#author("2018-09-09T10:45:14+09:00","","")
#author("2018-09-09T10:47:06+09:00","","")
[[CentOS7]]

*脆弱性スキャナ導入(Nessus) [#w680f34c]

脆弱性スキャナの[[Nessus>https://jp.tenable.com/products/nessus-vulnerability-scanner]]を導入して、サーバーの脆弱性を点検する。

*Nessusインストール [#be49edbf]
**ユーザー登録 [#n4be80ce]
[[Nessusユーザー登録ページ>http://jp.tenable.com/products/nessus-home]]で氏名、メールアドレス、国名を登録することにより、アクティベーションコード(後で使用する)がメールで送られてくる。

**Nessusダウンロード [#jc7048ae]
[[Nessusダウンロードページ>http://jp.tenable.com/products/nessus/select-your-operating-system#tos]]で該当のRPM(例:nessus-6.10.0-es7.x86_64.rpm)をダウンロードしてWinSCPでサーバーへアップロードする。

**Nessusインストール [#ze035a7b]

|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# yum -y localinstall nessus-6.10.0-es7.x86_64.rpm &color(lime){← Nessusインストール};|
|[root@localhost ~]# rm -f nessus-6.10.0-es7.x86_64.rpm &color(lime){← ダウンロードしたファイルを削除};|



*Nessus起動 [#s63bd9c8]

|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# cp /opt/nessus/com/nessus/CA/cacert.pem /opt/nessus/lib/nessus/plugins/custom_CA.inc &color(lime){← SSL Certificate Cannot Be Trusted対策};|
|[root@localhost ~]# systemctl start nessusd &color(lime){← Nessus起動};|



*Nessus確認 [#n3816cda]
Webブラウザでhttps://サーバーIPアドレス:8834/へアクセスする。

**初期設定 [#l69a26cc]

&ref(01.JPG);

「Continue」ボタン押下

&ref(02.JPG);

+「Username」に任意のユーザー名を入力
+「Password」に任意のパスワードを入力
+「Confirm Password」に任意のパスワード(確認)を入力
+「Continue」ボタン押下

&ref(03.JPG);

+「Activation Code」にメールで送られてきたアクティベーションコードを入力
+「Continue」ボタン押下⇒脆弱性スキャンで使用するプラグインの更新処理が行われる※初回のみ時間がかかる⇒処理が完了するとログイン画面が表示される

&ref(04.JPG);

ユーザー名、パスワードを入力してサインイン


**脆弱性スキャン実施 [#y9a3833f]
&ref(05.JPG);

&ref(06.JPG);

「New Scan」をクリック

&ref(07.JPG);

「Basic Network Scan」をクリック

+「Name」に任意のスキャンタイトル(例:Basic Network Scan for localhost)を入力
+「Targets」にスキャン対象IPアドレス(例:サーバー自身をスキャンする場合は127.0.0.1)を入力
「Save」ボタン押下

&ref(08.JPG);

作成したスキャンを選択して「Launch(実行)」※しばらく時間がかかる

&ref(09.JPG);

完了

&ref(10.JPG);

+スキャン結果を参照
+Infoレベルが244件
+Lowレベルが19件
+Mediumレベルが35件検出された

※レベルは他にCriticalとHighがあり、Critical、High、Medium、Low、Infoの順に脆弱性が高いことを意味し、特にCritical、Highは何らかの対処が必要なレベルを示す

&ref(11.JPG);

Mediumレベルの脆弱性を参照

&ref(12.JPG);

SSL 64-bit Block Size Cipher Suites Supported (SWEET32)の脆弱性を参照

&ref(13.JPG);

-Description・・・脆弱性の説明
-Solution・・・対処方法の説明
-See Also・・・この脆弱性に関する外部情報へのリンク
-Output・・・スキャン出力結果

ちなみに、上記の「SSL 64-bit Block Size Cipher Suites Supported (SWEET32)」脆弱性は、64ビットブロック暗号には脆弱性があるため、使用しないようにするよう推奨している。
⇒上記脆弱性の対処(Webサーバー、メールサーバー)



**メール送信設定 [#d3a10d5e]
脆弱性スキャン結果をメールで管理者宛に通知できるように設定する。

&ref(14.JPG);

右上の「Settings」をクリック

&ref(15.JPG);

「Communication」をクリック

&ref(16.JPG);

「SMTP Server」をクリック

&ref(17.JPG);

+「HOST」にメールサーバー名(例:localhost)を入力
+「Port」に"25"を入力
+「From(sender email)」にスキャン結果メール送信者(例:root@centossrv.com)を入力
+「Hostname(for email links)」に"NessusサーバーIPアドレス:8834"を入力
+「Save」をクリック


**プラグイン自動更新設定 [#p2a6515c]
スキャンで使用するプラグインを自動更新するようにする。

初期設定では、Nessusをインストールした時間で毎日プラグインの更新が行われるが、サーバーに負荷がかかる処理なので、深夜に実行するように変更する。

&ref(18.JPG);

「Settings」をクリック

&ref(19.JPG);

「Software Update」をクリック

&ref(20.JPG);

+「Disabled」を選択
+「Save」をクリック

|BGCOLOR(black):COLOR(white):|c
|[root@localhost ~]# vi nessus-update &color(lime){← Nessusアップデートスクリプト作成};|
|#!/bin/sh &br;  &br; &color(lime){# プラグイン&Nessus更新}; &br; systemctl stop nessusd &br; /opt/nessus/sbin/nessuscli update --all | logger -t nessus-update 2>&1 &br; systemctl start nessusd &br;  &br; &color(lime){# 1か月以上前のレポートを削除};tmpwatch -m 720 /opt/nessus/var/nessus/users/root/reports/ &br;  &br; |
|#!/bin/sh &br;  &br; &color(lime){# プラグイン&Nessus更新}; &br; systemctl stop nessusd &br; /opt/nessus/sbin/nessuscli update --all | logger -t nessus-update 2>&1 &br; systemctl start nessusd &br;  &br; &color(lime){# 1か月以上前のレポートを削除}; &br; tmpwatch -m 720 /opt/nessus/var/nessus/users/root/reports/ &br;  &br; |
|[root@localhost ~]# chmod +x nessus-update &color(lime){← Nessusアップデートスクリプト実行権限付加};|
|[root@localhost ~]# echo "0 2 * * * root /root/nessus-update" > /etc/cron.d/nessus-update &color(lime){← Nessusアップデートスクリプトを毎日2時に自動実行};|



**脆弱性スキャン定期自動実行設定 [#rb525ba9]

&ref(21.JPG);

定期自動実行するスキャンを選択して「Configure」をクリック

&ref(22.JPG);

「Schedule」をクリック

&ref(23.JPG);

+「Enable Schedule」をクリック
+「Launch」で実行周期(例:"Daily")を選択
+「Starts On」で実行日時(例:4:30)を指定
+「Save」をクリック

&ref(24.JPG);

「Notifications」をクリック

&ref(25.JPG);

+「Email Recipient(s)」にスキャン結果メール送信先(例:root@centossrv.com)を入力
+「Save」をクリック

これで、毎日4:30に脆弱性スキャンが実行され、結果がroot宛にメール通知されてくる。

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS