashes()
c) mysql_escape_string()
d) strip_tags()
52. Relacja zaufania w uwierzytelnianiu w środowisku sieciowym:
a) jest wykorzystywana zarówno przez systemy Unix, jak i MS Windows
b) może być jednostronna lub dwustronna
c) nie jest przechodnia
d) jest realizacją koncepcji SSO //adamus: tego nie będzie na pewno? Jarek: też to miałem zaznaczone,
ale z “?”
admus: jeśli pytanie 92 ma być “tworzenie zaufania między hostami” to ja bym zaznaczył tutaj D
53. Wskaż prawidłowe stwierdzenia dotyczące metod uwierzytelniania systemów operacyjnych
MS Windows w środowisku sieciowym:
a) Kerberos jest bezpieczniejszy niż LM i NTLM
b) LM jest bezpieczniejszy niż NTLM
c) Kerberos jest bezpieczniejszy niż NTLM, ale jest dostępny tylko w środowisku domenowym [chyba
TAK]
d) NTLM jest bezpieczniejszy niż LM
54. Wskaż własności protokołu RADIUS:
a) pozwala na centralizację zarządzania danymi, które dystrybuuje
b) wspomaga uwierzytelnianie
c) pracuje w architekturze klient-serwer
d) zabezpiecza pocztę elektroniczną wraz z załącznikami
55. Które z poniższych określeń opisują protokół RADIUS: // tmnk: na podstawie wiki
a) udostępnia informacje niezbędne do kontroli uprawnień zdalnego dostępu (np. restrykcje
czasowe)
b) oferuje wymianę kluczy protokołu IPsec przy wykorzystaniu zarówno haseł, jak i certyfikatów PKI
c) pozwala na scentralizowane przechowywanie danych uwierzytelniających dla wielu punktów
dostępowych
d) podnosi dostępność poprzez redundantne rozproszenie danych uwierzytelniających do wielu
punktów dostępowych
kuba: o ile odpowiedź w 57. jest poprawna, to d także jest dobre. chociaż mam do tej odpowiedzi póki
co zastrzeżenia
Jarek: stawiam 2 serwery radiusa i mam redundancję. Jak jeden padnie, wszystko działa =>
podniesiona dostępność. Dlaczego to nie jest zaznaczone?
56. Czy program inetd to: // tmnk: na podstawie wiki
a) jest ważnym elementem systemu operacyjnego Linux, odpowiedzialny za uruchamianie
innych programów
b) krytyczny program w systemie operacyjnym Linux, który zawsze musi być uruchomiony
c) krytyczny program w systemie operacyjnym Linux, który zawsze musi być uruchomiony, jest
rodzicem dla wszystkich nowo powstałych procesów
d) bardzo ważny komponent systemu Linux, bez którego system operacyjny nie będzie działał
prawidłowo z uwagi na niemożność uruchamiania dodatkowych programów
57. Które z poniższych określeń opisują protokół RADIUS:
a) oferuje wymianę kluczy protokołu IPsec przy wykorzystaniu zarówno haseł jak i certyfikatów PKI
b) podnosi dostępność poprzez redundantne rozproszenie danych uwierzytelniających do wielu
punktów dostępowych
c) udostępnia informacje niezbędne do kontroli uprawnień zdalnego dostępu (np. restrykcje
czasowe)
d) pozwala na scentralizowane przechowywanie danych uwierzytelniających dla wielu punktów
dostępowych
58. Które z poniższych standardów nie oferują żadnej redundancji:
a) RAID 0
b) RAID 5
c) RAID 3
d) RAID 1
59. Tryb strumieniowy szyfrowania:
a) wykorzystuje wektor inicjujący rejestr szyfrowania
b) umożliwia szyfrowanie komunikacji asynchronicznej
c) polega na szyfrowaniu każdorazowo po jednym znaku
d) wymaga klucza prywatnego i publicznego
60. Wskaż najbezpieczniejszy standard zabezpieczeń komunikacji w sieciach bezprzewodowych
Wi-Fi:
a) IEEE 802.11 WEP
b) IEEE 802.11i = WPA2 :)
c) WPA-Enterprise
d) WPA-PSK
61. Wskaż własności protokołu HSRP (Hot Standby Router Protocol):
a) służy do tworzenia tuneli VPN
b) zabezpiecza pocztę elektroniczną
c) pozwala uzyskać redundancję routerów
d) wspomaga uwierzytelnianie
62. Który protokół umożliwia transparentną dla stacji sieciowej obsługę uszkodzenia jej routera
domyślnego?
a) RIP (Routing Information Protocol)
b) TRP (Transparent Router Protocol)
c) LSP (Link State Protocol)
d) HSRP (Hot Standy Routing Protocol)
63. Wskaż protokoły wymagające zabezpieczenia autentyczności i integralności danych, choć
niekoniecznie - poufności:
a) STP (Spanning Tree Protocol)
b) FTP (File Transfer Protocol)
c) DNS (Domain Name Service)
d) ARP (Address Resolution Protocol)
Jarek: ja bym zaznaczył wszystkie. STP pozwala na zmianę topologii sieci, FTP na pobranie złych
danych (anonimowe publiczne FTP nie wymaga poufności), ARP -- pozwala na spoofing.
adamus: no ARP to na bank bym zaznaczył, ogólnie pytanie z dupy ponownie -- wszystkie te
protokoły byłoby fajnie, gdyby były zabezpieczane pod kątem integralności i autentyczności, w
praktyce nie są (nie wiem jak z STP w praktyce w sieciach) i wszystko działa -- obawiam się, że mój
ruter/sieciówka nie wymuszają podpisywania odpowiedzi na arpa :-]
Jarek: dokładnie. STP podobno można podpisywać, ale jeszcze takiego nie widziałem (po prostu
wyłącza się na konkretnych portach), a o podpisywaniu ARP nie słyszałem
64. Wskaż cechy certyfikatów kwalifikowanych (wg obowiązującego prawodawstwa polskiego):
a) ważne są nie dłużej niż 2 lata
b) służą do szyfrowania dokumentów
c) służą do szyfrowania poczty
d) wywołują skutki prawne równoważne podpisowi własnoręcznemu
65. Wskaż kiedy system kontroli dostępu MAC nie zezwoli podmiotowi P na dopisanie danych do
zasobu Z:
a) gdy zbiory kategorii przynależności danych P i Z są rozłączne
b) gdy zbiór kategorii przynależności danych Z zawiera się w zbiorze kategorii P
c) gdy poziom zaufania Z jest niższy niż P // tmnk: nie zapiszemy o etykiecie nizszej niz swoja
d) gdy poziom zaufania Z jest wyższy niż P
66. Wskaż cechy filtracji kontekstowej (SPF) realizowanej przez zapory sieciowe:
a) historia komunikacji nie ma wpływu na decyzje zapory
b) pozwala na dynamiczne modyfikacje reguł filtracji
c) pozwala uniknąć niepotrzebnego sprawdzania reguł dla pakietów powracających w ruchu
zweryfikowanym w stronę przeciwną
d) dopasowuje pakiety do zapamiętanej historii komunikacji
67. Wskaż cechy mechanizmu SYN cookies:
a) pozwala przeglądarce na bezpieczną aktualizację ciasteczek
b) minimalizuje ilość informacji potrzebnych przeglądarce do uwierzytelniania zdalnego dostępu
c) identyfikuje połączenie wartością wpisywaną do pola ACK
d) minimalizuje wielkość zasobów przydzielanych przy odbiorze żądania nawiązania połączenia
kuba: trochę zastanawiam się nad d, ale nie wiem czy to nie jest nadinterpretacja?
Jarek: nie. SYN cookies stosuje się właśnie po to, aby nie rezerwować zasobów dla każdego półotwartego połączenia.
68. ??? Mechanizm SYN cookies:
a) odpowiada na właśnie odebrany pakiet SYN, tylko jeśli spełnia zadanie kryteria poprawności
b) nigdy nie nawiązuje połączenia pod wpływem odbioru segmentu SYN
c) jest wykorzystywany do przeprowadzenia rozproszonego ataku DOS
d) odpowiada na wcześniej odebrany pakiet SYN po zadanym czasie oczekiwania
Jarek: zastanawiam się nad B. Z punktu widzenia stosu serwera po samym SYN nie ma połączenia.
Nie jestem też pewien, o jakie kryteria poprawności chodzi i co to ma wspólnego z syn cookies.
69. Wskaż przykłady zamaskowanych kanałów komunikacyjnych:
a) system plików (tworzenie / usuwanie pliku)
b) obciążenie procesora
c) SSL
d) VPN
70. Wskaż cechy charakteryzujące kontrolę dostępu MAC:
a) właściciel zasobu nie może dysponować prawami dostępu do tego zasobu
b) etykiety ochrony danych przypisane do zasobów automatycznie wymuszają uprawnienia
c) tylko wyróżniony oficer bezpieczeństwa może dysponować prawami dostępu do zasobów
d) tylko właściciel zasobu może dysponować prawami dostępu do tego zasobu
71. ??? Który z wymienionych protokołów nie chroni przed podszywaniem się pod podmiot
uwierzytelniający:
a) IPsec/IKE
b) IPsec/ISAKMP
c) PAP
(jawne hasła)
d) SSL
72. Który z wymienionych protokołów nie chroni przed podszywaniem się pod podmiot
uwierzytelniający:
a) SSL v.3
b) SSL v.2
c) TLS v.1
d) PAP
(jawne hasła)
73. Wskaż cechy charakteryzujące kontrolę dostępu MAC:
a) właściciel zasobu nie może przekazać możliwość decydowania o uprawnieniach dostępu do
tego zasobu
b) właściciel zasobu może przekazać możliwość decydowania o uprawnieniach dostępu do tego
zasobu
c) właściciel zasobu nie może decydować o uprawnieniach dostępu do tego zasobu
d) właściciel zasobu może decydować o uprawnieniach dostępu do tego zasobu
74. Wskaż kto może rozszyfrować plik zaszyfrowany mechanizmem EFS:
a) administrator //*od XP admin nie jest domyślnie DRA, wcześniej był, więc nie wiadomo]
b) każdy agent DRA istniejący w momencie deszyfrowania pliku
c) właściciel pliku
d) każdy agent DRA istniejący w momencie szyfrowania pliku [chyba NIE]
75. Algorytm 3DES w trybie EDE wykorzystuje klucze o długości:
a) 256 b
b) 116 b
c) 64 b
d) 192 b
Kuba: tym niemniej najbliższe prawdy jest 192b; chociaż tam są 2 klucze, nie?
