[アップデート] Amazon InspectorのサポートOSバージョンが拡張されてました

2021.07.07

コカコーラ大好きカジです。

2020年10月にAmazon Inspectorのサポート対応OSが拡張されてましたが、弊社ブログでの紹介されていなかったので、遅くなりましたが取りあげます。

はじめに

参照元は以下となります。

Amazon Inspector は、Red Hat Enterprise Linux (RHEL) 8、Ubuntu 20.04 LTS、Debian 10、および Windows Server 2019 向けにオペレーティングシステムのサポートを拡張

今回のアップデートは太字が追記されています。

InspectorエージェントのサポートOS

Linux ベースのオペレーティングシステム

  • 64 ビット x86 インスタンス
    • Amazon Linux 2
    • Amazon Linux (2018.03、2017.09、2017.03、2016.09、2016.03、2015.09、2015.03、2014.09、2014.03、2013.09、2013.03、2012.09、2012.03)
    • Ubuntu (20.04 LTS、18.04 LTS、16.04 LTS、14.04 LTS)
    • Debian (10.x、9.0 ~ 9.5、8.0 ~ 8.7)
    • Red Hat Enterprise Linux (8.x、7.2 ~ 7.x、6.2 ~ 6.9)
    • CentOS (7.2~7.x、6.2~6.9)
  • Arm インスタンス
    • Amazon Linux 2
    • Red Hat Enterprise Linux (7.6 ~ 7.x)
    • Ubuntu (18.04 LTS、16.04 LTS)

Windows ベースのオペレーティングシステム

  • Windows Server 2019 ベース
  • Windows Server 2016 Base
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2

詳細はこちら

Ubuntu Server 20.04 LTSでInspectorを試してみた

チェック対象の準備

対象のEC2は 「Ubuntu Server 20.04 LTS (HVM) ami-0df99b3a8349462c6」を利用します。

Tagの設定

Amazon Inspectorの検査対象はタグによって判別されるので、今回の対象のEC2にはInspector = Trueというタグを設定しておきます。

Agentのインストール

sshでログインし、以下を実行

$ wget https://inspector-agent.amazonaws.com/linux/latest/install
<省略>
$ sudo bash install
<省略>
$ dpkg-query -l awsagent
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name           Version           Architecture Description
+++-==============-=================-============-=========================================>
ii  awsagent       1.1.1712.0-102712 amd64        Install the Inspector Agent needed to sup>

$ ps -ef | grep awsagent
root        1880       1  0 09:27 ?        00:00:00 /opt/aws/awsagent/bin/awsagent
ubuntu      2001    1322  0 09:30 pts/0    00:00:00 grep --color=auto awsagent

必要なパッケージを追加と確認

$ sudo apt-get install libcurl4 libgcc1
<省略>
$ dpkg-query -l libcurl4 libgcc1 libc6 libstdc++6 libssl1.1 libpcap0.8
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name             Version                 Architecture Description
+++-================-=======================-============-=================================>
ii  libc6:amd64      2.31-0ubuntu9.2         amd64        GNU C Library: Shared libraries
ii  libcurl4:amd64   7.68.0-1ubuntu2.5       amd64        easy-to-use client-side URL trans>
ii  libgcc1          1:10.3.0-1ubuntu1~20.04 amd64        GCC support library (dependency p>
ii  libpcap0.8:amd64 1.9.1-3                 amd64        system interface for user-level p>
ii  libssl1.1:amd64  1.1.1f-1ubuntu2.3       amd64        Secure Sockets Layer toolkit - sh>
ii  libstdc++6:amd64 10.3.0-1ubuntu1~20.04   amd64        GNU Standard C++ Library v3

起動していることも確認

$ ps -ef | grep awsagent
root        1880       1  0 09:27 ?        00:00:00 /opt/aws/awsagent/bin/awsagent
ubuntu      2294    1322  0 09:42 pts/0    00:00:00 grep --color=auto awsagent

脆弱性検査の実行

脆弱性検査の実行手順は以下ののブログを参照ください。

以下の感じで、Ubuntu Server 20.04 LTSのEC2で、Inspectorのチェックが走っていることがわかります。

結果は以下のようになりました。アップデートせずに実行しましたので、カーネルの脆弱性を多数検知しました。

さいごに

最新バージョンに追従してくれるのもありがたいことです。 チェック対象のOSによって、チェックできる内容が異なりますので、ご注意ください。 詳細は以下のブログで紹介しています。

また、最新情報は以下になります。

サポートされているオペレーティングシステム用の Amazon Inspector ルールパッケージ - Amazon Inspector