• 1. はじめに
  • 1.1 Metasploitable
• 2. ダウンロードと導入
  • 2.1 ダウンロードと導入のための準備
  • 2.2 導入

1. はじめに

Nessus を用いる際に、脆弱性のある仮想マシンとして Metasploitable も導入したいと思ったので、ここではKVMにMetasploitable2をインストールする方法についてまとめる。

1.1 Metasploitable

Metasploitable は、意図的に脆弱に作られたLinuxマシンである¹。 Metasploitableの仮想マシンはセキュリティのトレーニング、セキュリティテストのツール、ペネトレーションテストの練習に役立つ。信頼できないネットワークに対しては公開してはならない。

2. ダウンロードと導入

2.1 ダウンロードと導入のための準備

Sourceforge から最新版をダウンロードする²。 ダウンロードしたzipを解凍すると、以下のような構成になっていると思う。

tcbn@tcbn-N14xZU:~/Downloads/Metasploitable2-Linux$ ls
Metasploitable.nvram  Metasploitable.vmsd  Metasploitable.vmxf
Metasploitable.vmdk   Metasploitable.vmx

KVMでは vmdk 形式のファイル (VMWareのイメージ) も扱うことができるが、KVMのスナップショット機能を利用するためには qcow2 形式である必要があるため、qemu-img convert コマンドで vmdk イメージを qcow2 イメージに変換する。今回実行するコマンドは、

qemu-img convert -f vmdk -O qcow2 Metasploitable.vmdk Metasploitable.qcow2

のようになる。これで qcow2 形式のイメージが得られるので、コピー (バックアップ) をしてから使用すると良いだろう。

cp Metasploitable.qcow2 Metasploitable_cp.qcow2

また、信頼できないネットワークに公開しないために、Isolated Network のサブネットを新しく作っておき、このネットワークのみに接続することにする。サブネットの作成については、以前の記事に簡単に書いている³。

2.2 導入

ここまで準備した上で、KVMにMetasploitableを導入する。導入方法については海外の方の記事で参考になるものがあった⁴。 Virtual Machine Manager を開き、"Create a new virtual machine" で、"Import existing disk image" を選択し、次に進む。

Browse の Browse Local から、作ったqcow2を選択する。

パスが入ったのを確認し、インストールするOSを "Generic default" として次に進む (パスを探索する権限がないといった警告が出るが、次に進んで問題ないと思う)。

メモリやCPUの設定をして次に進む。

仮想マシンの名前、ネットワークの選択をする。Network selection で、作成した Isolated network を選択することに注意する。念のため、"Customize configuration before install" にチェックを入れてから Finish する。

Configuration のネットワークの設定で、Isolated network になっているかを再確認して (念のため)、左上の Begin Installation をクリックする。

少し待つと、ログイン画面が出てくる。

ユーザ名とパスワードが表示されているので、この通りにログインする。IPアドレスを確かめると、Isolated Network に接続されていることがわかる。

IPアドレスを固定して使用することにする。