1. はじめに
Nessus を用いる際に、脆弱性のある仮想マシンとして Metasploitable も導入したいと思ったので、ここではKVMにMetasploitable2をインストールする方法についてまとめる。
1.1 Metasploitable
Metasploitable は、意図的に脆弱に作られたLinuxマシンである1。 Metasploitableの仮想マシンはセキュリティのトレーニング、セキュリティテストのツール、ペネトレーションテストの練習に役立つ。信頼できないネットワークに対しては公開してはならない。
2. ダウンロードと導入
2.1 ダウンロードと導入のための準備
Sourceforge から最新版をダウンロードする2。 ダウンロードしたzipを解凍すると、以下のような構成になっていると思う。
tcbn@tcbn-N14xZU:~/Downloads/Metasploitable2-Linux$ ls Metasploitable.nvram Metasploitable.vmsd Metasploitable.vmxf Metasploitable.vmdk Metasploitable.vmx
KVMでは vmdk
形式のファイル (VMWareのイメージ) も扱うことができるが、KVMのスナップショット機能を利用するためには qcow2
形式である必要があるため、qemu-img convert
コマンドで vmdk
イメージを qcow2
イメージに変換する。今回実行するコマンドは、
qemu-img convert -f vmdk -O qcow2 Metasploitable.vmdk Metasploitable.qcow2
のようになる。これで qcow2
形式のイメージが得られるので、コピー (バックアップ) をしてから使用すると良いだろう。
cp Metasploitable.qcow2 Metasploitable_cp.qcow2
また、信頼できないネットワークに公開しないために、Isolated Network のサブネットを新しく作っておき、このネットワークのみに接続することにする。サブネットの作成については、以前の記事に簡単に書いている3。
2.2 導入
ここまで準備した上で、KVMにMetasploitableを導入する。導入方法については海外の方の記事で参考になるものがあった4。 Virtual Machine Manager を開き、"Create a new virtual machine" で、"Import existing disk image" を選択し、次に進む。
Browse の Browse Local から、作ったqcow2を選択する。
パスが入ったのを確認し、インストールするOSを "Generic default" として次に進む (パスを探索する権限がないといった警告が出るが、次に進んで問題ないと思う)。
メモリやCPUの設定をして次に進む。
仮想マシンの名前、ネットワークの選択をする。Network selection で、作成した Isolated network を選択することに注意する。念のため、"Customize configuration before install" にチェックを入れてから Finish する。
Configuration のネットワークの設定で、Isolated network になっているかを再確認して (念のため)、左上の Begin Installation をクリックする。
少し待つと、ログイン画面が出てくる。
ユーザ名とパスワードが表示されているので、この通りにログインする。IPアドレスを確かめると、Isolated Network に接続されていることがわかる。
IPアドレスを固定して使用することにする。