CentOS7.6Minimal-1810 + OpenVAS 8.0+beta2

投稿者: | 2020年6月10日
LinkedIn にシェア
Pocket
このエントリーをはてなブックマークに追加
このエントリーを Google ブックマーク に追加
reddit にシェア
LINEで送る

■CentOSをインストール
(VMware vSphere Hypervisor 6.7.0-8169922.x86_64)
(CentOS7.6Minimal x86_64-Minimal-1810)

・Install CentoOS 7を選択し、ENTER

・日本語を選択し、[続行]をクリック

・インストール先をクリックし、左上の完了ボタンをクリック

・右下のインストールの開始ボタンをクリック

・rootパスワードをクリック

・パスワードを入力し、完了ボタンをクリック

・「完了しました!」で「再起動」ボタンをクリック
※再起動が完了しログイン画面が表示されればOKです。

■CentOS7ネットワーク設定
2019/9/1
(CentOS7.5-1804 Minimal 64bitバージョン)

・IPアドレスの確認
ip addr show

・nmtuiと入力しENTER

・「Edit a connection」を選択し「Enter」

・enp192を選択し「Enter」

・「IPv4 CONFIGURATION」をManualに変更

・を選択し「Enter」

・「Addresses」で「Add…」を選択し「Enter」

・IPアドレスを記入
例)192.168.0.30/24

・「Gateway」ゲートウェイのIPアドレスを記入
例)192.168.0.1

・「DNS servers」にDNSサーバのIPアドレスを記入
例)192.168.0.1

・「Automatically connect」をチェック

・「OK」を選択し「Enter」

・を選択し「Enter」

・「Quit」を選択し「Enter」

・「network」サービスを再起動
systemctl restart network

・IPアドレスの設定内容を確認
ip addr show

・デバイス(ethernet)の一覧を取得
nmcli device

・疎通確認
ping 192.168.0.1

■SELinux (Security-Enhanced Linux)を無効にする
2019/9/10
(CentOS7.6 release 7.6.1810 (Core) )

・configファイルを開く
vi /etc/sysconfig/selinux

・以下変更し上書き保存
SELINUX=enforcing

SELINUX=disabled

・再起動
reboot

■ApacheをCentOS 7にyumでインストールする方法
2019/9/10
(CentOS7.6 release 7.6.1810 (Core) )
(Apache/2.4.6 (CentOS))

・提供されているApache httpdを確認
yum info httpd

・Apache httpdをインストール
yum -y install httpd

・Apache httpd のバージョンを確認
httpd -version

・自動起動の設定
systemctl enable httpd.service

・Apache httpd を起動
systemctl start httpd.service

・サービスの起動確認
systemctl status httpd.service
※Active: active (running) となっていれば起動しています

・別のパソコンからcurl(カール)コマンドでHTTPリクエストのチェック
例)curl 192.168.0.111
※Windows10バージョン1803以降は標準で使用できます

■Apacheの初期設定方法
2019/9/10
(CentOS7.6 release 7.6.1810 (Core) )

・以下のコマンドを実行
vi /etc/httpd/conf/httpd.conf

・以下編集し上書き保存

#ServerName www.example.com:80


ServerName test01:80
※例)サーバー名test01のとき

・Apache再起動
systemctl restart httpd

■SSLモジュールのインストール
2019/9/10
(CentOS7.6 release 7.6.1810 (Core) )
Server version: Apache/2.4.6 (CentOS)

・mod_sslモジュールをインストール
yum -y install mod_ssl

・以下コマンド実行
httpd -M |grep ssl
※httpd -M |grep sslと表示されればOK

■秘密鍵とサーバ証明書の作成(自分で署名)
2019/5/23
CentOS Linux release 7.6.1810 (Core)
Server version: Apache/2.4.6 (CentOS)

・秘密鍵の作成
openssl genrsa > server.key

・CSRファイルを作成
openssl req -new -key server.key > server.csr

・Country (国名)半角大文字で JP と入力しENTER
Country Name (2 letter code) [XX]:JP

・State (都道府県名)都道府県名をローマ字表記で入力しENTER
State or Province Name (full name) []:Tokyo

・Locality (市区町村名)市区町村名をローマ字表記で入力しENTER
Locality Name (eg, city) [Default City]:Shibuya-ku

・Organizational Name (組織名)ジオトラスト クイックSSL プレミアムの 正式英語組織名 (会社名・団体名など)を入力しENTER
Organization Name (eg, company) [Default Company Ltd]:Hoge company

・Organizational Unit (部門名)部門名・部署名など、任意の判別文字列を入力ENTER
Organizational Unit Name (eg, section) []:
※この項目は省略可能です。

・Common Name (コモンネーム)ジオトラスト クイックSSL プレミアムを導入するサイトのURL(SSL/TLS接続の際のURL:FQDN)を入力しENTER
Common Name (eg, your name or your server’s hostname) []:hostname.domein.jp

・以下は空欄のままENTER
Email Address []:
A challenge password []:
An optional company name []:

