CentOS7

脆弱性スキャナ導入(Nessus)

脆弱性スキャナのNessusを導入して、サーバーの脆弱性を点検する。

Nessusインストール

ユーザー登録

Nessusユーザー登録ページで氏名、メールアドレス、国名を登録することにより、アクティベーションコード(後で使用する)がメールで送られてくる。

Nessusダウンロード

Nessusダウンロードページで該当のRPM(例:nessus-6.10.0-es7.x86_64.rpm)をダウンロードしてWinSCPでサーバーへアップロードする。

Nessusインストール

[root@localhost ~]# yum -y localinstall nessus-6.10.0-es7.x86_64.rpm ← Nessusインストール
[root@localhost ~]# rm -f nessus-6.10.0-es7.x86_64.rpm ← ダウンロードしたファイルを削除

Nessus起動

[root@localhost ~]# cp /opt/nessus/com/nessus/CA/cacert.pem /opt/nessus/lib/nessus/plugins/custom_CA.inc ← SSL Certificate Cannot Be Trusted対策
[root@localhost ~]# systemctl start nessusd ← Nessus起動

Nessus確認

Webブラウザでhttps://サーバーIPアドレス:8834/へアクセスする

初期設定

01.JPG

「Continue」ボタン押下

02.JPG

  1. 「Username」に任意のユーザー名を入力
  2. 「Password」に任意のパスワードを入力
  3. 「Confirm Password」に任意のパスワード(確認)を入力
  4. 「Continue」ボタン押下

03.JPG

  1. 「Activation Code」にメールで送られてきたアクティベーションコードを入力
  2. 「Continue」ボタン押下⇒脆弱性スキャンで使用するプラグインの更新処理が行われる※初回のみ時間がかかる⇒処理が完了するとログイン画面が表示される

04.JPG

ユーザー名、パスワードを入力してサインイン

脆弱性スキャン実施

05.JPG

06.JPG

「New Scan」をクリック

07.JPG

「Basic Network Scan」をクリック

  1. 「Name」に任意のスキャンタイトル(例:Basic Network Scan for localhost)を入力
  2. 「Targets」にスキャン対象IPアドレス(例:サーバー自身をスキャンする場合は127.0.0.1)を入力 「Save」ボタン押下

08.JPG

作成したスキャンを選択して「Launch(実行)」※しばらく時間がかかる

09.JPG

完了

10.JPG

  1. スキャン結果を参照
  2. Infoレベルが244件
  3. Lowレベルが19件
  4. Mediumレベルが35件検出された

※レベルは他にCriticalとHighがあり、Critical、High、Medium、Low、Infoの順に脆弱性が高いことを意味し、特にCritical、Highは何らかの対処が必要なレベルを示す

11.JPG

Mediumレベルの脆弱性を参照

12.JPG

SSL 64-bit Block Size Cipher Suites Supported (SWEET32)の脆弱性を参照

13.JPG

ちなみに、上記の「SSL 64-bit Block Size Cipher Suites Supported (SWEET32)」脆弱性は、64ビットブロック暗号には脆弱性があるため、使用しないようにするよう推奨している。 ⇒上記脆弱性の対処(Webサーバー、メールサーバー)

メール送信設定

脆弱性スキャン結果をメールで管理者宛に通知できるように設定する。

14.JPG

右上の「Settings」をクリック

15.JPG

「Communication」をクリック

16.JPG

「SMTP Server」をクリック

17.JPG

  1. 「HOST」にメールサーバー名(例:localhost)を入力
  2. 「Port」に"25"を入力
  3. 「From(sender email)」にスキャン結果メール送信者(例:root@centossrv.com)を入力
  4. 「Hostname(for email links)」に"NessusサーバーIPアドレス:8834"を入力
  5. 「Save」をクリック

プラグイン自動更新設定

スキャンで使用するプラグインを自動更新するようにする。

初期設定では、Nessusをインストールした時間で毎日プラグインの更新が行われるが、サーバーに負荷がかかる処理なので、深夜に実行するように変更する。

18.JPG

「Settings」をクリック

19.JPG

「Software Update」をクリック

20.JPG

  1. 「Disabled」を選択
  2. 「Save」をクリック
[root@localhost ~]# vi nessus-update ← Nessusアップデートスクリプト作成
#!/bin/sh

# プラグイン&Nessus更新
systemctl stop nessusd
/opt/nessus/sbin/nessuscli update --all | logger -t nessus-update 2>&1
systemctl start nessusd

# 1か月以上前のレポートを削除
tmpwatch -m 720 /opt/nessus/var/nessus/users/root/reports/

[root@localhost ~]# chmod +x nessus-update ← Nessusアップデートスクリプト実行権限付加
[root@localhost ~]# echo "0 2 * * * root /root/nessus-update" > /etc/cron.d/nessus-update ← Nessusアップデートスクリプトを毎日2時に自動実行

脆弱性スキャン定期自動実行設定

21.JPG

定期自動実行するスキャンを選択して「Configure」をクリック

22.JPG

「Schedule」をクリック

23.JPG

  1. 「Enable Schedule」をクリック
  2. 「Launch」で実行周期(例:"Daily")を選択
  3. 「Starts On」で実行日時(例:4:30)を指定
  4. 「Save」をクリック

24.JPG

「Notifications」をクリック

25.JPG

  1. 「Email Recipient(s)」にスキャン結果メール送信先(例:root@centossrv.com)を入力
  2. 「Save」をクリック

これで、毎日4:30に脆弱性スキャンが実行され、結果がroot宛にメール通知されてくる。

添付ファイル: file25.JPG 113件 [詳細] file24.JPG 91件 [詳細] file23.JPG 116件 [詳細] file22.JPG 99件 [詳細] file21.JPG 99件 [詳細] file20.JPG 93件 [詳細] file19.JPG 110件 [詳細] file18.JPG 96件 [詳細] file17.JPG 89件 [詳細] file16.JPG 82件 [詳細] file15.JPG 112件 [詳細] file14.JPG 101件 [詳細] file13.JPG 87件 [詳細] file12.JPG 95件 [詳細] file11.JPG 92件 [詳細] file10.JPG 84件 [詳細] file09.JPG 100件 [詳細] file08.JPG 113件 [詳細] file07.JPG 124件 [詳細] file06.JPG 75件 [詳細] file05.JPG 94件 [詳細] file04.JPG 80件 [詳細] file03.JPG 108件 [詳細] file02.JPG 92件 [詳細] file01.JPG 106件 [詳細]
トップ   編集 凍結 差分 履歴 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-09-09 (日) 10:47:06