Home > Debian > セキュリティ対策 > Nessusの導入
| Nessusの導入(Nessusサーバ) |
Nessusはセキュリティ・スキャナと呼ばれるものであり、対象としたサーバに対して攻撃を実施することにより
対象サーバの安全性を検査するものである。実施後は詳細なレポートを発行してくれ、レポートには発見されたセキュリティホールや
改善点などが記述されている。攻撃を行なうので、当然のことながら自分の管理しているマシン以外に行なってはならない。
このページでは、先ずNessusサーバの設定をし、次のページでNessusクライアントの設定をして実際に実行してみる。
先ずはNessusをインストールする
# apt-get update # apt-get install nessusd |
インストール直後に以下のような証明書の作成の画面が始まる
-------------------------------------------------------------------------------
Creation of the Nessus SSL Certificate
-------------------------------------------------------------------------------
This script will now ask you the relevant information to create the SSL
certificate of Nessus. Note that this information will *NOT* be sent to
anybody (everything stays local), but anyone with the ability to connect to your
Nessus daemon will be able to retrieve this information.
CA certificate life time in days [1460]: ←空Enter。CA証明書の有効期限
Server certificate life time in days [365]: ←空Enter。サーバ証明書の有効期限
Your country (two letter code) [FR]: JP ←JPと入力
Your state or province name [none]: Tokyo ←Tokyoと入力
Your location (e.g. town) [Paris]: Shinjuku ←Shinjukuと入力した
Your organization [Nessus Users United]: chibi ←名前なんかを入力
Congratulations. Your server certificate was properly created.
/etc/nessus/nessusd.conf updated
The following files were created :
. Certification authority :
Certificate = /var/lib/nessus/CA/cacert.pem
Private key = /var/lib/nessus/private/CA/cakey.pem
. Nessus Server :
Certificate = /var/lib/nessus/CA/servercert.pem
Private key = /var/lib/nessus/private/CA/serverkey.pem
Press [ENTER] to exit ←Enterを押して終了
|
次にnessus用のユーザを作成する。システムのものとは別物である
# nessus-adduser Using /var/tmp as a temporary file holder Add a new nessusd user ---------------------- Login : chibi ←ユーザ名を入力 Authentication (pass/cert) [pass] : ←パスワード認証にするので、そのままEnter Login password : ←パスワードを入力 Login password (again) : ←再度入力 User rules ---------- nessusd has a rules system which allows you to restrict the hosts that chibi has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser(8) man page for the rules syntax Enter the rules for this user, and hit ctrl-D once you are done : (the user can have an empty rules set) accept 192.168.1.0/24 ←入力。nessusサーバへアクセスできるアドレス default deny ←入力。上記のアドレス以外の場合の対処 上の2つを入力したら、Ctrl+Dキーを押す。すると下のような確認画面が出る Login : chibi Password : *********** DN : Rules : accept 192.168.1.0/24 default deny Is that ok ? (y/n) [y] ←そのままEnter user added. ←ユーザの作成が完了 |
次にプラグインを最新の状態にする。これにより最新のセキュリティホールに対応できる
# nessus-update-plugins -v ・・・ ./zope_multiple_flaws.nasl ./zope_path_disclosure.nasl ./zope_zclass.nasl ./zyxel_http_pwd.nasl ./zyxel_pwd.nasl |
以上が済んだら、Nessusサーバを起動する。Nessusサーバが使用するポートは1241番だ
# nessusd -D All plugins loaded |
以上で、攻撃の準備は整ったので、次はクライアント側の設定を行なう必要がある。
次のページでは、WindowsマシンにNessusクライアントを導入し、このWindowsマシンのNessusクライアントで
Nessusサーバに接続し、対象のマシンを攻撃するという手順を取る。
→ Nessusクライアントの設定(Windows)と実行
最終更新 : 09/26/2005