ロード・オブ・ザ・ホワイトハッカー

ホワイトハッカーはじめました

KaliにNexpose ⇒ InsightVMをセットアップ

NexposeのCommunity Editionはどこ?

NexposeはMetasploitと同じく、Rapid7が販売している。

www.rapid7.com

 

Metasploitと同じく、無償版があると思ってサイト内を検索するも、見つかるのは30日トライアルの情報のみ。

 

NexposeはInsightVMという名称品に置き換わり、Community Editionは無くなり、その代わり1年間のトライアルを検討している、とか。

www.oreilly.com

 

探しても、1年間のトライアル情報はどこにも見当たらず。

 

Rapid7のサイトでは、Nexposeはオンプレのスキャンで、InsightVMは、Insightプラットフォームという販売戦略の一環、という位置づけなのか、InsightVMをやたらと推してくる。

f:id:chikuwamaruX:20210717064338p:plain

新しさに惹かれて、InsightVMをインストールすることに。

 

NexposeとInsightVMの比較は、ここが分かりやすかった。

jscom.jp

 

InsightVMのセットアップ

1.インストーラーの取得  

Download | InsightVM Documentation

ファイルサイズは1.2GBほど。

 

 

2.インストールの実行

chmod +x Rapid7Setup-Linux64.bin
./Rapid7Setup-Linux64.bin -c

※-c を外すとGUIモードでのインストール

 Nexposeのインストール手順で、service postgresql stopでDBを停止させる、という手順を踏むことを勧められるが一旦無視して実行。

f:id:chikuwamaruX:20210717074321p:plain

 

3.インストールパラメーター入力

・Security ConsoleとScan Engine か Scan Enginのみ
・インストールパスのデフォルト/opt/rapid7/nexpose ※結局、nexposeなの?
・80GBのディスクスペースが推奨だけど続ける?
・8192MGのメモリ推奨だけど続ける?
・DBのポートは5432?
・ユーザー情報入力(SSL証明書やサポートに使用)
・ログインユーザー名とパスワード

 あたりの設定が必要。

 

特に_Postgersがらみで怒られるころもなく、インストール完了。

f:id:chikuwamaruX:20210717075127p:plain

 

4.サービスの起動

systemctl start nexposeconsole.service

を叩いて、サービスを起動して、

https://localhost:3780 へアクセスする。

 

インストール時に設定したIDとパスワードでログイン。

f:id:chikuwamaruX:20210717075139p:plain

 

5.アクティベーション

ここから30日のトライアルを申し込む。すぐにメールでライセンスコードがもらえる。

www.rapid7.com

 

ライセンスコードを入力。

f:id:chikuwamaruX:20210717075914p:plain

その後、アップデートに時間とリソースを多く費やす。そもそも、Kaliのデフォルトのメモリ2GBでは、何度かハングしていたので、8GBに増やし、CPUも4コアから8コアへ。

 

ログイン完了。

f:id:chikuwamaruX:20210717084635p:plain

 

おまけ

去年、Nexposeで脆弱性が見つかったのね。脆弱性スキャナーに脆弱性って。。。

jvndb.jvn.jp

 

次は、実際にInsightVMを使ってみたいと思います。

つ・づ・く

 

 

chikuwamarux.hatenablog.com