・作成したCSRの確認
less ./server.csr

※以下の様にキーが表示されればOKです。
—–BEGIN CERTIFICATE REQUEST—–
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
中略
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxx
—–END CERTIFICATE REQUEST—–

・作成したKEY(秘密鍵)の確認
less ./server.key
—–BEGIN RSA PRIVATE KEY—–
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
中略
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
—–END RSA PRIVATE KEY—–

・以下のコマンドを実行(自分で署名した証明書server.crt作成)
openssl x509 -req -signkey server.key < server.csr > server.crt
※本来ならこのCSRファイルを認証局に渡して署名してもらう必要があります。

・CSRファイルの削除
rm server.csr

■秘密鍵とサーバ証明書の作成(自分で署名)
2019/5/23
CentOS Linux release 7.6.1810 (Core)
Server version: Apache/2.4.6 (CentOS)

・ssl.keyディレクトリの作成
mkdir /etc/httpd/conf/ssl.key

・ssl.crtディレクトリの作成
mkdir /etc/httpd/conf/ssl.crt

・秘密鍵server.key ファイルの移動
mv server.key /etc/httpd/conf/ssl.key/

・証明書server.crtファイルの移動
mv server.crt /etc/httpd/conf/ssl.crt/

■SSLモジュールの設定
2019/9/11
CentOS Linux release 7.6.1810 (Core)
Server version: Apache/2.4.6 (CentOS)

・ssl.confファイルを開く
vi /etc/httpd/conf.d/ssl.conf

・以下修正し上書き保存

# SSLCertificateFile /etc/pki/tls/certs/localhost.crt


SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt ←修正

#SSLCertificateKeyFile /etc/pki/tls/private/localhost.key


SSLCertificateKeyFile /etc/httpd/conf/ssl.key/server.key ←修正

・Apache再起動
systemctl restart httpd

・ブラウザでアクセス
※https://サーバーのIP

■clamavのインストール
2019/10/3
(CentOS7.6 release 7.6.1810 (Core) )
(OpenVAS Version 8.0+beta2)
・EPELのインストール
yum install -y epel-release
※完了しました!と表示されればOKです
・以下のコマンドを実行
yum -y install clamav
yum -y install clamav-server-systemd
yum -y install clamav-scanner-systemd
・設定ファイルを開く(ウイルス定義ファイル更新設定ファイル)
vi /etc/freshclam.conf
・以下編集し上書き保存
NotifyClamd /path/to/clamd.conf

NotifyClamd /etc/clamd.d/scan.conf ←変更(ウイルス定義ファイル更新をclamdに通知する)
・ウイルス定義ファイル最新化
freshclam
※更新にしばらく時間がかかります
・設定ファイルを開く(Clam AntiVirus設定ファイル編集)
vi /etc/clamd.d/scan.conf
・以下編集し上書き保存
Comment or remove the line below.
Example

Comment or remove the line below.
Example ←変更(コメントアウト)
Default: don't drop privileges
User clamscan

Default: don't drop privileges
User clamscan ←変更(コメントアウト)(root権限で動作するようにする)
LocalSocket /var/run/clamd.scan/clamd.sock

LocalSocket /var/run/clamd.scan/clamd.sock ←変更(コメントアウト解除)

■mailのインストール
2019/8/22
(DellEMC-ESXi-6.7U1-10764712-A03 (Dell))
(CentOS7.6Minimal x86_64-Minimal-1810)

・以下のコマンドを実行
yum -y install mailx

■Clam AntiVirusウイルススキャン定期自動実行設定
2019/8/22
(DellEMC-ESXi-6.7U1-10764712-A03 (Dell))
(CentOS7.6Minimal x86_64-Minimal-1810)
・ウイルススキャンスクリプト作成
vi /root/virus_scan.sh
・以下記入し上書き保存
!/bin/bash
SCANDIR=/
VIRUS_MVDIR=/root/virus
MAILADDR=root
CLAMDSCAN=/bin/clamdscan
HOSTNAME=hostname
RUNDATE=date +%Y%m%d-%H%M%S
SCANTMP=/tmp/clamdscan_$RUNDATE
CLAMUPDATE="clamav-server \
clamav-data \
clamav-update \
clamav-filesystem \
clamav \
clamav-scanner \
clamav-scanner-systemd \
clamav-devel \
clamav-lib \
clamav-server-systemd"
ClamAV update
yum -y update --enablerepo=epel $CLAMUPDATE
Virus scan
$CLAMDSCAN $SCANDIR > $SCANTMP 2>&1
$CLAMDSCAN $SCANDIR --move=$VIRUS_MVDIR > $SCANTMP 2>&1
$CLAMDSCAN $SCANDIR --remove > $SCANTMP 2>&1
Mail notification
[ ! -z "$(grep FOUND$ $SCANTMP)" ] && \
cat $SCANTMP | mail -s "[Virus Found] $HOSTNAME $RUNDATE" $MAILADDR
[ -z "$(grep FOUND$ $SCANTMP)" ] && \
cat $SCANTMP | mail -s "[Virus Not Found] $HOSTNAME $RUNDATE" $MAILADDR
rm -f $SCANTMP
・スクリプトへ実行権限付加
chmod 744 /root/virus_scan.sh
・スクリプト動作テスト
sh -x virus_scan.sh
・ファイルを作成
vi /etc/cron.d/virus-scan
・以下記入し上書き保存
00 3 * * * root /root/virus_scan.sh
※毎日AM3:00にアップデートとウイルススキャンを実行