adamus: pytanie jest z dupy, klucz jest jeden 192, ale tak naprawdę wykorzystywane są 3 podklucze
po 64 (gdzie faktycznie klucz zajmuje 56, ale 8 bitów parzystości jest jakby nie patrzeć integralną
częścią klucza), omikron na slajdach zrobił dziwny przykład z dwoma podkluczami -- nie wiem czemu
to miało służyć -- być może pokazaniu możliwości, że da się zrobić EDE na dwóch podkluczach
kuba: czyli odpowiedzią może być 192 jeśli mowa o całości lub 64 jeśli mowa o
podkluczach “wykorzystuje klucze” (?)
adamus: gdyby było “wykorzystuje klucz” to by nie było wątpliwości, że 192, ale jeśli “klucze” to
stawiam na tolka banana i na 64
Jarek: jakby było “klucz” a nie klucze, to by znaczyło, że za każdym razem można korzystać z tylko
jednego, tego samego klucza. Nie czepiamy się słówek, IMNSHO D.
adamus: Jarek racja, może jestem za bardzo crypto-nazi i się czepnąłem
76. Standard IEEE 802.1x:
a) realizuje autoryzację i kontrolę dostępu do lokalnej infrastruktury sieciowej
b) współpracuje z protokołami takimi jak RADIUS lub TACACS+
c) dotyczy zabezpieczenia poufności [chyba TAK]
d) dotyczy uprawnień dostępu do zasobów plikowych
77. Statyczne reguły filtracji (filtracja bezstanowa) nie radzą sobie z precyzyjną filtracją ruchu:
a) HTTP, gdy serwer pracuje w trybie bezstanowym
b) HTTP, gdy serwer pracuje w trybie stanowym
c) FTP, gdy serwer pracuje w trybie aktywnym
(17/65 - wykład 7)
d) FTP, gdy serwer pracuje w trybie pasywnym // Jarek: też. Zależy, po której stronie jest firewall
(może być na serwerze FTP albo u klienta)
78. Standard IEEE 802.1x:
a) umożliwia scentralizowane uwierzytelnianie wielu punktów zdalnego dostępu
b) oferuje wymianę kluczy w sieci WiFi przy wykorzystaniu zarówno haseł jak i certyfikatów // Jarek:
wg. mnie tak. ZTCP 802.1x obsługuje i hasła, i certyfikaty, a z wifi też działa
c) podnosi dostępność poprzez redundantne rozproszenie danych uwierzytelniających do wielu
punktów dostępowych // patrz RADIUS -- Jarek
d) pozwala uwierzytelniać stanowiska sieciowe przy dostępie do sieci lokalnej
79. Mechanizm SSO umożliwia:
a) uwierzytelnianie użytkownika wobec wielu serwerów jednorazową procedurą weryfikacji
hasła
b) szyfrowanie całej komunikacji łącznie z procedurą uwierzytelniania
c) uwierzytelnianie użytkownika innym hasłem wobec każdego serwera
d) uwierzytelnianie użytkownika za każdym razem innych hasłem wobec tego samego serwera
80. Mechanizm SSO (single sign-on):
a) służy ochronie danych uwierzytelniających użytkownika
b) pozwala jednolicie chronić podpisem cyfrowym poufność całej komunikacji
c) służy ochronie niezaprzeczalności danych składowanych w repozytorium
d) pozwala jednolicie chronić podpisem cyfrowym integralność całej komunikacji
81. Wskaż cechy protokołu Hot Standby Routing Protocol:
a) oferuje transparentne zasilanie z kilku redundantnych torów energetycznych
b) jest wykorzystywany w LAN Emulation
c) chroni przed atakami DoS poprzez czasowe wyłączanie routingu po wykryciu próby ataku
d) oferuje trasparentną redundancję urządzeń sieciowych
82. Koncepcja "zamkniętych grup użytkowników" dotyczy odseparowania danych
przetwarzanych przez odrębne grupy użytkowników tego samego środowiska sieciowego.
Które z poniższych mechanizmów są realizacją tej koncepcji:
a) uwięzienie (jail)
b) protokół rezerwacji zasobów (RSVP)
c) transmisja grupowa (multicast) w sieci Ethernet
d) sieci wirtualne VLAN
83. Wskaż kiedy system kontroli dostępu MAC może zezwolić podmiotowi P na dopisanie
danych do zasobu Z:
a) gdy zbiór kategorii przynależności danych Z zawiera się w zbiorze kategorii P
b) gdy poziom zaufania P jest niższy niż Z
c) gdy poziom zaufania P jest wyższy niż Z
d) gdy zbiór kategorii przynależności danych P zawiera się w zbiorze kategorii Z
84. Który z wymienionych protokołów pozwala uniknąć przesyłania hasła podmiotu
uwierzytelnianego (w jakiejkolwiek postaci):
a) PAP (nie, jawne)
b) SSH // tmnk: metodą Diffiego-Hellmana lub metodą klucza asymetrycznego
c) SPAP // tmnk: Simple Password Authentication Protocol?? nic takiego nie znalazlem
d) CHAP // (nie, hash); Jarek: to chyba było challenge-response. Jak mi się będzie chciało, to jeszcze
sprawdzę; Bartek: zgadza się: wykład04 sieci, slajd 70
85. Wskaż cechy filtracji bezstanowej realizowanej przez zapory sieciowe:
a) dopasowuje pakiety do zapamiętanej historii komunikacji
b) pozwala uniknąć niepotrzebnego sprawdzania reguł dla pakietów powracających w ruchu
zweryfikowanym w stronę przeciwną
c) wymaga sprawdzania reguł dla każdego pakietu
d) historia komunikacji nie ma wpływu na decyzje zapory
86. Flaga suid wg standardu POSIX 1003.1
a) oznacza przejęcie przez proces uprawnień właściciela pliku, z którego proces został
uruchomiony
b) oznacza, że usunięcie i zmiana nazwy pliku są możliwe tylko przez właściciela samego pliku (lub
właściciela katalogu)
c) może być nadawana dla plików wykonywalnych // tmnk: no bo jak inaczej? Jarek: normalnie,
chmod u+s. Po prostu będzie ignorowana.
d) ma sens tylko w przypadku katalogów
87. Wskaż cechy metody uwierzytelniania klienta wobec serwera z udziałem zaufanej trzeciej
strony:
a) serwer uwierzytelnia klienta na podstawie poświadczenia wystawionego przez trzecią stronę
b) opłaca się stosować szczególnie wobec większej ilości serwerów // Jarek: wg. mnie tak. Im więcej
serwerów, tym większy zysk. Przy jednym serwerze bez sensu, przy dwóch może być niewarto.
c) serwer uwierzytelnia klienta poprzez hasło (np. jednorazowe)
d) serwer uwierzytelnia klienta metodą chellenge-response
88. Jeśli ls -l plik.txt wygląda następująco *1+:
-rwxr-xr-x+ 1 user group 1000 2005-01-10 09:00 plik.txt
to "chmod 715 plik.txt" spowoduje:
a) zwiększenie uprawnień wpisom ACL'owym
b) zmianę uprawnień grupie "group" dla tego pliku
c) zmniejszenie uprawnień wpisom ACL'owym // tmnk: W notatkach z labek mam, że chmod
nie wplywa na ACL, więc to będzie źle... Jarek: masz złe notatki. “mask” z ACL-i znajduje się w
uprawnieniach dla grupy, najlepiej sprawdź sobie szybko touchem, setfaclem i chmodem.
d) rozszerzenie uprawnień dla innych
89. Zapora sieciowa wbudowana w Ms Win XP sp2 [1]:
a) jest typu stateless
b) jest jedyną możliwą do zastosowania zaporą sieciową w systemie
c) pozwala powiadamiać użytkownika drogą mailową o zagrożeniach
d) jest zaporą typu statefull // tmnk: znalezione w necie //adamus: potwierdzam, pamiętam z labek
90. Ukrycie widoczności systemu Ms Win spowoduje: (ze jak?? Chodzi o blokowanie icmp?)
a) nie działanie zdalnego logowania do systemu
b) nie działanie udostępniania zasobów //adamus: jak to było? już udostępnione nie znikną, ale da się
udostępniać kolejne? kuba: AFAIR i tak będzie działać, tylko tyle, że nie widać zasobów
c) ukrycie systemu przed innymi systemami // tmnk: net config server /hidden:yes -laby
d) ukrycie systemu tylko przed systemami typu Unix
91. W jaki sposób można utworzyć wiele połączeń z danego hosta za pomocą programu
OpenVPN (wybierz 2 odpowiedzi)?
a) należy powtórzyć wpisanie opcji: remote <ip> <port> tyle razy ile połączeń VPN mamy
utworzyć
b) należy uruchomić program OpenVPN z przełącznikiem: --force-multi-instance, wymuszając w ten
sposób uruchomienie wielu procesów programu OpenVPN do obsługi wielu jednoczesnych połączeń
vpn // tmnk: na pewno nie
c) nie ma takiej możliwości // tmnk: na pewno nie
d) należy uruchomić program OpenVPN z wieloma plikami konfiguracyjnymi, każdy plik definiuje
jedno połączenie // tmnk: prawdopodobnie nie
e) należy wykorzystać opcję --mode server ale tylko dla połączeń z zastosowaniem certyfikatów SSL /
/ tmnk: prawdopodobnie nie
f) należy uruchomić kolejne instancje programu OpenVPN wraz z osobnymi plikami
konfiguracyjnymi
Jarek: Ja mam E i F, to tutaj mnie nie przekonuje. Ale nie chce mi się sprawdzać.
