Linux での Tenable Nessus Agent のインストール
次の手順を使用して、Linux システムに Tenable Nessus Agent をインストールします。インストール後、エージェントをマネージャー (Tenable Vulnerability Management または Tenable Nessus Manager) にリンクします。これにより、インストールの完了後にエージェントがスキャンデータの送信を開始できるようになります。
始める前に
- Nessus Agent のリンクキーを取得します。詳細については、使用しているマネージャーに応じて、Tenable Nessus ユーザーガイド または Tenable Vulnerability Management ユーザーガイドを参照してください。
- Tenable Nessus Agent が事前にシステムにインストールされている場合、リンクエラーを回避する方法に関するナレッジベースの記事を参照してください。
警告: nessusd を実行している既存の Tenable Nessus Agent、Tenable Nessus Manager、Tenable Nessus スキャナーがすでに存在するシステムに Tenable Nessus Agent をインストールする場合、インストールプロセスにより他のすべての nessusd プロセスが強制終了されます。この結果スキャンデータが失われる場合があります。
Tenable Nessus Agent をダウンロードする
Tenable Nessus Agent のダウンロードページで、ご利用のオペレーティングシステムに固有のパッケージをダウンロードします。
エージェントパッケージをダウンロードしたら、エージェントをインストールします。
エージェントのインストール
注意: 次の手順は root 権限を必要とします。
コマンドラインインターフェースを使用して、Tenable Nessus Agent をインストールします。
Linux インストールコマンドの例
Debian
# dpkg -i NessusAgent-<version number>-debian6_amd64.deb
Fedora 13 以降
# dnf install NessusAgent-<version number>-fc34.x86_64.rpm
Fedora 12 以前
# rpm -ivh NessusAgent-<version number>-fc34.x86_64.rpm
Red Hat 8 以降 / CentOS 8 以降 / Oracle Linux 8 以降
# dnf install NessusAgent-<version number>-es8.x86_64.rpm
Red Hat 7 以前 / CentOS 7 以前 / Oracle Linux 7 以前
# rpm -ivh NessusAgent-<version number>-es7.x86_64.rpm
SUSE
# sudo zypper install NessusAgent-<version number>suse12.x86_64.rpm
Ubuntu
# dpkg -i NessusAgent-<version number>-ubuntu1110_i386.deb
ヒント: リンクする前にフルプラグインセットをインストールすると、一括インストール実行中に消費される帯域幅を減らすことができます。これは、プラグインセットの場所を指定する --file パラメーターを指定して nessuscli agent update コマンドを使用して行うことができます。この作業は Tenable Nessus Agent を開始する前に行う必要があります。例
このプラグインセットは 5 日以内に入手したものである必要があります。入手後 5 日を超える古いプラグインセットでは、フルプラグインのダウンロードが強制的に開始されます。最新のプラグインセットは、Nessus Agent のダウンロードページからダウンロードできます。
注意: Nessus Agent をインストールした後に、/sbin/service nessusagent start コマンドを使用し、手動でサービスを開始する必要があります。Tenable では、ホストが再起動するたびに Nessus Agent サービスが開始されるよう、systemctl enable nessusagent を実行することも推奨しています。
コマンドラインを使用したエージェントのリンク付け
コマンドプロンプトで、nessuscli agent link コマンドを使用します。例
/opt/nessus_agent/sbin/nessuscli agent link
--key=00abcd00000efgh11111i0k222lmopq3333st4455u66v777777w88xy9999zabc00
--name=MyOSXAgent --groups="All" --host=yourcompany.com --port=8834
注意: リンクコマンド全体をコピーして、同じ行に貼り付ける必要があります。そうしないと、エラーが表示されます。
このコマンドがサポートする引数は次のとおりです。
| 引数 | 必須 | 値 |
|---|---|---|
| --key |
〇 |
(必須) マネージャーから取得した値を使用してください。 マネージャーからリンクキーを取得するには、使用しているマネージャーに応じて、Tenable Nessus ユーザーガイド または Tenable Vulnerability Management ユーザーガイドを参照してください。 |
| --host | 〇 | |
| --port | 〇 | |
|
--name |
