こんにちは。
Tenable VMなどのTenable製品を利用されている皆様は対象の脆弱性スキャン用にスキャン用サーバーを準備されていますでしょうか?
今回はTenable 製品を安全に実行するための専用プラットフォームとして最適化された Linux ベースの OSのご紹介と利用までの手順を書いていきたいと思います。
Tenable Coreとは?
Tenable Core は、Tenable のセキュリティ製品を 簡単かつ安全に動かすために作られた専用の Linux OS です。
通常、Nessus や Tenable Security Center を利用するには、次のような作業が必要になります。
- OSの選定(どの Linux を使うか)
- セットアップ(必要なソフトのインストールや設定)
- セキュリティ対策(ファイアウォールの設定や不要な機能の無効化)
- パッチ管理(定期的なアップデート)
しかし、Tenable Core を使えば、これらの作業がほとんど不要 です。
Tenable Core は 事前に最適な設定がされた状態で提供 されるため、すぐに使い始められる のが特徴です。
また、Tenable Core は 仮想環境(VMware, Hyper-V, AWS, Azure など)や ISO イメージ として提供され、環境に合わせて簡単に導入できます。
Tenable Core の主なメリット
1. すぐに使える!セットアップが簡単
通常の Linux を使う場合、インストール後に細かい設定を行う必要 があります。
しかし、Tenable Core は Tenable 製品専用に最適化されている ため、インストールするだけでほぼ設定不要で使えます。
あらかじめ設定されている項目
- Nessus / Tenable Security Center / Tenable Vulnerability Management に最適な OS 設定
- 不要なソフトを省いたシンプルな構成
- セキュリティ設定(ファイアウォール、SELinux など)
「インストール後すぐに使える」ことが最大のメリット で、運用の手間が大幅に減ります。
2. セキュリティが強化されている
Tenable Core は、安全に利用できるように強化された Linux OS です。
Tenable Core のベース OS は Oracle Linux で、以下のようなセキュリティ対策があらかじめ設定されています。
- 不要なソフトウェアを削減(攻撃されるリスクを最小限に)
- SELinux & ファイアウォール有効化(デフォルトでセキュリティ対策済み)
- 定期的なセキュリティアップデート(最新の状態を維持しやすい)
OS のセキュリティ管理を気にする必要がなくなり、運用の負担が減ります。
対応製品(モジュール)
Tenable Coreを利用して利用できるTenable製品(モジュール)は下記になります。
- Tenable Core + Nessus
- Tenable Core + Nessus Network Monitor
- Tenable Core + OT Security
- Tenable Core + OT Security Sensor
- Tenable Core + OT Security Enterprise Manager
- Tenable Core + Security Center
- Tenable Core + Sensor Proxy
- Tenable Core + Web App Scanning
Tenable Coreをインストールしてみる
今回はISOイメージを利用したTenable Core OSのインストールまでを試してみます。
事前にどの製品(モジュール)をTenable Core上に構成するかで選択するISOイメージやovaファイルが異なります。今回は Tenable Core + Nessus で試しています。
スペック
下記の仮想マシンにインストールします。
- CPU: 4Core
- Memory: 8GB
- Disk: 96GB
稼働させる製品により要件が異なりますので詳細はドキュメントを確認してください。
ISOイメージのダウンロード
Webブラウザから Tenable Core Downloadsにアクセスします。
Tenable-Core-OL8-Nessus-yyyymmdd.iso ファイルをダウンロードします。必要に応じてダウンロードしたファイルのChecksumを確認してください。
OSインストール
仮想マシンにISOイメージをマウントしてインストールします。
仮想マシンのスペックは上記に記載の通りです。
ISOイメージをマウントしてブートします。
Install TenableCore を選択します。
ネットワークへの接続が必要になります。DHCP環境でない場合には設定を行います。設定後、Continue を押し次に進みます。
Install Source のメタデータダウンロードが完了すると自動的にインストールが開始されます。その他の設定を変更しないでください。
OSインストール後、自動的に再起動が行われます。
IPアドレスと管理者設定
IPアドレスと管理者設定を行います。
ログイン画面が表示されます。初期設定を行うために下記のユーザー情報でログインします。
- user: wizard
- password: admin
固定IPアドレスを設定するか確認メッセージが表示されます。今回は固定IPアドレスを設定するので "y" を入力します。
Wired Connection 1が選択された状態でキーボードの矢印キーでEditを選択します。
固定IPアドレスを設定します。
IPv4 CONFIGURATION の Automatic まで矢印キーで移動しEnterで開きます。Manualを選択しEnterを押します。
IPv4 CONFIGURATION の Show をEnterで開き、IPアドレスを指定します。
Addresses はサブネットマスク付き(CIDR 表記)で記載してください。(例: 192.168.1.1/24)IPv6アドレスは必要に応じて設定します。
入力後、OK を選択します。
Quit で完了します。
administrator(管理者)アカウントを作成します。"y" を入力します。
ユーザー名とパスワードを指定します。
パスワードは下記を満たしている必要があります。- 最低14文字
- 回文(前後どちらから読んでも同じ綴りの単語やフレーズ)は不可
設定後、ログイン画面に戻ります。
初期設定
ここからはWebコンソールで設定します。
https://(IP):8000にアクセスします。この接続ではプライバシーが保護されませんと表示されますので詳細情報からアクセスします。
設定した管理者アカウントでログインします。
Web コンソールが制限付きアクセスモードで実行されています。 と表示されていると思います。 Turn on administrative access をクリックします。
Switch to administrative accessのポップアップが表示されますので、管理者アカウントのパスワードを入力します。
概要 の 設定-ホスト名 の 編集 をクリックします。ここでホスト名を変更することができます。
今回は 実際のホスト名 に tenable-core-1 と設定します。
システム時間を変更します。概要 の 設定-システム時間 の時刻部分をクリックします。
タイムゾーン を Asia/Tokyo に変更します。NTPサーバーの設定は環境に応じて設定が可能です。
一度再起動をします。遅延なし で実行します。
再度、Webコンソールを開き、ログインします。
ホスト名や時間の表示が設定した値となっていることを確認します。
アップデート設定
OSのアップデートをWebコンソールの Update Management から設定可能です。
自動更新の対象となるものは下記です。
- Tenable 製品の最新バージョン
- Tenable Core OSの最新バージョン
- Tenable Coreに必要な追加パッケージの最新バージョン
- インストールした追加のOSパッケージの最新バージョン
デフォルトの設定で毎日アップデートが実行されるように設定されています。
最後に
今回はここまでです。手順に起こすと長く見えますが実際に行う作業は多くないです。
Tenable製品導入の際にOSの用意が不要(有償のOSを利用する場合OS分のライセンスも不要)になりますのでぜひ活用していただければと思います。
次回はこの環境をTenable VMのスキャナーとして設定していきたいと思います。
関連リンク
- ダウンロードサイト
- 製品ドキュメント
- 今回の環境で利用したドキュメント(Tenable Core + Nessus)
- ISOイメージからインストールする方法
- OSインストール後に固定IPを設定する方法
- Webコンソールからホスト名を変更する方法
- Webコンソールからシステム時刻(タイムゾーン)を変更する方法