92. Mechanizm SSO pozwala na [1]:
a) zapobieganie atakom typu XSS
b) zapobieganie atakom typu IP spoofing poprzez jawne podanie adresów IP w konfiguracji tego
mechanizmu
c) szyfrowanie ruchu sieciowego między zaufanymi hostami
d) tworzenie relacji zaufania między hostami
93. Które polecenie będzie poprawne, dla ustalenia DNAT (wybierz 2 odpowiedzi)?
a) iptables -t nat -A FORWARD -d 150.254.17.3 -i eth- -j DNAT --to 192.168.1.1
b) iptables -t nat -A PREROUTING -d 150.254.17.3 -i eth0 -j NAT --to 192.168.1.1
c) iptables -t nat -A PREROUTING -i eth0 -j SAME --to 150.254.17.2
d) iptables -t nat -A PREROUTING -d 150.254.17.3 -i eth0 -j DNAT --to 192.168.1.1
e) iptables -t nat -A POSTROUTING -d 150.254.17.3 -i eth0 -j DNAT --to 192.168.1.1 [chyba TAK]
f) iptables -t nat -A POSTROUTING -o eth0 -j SAME --to 150.254.17.2
94. Translacja typu DNAT charakteryzuje się:
a) zamianą adresów źródłowych na inne (możliwe do wykorzystania na danym urządzeniu)
b) nie ma translacji typu DNAT
c) zamianą adresów docelowych na inne
d) zamianą adresu źródłowego z adresem docelowym w konkretnym pakiecie
95. Poniższa reguła została wpisana na komputerze pełniącym rolę routera:
iptables -t filter -A INPUT -m state --state NEW -j DROP
a) odrzuca nowe połączenia do tego komputera
b) odrzuca nowe połączenia inicjalizowane przez ten komputer
c) odrzuca nowe połączenia przechodzące przez ten komputer
d) DROP znaczy nie przeszukuj dalej zapory, przepuść pakiet
96. Narzędzie OpenVPN (wybierz 2 odpowiedzi):
a) działa tylko na protokole TCP
b) wykorzystuje mechanizm pre-shared key do losowego generowania kluczy
c) nie ma wyróżnionego programu serwerowego i klienckiego
d) jest przykładem SSL-VPN
e) wykorzystuje certyfikaty MD5 i funkcję skrótu SHA-1 do uwierzytelniania stron i szyfrowania
ruchu sieciowego
f) wykorzystuje mechanizm SSL-VPN do łączenia się z serwerami wspierającymi protokół https np.
Apache
97. Skrót VPN to:
a) szczególny rodzaj sieci vlan ale rozciągającej się na kilka sieci lokalnych rozdzielonych Internetem
b) wirtualna sieć prywatna
c) dodatkowy model komunikacji wykorzystywany przez IPSec do zaufanych połączeń miedzy
urządzeniami sieciowymi takimi jak routery i switche, hosty
d) szkieletowa siec w Internecie przeznaczona dla zastosowań korporacyjnych zapewniająca wysoki
stopień bezpieczeństwa np. w przypadku transakcji między bankami albo filiami tego samego banku
połączonych Internetem
e) eksperymentalny projekt bezpiecznej sieci następnej generacji w której będzie można łączyć
dowolną ilość sieci lokalnych rozdzielonych Internetem w jedną całość, dzięki czemu będzie możliwy
swobodny dostęp do zasobów jednej sieci lokalnej przez inną np. dostęp do intranetu centrali firmy
przez pracowników firmy z oddziałów firmy w innym mieście
98. W jakich trybach może działać VPN:
a) ruch sieciowy tunelowy i uwierzytelniany
b) ruch sieciowy nieszyfrowany ale uwierzytelniany
c) ruch sieciowy szyfrowany ale nie uwierzytelniany
d) ruch sieciowy tunelowany/transportowany // VPN w trybie transportowym? Z definicji nie. -- Jarek
e) ruch sieciowy transportowany, szyfrowany i uwierzytelniany
Jarek: jeśli A, B i C mają być niepoprawne, to proszę o argumenty.
99. ??? Narzędzie Vtun to:
a) samodzielny pakiet niskopoziomowego(działającego na poziomie jądra ) oprogramowania do
tworzenia podsieci VPN
b) proste narzędzie do tworzenia połączeń VPN korzystające tylko z jednego pliku
konfiguracyjnego i zestawu narzędzi obecnych w systemie
c) narzędzie działające na poziomie warstwy użytkownika ( tzw. userland ) pozwalające tworzyć tylko
pojedyncze połączenia VPN przy użyciu prostego pliku konfiguracyjnego vtund.
100. ??? Program Vtun działa w architekturze:
a) punkt – punkt
b) klient – serwer
c) połączenia peer-to-peer dla każdego połączenia
d) w żadnej z powyższych ponieważ Vtun jest bardzo prosty i nie zawiera w sobie żadnej
skomplikowanej architektury
101. ??? Program Vtun działa:
a) na porcie domyślnym 1045 ale można to zmienić
b) na porcie domyślnym 5000 i można to zmienić ale trzeba przekompilować kod programu
c) na domyślnym porcie 5000
d) na porcie domyślnym 1001 można to zmienić w pliku konfiguracyjnym vtund.conf
e) na porcie domyślnym 1045 ale można to bez problemu zmienić w pliku konfiguracyjnym
vtund.conf
102. ??? Połączenie w Vtun przebiega następująco:
a) w momencie tworzenia połączenia wykonywane są odpowiednie podsekcje up w definicji danego
połączenia które ma zostać utworzone, w momencie zakończenia połączenia wykonywana jest
podsekcja down w definicji połączenia // up jest wykonywane po nawiązaniu połączenia, a nie dla
połączenia, które dopiero ma zostać nawiązane.
b) po nawiązaniu połączenia obie strony uzgadniają parametry połączenia takie jak np. hasło i rodzaj
transmisji danych, w momencie zakończenia połączenia następuje specjalna procedura rozpoczynana
przez stronę, która chce zakończyć połączenie
c) w żaden z wymienionych, na początku sposobów, obie strony muszą wymienić się ustalonym
hasłem, potwierdzić jego prawdziwość, wynegocjować parametry transmisji i dopiero tworzone
jest połączenie do przesyłania danych, zakończenie rozpoczynane jest przez dowolną stronę
103. ??? Tunel Host -to- host to:
a) połączenie punkt - punkt między dwoma hostami ale tylko na czas transmisji zaszyfrowanej
b) połączenie peer-to-peer z rezerwacją pasma na całej
c) połączenie wykorzystujące juz zestawione połączenie punkt-punkt dodające tylko szyfrowanie i
uwierzytelnianie
104. ??? Tunel Net -to- Net to:(2 poprawne odpowiedzi)
a) bezpośrednie połączenie dwóch lub więcej sieci przez Internet // Serio? -- Jarek
b) bezpośrednie połączenie dwóch sieci przez Internet
c) koncepcja połączenia dwóch lub więcej sieci w której istnieją zestawione tunele między bramami
dla każdej z sieci
kuba: co w takim razie z zadaniem 112?
adamus: no nie, chyba jednak dokładnie 2 a nie >2, tunel raczej ma dwa końce, chyba że to proca
kuba: ok, ale skoro masz zaznaczyć dwie, przy czym dwie z możliwych odpowiedzi wspominają o >2
to staje się realne...
105. ??? Narzędzie FreeS/Wan to:
a) łata na jądro implementująca funkcjonalność ISec plus zestaw skryptów do zarządzania tym
narzędziem
b) program działający w przestrzeni użytkownika który posiada jeden plik konfiguracyjny
zlokalizowany domyślnie: /etc/spiec
c) narzędzie w formie łaty na jądro systemu Linux wraz z zestawem skryptów zarządzających
oraz demon pozwalający wymieniać klucze // To się zgadza, ale IMO implikuje też A
d) narzędzie bardzo podobne do narzędzia Vtun służące do zestawiania połączeń VTN
106. ??? Kryptografia oportunistyczna to:
a) nowy rodzaj szyfrowania, bardzo wydajny i nie do złamania w dzisiejszych czasach z użyciem
obecnych maszyn obliczeniowych
b) automatyczny sposób negocjowania parametrów połączenia zaimplementowany w pakiecie
FreeS/Wan
c) eksperymentalny projekt nowego rodzaju szyfrowania rozwijany na potrzeby amerykańskiej
Agencji Bezpieczeństwa Narodowego
d) prosty rodzaj szyfrowania, nazwa "oportunistyczna" zaczerpnięta od francuskiego słowa:
opprtunisme oznaczającego "sprzyjający, dogodny"
107. ??? Pakiet FreeS/Wan składa się z:
a) z trzech komponentów: łata na jądro KLIPS, demon PLUTO, zestaw skryptów
b) z dwóch protokołów: AH i ESP
c) z kilkunastu różnych algorytmów szyfrowania m.in. DES i 3DES oraz protokołu wymiany kluczy:
ISAKMP
108. Skrót IKE oznacza:
a) rodzaj algorytmów wymiany kluczy w FreeS/Wan
b) bardzo ważny element pakietu FreeS/Wan pozwalający tworzyć bezpieczne połączenia sterujące
tunelami VPN // tmnk: jest coś takiego jak połączenie sterujące?