■firewalldのポートを開ける方法(HTTPS)
(CentOS7.6Minimal x86_64-Minimal-1810)
(Apache/2.4.6 (CentOS) )

・サービスの起動確認
systemctl status firewalld
※Active: active (running) となっていれば起動しています

・firewalldの状態を確認
firewall-cmd –list-all

・httpサービスを開放する(恒久的に反映)
firewall-cmd –permanent –zone=public –add-service=https
※successと表示されればOK

・サービスの再起動
systemctl restart firewalld

・firewalldの状態を確認
※servicesにhttpが追加されており外部からアクセスできればOK

<以下、ポートを閉じる場合>
firewall-cmd –permanent –zone=public –remove-service=https
systemctl restart firewalld

■firewalldのポートを開ける方法(9392)
(CentOS7.6Minimal x86_64-Minimal-1810)
(Apache/2.4.6 (CentOS) )

・サービスの起動確認
systemctl status firewalld
※Active: active (running) となっていれば起動しています

・firewalldの状態を確認
firewall-cmd –list-all

・9392/tcpを開放する(恒久的に反映)
firewall-cmd –zone=public –add-port=9392/tcp –permanent
※successと表示されればOK

・サービスの再起動
systemctl restart firewalld

・firewalldの状態を確認
firewall-cmd –list-all
※servicesにhttpが追加されており外部からアクセスできればOK

<以下、ポートを閉じる場合>
firewall-cmd –permanent –zone=public -port=9392/tcp
systemctl restart firewalld

■wgetのインストール
2019/6/13
(CentOS7.6Minimal x86_64-Minimal-1810)

・以下のコマンドを実行し、インストールされているか確認
rpm -qa | grep wget
※結果が何も表示されていない場合はインストールする必要があります。

・wgetのインストール
yum -y install wget

■OpenVASのインストール
2019/10/3
(CentOS7.6 release 7.6.1810 (Core) )
(OpenVAS Version 8.0+beta2)

・インストーラの入手
wget -q -O – http://www.atomicorp.com/installers/atomic |sh

・以下yesと入力しENTER
Do you agree to these terms? (yes/no) [Default: yes]

・以下yesと入力しENTER
Enable repo by default? (yes/no) [Default: yes]:

・OpenVASのインストール
yum -y install openvas
※しばらく時間がかかります。完了しました!と表示されればOK。

・以下実行(OpenVASの設定)
openvas-setup

・Enterキーを押す(rsync使う)
Downloader [Default: rsync]
※しばらく時間がかかります。

・Enterキーを押す(管理者アカウント名:admin)
Enter administrator username [Default: admin] :

・管理者アカウントのパスワードを入力しEnter
Enter Administrator Password:

・再度パスワードを入力しEnter
Verify Administrator Password:
※Setup complete, you can now access GSAD at:
https://:9392
と表示されればOKです。

■OpenVASのログインと初期設定
2019/10/3
(CentOS7.6 release 7.6.1810 (Core) )
(OpenVAS Version 8.0+beta2)

・以下URLにブラウザからアクセス
https:///

・Extra >> My Settings >> Edit My Settingsをクリック

・TimezoneをAsia/Tokyoへ変更

・User Interface LanguageをJapanese/日本語へ変更

・右下のSaveボタンをクリック

■OpenVASによるスキャンの実施
2019/10/3
(CentOS7.6 release 7.6.1810 (Core) )
(OpenVAS Version 8.0+beta2)

・ブラウザからアクセスしログイン

・Scansをクリック

・左のTask Wizardをクリック

・スキャンするホストのIP address 又は hostnameを入力しStart Scanボタンをクリック

■CentOS7 の SSH Weak 対応
2019/10/3
(CentOS7.6 release 7.6.1810 (Core) )
(OpenVAS Version 8.0+beta2)
(OpenSSH_7.4p1, OpenSSL 1.0.2k-fips)
・SSHでログイン
・バージョンを確認
ssh -V
・ssh_configファイルのバックアップ
cp -p /etc/ssh/ssh_config /etc/ssh/ssh_config.org
・ファイルを開く
vi /etc/ssh/ssh_config
・以下編集し上書き保存
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc

Ciphers aes256-ctr ←変更
・sshd_configファイルのバックアップ
cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.org
・ファイルを開く
vi /etc/ssh/sshd_config
・以下最終行に追記し上書き保存
SSH Weak ←追記
Ciphers aes256-ctr ←追記
・再起動
systemctl restart sshd
・OpenVASで再スキャンし確認