WordPressセキュリティハンズオン事前準備マニュアル/OWASPKansaiNagoya_WP1_190929

Transcript

1. 〜セキュアなWordPressを構築しよう！〜 ハンズオンサーバー事前準備マニュアル 1

2. • 本資料についての問い合わせは、下記のメールアドレスに て受け付けます。 メールアドレス：[email protected] 問い合わせ先 2

3. • この資料は、09/29開催「OWASP Kansai × Nagoya『セ キュアなWordPressを構築しよう！』」で使用するハンズ オンサーバーを、事前に構築するためのマニュアルです。 • ハンズオン開始までにこの資料の手順に従い、ハンズオン サーバーの構築を行ってください。

   はじめに 3

4. • このハンズオンで提供するLinuxイメージは、ローカル環 境の使用のみに限ります。 また、自己学習以外の用途で使用しないでください。 • 脆弱性テストは、インターネットに接続していないローカ ル環境で行ってください。 特に、インターネット上のサイトに対し、興味本位での脆 弱性テストは、絶対にしないでください。 注意事項

   4

5. • VirtualBoxの動作要件については次のURLを 参照ください。 – https://www.virtualbox.org/wiki/End-user_documentation • ハンズオンサーバーの必要リソースは次の通りです。 – CPU：仮想化支援機能(Intel VT,

   AMD-V)が有効なこと • （確認方法） https://www.intel.co.jp/content/www/jp/ja/support/articles/00000548 6/processors.html – メモリ：1024MB以上 – ディスク：20GB以上 動作環境 5

6. 1. VirtualBoxのインストール 2. VirtualBoxの設定変更 3. ハンズオン用Linuxイメージのインポート 4. 動作確認 5. ハンズオンサーバーのシャットダウン

   6. トラブルシュート 7. 付録(SSHクライアントで接続する方法) 目次 6

7. 1. VirtualBoxのインストール 7

8. • VirtualBoxの公式サイトからインストーラをダウンロード します。 – https://www.virtualbox.org/wiki/Downloads – バージョンは6.0.10推奨 VirtualBoxインストーラをDL 8

9. • ダウンロードしたファイルを実行し、インストーラを起動 します。 インストーラを実行 Win Mac 9

10. • [Next]ボタンをクリックします。 インストーラを実行 Win Mac 10

11. • 初期設定のまま、[Next]ボタンをクリックします。 インストーラを実行 Win Mac 11

12. • 【Win】[Next]ボタンをクリックします。 インストーラを実行 Win 12

13. • 【Win】[Install]ボタンをクリックします。 インストーラを実行 Win 13

14. • 【Win】[Yes]ボタンをクリックします。 インストーラを実行 Win 14

15. • 【Win】「ユーザーアカウント制御(UAC)」のダイアログが表示されま すので、[はい]を選択してください。 インストーラを実行 Win 15

16. • 【Win】「Windows セキュリティ」のダイアログが表示されたら、[ インストール]を選択してください。 インストーラを実行 Win 16

17. • インストール完了画面が表示されたら終了です。 インストーラを実行 Win Mac 17

18. 2. VirtualBoxの設定変更 18

19. ホストネットワークの設定 • メニューバーから[ファイル] → [ホストネットワークマネ ージャー]を選択します。 Win Mac 19

20. ホストネットワークの設定 • [作成]ボタンをクリックし、ホストオンリーネットワーク を追加します。 Win Mac 端末によっては、既にホストオンリーネットワークが一覧に表示される場合もあります。 既存のホストオンリーネットワークは、今回のハンズオンでは使用しません。 Windowsの場合、「ユーザーアカウント制御(UAC)」のダイアログが表示されますので、[はい]を選択し てください。

    20

21. ホストネットワークの設定 • 追加したホストオンリーネットワークを選択し、[プロパテ ィ]をクリックします。 追加したホストオンリーネットワークは後の設定で使用しますので名前を覚えておいてください Win Mac 21

22. ホストネットワークの設定 • IPアドレス、IPv4ネットマスクを次のように入力し[適用] ボタンをクリックします。 – [アダプターを手動で設定]を選択 – IPv4アドレス：192.168.222.1 – IPv4ネットマスク：255.255.255.0

    Win Mac 22 192.168.222.1 192.168.222.1

23. ホストネットワークの設定 • DHCPサーバーにチェックがされていないことを確認して 、ホストネットワークマネージャーを閉じます。 Win Mac 23 192.168.222.1 192.168.222.1 192.168.222.1/24

    192.168.222.1/24

24. 3. ハンズオン用Linuxイメージの インポート 24

25. Linuxイメージのインポート • メニューバーから[ファイル] → [仮想アプライアンスのイ ンポート]を選択します。 Win Mac 25

26. Linuxイメージのインポート • Linuxイメージファイルを選択して[次へ]または[続き]ボタ ンをクリックします。 Win Mac インポートするLinuxファイルはメールを参照ください。 この画面にならない場合、[ガイド付きモード]ボタンをクリックしてださい 26 OWASP_Kansai_WP_HandsOn.ova