c) Information Key Exchange // tmnk: nie bo to Internet Key Exchange
d) jeden z algorytmów szyfrowania w pakiecie FreeS/Wan // tmnk: to nie jest algorytm szyfrowania
109. ??? Połączenie aktywne ftp to:
a) jeden z czterech rodzajów połączeń jakie może nawiązać klient tj. połączenie danych, połączenie
sterujące, połączenie aktywne, połączenie pasywne
b) sytuacja w której serwer ftp tworzy połączenie do klienta na losowy wybrany port przez
klienta aby przesłać żądany plik
c) sytuacja w której specjalnie skonfigurowany serwer ftp potrafi przyjmować połączenia gdy sam
znajduje sie za firewallem realizującym usługę SNAT
d) sytuacja w której przychodzące połączenie od serwera ftp do klienta ftp jest przekierowywane na
firewall'u do klienta znajdującego się w sieci lokalnej
110. ??? Połączenie pasywne ftp to:
a) jeden z czterech rodzajów połączeń jakie może nawiązać klient tj. połączenie danych, połączenie
sterujące, połączenie aktywne, połączenie pasywne
b) specjalny rodzaj szybkich połączeń przeznaczony do wysyłania dużych porcji danych do klientów
c) połączenie w którym klient informuje serwer aby to on określił port a klient połączy się z tym
portem i pobierze dane
d) specjalny rodzaj połączeń dzięki którym możliwe jest połączenie w sytuacji gdy klient i serwer
znajdują się za firewallem realizującym SNAT
111. Klucz FEK to:
a) klucz asymetryczny
b) klucz prywatny użytkownika
c) klucz publiczny użytkownika
d) klucz symetryczny
112. Tunel Net -to- Net to:
a) koncepcja połączenia dwóch lub więcej sieci, w której istnieją zestawione tunele między
bramami dla każdej z sieci w sieci Internet
b) bezpośrednie połączenie typu proxy dwóch sieci przez Internet
c) tunel zestawiany między systemami autonomicznymi w celu wymiany informacji o trasach routingu
d) bezpośrednie połączenie dwóch lub więcej sieci przez Internet
Jarek: no to bezpośrednie, czy przez Internet? Za pomocą tuneli między bramami przez Internet => A
Bartek: Moim zdaniem A również jest poprawne. Na stronie http://docs.endian.com/archive/2.1/
efw.vpn.intro.html net-to-net określone jest również jako gateway-to-gateway dla dwóch lub więcej
sieci
kuba: to co w takim razie z zadaniem 104?
113. ??? Czy polecenie jest poprawne?
iptables -t mangle -A PREROUTING -s localnet -d ! localnet -m ipp2p --dc -m comment -comment "zla regulka" -j TTL --ttl-set 1
a) tak, ale system będzie usuwał te pakiety
b) tak, lecz taka reguła niczego nie zmieni, gdyż nie ma celu ACCEPT lub DROP
c) nie, gdyż nie można używać wielu argumentów "-m"
d) nie, gdyż cel TTL może być używany tylko w łańcuchu POSTROUTING
114. Serwer KDC:
a) może zapewnić bardzo dobre bezpieczeństwo w sieci
b) stosuje proste mechanizmy kryptograficzne, które są proste do złamania
c) jest bardzo dobrze zabezpieczony // z definicji serwera KDC? Powinien != jest -- Jarek
d) można prosto oszukać podszywając się pod niego
115. Mechanizm TCP Wrapper:
a) pozwala ograniczać dostęp do usług uruchamianych przez xinetd
b) pozwala blokować spam przychodzący do serwera smtp
c) pozwala szyfrować ruch TCP z użyciem protokołów TLS/SSL
d) powstał aby wprowadzić silne uwierzytelnianie dla tzw. small services
116. Nazwa domenowa komputera a nazwa domeny kerberos:
a) musi być różna
b) musi być identyczna // nie musi -- Jarek
c) zaleca się, aby była identyczna
d) zaleca się, aby była różna
117. ??? Aby serwer usług w domenie kerberos mógł działać wykorzystując uwierzytelniania
Single-Sign-On, musi:
a) używać odpowiednio zmodyfikowanych demonów usług, które potrafią rozmawiać z
serwerem Kerberos
b) używa zmodyfikowanego stosu IP, który współpracuje z serwerem KDC
c) zapewnia sprzętowe szyfrowanie i generowanie liczb losowych
d) używa specjalnego jądra systemu operacyjnego, wspierającego współpracę z serwerem KDC
118. Ideą połączeń typu VPN jest *1+:
a) zmiana routingu pakietów, aby z jednej sieci pakiety trafiały bezpośrednio do sieci docelowej
b) wsparcie połączeń p2p, aby hosty mogły bezpośrednio komunikował się
c) obejście problemów z połączeniami z sieciami zlokalizowanymi za NAT
d) możliwość zapewnienia bardziej niezawodnych, w sensie połączeniowym, niż TCP połączeń
między hostami
e) utworzenie sieci łączącej odseparowane, odległe sieci lokalne
119. Opcja PARANOID w pliku hosts.deny [1]:
a) blokuje zdalne zarządzanie mechanizmem TCP wrappers, pozostawiając dostęp tylko z lokalnego
hosta
b) wymusza sprawdzanie segmentów TCP czy są poprawne w stosunku do norm RFC
c) pozwala ograniczyć ilość pakietów/s przychodzących do danej usługi
d) blokuje pakiety pochodzące od hosta, którego ip nie posiada nazwy domenowej
120. getfacl --omit-header acl-test5
user::r-x
user:inf44444:r-group::rwgroup:student:r-x
mask::rwx
other::--x
Oznacza: (wybierz 2 odpowiedzi)
a) użytkownik "inf44444" nie może czytać pliku acl-test5
b) właściciel ma prawo zmodyfikować zawartość katalogu acl-test5
c) użytkownik "inf44444" może czytać plik acl-test5
d) maska blokuje wszystkie uprawnienia do pliku acl-test5
e) grupa właściciela może zmodyfikować plik acl-test5
f) grupa "student" może zmodyfikować plik acl-test5
121. ??? Wadą single-sign-on jest:
a) relacja zaufania między parami hostów w domenie zaufania z wyłączeniem hosta
zapewniającego uwierzytelnianie // To wada? -- Jarek
b) możliwość logowania się tylko na konta systemowe
c) zależność od poprawnego działania uwierzytelniającej maszyny // za to to IMO tak -- Jarek
d) brak relacji zaufania między hostem uwierzytelniającym a hostem usługowym z domenie zaufania
122. Zaletą single-sign-on jest:
a) jednokrotne uwierzytelnianie
b) stosowanie funkcji skrótu w celu uwierzytelniania
c) jednokrotne szyfrowanie
d) jednokrotna autoryzacja
123. $ssh host
Enter passphrase for key '/home/junior/.ssh/id_dsa':
Wpis passphrase to:
a) Hasło, którym jest zaszyfrowany klucz publiczny
b) hasło, którym jest zaszyfrowany klucz prywatny
c) klucz, którym będzie szyfrowana transmisja
d) hasło wymagane przez zdalny host, aby zostać zalogowanym
??? > getfacl --omit-header acl-test1
user::rwuser:junior:rwx
group::r-group:student:r-x
mask::r-other::--Oznacza, e: (wybierz 2)
a) właściciel może wykonać plik
b) grupa domyślna/właściciela może odczytać plik
c) użytkownik "junior" może wykonać plik
d) właściciel może modyfikować plik
e) grupa "student" może wykonać plik
f) inni mogą zmodyfikować plik
124. Dziedziczenie uprawnień w systemie plików NTFS:
a) uprawnienia są pobierane bezpośrednio z uprawnień obiektu wyższego
b) może przenieść również na system plików FAT64
c) jest identycznie z systemem plików ext3
d) nie istnieje w tym systemie plików
125. LMhash to:
a) hasło administratora systemu zapisane w sposób jawny
b) hasła użytkowników w postaci skrótów (hashy) wykorzystywane przez Lan Managera
c) Lan Manager hash służący do identyfikacji systemu w sieci lokalnej
d) hash numeru seryjnego systemu Ms Windows
126. Wykorzystując stanowość zapory sieciowej możemy określić: (wybierz 2 odpowiedzi)
a) odrzucić pakiety próbujące podszyć się pod rzekomo istniejące połączenia
b) czy pakiet próbuje obejść nasz system bezpieczeństwa
c) czy połączenie jest już ustanowione
d) czy pakiet zawiera flagę ACK
127. Szyfrowanie plików w systemie Ms Windows:
a) jest dostępne dla każdego pod warunkiem korzystania z partycji typu NTFS
b) jest dostępne wyłącznie dla administratora systemu
c) jest niemożliwe
d) jest dostępna dla administratora systemu i operatora kopii bezpieczeństwa
128. Czy w systemie Ms Windows można korzysta z szyfrowania PGP?
a) niestety system ten nie wspiera szyfrowania PGP
b) tak, ale tylko przy wykorzystaniu komercyjnych, płatnych programów
c) tylko przy wykorzystaniu programu Ms Outlook
d) tak, jeżeli wykorzysta się odpowiednie oprogramowanie
129. Co ma na celu publikowanie swojego klucza publicznego PGP(wybierz 2 odpowiedzi)?:
a) umożliwienie zaszyfrowania wiadomości adresowanej do właściciela klucza
b) uniemożliwienie intruzowi podszycie się pod nasz e-mail
c) umożliwienie odszyfrowania zawartości emaila wysłanej przez właściciela klucza
d) nic nie daje, publikowanie klucza ma na celu tylko usprawnienie mechanizmu wymiany kluczy
między użytkownikami
e) umożliwienie sprawdzenia autentyczności listu wysłanego przez właściciela klucza
130. ??? Co ma na celu publikowanie swojego klucza publicznego PGP(wybierz 3 odpowiedzi)?:
a) nic nie daje, publikowanie klucza ma na celu tylko usprawnienie mechanizmu wymiany kluczy
między użytkownikami
b) uniemożliwienie intruzowi podszycie się pod nasz e-mail
c) umożliwienie zaszyfrowania wiadomości adresowanej do właściciela klucza
d) umożliwienie sprawdzenia autentyczności listu wysłanego przez właściciela klucza
e) umożliwienie odszyfrowania zawartości emaila wysłanej przez właściciela klucza
Jarek: D -- nie. Na serwer kluczy klucz może wysłać każdy, mogę sobie wygenerować klucz dla
[email protected] i umieścić go na serwerze. Autentyczność pozwalają potweirdzić sygnatury na
kluczy (web of trust)
E -- nie po to szyfruję, aby każdy mógł odszyfrować, tylko aby odszyfrować mógł odbiorca. IMO nie.
