脆弱性スキャナのNessusを導入して、サーバーの脆弱性を点検する。
Nessusユーザー登録ページで氏名、メールアドレス、国名を登録することにより、アクティベーションコード(後で使用する)がメールで送られてくる。
Nessusダウンロードページで該当のRPM(例:nessus-6.10.0-es7.x86_64.rpm)をダウンロードしてWinSCPでサーバーへアップロードする。
[root@localhost ~]# yum -y localinstall nessus-6.10.0-es7.x86_64.rpm ← Nessusインストール |
[root@localhost ~]# rm -f nessus-6.10.0-es7.x86_64.rpm ← ダウンロードしたファイルを削除 |
[root@localhost ~]# cp /opt/nessus/com/nessus/CA/cacert.pem /opt/nessus/lib/nessus/plugins/custom_CA.inc ← SSL Certificate Cannot Be Trusted対策 |
[root@localhost ~]# systemctl start nessusd ← Nessus起動 |
Webブラウザでhttps://サーバーIPアドレス:8834/へアクセスする。
「Continue」ボタン押下
ユーザー名、パスワードを入力してサインイン
「New Scan」をクリック
「Basic Network Scan」をクリック
作成したスキャンを選択して「Launch(実行)」※しばらく時間がかかる
完了
※レベルは他にCriticalとHighがあり、Critical、High、Medium、Low、Infoの順に脆弱性が高いことを意味し、特にCritical、Highは何らかの対処が必要なレベルを示す
Mediumレベルの脆弱性を参照
SSL 64-bit Block Size Cipher Suites Supported (SWEET32)の脆弱性を参照
ちなみに、上記の「SSL 64-bit Block Size Cipher Suites Supported (SWEET32)」脆弱性は、64ビットブロック暗号には脆弱性があるため、使用しないようにするよう推奨している。 ⇒上記脆弱性の対処(Webサーバー、メールサーバー)
脆弱性スキャン結果をメールで管理者宛に通知できるように設定する。
右上の「Settings」をクリック
「Communication」をクリック
「SMTP Server」をクリック
スキャンで使用するプラグインを自動更新するようにする。
初期設定では、Nessusをインストールした時間で毎日プラグインの更新が行われるが、サーバーに負荷がかかる処理なので、深夜に実行するように変更する。
「Settings」をクリック
「Software Update」をクリック
[root@localhost ~]# vi nessus-update ← Nessusアップデートスクリプト作成 |
#!/bin/sh # プラグイン&Nessus更新 systemctl stop nessusd /opt/nessus/sbin/nessuscli update --all | logger -t nessus-update 2>&1 systemctl start nessusd # 1か月以上前のレポートを削除 tmpwatch -m 720 /opt/nessus/var/nessus/users/root/reports/ |
[root@localhost ~]# chmod +x nessus-update ← Nessusアップデートスクリプト実行権限付加 |
[root@localhost ~]# echo "0 2 * * * root /root/nessus-update" > /etc/cron.d/nessus-update ← Nessusアップデートスクリプトを毎日2時に自動実行 |
定期自動実行するスキャンを選択して「Configure」をクリック
「Schedule」をクリック
「Notifications」をクリック
これで、毎日4:30に脆弱性スキャンが実行され、結果がroot宛にメール通知されてくる。