✕ | エージェントの名前を指定します。エージェントの名前を指定しない場合、エージェントをインストールしているコンピューターの名前にデフォルトで設定されます。 |
| --groups | no |
エージェントを追加する 1 つ以上のエージェントグループを指定します。インストールプロセス中にエージェントグループを指定しない場合、Tenable Nessus Manager または Tenable Vulnerability Management で、リンクされたエージェントをエージェントグループに後から追加できます。 注意: エージェントグループ名は、大文字と小文字を区別し、正確に一致する必要があります。エージェントグループ名は引用符で囲む必要があります (例: --groups="My Group")。 |
| --offline-install | ✕ |
Tenable Nessus Agent は、オフラインでもシステムにインストールできます。コマンドラインオプション offline-install="yes" をコマンドライン入力に追加します。Tenable Nessus Agent は、定期的に Tenable Vulnerability Management または Tenable Nessus Manager へのリンクを試みます。 エージェントがコントローラーに接続できない場合、1 時間ごとに再試行します。また、コントローラーには接続できてもリンクに失敗する場合は、24 時間ごとに再試行します。 |
| --cloud | ✕ |
--cloud の引数を指定し、Tenable Vulnerability Management にリンクします。 --cloud 引数は、--host=sensor.cloud.tenable.com --port=443 を指定するためのショートカットです。 警告: --cloud 引数は、FedRAMP 環境ではサポートされていません。--host=fedcloud.tenable.com --port=443 を指定する必要があります。 注意: 中国本土にある Tenable Nessus スキャナー、Tenable Nessus Agents、Tenable Web App Scanning スキャナー、または Tenable Nessus Network Monitor (NNM) を介して Tenable Vulnerability Management に接続している場合は、sensor.cloud.tenable.com ではなく sensor.cloud.tenablecloud.cn で接続する必要があります。 注意: エージェントの Tenable Vulnerability Management へのリンクについての詳細は、Tenable Vulnerability Management ユーザーガイドのセンサーのリンクを参照してください。 |
| --network | ✕ |
Tenable Vulnerability Management にリンクされたエージェントの場合、エージェントをカスタムネットワークに追加します。ネットワークを指定しない場合、エージェントはデフォルトのネットワークに属することになります。 注意: ネットワーク名は引用符で囲む必要があります (例: --network="My Network")。 |
エージェントをインストールしてリンクしたら、Tenable では、マネージャーのユーザーインターフェースでエージェントを表示して、エージェントがマネージャーに正常にリンクされていることを確認することを推奨しています。
ヒント: エージェントのクローンを作り、Tenable Nessus Manager または Tenable Vulnerability Management にリンクしようとすると 409 エラーが表示される場合があります。このエラーは、他のマシンが、/etc/machine_id または /etc/tenable_tag ファイル内の同じ UUID 値にリンクされたために表示されます。この問題を解決するには、/etc/tenable_tag ファイルの値を有効な UUIDv4 値に置き換えます。/etc/machine_id ファイルが存在しない場合、/etc/tenable_tag を削除して新しい値を生成できます。
リンクされたエージェントの検証
エージェントをインストールしてリンクしたら、次の手順に沿って、マネージャーのユーザーインターフェースで新しいエージェントを表示します。
-
Tenable Vulnerability Management でリンクされたエージェントを検証する方法
-
左上にある
ボタンをクリックします。左側にナビゲーションプレーンが表示されます。
-
左のナビゲーションプレーンで [設定] をクリックします。
[Settings] (設定) ページが表示されます。
-
[Sensors] (センサー) タイルをクリックします。
[Sensors] (センサー) ページが表示されます。デフォルトでは、左側のナビゲーションメニューで [Nessus Scanners] (Nessus スキャナー) が選択され、[Cloud Scanners] (クラウドスキャナー) タブがアクティブとなります。
-
左のナビゲーションメニューで、[Nessus Agent] をクリックします。
[Nessus Agent] ページが表示され、[Linked Agents] (リンクされたエージェント) タブがアクティブになります。
-
リンクされたエージェントの表で新しいエージェントを見つけます。
-
-
Tenable Nessus Manager でリンクされたエージェントを検証する方法
-
上部のナビゲーションバーで、[Sensors] (センサー) をクリックします。
[Linked Agents] (リンクされたエージェント) ページが表示されます。
-
リンクされたエージェントの表で新しいエージェントを見つけます。
-