C -- tak (w przeciwieństwie do E)
B -- nie (patrz D)
A -- w sumie to mi pasuje, bo samo w sobie to tylko usprawnienie mechanizmu wymiany kluczy
adamus: E jest bez sensu, D Jarek a co z weryfikacją podpisu za pomocą klucza publicznego
nadawcy?, C wiadomo -- oczywiste, że tak, B chyba nie ma to nic wspólnego z podszywaniem się
pod email, A jest z dupy -- nie można powiedzieć, że nic nie daje a z kolei nie jest to “tylko” wymiana
kluczy, bo ta wymiana jest w określonym celu przeprowadzana
kuba: biorąc pod uwagę, że muszą być 3 odpowiedzi, może jednak B i D są szychopoprawne? A to
trochę bzdura z tym “nic nie daje”.
131. Do czego służy komenda rlogin?
a) pozwala tylko systemowym użytkownikom zalogować się na lokalną maszynę
b) pozwala na zdalny dostęp do hosta
c) pozwala zalogować się lokalnym użytkownikom na zdalną maszynę tylko na konto o takiej samej
nazwie
d) dostarcza zaawansowanego mechanizmu uwierzytelniania użytkowników logujących się na lokalną
maszynę
132. Do czego służy protokół SMTP?
a) pozwala na szyfrowania załączników wiadomości
b) pozwala na rozsyłanie grupowych wiadomości w trybie multicast
c) pozwala na przeszukiwanie bazy użytkowników na serwerze smtp w celu określenia adresata
wiadomości
d) pozwala na wysyłanie wiadomości do innych użytkowników
133. Jak zachowa się system kontroli ACL standardu POSIX w przypadku użytkownika U
należącego do grupy G jeśli ani U ani G nie mają jawnie przydzielonego prawa r wobec
obiektu p, ale kategoria "wszyscy użytkownicy" (others) takie uprawnienie posiada:
a) prawo r nie zostanie efektywnie przyznane, ale U odziedziczy je w głąb, jeśli p jest katalogiem
b) prawo r nie zostanie efektywnie przyznane
c) prawo r zostanie efektywnie przyznane, o ile U jest właścicielem p
d) prawo r zostanie efektywnie przyznane bezwarunkowo
134. Jak zachowa się system kontroli ACL standardu POSIX w przypadku użytkownika U
należącego do grupy G i wpisanego na liście ACL obiektu p, jeśli ani U ani G nie mają jawnie
przydzielonego prawa r, ale kategoria „wszyscy użytkownicy” (others) takie uprawnienie do
obiektu posiada:
a) prawo r do obiektu p zostanie efektywnie przyznane, o ile U jest właścicielem p
b) prawo r do obiektu p zostanie efektywnie przyznane bezwarunkowo
c) prawo r do obiektu p nie zostanie efektywnie przyznane
d) prawo r do obiektu p nie zostanie efektywnie przyznane, ale U odziedziczy je w głąb, jeśli p jest
katalogiem
135. Która klasa RAID zapewnia odporność na jednoczesną awarię 2 dysków w 5-dyskowej
macierzy?
a) RAID 2
b) RAID 1 // tmnk: odporny na awarie n -1 dysków w n-dyskowej macierzy
c) żadna
d) RAID 6 //adamus: dokładnie 2. reszta ma 1 a raid0 ma 0
a) MD4
b) MD5
c) DES
a) RC2
b) RC4 //rc4 jest strumieniowy, reszta rc* są blokowe
c) RSA
żadne z powyższych
a) RC2
b) RC4
c) AES
a) IDEA
b) RSA
c) WD-40
(wtf? :P) [z cyklu: pytanie wyciągające]
a) MD4
b) MD5
c) DES
d )żadne z powyższych
141. Następująca reguła filtracji zapory sieciowej:
od
1.1.1.1
do
port
źródłowy
port
docelowy
protokół
flagi
reakcja
*.*.*.*
80
*
TCP
ACK=0
odrzuć
a) blokuje wszelkie połączenia nawiązywane z serwerem www o dowolnym adresie
b) blokuje wszelkie połączenia nawiązywane z serwera www o dowolnym adresie
c) blokuje wszelkie połączenia nawiązywane z serwerem www o adresie 1.1.1.1
d) blokuje wszelkie połączenia nawiązywane z serwera www o adresie 1.1.1.1
142. Następująca reguła filtracji zapory sieciowej (od do port źródłowy port docelowy protokół
flagi reakcja): 1.1.2.2 -> 1.1.1.1 80 * TCP SYN=1, ACK=0 odrzuć
a) uniemożliwia nawiązanie połączenia z serwerem www pod adresem 1.1.2.2
b) uniemożliwia nawiązanie połączenia z serwera www pod adresem 1.1.2.2
c) uniemożliwia nawiązanie połączenie z serwera www pod adresem 1.1.1.1
d) uniemożliwia nawiązanie połączenia z serwerem www pod adresem 1.1.1.1 // moim zdaniem
to nie jest poprawna odpowiedź, SYN=1,ACK=0 jest tylko przy inicjowaniu połączenia - gdy serwer
odpowiada klientowi ma albo SYN=1,ACK=1, albo SYN=0,ACK=1; zgadza się? -- unv
adamus: na razie wychodzę z założenia, ze jeśli Jarek nie zgłosił uwag, to było dobrze
143. ??? IPsec ESP umożliwia zapewnienie:
a) autentyczności treści datagramu przy wykorzystaniu algorytmu MD5
b) autentyczności treści datagramu przy wykorzystaniu algorytmu 3DES
c) poufności treści datagramu w trybie tunelowym
d) poufności treści datagramu w trybie transportowym
144. ??? IPsec ESP umożliwia zapewnienie:
a) tylko autentyczności treści datagramu, nie poufności
b) tylko poufności treści datagramu, nie autentyczności
c) poufności i/lub autentyczności treści datagramu, w trybie synchronicznym
d) poufności i/lub autentyczności treści datagramu, w trybie tunelowym
145. Cechy charakterystyczne ataku SYN flood to:
a) intensywny strumień segmentów SYN skierowany na adres ofiary
b) intensywny strumień segmentów SYN/ACK skierowany na adres ofiary
c) brak segmentów SYN/ACK
d) brak segmentów ACK
a) IDEA
b) RSA
c) WD-40
147. Mechanizm Lock-and-Key:
a) wymaga uwierzytelnienia użytkownika, np. za pomocą RADIUS-a
b) automatycznie blokuje stacje niespełniające wymagań polityki bezpieczeństwa
// tym się
zajmuje NAP/NAC/..., nie zaznaczałbym tego -- Jarek
c) pozwala dynamicznie zmieniać reguły filtracji
? //adamus: to przeczy jakiejś poprzedniej
odpowiedzi
d) może być wykorzystany do tymczasowego uzyskania uprzywilejowanego dostępu do sieci
wewnętrznej z zewnątrz // dlaczego? Do tego służy VPN -- Jarek, adamus: hmm, na slajdach była
raczej odwrotna sytuacja...
148. Metoda PING stosowana przez systemy IDS polega na wysłaniu:
a) zapytania ICMP echo request pod adres MAC niezgodny z odpytywanym IP i oczekiwaniu na
odpowiedź
b) pakietów ICMP ping i porównaniu różnic w czasach odpowiedzi pomiędzy różnymi stanowiskami
c) zapytania ICMP echo request pod adres rozgłoszeniowy i oczekiwaniu na odpowiedź
d) zapytania ICMP echo request pod adres MAC podejrzewanej stacji i oczekiwaniu na odpowiedź //
Nie -- Jarek.
149. ??? Wskaż rodzaje adresów, które zapora sieciowa dokonująca translacji NAT powinna
filtrować w pakietach przychodzących od strony sieci zewnętrznej:
a) dowolne prywatne IP, w polu źródłowym // tmnk: prywatne IP poprawne zaznaczenie - doktor
mówił o tym na ostatnim wykładzie //adamus: a to nie było przy okazji IDS/IPS?
b) dowolne prywatne IP, w polu docelowym
c) adresy wykorzystywane wewnątrz, w polu źródłowym
d) adresy wykorzystywane wewnątrz, w polu docelowym -> ???
Jarek: poprawne odpowiedzi to C (pakiet przychodzi z zewnątrz) i D (po to jest NAT, żeby reszta
świata nie wiedziała nic o adresach wewnątrz). A i B są niepoprawne, nic nie stoi na przeszkodzie aby
po jednej stronie zapory były jedne adresy prywatne, a po drugiej drugie. Za kilka miesięcy będzie
bardzo popularne ;-) (przykładowo TPSA, ale także inni ISP w związku z końcem IPv4 planują
wdrożenia carrier-grade-nat. Neostradowicze od TP będą dostawać adresy z 10/8, ale w swoich lanach
będą musieli używać innych).
Bartek: Czy odpowiedzi już są prawidłowe? Ostatni wykład odnosi się do zapór sieciowych i na
slajdzie 4 piszą o filtracji adresów z puli prywatnej we wszystkie strony. Jest jeszcze jedno pytanie:
jak interpretować słowo filtracja? Bo to jest i odrzucanie złych rzeczy i akceptowanie/przepuszczanie
dobrych. Mam nadzieję, że to następne pytanie, które ktoś źle zapamiętał i teraz my się z tym
męczymy.
