vuls on FreeBSD

Last update: 2017/02/06 : Check on FreeBSD 11

VulsというToolが公開されている。https://github.com/future-architect/vuls/blob/master/README.ja.md

要するに、Linux(現時点ではUbuntu, Debian, CentOS, Amazon Linux, RHEL)及びFreeBSDに対する脆弱性検出ツールである。 誤解する人もいるみたいだが、このツールは脆弱性を「検出」するだけであって、対処(pkgのUpgradeとか)はしない。 対象のServerにsshでloginして、様々な情報を持ってくることでそのシステム内の脆弱性を検出する。 したがって、rootでsshするという操作になる。（ただし、これは現在改良中らしい)

Vulsは、Goで動作する。散々わがままを言った挙句、VulsはFreeBSD上でも問題なく動作した。

• FreeBSD 11.0をInstallする
  • いつもの通りで良い。難しいことはなに一つしない。
  • pkg install go git sqlite3
    • 2017/02/06時点では必要なかったが、場合によってはgccを入れておくこと。
• vulsを実行するAccountを作成し、sshの鍵を生成する(ここでは、仮にmonitorとする)
  • vuls関連のDBなどは全て~monitor下に配置する
  • adduserなどでアカウントを作成。
  • ssh鍵関連の設定
    • cd ~monitor
    • sudo -u monitor ssh-keygen -t ed25519
    • cat ~/.ssh/id_ed25519.pub » ~/.ssh/authorized_keys
    • chmod 600 ~/.ssh/authorized_keys
      • 公開鍵は、検査対象マシンのauthorized_keysにも転記しておくこと
  • vuls Install前の準備
    • mkdir /var/log/vuls
    • chown monitor /var/log/vuls
    • comod 700 /var/log/vuls
  • 環境の整備
    • .profileに以下を記述

    • export GOPATH=$HOME/go
      export PATH=$PATH:$GOPATH/bin

      • 注意点。$GOROOTは設定しないこと。迂闊に設定すると色々ハマるので、自分で何をやっているかわからない人は触らないのが吉
      • go関係の実行ファイルなどは、$GOPATH内に配置される。
  • go-cve-directonary をinstallする
    • mkdir -p $GOPATH/src/github.com/kotakanbe
    • cd $GOPATH/src/github.com/kotakanbe/
    • git clone https://github.com/kotakanbe/go-cve-dictionary.git
    • cd $GOPATH/src/github.com/kotakanbe/go-cve-dictionary
    • make install
      • cc関連でWarningが出る。これは、FreeBSDのccはclangであり、gccではないため。

    • for i in 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017; do
      go-cve-dictionary fetchnvd -years $i
      go-cve-dictionary fetchjvn -years $i	# もしJVNの情報が要らないならば、ここはskipしても良い
      done

      • 自分はbashを使わないのでこんな迂遠なことになるが、bashなら for i in {2002..2017}; do go-cve-dictionary fetchnvd -years $i; done で行ける
      • ここは時間がかかるので覚悟すること。（昔と比べると本当に早くなったけど）
        • 2017/02/06現在、作成されるDBファイルは、以下のようになった。

        • -rw-r--r--  1 monitor  staff  740999168 Feb  6 12:38 cve.sqlite3
          -rw-r--r--  1 monitor  staff      32768 Feb  6 12:39 cve.sqlite3-shm
          -rw-r--r--  1 monitor  staff   22956672 Feb  6 12:39 cve.sqlite3-wal

  • vuls をinstallする
    • mkdir -p $GOPATH/src/github.com/future-architect
    • cd $GOPATH/src/github.com/future-architect
    • git clone https://github.com/future-architect/vuls.git
    • cd $GOPATH/src/github.com/future-architect/vuls
    • make install
      • cc関連でWarningが出る。これは、FreeBSDのccはclangであり、gccではないため。
    • go get github.com/future-architect/vuls
    • vulsのdictionary serverを起動する。
      • go-cve-dictionary server
  • 設定ファイルを作成する
    • 設定ファイルをどこに置くかは少し問題になる部分だが、今回は、~monitor/vuls下にvuls関連のファイルを全部置く前提で行く。

    • config.toml

      [servers]
      
      [servers.example]
      host         = "192.0.2.1"
      port        = "22"
      user        = "monitor"
      keyPath     = "/home/vuls/.ssh/id_rsa"

  • 対象となるServerに必要な設定を突っ込む
    • 対象となるホストに、config.tomlに記載したアカウントを作成する(仮にmonitorとする)
    • ~monitor/.sshにauthorized_keysを設置する
    • visudoを実行し、monitorがno passwordでroot権限を取得できるように設定する
      • monitor ALL=(ALL) NOPASSWD: ALL
      • 将来的には、実行できるコマンドを制限するべきだが、とりあえず今はこれで。
    • vulsを動作させるServerから対象のサーバーにsshで接続でき、かつsudoを実行してpasswordなしでrootになれることを確認する
  • ここまでできたら、vuls prepareを実行する
    • エラーが出たら、何らかのpermissionがおかしいなどが考えられるので、対応する
      • どうしても分からなければ、vulsのslackに報告するか、gitでissueを上げる
  • で、最後にscanする。
    • vuls scan

まだまだ考える必要がある部分はあるが、なかなか素晴らしい。

• Issue
  • Dictionary Serverの扱い
    • daemon的に動かし続けるのがいいのか、vulsを実行する際に起動するのがいいのか？
      • dailyでauto scanかけるなら、動かし続けるのもいいのだが… localhostからしか接続を許可していないからよしとするか？
  • CPEの設定
    • これは、やはり様々なSampleが欲しいところ。