この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
コカコーラ大好きカジです。
2020年10月にAmazon Inspectorのサポート対応OSが拡張されてましたが、弊社ブログでの紹介されていなかったので、遅くなりましたが取りあげます。
はじめに
参照元は以下となります。
今回のアップデートは太字が追記されています。
InspectorエージェントのサポートOS
Linux ベースのオペレーティングシステム
- 64 ビット x86 インスタンス
- Amazon Linux 2
- Amazon Linux (2018.03、2017.09、2017.03、2016.09、2016.03、2015.09、2015.03、2014.09、2014.03、2013.09、2013.03、2012.09、2012.03)
- Ubuntu (20.04 LTS、18.04 LTS、16.04 LTS、14.04 LTS)
- Debian (10.x、9.0 ~ 9.5、8.0 ~ 8.7)
- Red Hat Enterprise Linux (8.x、7.2 ~ 7.x、6.2 ~ 6.9)
- CentOS (7.2~7.x、6.2~6.9)
- Arm インスタンス
- Amazon Linux 2
- Red Hat Enterprise Linux (7.6 ~ 7.x)
- Ubuntu (18.04 LTS、16.04 LTS)
Windows ベースのオペレーティングシステム
- Windows Server 2019 ベース
- Windows Server 2016 Base
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008 R2
Ubuntu Server 20.04 LTSでInspectorを試してみた
チェック対象の準備
対象のEC2は 「Ubuntu Server 20.04 LTS (HVM) ami-0df99b3a8349462c6」を利用します。
Tagの設定
Amazon Inspectorの検査対象はタグによって判別されるので、今回の対象のEC2にはInspector = Trueというタグを設定しておきます。
Agentのインストール
sshでログインし、以下を実行
$ wget https://inspector-agent.amazonaws.com/linux/latest/install
<省略>
$ sudo bash install
<省略>
$ dpkg-query -l awsagent
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name Version Architecture Description
+++-==============-=================-============-=========================================>
ii awsagent 1.1.1712.0-102712 amd64 Install the Inspector Agent needed to sup>
$ ps -ef | grep awsagent
root 1880 1 0 09:27 ? 00:00:00 /opt/aws/awsagent/bin/awsagent
ubuntu 2001 1322 0 09:30 pts/0 00:00:00 grep --color=auto awsagent必要なパッケージを追加と確認
$ sudo apt-get install libcurl4 libgcc1
<省略>
$ dpkg-query -l libcurl4 libgcc1 libc6 libstdc++6 libssl1.1 libpcap0.8
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name Version Architecture Description
+++-================-=======================-============-=================================>
ii libc6:amd64 2.31-0ubuntu9.2 amd64 GNU C Library: Shared libraries
ii libcurl4:amd64 7.68.0-1ubuntu2.5 amd64 easy-to-use client-side URL trans>
ii libgcc1 1:10.3.0-1ubuntu1~20.04 amd64 GCC support library (dependency p>
ii libpcap0.8:amd64 1.9.1-3 amd64 system interface for user-level p>
ii libssl1.1:amd64 1.1.1f-1ubuntu2.3 amd64 Secure Sockets Layer toolkit - sh>
ii libstdc++6:amd64 10.3.0-1ubuntu1~20.04 amd64 GNU Standard C++ Library v3起動していることも確認
$ ps -ef | grep awsagent
root 1880 1 0 09:27 ? 00:00:00 /opt/aws/awsagent/bin/awsagent
ubuntu 2294 1322 0 09:42 pts/0 00:00:00 grep --color=auto awsagent脆弱性検査の実行
脆弱性検査の実行手順は以下ののブログを参照ください。
以下の感じで、Ubuntu Server 20.04 LTSのEC2で、Inspectorのチェックが走っていることがわかります。
結果は以下のようになりました。アップデートせずに実行しましたので、カーネルの脆弱性を多数検知しました。
さいごに
最新バージョンに追従してくれるのもありがたいことです。 チェック対象のOSによって、チェックできる内容が異なりますので、ご注意ください。 詳細は以下のブログで紹介しています。
また、最新情報は以下になります。
サポートされているオペレーティングシステム用の Amazon Inspector ルールパッケージ - Amazon Inspector
1