150. Który angielski termin określa wykorzystanie do ataku znanych luk w systemie atakowanym:
a) eavesdropping
b) tampering
c) exploiting
d) masquerading
151. Proszę wskazać algorytmy wykorzystywane w HMAC:
a) ElGamal
b) Blowfish
c) Rijndael
152. W HMAC może być używany algorytm
a) MD5
b) WD-40
c) żaden z powyższych
153. System NAC (Network Admission Control):
a) oferują filtrację poczty elektronicznej
b) służą realizacji rozległych korporacyjnych sieci VPN
c) to zapory sieciowe stosujące bezstanowe reguły filtracji
d) umożliwiają blokowanie ruchu sieciowego ze stacji nie spełniających wymagań polityki
bezpieczeństwa
154. Istotna przewaga podpisu elektronicznego nad odręcznym polega m. in. na:
a) jest ściśle powiązany z treścią podpisywanego dokumentu
b) weryfikacja podpisu wymaga tylko dostępu do certyfikatu klucza prywatnego podpisującego, co
wystarcza do sądowego uznania podpisu za autentyczny
c) autentyczność podpisu można zweryfikować poprzez prostą weryfikację certyfikatu klucza
publicznego podpisującego
d) samo złożenie podpisu uniemożliwia wyparcie się tego przez podpisującego
adamus: od czasów Bizancjum byłem uczony, że niezaprzeczalny podpis to nie to samo co “normalny
podpis” (edit: “normalny podpis elektroniczny” ofc) i tylko podpis niezaprzeczalny gwarantuje, że
nadawca nie może się go wyprzeć, jako crypto-nazi bym się czepiał odpowiedzi D, ale może inne
książki z omikronem czytaliśmy
Jarek: IMO podpis elektroniczny nie jest “normalny”, tylko niezaprzeczlny ;-) Mając podpis wiesz, że
musiał być złożony przy pomocy odpowiedniego klucza prywatnego, więc jak jego właściciel ma się
tego wyprzeć?
adamus: do jednego klucza publicznego pasuje wiele kluczy prywatnych -- tu pojawia się kolejny
rodzaj, mianowicie “niepodrabialny podpis”, więc tak -- możesz wyprzeć się “normalnie” podpisanej
wiadomości, ale na pewno na egzaminie ta wiedza nam się nie przyda, wręcz zaszkodzi
Jarek: w algorytmach podpisu elektronicznego masz wiele kluczy prywatnych dla jednego
publicznego? Możesz rozwinąć?
155. Proszę wskazać algorytmy wykorzystywane w HMAC:
a) AES
b) SHA-4
c) SSH
156. Szyfr, w którym poddawana szyfrowaniu zostaje tej samej wielkości jednobajtowa porcja
nieregularnie pojawiających się danych, nazywamy:
a) strumieniowym
b) symetrycznym
c) blokowym
d) niesymetrycznym
157. Mechanizm SGID/SUID:
a) SUID powoduje wykonanie aplikacji z uprawnieniami właściciela aplikacji
b) SUID zawsze powoduje wykonanie aplikacji z uprawnieniami administratora
c) SUID zawsze powoduje wykonanie aplikacji z uprawnieniami grupy administracyjnej
d) SUID powoduje wykonanie aplikacji z uprawnieniami grupy właściciela aplikacji
158. SUID to:
a) uproszczona wersji limitów
b) bit uprawnień
c) odpowiednik SGID dla katalogów
d) rozszerzenie mechanizmu SUDO
159. ??? W jaki sposób administrator może narzucić ograniczenia użytkownikom (limity)? (jakie
limity??)
a) korzystając z mechanizmu PAM
b) korzystając z mechanizmu Kerberos
c) wykorzystując skrypt "hosts.equiv"
d) wykorzystując skrypty startowe systemu
160. Zastosowanie rozszerzenia Enigmail w kliencie poczty Thundebird pozwala na:
a) używanie mechanizm SSL do zapewniania bezpiecznych szyfrowanych kanałów komunikacyjnych
z serwerem poczty POP
b) wykorzystywanie PGP do szyfrowania i podpisywania wiadomości
c) ochronę przed atakami man-in-the-middle // Jak najbardziej. Po to szyfrujemy wiadomości, aby
man-in-the-middle nie mógł ich przeczytać, a po to podpisujemy, aby nie mógł zmodyfikować. Jedyne
co może zrobić to zablokować komunikację.Pytanie wygląda na test z labków, więc stosowność tej
odpowiedzi będzie zależeć od zasugerowanej liczby poprawnych odpowiedzi
d) używanie mechanizm SSL do zapewniania bezpiecznych szyfrowanych kanałów komunikacyjnych
z serwerem poczty SMTP
161. Które operacje mogą być wykorzystane do realizacji ataku DoS (Denial of Service):
a) intensywny strumień rozgłoszeniowych segmentów SYN z adresem źródłowym ofiary // na
pewno? Rozgłoszeniowe segmenty SYN nie zostaną zignorowane? -- Jarek
b) fragmentacja datagramu o sumarycznej wielkości ponad 64kB
c) intensywny strumień pakietów UDP echo z adresem docelowym ofiary
d) intensywny strumień segmentów FIN z adresem docelowym ofiary // Poczęstować kogoś
kilkudziesięciomegabitowym strumieniem FIN? DoS jak najbardziej -- Jarek
162. W uwierzytelnianiu z udziałem zaufanej trzeciej strony, do zadań strony uwierzytelnianej
należy:
a) przekazanie poświadczenia uwierzytelnienia drugiej ze stron
b) pobranie poświadczenie uwierzytelnienia od drugiej ze stron
c) przekazanie danych uwierzytelniających drugiej ze stron
d) przekazanie danych uwierzytelniających stronie trzeciej
163. W uwierzytelnianiu z udziałem zaufanej trzeciej strony, do zadań tej trzeciej strony należy:
a) poświadczenie uwierzytelnienia
b) pobranie listu uwierzytelniającego od jednej ze stron list uwierzytelniający? coś takiego
było?; Jarek: też nie pamiętam;
adamus: może to miał być list
polecający
c) pobranie listu uwierzytelniającego od obu stron
d) uwierzytelnienie jednej ze stron // wg. mnie też -- Jarek
164. ??? Wektor inicjujący w szyfrowaniu:
a) musi być tajny i znany tylko odbiorcy
b) musi być tajny i znany obu stronom komunikacji//A jak nie będzie tajny to co? -- Jarek; dms: nie
musi
c) powinien mieć losową wartość, za każdym razem inną
d) wykorzystywany jest wyłącznie w szyfrowaniu asymetrycznym
Bartek: w wykładzie 4 slajd 85 jest napisane odnośnie WEP: “Wektor inicjujący … dołączany jawnie
do kryptogramu”, czyli niejawny?!%$#??
Jarek: O to mi właśnie chodziło. IMO tylko C
adamus: czy w kryptografii asymetrycznej występują iv?, bo już zwątpiłem
165. Problem przepełnienia bufora dotyczy potencjalnie aplikacji:
a) napisanych w języku C
b) napisanych w języku Java
c) uruchamianych w systemie z rodziny Windows
d) uruchamianych w systemie z rodziny Unix/Linux
adamus: w slajdach jest napisane wprost, że java nie ma z tym problemu bo nie ma wskaźników,
czyli B nie, ale A tak. [nie dyskutujmy o merytorycznej stronie tych odpowiedzi] Co do systemów
operacyjnych to również jest to wprost napisane na slajdach
Jarek: system operacyjny dowolny. Java może mieć potencjalnie problemy w wyniku błędów w JVM
oraz w okolicach JNI, ale stawiam na to, że Szychowiak oczekuje B odznaczonego
166. Które narzędzia wykorzystywane są do ochrony anty-spamowej w systemie pocztowym?
a) open proxy
b) open relay
c) szare listy
d) filtry Bayesa
167. Serwer KDC:
a) jest bardzo dobrze zabezpieczony // samo istnienie KDC nie powoduje automatycznie, że jest ono
dobrze zabezpieczone! -- Jarek
b) może zapewnić bardzo dobre bezpieczeństwo w sieci
c) stosuje proste mechanizmy kryptograficzne, które są proste do złamania
d) można prosto oszukać podszywając się pod niego
adamus: powyższe pytanie jak i tamto poprzednie oraz sugerowane odpowiedzi chyba mają nas
naprowadzać, że KDC jest super, abstrahując od tego czy jest dobrze skonfigurowany itd
168. ??? Serwer KDC:
a) ufa każdej usłudze
b) ufa uwiarygodnionym użytkownikom
c) ufa każdemu komputerowi w domenie
d) działa jedynie w obrębie jednej sieci lokalnej
169. ??? Czy istnieje możliwość zmiany portu docelowego i adresu docelowego na adres localhost i
dowolny inny port? (wybierz 2)
a) tak
b) tylko, jeśli określimy protokół oraz oryginalny port docelowy
c) tylko poprzez dodatkowy moduł
d) nie
170. ??? W jaki sposób program OpenVPN będzie wiedział, gdzie znajduje się drugi koniec tunelu
VPN
a) OpenVPN w sposób interaktywny poprosi użytkownika o podanie adresu IP i numeru portu
b) należy wpisać odpowiednią opcje w pliku konfiguracyjnym
c) OpenVPN wyśle zapytanie do najbliższego serwera VPN
d) OpenVPN odczytuje zawartość zdalnej tablicy routingu i pobiera tą informację
171. Czy maska mechanizmu ACL jest definiowana dla każdego użytkownika osobno?
a) nie // maska określa maksymalne prawa efektywne - laby 3 puntk 1.3.3
b) jest to możliwe, jeśli nie będziemy używać maski globalnej
c) tak, ale tylko dla grup użytkowników
d) tak
172. Protokół SSH umożliwia (2 odp):
a) odbieranie telewizji // jak najbardziej, przez forwardowanie portów albo FIFO -- Jarek.