    OWASP_Kansai_WP_HandsOn.ova

27. Linuxイメージのインポート • [すべてのネットワークカードのMACアドレスを生成]にチ ェックをつけ、[インポート]ボタンをクリックします。 Win 27 Mac

28. Linuxイメージのインポート • インポートしたハンズオンサーバーを選択し、[設定]ボタ ンをクリックします。 Win Mac 28 OWASP_Kansai_WP_HandsOn

29. Linuxイメージのインポート • 左ペイン(Macの場合は上ペイン)から[ネットワーク]を選 択し[アダプター1]タブの設定を次のように設定し、[OK] ボタンをクリックします。 – 割り当て：ホストオンリーアダプタ – 名前：追加したホストオンリーネットワークの名前 Win

    Mac 29

30. 4. 動作確認 30

31. 動作確認 • インポートしたハンズオンサーバーを選択し、[起動]ボタ ンをクリックします。 Win Mac 31 OWASP_Kansai_WP_HandsOn

32. 動作確認 • 仮想環境の画面が開き、下図のような画面（コンソール画 面）になるまでしばらく待ちます。 32

33. 動作確認 • コンソール画面をクリックするとダイアログが表示され、[Capture]ボ タンをクリックするとマウスが動かなくなります、下図の赤枠で囲ま れたキーを押下することでマウス操作ができるようになります。 この場合、 を同時に押下します 左Shift 右Shift Windowsの場合は、Ctrl

    + Alt + Deleteボタンでも可能です 33

34. Windowsの場合、Microsoft Edgeではページが表 示され無い場合があります。その場合は、ほかの ブラウザを使うかInternet Explorerを使用してく ださい • ブラウザで次のURLにアクセスし、WordPressのサイトが 表示されることを確認します。 –

    http://192.168.222.222/wordpress500/ 動作確認 34

35. 5. ハンズオンサーバーの シャットダウン 35

36. コンソールにログイン • ハンズオンサーバーのコンソール画面をクリックし、 ユーザー名”owaspkansai”を入力します。 • 入力後、[Enter]キーを押下します。 36

37. コンソールにログイン • パスワード”owasp06”を入力します。 • 入力後、[Enter]キーを押下しログインします。 入力したパスワードは、画面に表示されません 37

38. シャットダウン実行 • シャットダウンコマンド”sudo shutdown -h now”を入力 し、[Enter]キーを押下します。 • その後、パスワード”owasp06”を入力し[Enter]キーを押 下します。

    入力したパスワードは、画面に表示されません 38

39. シャットダウン実行 • コンソール画面が閉じられ、ハンズオンサーバーのステー タスが「電源オフ」になればシャットダウン完了です。 Win Mac 39 OWASP_Kansai_WP_HandsOn

40. 6. トラブルシュート 40

41. トラブルシュート Q ovaファイルのインポート時に「ファイルが破損しています」エラ ーが発生する。 A 次の内容を確認してください。 • ファイルは正しくダウンロードできていますか？ ◦ ファイルハッシュ値：sha256sum.txt

    ファイルを参照 • VirtualBoxのバージョンが最新版(6.0.10)になっていますか？ 41

42. トラブルシュート Q ハンズオンサーバー起動時に、「Virtual Box Host-only Adapter **が見つかりません」のメッセージダイアログが表示される A スライド28ページのネットワークの設定が正しく行われているか確 認してください。

    42

43. トラブルシュート Q ハンズオンサーバー起動時に、「仮想マシン"*******"のセッショ ンを開けませんでした。」「VT-x is not available」のメッセージ ダイアログが表示される A BIOSの設定画面で仮想化支援技術の設定が有効になっているか確認

    してください。 43

44. トラブルシュート Q WordPressのサイトが表示されない A 次の内容を確認してください。 • URLは正しいですか？ ◦ http://192.168.222.222/wordpress500/ •

    ハンズオンサーバーは正常に起動していますか？ ◦ 30ページ以降のスライド手順を参照してください。 44

45. トラブルシュート Q ハンズオンサーバーのログインに失敗する A 入力したユーザー名 / パスワードは正しいですか？ （大文字、小文字を区別します） • ユーザー名：owaspkansai

    • パスワード：owasp06 45

46. トラブルシュート Q ダウンロード時に「ファイルのウィルススキャンを実行できません 」エラーが表示される A ファイルアップロード時にウィルスチェックは行っておりますので 、「エラーを無視してダウンロード」を実行してファイルをダウン ロードしてください。 46

47. 7. 付録 (SSHクライアントで接続) 47

48. SSHクライアントで接続する • 今回のハンズオンは、VirtualBoxのコンソール画面を使用 せず、TeraTerm、PuTTYなどのSSHクライアントを使用 して仮想環境を操作することもできます。 • SSHクライアントのログイン画面で次の値を入力してくだ さい – IPアドレス：192.168.222.222

    – ポート番号：22 – 認証方式：パスワード認証 – ユーザー名：owaspkansai – パスワード：owasp06 48