![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2018-09-09T10:45:14+09:00","","") #author("2018-09-09T10:47:06+09:00","","") [[CentOS7]] *脆弱性スキャナ導入(Nessus) [#w680f34c] 脆弱性スキャナの[[Nessus>https://jp.tenable.com/products/nessus-vulnerability-scanner]]を導入して、サーバーの脆弱性を点検する。 *Nessusインストール [#be49edbf] **ユーザー登録 [#n4be80ce] [[Nessusユーザー登録ページ>http://jp.tenable.com/products/nessus-home]]で氏名、メールアドレス、国名を登録することにより、アクティベーションコード(後で使用する)がメールで送られてくる。 **Nessusダウンロード [#jc7048ae] [[Nessusダウンロードページ>http://jp.tenable.com/products/nessus/select-your-operating-system#tos]]で該当のRPM(例:nessus-6.10.0-es7.x86_64.rpm)をダウンロードしてWinSCPでサーバーへアップロードする。 **Nessusインストール [#ze035a7b] |BGCOLOR(black):COLOR(white):|c |[root@localhost ~]# yum -y localinstall nessus-6.10.0-es7.x86_64.rpm &color(lime){← Nessusインストール};| |[root@localhost ~]# rm -f nessus-6.10.0-es7.x86_64.rpm &color(lime){← ダウンロードしたファイルを削除};| *Nessus起動 [#s63bd9c8] |BGCOLOR(black):COLOR(white):|c |[root@localhost ~]# cp /opt/nessus/com/nessus/CA/cacert.pem /opt/nessus/lib/nessus/plugins/custom_CA.inc &color(lime){← SSL Certificate Cannot Be Trusted対策};| |[root@localhost ~]# systemctl start nessusd &color(lime){← Nessus起動};| *Nessus確認 [#n3816cda] Webブラウザでhttps://サーバーIPアドレス:8834/へアクセスする。 **初期設定 [#l69a26cc] &ref(01.JPG); 「Continue」ボタン押下 &ref(02.JPG); +「Username」に任意のユーザー名を入力 +「Password」に任意のパスワードを入力 +「Confirm Password」に任意のパスワード(確認)を入力 +「Continue」ボタン押下 &ref(03.JPG); +「Activation Code」にメールで送られてきたアクティベーションコードを入力 +「Continue」ボタン押下⇒脆弱性スキャンで使用するプラグインの更新処理が行われる※初回のみ時間がかかる⇒処理が完了するとログイン画面が表示される &ref(04.JPG); ユーザー名、パスワードを入力してサインイン **脆弱性スキャン実施 [#y9a3833f] &ref(05.JPG); &ref(06.JPG); 「New Scan」をクリック &ref(07.JPG); 「Basic Network Scan」をクリック +「Name」に任意のスキャンタイトル(例:Basic Network Scan for localhost)を入力 +「Targets」にスキャン対象IPアドレス(例:サーバー自身をスキャンする場合は127.0.0.1)を入力 「Save」ボタン押下 &ref(08.JPG); 作成したスキャンを選択して「Launch(実行)」※しばらく時間がかかる &ref(09.JPG); 完了 &ref(10.JPG); +スキャン結果を参照 +Infoレベルが244件 +Lowレベルが19件 +Mediumレベルが35件検出された ※レベルは他にCriticalとHighがあり、Critical、High、Medium、Low、Infoの順に脆弱性が高いことを意味し、特にCritical、Highは何らかの対処が必要なレベルを示す &ref(11.JPG); Mediumレベルの脆弱性を参照 &ref(12.JPG); SSL 64-bit Block Size Cipher Suites Supported (SWEET32)の脆弱性を参照 &ref(13.JPG); -Description・・・脆弱性の説明 -Solution・・・対処方法の説明 -See Also・・・この脆弱性に関する外部情報へのリンク -Output・・・スキャン出力結果 ちなみに、上記の「SSL 64-bit Block Size Cipher Suites Supported (SWEET32)」脆弱性は、64ビットブロック暗号には脆弱性があるため、使用しないようにするよう推奨している。 ⇒上記脆弱性の対処(Webサーバー、メールサーバー) **メール送信設定 [#d3a10d5e] 脆弱性スキャン結果をメールで管理者宛に通知できるように設定する。 &ref(14.JPG); 右上の「Settings」をクリック &ref(15.JPG); 「Communication」をクリック &ref(16.JPG); 「SMTP Server」をクリック &ref(17.JPG); +「HOST」にメールサーバー名(例:localhost)を入力 +「Port」に"25"を入力 +「From(sender email)」にスキャン結果メール送信者(例:root@centossrv.com)を入力 +「Hostname(for email links)」に"NessusサーバーIPアドレス:8834"を入力 +「Save」をクリック **プラグイン自動更新設定 [#p2a6515c] スキャンで使用するプラグインを自動更新するようにする。 初期設定では、Nessusをインストールした時間で毎日プラグインの更新が行われるが、サーバーに負荷がかかる処理なので、深夜に実行するように変更する。 &ref(18.JPG); 「Settings」をクリック &ref(19.JPG); 「Software Update」をクリック &ref(20.JPG); +「Disabled」を選択 +「Save」をクリック |BGCOLOR(black):COLOR(white):|c |[root@localhost ~]# vi nessus-update &color(lime){← Nessusアップデートスクリプト作成};| |#!/bin/sh &br; &br; &color(lime){# プラグイン&Nessus更新}; &br; systemctl stop nessusd &br; /opt/nessus/sbin/nessuscli update --all | logger -t nessus-update 2>&1 &br; systemctl start nessusd &br; &br; &color(lime){# 1か月以上前のレポートを削除};tmpwatch -m 720 /opt/nessus/var/nessus/users/root/reports/ &br; &br; | |#!/bin/sh &br; &br; &color(lime){# プラグイン&Nessus更新}; &br; systemctl stop nessusd &br; /opt/nessus/sbin/nessuscli update --all | logger -t nessus-update 2>&1 &br; systemctl start nessusd &br; &br; &color(lime){# 1か月以上前のレポートを削除}; &br; tmpwatch -m 720 /opt/nessus/var/nessus/users/root/reports/ &br; &br; | |[root@localhost ~]# chmod +x nessus-update &color(lime){← Nessusアップデートスクリプト実行権限付加};| |[root@localhost ~]# echo "0 2 * * * root /root/nessus-update" > /etc/cron.d/nessus-update &color(lime){← Nessusアップデートスクリプトを毎日2時に自動実行};| **脆弱性スキャン定期自動実行設定 [#rb525ba9] &ref(21.JPG); 定期自動実行するスキャンを選択して「Configure」をクリック &ref(22.JPG); 「Schedule」をクリック &ref(23.JPG); +「Enable Schedule」をクリック +「Launch」で実行周期(例:"Daily")を選択 +「Starts On」で実行日時(例:4:30)を指定 +「Save」をクリック &ref(24.JPG); 「Notifications」をクリック &ref(25.JPG); +「Email Recipient(s)」にスキャン結果メール送信先(例:root@centossrv.com)を入力 +「Save」をクリック これで、毎日4:30に脆弱性スキャンが実行され、結果がroot宛にメール通知されてくる。