Kuba: Dwie odpowiedzi (Junior mówił, że za nieczytanie treści dostaje się -1p.) A junior ma telewizję
z kablówki, a nie streaming pewnie na myśli :)
Jarek: niech Ci będzie, faktycznie 2 odpowiedzi. A tak mi ładnie pasowało do pytania o forwarding
portów ;-) (a kablówki też mogą być TVoIP)
b) pobieranie plików
c) bezpołączeniową komunikację ze zdalnym hostem, na którym uruchomiony jest serwer ssh
d) nawiązywanie połączeń ze zdalnymi terminalami
173. Jakie restrykcje wprowadza tryb Safe w konfiguracji modułu PHP serwera WWW?
a) blokowanie wybranych funkcji
b) ograniczenie dostępu do fragmentu systemu plików
c) dostęp tylko do plików o tym samym właścicielu co skrypt
d) ograniczenie zakresu zmiennych modyfikowalnych
174. ??? Możliwości uwierzytelniania się przy użyciu SSH to (2 odp):
a) certyfikaty SSL X.509 // niby tak, ale to nie takie proste. Nie wiem, czy Sz. oczekuje tej
odpowiedzi -- Jarek.
b) para login, hasło naszego konta na zdalnym hoście
c) samo hasło naszego konta na zdalnym hoście
d) klucz publiczny, używany przy szyfrowaniu symetrycznym
e) para klucz publiczny i klucz prywatny
//potwierdzić (w sumie wynika to chyba z
następnego pytania)
175. Możliwości uwierzytelniania się przy użyciu SSH to (2 odp):
a) klucz publiczny, używany przy szyfrowaniu symetrycznym
b) samo hasło naszego konta na zdalnym hoście
c) trójka login, klucz publiczny i klucz prywatny
d) para login, hasło naszego konta na zdalnym hoście // to akurat powinno być oczywiste... -- Jarek
e) certyfikaty SSL X.509
176. Dyrektywa "mask" w ACL określa: (wybierz 2)
a) można ją modyfikować jedynie raz // teemonek: Drogą eliminacji to musi być poprawne; Jarek: ale
nie jest. setfacl -m mask::...
b) jest utożsamiana z uprawnieniami grupy // tmnk: jest definiowana dla wszystkich;
kuba: ACL wykorzystuje bity uprawnienia grupy, więc można stwierdzić, że jest utożsamiana
“If the ACL has an ACL_MASK entry, the group permissions
correspond to the permissions of the ACL_MASK entry”
wzięte z man acl
c) ukrywanie nadanych uprawnień dodatkowych użytkowników
d) nie ma żadnego znaczenia // tmnk: Ma znaczenie - maksymalne prawa efektywne
177. W jaki sposób można zarządzać mechanizmem TCP Wrapper?(2 odp):
a) wykorzystując plik /etc/hosts.deny
b) wykorzystując plik /etc/hosts.allow
c) należy uruchomić demon tcpd i zalogowad się do niego
d) poprzez dostęp przez telnet do demona tcpd
e) poprzez konfigurowanie reguł iptables
178. TUN/TAP to:
a) rozszerzenie programu OpenVPN
b) sterownik działający tylko na systemach Windows
c) sterownik działający tylko na systemach Linux
d) coś takiego nie istnieje
e) komponent pozwalający tworzyć wirtualne interfejsy sieciowe
179. Szyfrowanie asymetryczne(2 odp):
a) to używanie dwóch matematycznie zależnych kluczy
b) jest wykorzystywane przy podpisywaniu wiadomości
c) to używanie dwóch niezależnych kluczy: jednego do szyfrowania, drugiego do deszyfrowania
d) nie jest wykorzystywane przez SSH
180. Czy RSBAC zapewnia: (wybierz 2)
a) wymuszanie stosowania skomplikowanych haseł
b) aktualizację oprogramowania
c) stosowanie polityki MAC
d) system trudny do przechwycenia przez osobę niepowołaną
e) poufność przechowywanych danych
f) stosowanie polityki DAC
181. Opcja spawn w pliku hosts.deny:
a) pozwala tworzyć kolejne procesy TCP wrapper // niby dlaczego? -- Jarek
b) jest wykorzystywana tylko w pliku hosts.allow
c) nie jest wykorzystywana
d) pozwala odesłać do nadawcy specjalnie spreparowaną wiadomość w odpowiedzi na żądanie
182. Które polecenie będzie poprawne, dla ustalenia SNAT (2 poprawne)?
a) iptables -t nat -A FORWARD -o eth0 -j SNAT --to 150.254.17.2
b) iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 150.254.17.2 // unv: moje pytanie: w
SNAT jest coś takiego jak --to? AFAIK jest --to-source
c) iptables -t nat -A PREROUTING -o eth0 -j SAME --to 150.254.17.2
d) iptables -t nat -A POSTROUTING -o eth0 -j NAT --to 150.254.17.2
e) iptables -t nat -A PREROUTING -o eth0 -j SNAT --to 150.254.17.2
f) iptables -t nat -A POSTROUTING -o eth0 -j SAME --to 150.254.17.2
Czy iptables umożliwia ograniczenie dostępu do usługi w jednym poleceniu? (wybierz 2)
a) jeśli określamy protokół
b) jeśli nie określimy protokołu
c) nie
d) tak
183.
184. Oprogramowanie OpenVPN wykorzystuje tablice routingu w Linuxie: ?
a) do sprawdzenia kosztu trasy prowadzącej do sieci po drugiej stronie połączenia VPN
b) aby dowiedzieć się jak nawiązać połączenie z siecią po drugiej stronie tunelu VPN
c) do przechowywania trasy do sieci dostępnej po drugiej stronie połączenia VPN
d) jako bufor przechowujący nadchodzące informacje o zmianie trasy do odległej sieci po drugiej
stronie połączenia VPN
185. Skrót ACL oznacza: (wybierz 2 odpowiedzi)
a) Added Control List
b) Access Control List
c) Lista uprawnie nadanych
d) Lista kontroli dostępu
186. Mechanizm SUDO:
a) zawsze pyta się o hasło docelowego użytkownika
b) pozwala wykonywać dowolne polecenia bez pytania o hasło // jak się tak go skonfiguruje, to
pozwala. Chyba dość typowe.
c) nigdy nie pyta się o hasła
d) może prosić o hasło użytkownika
Bartek: Brodecki mówił, że sudo jest “wypaczone” przez współczesne linuxy i ich userów wiec
pewnie Jarek masz rację
187. Aplikacja SUDO umożliwia:
a) stałe zmniejszenie uprawnień użytkownika
b) uruchamianie innych aplikacji na prawach innych użytkowników
c) stałe zwiększenie uprawnień użytkownika
d) uruchamianie innych aplikacji wyłącznie z uprawnieniami administratora // Bzdura -- Jarek
188. Nazwa konta "administrator" w systemie Ms Windows XP:
a) można ją zmienić w każdej chwili
b) jest definiowana przy instalacji systemu
c) mona ją zmieni tylko przy wykorzystaniu dodatkowego oprogramowania
d) jest stała i nie może być zmieniona
189. Jaki użytkownik zostanie wybrany w momencie logowania się na zdalną maszynę przez rsh,
gdy w poleceniu rsh nie podano nazwy użytkownika?:
a) wystąpi błąd podczas uwierzytelniania ponieważ nie podano nazwy użytkownika
b) lokalny użytkownik nobody
c) zawsze root z uwagi na możliwość wykonania niektórych komend systemowych
d) lokalny użytkownik rshd
e) zdalny użytkownik rshd
f) lokalny użytkownik operator
g) lokalny bieżący użytkownik
190. Do czego służy komenda rsh?
a) pozwala wykonać zdalne polecenie na lokalnym hoście // rsh localhost dupa ? -- Jarek
b) pozwala wykonać polecenie na zdalnym hoście
c) pozwala nawiązać szyfrowane połączenie ze zdalnym hostem
191. ??? W RSBAC, czy każdy program może zmienić uprawnienia na inne niż te, na których
został uruchomiony?
a) zgodę wydaje oficer bezpieczeństwa modyfikując odpowiednio politykę bezpieczeństwa //
Chyba -- Jarek
b) tak
c) każdorazowo musi otrzymać zgodę oficera bezpieczeństwa
d) bezwzględnie nie
192. user::rwuser:inf44444:r-x
group::rwx
group:student:rwx
mask::rwx
other::--Oznacza: (wybierz 2)
a) grupa "student" nie może skasować pliku
b) użytkownik "inf44444" może wykonać plik
c) grupa "student" może skasować katalog
d) właściciel może wykonać plik
e) maska blokuje wszystkie uprawnienia
f) grupa domyślna (właściciela) nie może zmodyfikować pliku
193. Czy system MS Windows korzysta z serwera Kerberos?
a) nigdy
b) tylko w starszych systemach (95, 98)
c) zawsze
d) jeśli zostanie odpowiednio skonfigurowany
194. Mechanizm haseł jednorazowych można zrealizować poprzez:
a) listy haseł jednorazowych
b) generowanie hasła jednorazowego co stały czasu
c) generowanie hasła jednorazowego w odpowiedzi na zadany kod
d) generowanie hasła jednorazowego na podstawie czasu i kodu
//Artur: miałbym wątpliwości co do odp b), bo jeśli to by było rzeczywiście generowanie, to byłoby to
pseudolosowe, i wogóle nie o to by chodziło
//kuba: a mi się wydaje, że to jest poprawne - był na wykładzie przykład urządzenia RSA Securid breloczek, który co stały interwał generował One Time Password i był synchronizowany z czasem na
