脆弱性スキャナ導入(Nessus)

最終更新日: 2017.05.24

<<トップページ <<新着情報 <<逆引き集 <<リンク集 <<サイト内検索 <<メルマガ <<Scientific Linuxで自宅サーバー構築 <<Fedoraで自宅サーバー構築

■概要

脆弱性スキャナのNessusを導入して、サーバーの脆弱性を点検する。


■Nessusインストール

(1)ユーザー登録
Nessusユーザー登録ページで氏名、メールアドレス、国名を登録することにより、アクティベーションコード(後で使用する)がメールで送られてくる。

(2)Nessusダウンロード
Nessusダウンロードページで該当のRPM(例:nessus-6.10.0-es7.x86_64.rpm)をダウンロードしてWinSCPでサーバーへアップロードする。

(3)Nessusインストール
[root@centos ~]# yum -y localinstall nessus-6.10.0-es7.x86_64.rpm ← Nessusインストール

[root@centos ~]# rm -f nessus-6.10.0-es7.x86_64.rpm ← ダウンロードしたファイルを削除

■Nessus起動

[root@centos ~]# cp /opt/nessus/com/nessus/CA/cacert.pem /opt/nessus/lib/nessus/plugins/custom_CA.inc ← SSL Certificate Cannot Be Trusted対策

[root@centos ~]# systemctl start nessusd ← Nessus起動


■Nessus確認

Webブラウザでhttps://サーバーIPアドレス:8834/へアクセスする。

(1)初期設定

「Continue」ボタン押下



「Username」に任意のユーザー名を入力
「Password」に任意のパスワードを入力
「Confirm Password」に任意のパスワード(確認)を入力
「Continue」ボタン押下



「Activation Code」にメールで送られてきたアクティベーションコードを入力
「Continue」ボタン押下⇒脆弱性スキャンで使用するプラグインの更新処理が行われる※初回のみ時間がかかる⇒処理が完了するとログイン画面が表示される



ユーザー名、パスワードを入力してサインイン


(2)脆弱性スキャン実施

「New Scan」をクリック



「Basic Network Scan」をクリック



「Name」に任意のスキャンタイトル(例:Basic Network Scan for localhost)を入力
「Targets」にスキャン対象IPアドレス(例:サーバー自身をスキャンする場合は127.0.0.1)を入力
「Save」ボタン押下



作成したスキャンを選択して「Launch(実行)」※しばらく時間がかかる



完了



スキャン結果を参照
Infoレベルが244件
Lowレベルが19件
Mediumレベルが35件検出された
※レベルは他にCriticalとHighがあり、Critical、High、Medium、Low、Infoの順に脆弱性が高いことを意味し、特にCritical、Highは何らかの対処が必要なレベルを示す



Mediumレベルの脆弱性を参照



SSL 64-bit Block Size Cipher Suites Supported (SWEET32)の脆弱性を参照



Description・・・脆弱性の説明
Solution・・・対処方法の説明
See Also・・・この脆弱性に関する外部情報へのリンク
Output・・・スキャン出力結果

ちなみに、上記の「SSL 64-bit Block Size Cipher Suites Supported (SWEET32)」脆弱性は、64ビットブロック暗号には脆弱性があるため、使用しないようにするよう推奨している。
⇒上記脆弱性の対処(Webサーバーメールサーバー


(3)メール送信設定
脆弱性スキャン結果をメールで管理者宛に通知できるように設定する。


右上の「Settings」をクリック



「Communication」をクリック



「SMTP Server」をクリック



「HOST」にメールサーバー名(例:localhost)を入力
「Port」に"25"を入力
「From(sender email)」にスキャン結果メール送信者(例:root@centossrv.com)を入力
「Hostname(for email links)」に"NessusサーバーIPアドレス:8834"を入力
「Save」をクリック


(4)プラグイン自動更新設定
スキャンで使用するプラグインを自動更新するようにする。
初期設定では、Nessusをインストールした時間で毎日プラグインの更新が行われるが、サーバーに負荷がかかる処理なので、深夜に実行するように変更する。

「Settings」をクリック



「Software Update」をクリック



「Disabled」を選択
「Save」をクリック

[root@centos ~]# vi nessus-update ← Nessusアップデートスクリプト作成
#!/bin/sh

# プラグイン&Nessus更新
systemctl stop nessusd
/opt/nessus/sbin/nessuscli update --all | logger -t nessus-update 2>&1
systemctl start nessusd

# 1か月以上前のレポートを削除
tmpwatch -m 720 /opt/nessus/var/nessus/users/root/reports/

[root@centos ~]# chmod +x nessus-update ← Nessusアップデートスクリプト実行権限付加

[root@centos ~]# echo "0 2 * * * root /root/nessus-update" > /etc/cron.d/nessus-update ← Nessusアップデートスクリプトを毎日2時に自動実行


(5)脆弱性スキャン定期自動実行設定

定期自動実行するスキャンを選択して「Configure」をクリック



「Schedule」をクリック



「Enable Schedule」をクリック
「Launch」で実行周期(例:"Daily")を選択
「Starts On」で実行日時(例:4:30)を指定
「Save」をクリック



「Notifications」をクリック



「Email Recipient(s)」にスキャン結果メール送信先(例:root@centossrv.com)を入力
「Save」をクリック


これで、毎日4:30に脆弱性スキャンが実行され、結果がroot宛にメール通知されてくる。






▲このページのトップへ戻る

LPIロゴ Copyright© 2005-2017 fallenangels, All rights reserved.
ご自由にリンクしてください(連絡は不要です)
本ページへのご意見・ご要望、誤字・脱字・リンク切れ等のご連絡はこちらからお願いします