CentOS7

脆弱性スキャナ導入(Nessus)

脆弱性スキャナのNessusを導入して、サーバーの脆弱性を点検する。

Nessusインストール

ユーザー登録

Nessusユーザー登録ページで氏名、メールアドレス、国名を登録することにより、アクティベーションコード(後で使用する)がメールで送られてくる。

Nessusダウンロード

Nessusダウンロードページで該当のRPM(例:nessus-6.10.0-es7.x86_64.rpm)をダウンロードしてWinSCPでサーバーへアップロードする。

Nessusインストール

[root@localhost ~]# yum -y localinstall nessus-6.10.0-es7.x86_64.rpm ← Nessusインストール
[root@localhost ~]# rm -f nessus-6.10.0-es7.x86_64.rpm ← ダウンロードしたファイルを削除

Nessus起動

[root@localhost ~]# cp /opt/nessus/com/nessus/CA/cacert.pem /opt/nessus/lib/nessus/plugins/custom_CA.inc ← SSL Certificate Cannot Be Trusted対策
[root@localhost ~]# systemctl start nessusd ← Nessus起動

Nessus確認

Webブラウザでhttps://サーバーIPアドレス:8834/へアクセスする。

初期設定

01.JPG

「Continue」ボタン押下

02.JPG

  1. 「Username」に任意のユーザー名を入力
  2. 「Password」に任意のパスワードを入力
  3. 「Confirm Password」に任意のパスワード(確認)を入力
  4. 「Continue」ボタン押下

03.JPG

  1. 「Activation Code」にメールで送られてきたアクティベーションコードを入力
  2. 「Continue」ボタン押下⇒脆弱性スキャンで使用するプラグインの更新処理が行われる※初回のみ時間がかかる⇒処理が完了するとログイン画面が表示される

04.JPG

ユーザー名、パスワードを入力してサインイン

脆弱性スキャン実施

05.JPG

06.JPG

「New Scan」をクリック

07.JPG

「Basic Network Scan」をクリック

  1. 「Name」に任意のスキャンタイトル(例:Basic Network Scan for localhost)を入力
  2. 「Targets」にスキャン対象IPアドレス(例:サーバー自身をスキャンする場合は127.0.0.1)を入力 「Save」ボタン押下

08.JPG

作成したスキャンを選択して「Launch(実行)」※しばらく時間がかかる

09.JPG

完了

10.JPG

  1. スキャン結果を参照
  2. Infoレベルが244件
  3. Lowレベルが19件
  4. Mediumレベルが35件検出された

※レベルは他にCriticalとHighがあり、Critical、High、Medium、Low、Infoの順に脆弱性が高いことを意味し、特にCritical、Highは何らかの対処が必要なレベルを示す

11.JPG

Mediumレベルの脆弱性を参照

12.JPG

SSL 64-bit Block Size Cipher Suites Supported (SWEET32)の脆弱性を参照

13.JPG

  • Description・・・脆弱性の説明
  • Solution・・・対処方法の説明
  • See Also・・・この脆弱性に関する外部情報へのリンク
  • Output・・・スキャン出力結果

ちなみに、上記の「SSL 64-bit Block Size Cipher Suites Supported (SWEET32)」脆弱性は、64ビットブロック暗号には脆弱性があるため、使用しないようにするよう推奨している。 ⇒上記脆弱性の対処(Webサーバー、メールサーバー)

メール送信設定

脆弱性スキャン結果をメールで管理者宛に通知できるように設定する。

14.JPG

右上の「Settings」をクリック

15.JPG

「Communication」をクリック

16.JPG

「SMTP Server」をクリック

17.JPG

  1. 「HOST」にメールサーバー名(例:localhost)を入力
  2. 「Port」に"25"を入力
  3. 「From(sender email)」にスキャン結果メール送信者(例:root@centossrv.com)を入力
  4. 「Hostname(for email links)」に"NessusサーバーIPアドレス:8834"を入力
  5. 「Save」をクリック

プラグイン自動更新設定

スキャンで使用するプラグインを自動更新するようにする。

初期設定では、Nessusをインストールした時間で毎日プラグインの更新が行われるが、サーバーに負荷がかかる処理なので、深夜に実行するように変更する。

18.JPG

「Settings」をクリック

19.JPG

「Software Update」をクリック

20.JPG

  1. 「Disabled」を選択
  2. 「Save」をクリック
[root@localhost ~]# vi nessus-update ← Nessusアップデートスクリプト作成
#!/bin/sh

# プラグイン&Nessus更新
systemctl stop nessusd
/opt/nessus/sbin/nessuscli update --all | logger -t nessus-update 2>&1
systemctl start nessusd

# 1か月以上前のレポートを削除
tmpwatch -m 720 /opt/nessus/var/nessus/users/root/reports/

[root@localhost ~]# chmod +x nessus-update ← Nessusアップデートスクリプト実行権限付加
[root@localhost ~]# echo "0 2 * * * root /root/nessus-update" > /etc/cron.d/nessus-update ← Nessusアップデートスクリプトを毎日2時に自動実行

脆弱性スキャン定期自動実行設定

21.JPG

定期自動実行するスキャンを選択して「Configure」をクリック

22.JPG

「Schedule」をクリック

23.JPG

  1. 「Enable Schedule」をクリック
  2. 「Launch」で実行周期(例:"Daily")を選択
  3. 「Starts On」で実行日時(例:4:30)を指定
  4. 「Save」をクリック

24.JPG

「Notifications」をクリック

25.JPG

  1. 「Email Recipient(s)」にスキャン結果メール送信先(例:root@centossrv.com)を入力
  2. 「Save」をクリック

これで、毎日4:30に脆弱性スキャンが実行され、結果がroot宛にメール通知されてくる。


添付ファイル: file25.JPG 77件 [詳細] file24.JPG 78件 [詳細] file23.JPG 75件 [詳細] file22.JPG 71件 [詳細] file21.JPG 74件 [詳細] file20.JPG 83件 [詳細] file19.JPG 70件 [詳細] file18.JPG 71件 [詳細] file17.JPG 75件 [詳細] file16.JPG 53件 [詳細] file15.JPG 50件 [詳細] file14.JPG 49件 [詳細] file13.JPG 56件 [詳細] file12.JPG 51件 [詳細] file11.JPG 53件 [詳細] file10.JPG 50件 [詳細] file09.JPG 56件 [詳細] file08.JPG 52件 [詳細] file07.JPG 49件 [詳細] file06.JPG 53件 [詳細] file05.JPG 52件 [詳細] file04.JPG 52件 [詳細] file03.JPG 60件 [詳細] file02.JPG 56件 [詳細] file01.JPG 54件 [詳細]

トップ   編集 凍結解除 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-09-09 (日) 10:47:06 (1546d)