serwerze
195. Algorytmy SHA-256 i SHA-512 różnią się wzajemnie:
a) ograniczeniami eksportowymi
b) długością kluczy
c) wielkością wynikowego skrótu
//potwierdzone na podstawie wiki
196. Wyobraźmy sobie serwer udostępniający wybranym podsieciom dwie usługi: www i ftp.
Zapewnienie kontroli dostępu, np. za pomocą narzędzia personal firewall (lub wrappera
połączeń) tylko do jednej z tych usług stanowi:
a) realizację predykatu ograniczonej kontroli dostępu (MAC)
b) naruszenie warunków spójności pionowej zabezpieczeń
c) naruszenie warunków spójności poziomej zabezpieczeń
d) naruszenie zasad poziomu B1/TCSEC i EAL4/CC
197. Algorytmy SHA-256 i SHA-512 różnią się wzajemnie:
a) ograniczeniami eksportowymi
b) podatnością na kolizje
c) wielkością wynikowego skrótu
198. Bezpośrednim celem ataku metodą przepełnienia bufora jest:
a) wypchnięcie wartości zmiennych globalnych programu poza chroniony segment danych
b) uszkodzenie zawartości segmentu danych i w efekcie zawieszenie procesu
c) uszkodzenie zawartości segmentu kodu i w efekcie zawieszenie procesu
d) nadpisanie adresu powrotu na stosie
199. W przypadku systemu kontroli ACL standardu POSIX użytkownik U należący do grupy G
posiada efektywne uprawnienie r do zasobu p jeśli:
a) właściciel p ma prawo r oraz p posiada ustawiony bit suid - bez względu na zawartość ACL
b) U jest właścicielem p - bez względu na zawartość ACL
c) prawo r zostanie jawnie nadane U lub G
d) U oraz G występują na liście ACL bez prawa r, ale kategoria "wszyscy użytkownicy" (others) takie
uprawnienie posiada
200. Którym z poniższych terminów określa się ograniczone środowisko wykonawcze aplikacji lub
jej komponentu:
a) komnata (room)
b) komora (chamber)
c) karcer (jailbox)
d) piaskownica (sandbox)
201. Kontrola dostępu do zasobów jest związana z zachowaniem własności:
a) poufności i integralności
b) tylko poufności
c) tylko integralności
d) żadnej z powyższych
adamus: w poufności jest to napisane wprost na 2 wykładzie, w integralności jako “kontrola dostępu
do danych”, “rejestracja operacji na danych”
202. Co zapewnia uwierzytelnianie przez posiadanie?
a) poufność
b) integralność
c) poufność i integralność
adamus: stawiam na D, nijak się ma uwierzytelnienie wobec systemu do zachowania integralności
albo poufności
Jarek: ja na C. Co to za autoryzacja bez wcześniejszego uwierzytelnienia?
Bartek: Ja podobnie jak adamus myślę bardziej o D, ale to pytanie w oryginale brzmi pewnie bardziej
sensownie. czy każde uwierzytelnianie niesie ze sobą zapewnienie poufności? Prędzej wymagałbym
integralności.
Jarek: niby nie, chociażby logując się rloginem. Hmm... nie wiem, później pomyślę ;-P
Pomyślałem. D.
203. Którego typu ataku dotyczy następujący opis: „Atak ten przeprowadza osoba, która wobec
każdej z dwóch uprawnionych stron komunikacji podszywa się za przeciwną stronę,
pośrednicząc w przesyłaniu danych”:
a) aktywny
b) zdalny
c) pasywny
d) środkowy
204. Które z poniższych określeń opisują mechanizm CAP (capabilities):
a) opisuje prawa uwierzytelnionego użytkownika w bilecie systemu Kerberos
b) specyfikuje w certyfikacie klucza publicznego możliwości wykorzystania danego klucza
c) pozwala na rozdzielenie uprawnień ogólno administracyjnych na szczegółowe podzbiory
d) przydziela użytkownikowi pewne informacje uwierzytelniające przedstawiane następnie podczas
dostępu do poszczególnych usług
205. Mechanizm umożliwiający przydzielenie poszczególnych uprawnień administracyjnych
(uprzywilejowanych operacji jądra systemu operacyjnego) użytkownikom nazywamy:
a) switch root
b) remote administration
c) capabilities
d) sandbox
206. Który termin określa ochronę informacji przed nieautoryzowanym jej zmodyfikowaniem:
a) autoryzacja // ochrona przed czymś nieautoryzowanym to autoryzacja -- Jarek
// autoryzacja to proces przydzielania praw dostępu, ochroną zajmuje się kontrola dostępu -- unv.
b) niezaprzeczalność
c) spójność
d) integralność // integralność jest cechą, a nie metodą ochrony -- Jarek
// myślę podobnie jak Ty Jarek, ale obawiam się, że Sz. oczekuje odpowiedzi d, czyli “integralność”.
Slajd 35 we wprowadzeniu mówi, że:
6. Nienaruszalność (integralność; ang. data integrity)
ochrona informacji przed nieautoryzowanym jej zmodyfikowaniem (ew.detekcja
takiej modyfikacji) -- unv.
207. Niezaprzeczalność to własność potwierdzająca iż:
a) nadawca wiadomości faktycznie ją wysłał
b) odbiorca wiadomości nie sfałszował jej treści // wg. mnie też -- Jarek
// dlaczego? definicja na slajdach wydaje się jasna -- unv.
c) odbiorca wiadomości faktycznie ją otrzymał // dlaczego? -- Jarek
d) nadawca wiadomości jest rzeczywiście tym za kogo się podaje // trochę się nad tym zastanawiam -Jarek
wykład: 8. niezaprzeczalność
* ochrona przed fałszywym zaprzeczeniem
- przez nadawcę - faktu wysłania danych
- przez odbiorcę - faktu otrzymania danych
208. ??? Czy RSBAC to: (wybierz 2)
a) poprawnie skonfigurowana polityka bezpieczeństwa
b) domyślne uprawnienia systemowe
c) zestaw rozszerzający kontrolę uprawnień
d) zestaw łat na jądro systemu Linux
209. Pre-shared key to(2 odp): ??
a) przestarzały mechanizm służący do logowania się na zdalnego hosta bez podawania hasła
b) coś takiego nie istnieje
c) prosty mechanizm pozwalający szyfrować i uwierzytelniać strony za pomocą jednego klucza
d) silny mechanizm uwierzytelniania wykorzystujący generowany losowo po obu stronach klucz
e) silny mechanizm szyfrowania wykorzystujący certyfikaty SSL do generacji losowego klucza
sesyjnego
f) jest to przykład kryptografii symetrycznej
210. Czy iptables umożliwia określenie domyślnej polityki w łańcuchu? (wybierz 2)
a) tylko w nowo utworzonych łańcuchach
b) tak
c) tylko w standardowych łańcuchach
d) nie
211. Co to jest challenge-response?:
a) mechanizm pozwalający uwierzytelniać się bez potrzeby przesyłania tajnego klucza
b) przestarzała forma uwierzytelniania stosowana w ssh
c) nie istnieje coś takiego
d) mechanizm wykorzystywany w kryptografii dyskretnej
e) silny mechanizm szyfrowania wykorzystujący kryptografię klucza publicznego
212. Czy serwer KDC w systemie Kerberos przechowuje konta użytkowników?
a) tak
b) tylko lokalne konta
c) nie
d) tylko konta administratorów
Jarek: nie powiedziałbym. Konta muszą być tworzone lokalnie/przechowywane w jakimś LDAP-ie/
NIS-ie. Podawaliście chociażby takie informacje jak UID, grupa albo gecos?
Może za to przechowywać pary (nazwa, hasło). Może je też pobierać na przykład z LDAP-a.
213. W jaki sposób połączenie nawiązane przez rsh jest zabezpieczone?:
a) kodowana komunikacja przy użyciu funkcji XOR
b) szyfrowana komunikacja po podaniu hasła i loginu
c) komunikacja uwierzytelniana w kryptograficznie bezpieczny sposób
d) komunikacja nie jest chroniona
214. ??? W RSBAC, czy można zmienić uprawnienia do katalogu dla programu podczas jego
działania?
a) jeśli program posiada taką możliwość (programista uwzględnił taką opcję)
b) nie jest to określone
c) istnieją takie możliwości
d) nie
215. ??? Czy TCP wrapper to:
a) samodzielny program analizujący tylko połączenia tcp
b) łata (ang. patch) rozszerzająca funkcjonalność programu xinetd
c) program analizujący tylko przychodzące połączenia tcp, ale dla numerów portów na których
uruchomione są usługi zarządzane przez xinetd // IMNSHO nie. Używam tcpd bez xinetd (z
OpenBSD INETD, aplikacja może też linkować się sama z libtcpwrapper) -- Jarek.
d) program w postaci prostego firewalla za pomocą którego można blokować wychodzące połączenia,
odpowiednie reguły zapisywane są w plikach /etc/hosts.allow i /etc/hosts.deny
e) dodatkowy podsystem sieciowy dla systemu operacyjnego Linux pozwalający na nakładanie
ograniczeń dla połączeń przychodzących
Jarek: stawiam na A
216. ??? Ideą połączeń typu VPN jest:
a) obejście problemów z połączeniami z sieciami zlokalizowanymi za NAT // Jarek: ja tego nie
zaznaczyłem. To tylko dodatkowy bonus, a nie główna idea. Ale kto wie, o co chodziło Sz...
b) możliwość zapewnienia bardziej niezawodnych w sensie połączeniowym niż TCP połączeń między
hostami
c) wsparcie połączeń p2p aby hosty mogły bezpośrednio komunikować się [chyba NIE]
d) zmiana routingu pakietów aby z jednej sieci pakiety trafiały bezpośrednio do sieci docelowej
e) utworzenie sieci łączącej odseparowane, odległe sieci
217. user::r-x
user:inf44444:r-group::rwgroup:student:r-x
mask::rwx
other::--x
Oznacza: (wybierz 2)
a) wszyscy mogą wykonać plik
b) grupa "student" może zmodyfikować plik
c) użytkownik "inf44444" nie może czytać plik
d) użytkownik "inf44444" może czytać plik
e) grupa właściciela może zmodyfikować plik
f) maska blokuje wszystkie uprawnienia
Dotarłeś do końca,
good job!

Wszystkie pytanka ze wszystkich lat – by Teemonek W RAMACH

Transkrypt

Podobne dokumenty

Don`t Quit Alone - Smoking Cessation

Historia motolotniarstwa w Łodzi. Motolotniarstwo w Łodzi