Nessus: Vulnerabilitiy Scanner

閲覧数: 61(0)

このサイトは商用のブログサービスを利用せず自前のサーバー(AWS上のEC2インスタンス)にWordpressをインストールして使っているので定期的に脆弱性の検査が必要です。だいたい年に2回程度のチェックをおこなっています。指摘事項を対策して乗っ取りや踏み台などの被害を被らないように、結果として加害者にならないように気をつけています。

以前はgoogleのskipfishを使用していましたが最近はTenableのNessus Scanner Home版を使用しています。Home版のみ無償で使用できます。AWS上のインスタンスを直接スキャンすると有償ライセンスが必要になるので、開発機に使用しているMacBook Pro上のVMware Fusionで作成したCentOS6マシンを使ってAWSに近似した環境を構築しそこをスキャンすることで本番機の検査を代替しています。環境を出来るだけAWSに近づけるのはなかなか骨の折れる作業ですが、この使い方なら無償のHome版でもライセンス違反とはなりません。

ただし自己認証の環境なので以下の脆弱性が「Medium」で検出されますがもちろん対応は不要です。脆弱性は危険な順に、「Critical」「High」「Medium」「Low」「Info」のラベルがつけられます。

Medium SSL Certificate Cannot Be Trusted
Medium SSL Self-Signed Certificate

これ以外には何も検出されず「Info」情報のみが理想の状態です。

Nessusを使うにはTenableのホームページからインストールファイルをダウンロードするのと、Home版の登録が必要です。登録したメールアドレス宛にワンタイムの「Activation Code」が送られてきます。ワンタイムなので再インストールする時には改めてHome版の登録を行い「Activation Code」の再取得が必要です。

Nessus本体は「/opt/nessus」フォルダにインストールされます。起動と停止はそれぞれ「service nessusd start」と「service nessusd stop」で行います。もちろん「restart」も使えます。

「https://サーバーアドレス:8834」へアクセスすると、初回のみ「Activation Code」の入力を求められます。管理者IDとパスワードを登録すると設定は完了です。Pluginダウンロードとインストールには多少の時間がかかりますが全て自動で行われます。「Scan」をクリックし右上の「+」をクリックすると実行可能なScannerが一覧表示されます。「Advanced Scan」などを選び対象のIPアドレスを入力し左下のプルダウンから「Launch」を選択してスキャンを実施します。

実行結果の表示はこのような感じです。クリックすると詳細が表示されます。

【最終更新日: 2017年10月8日】
カテゴリーIT閑話, 公開タグ, , ,
関連記事
超高速WEBサイト?
blank
2018年7月28日

NGINXとHHVMを使った超高速WEBサイトを目指して新しいインスタンスを立てた今回の「引越」でし  続きを読む

暗号化通信の設定
blank
2017年10月12日

過去のSSL関連の記事「SSL化完了」や「証明書の更新」では「StartSSL」の導入・設定の話を、  続きを読む

Let’s EncryptをAmazon Linuxで使う
blank
2017年4月27日

普通のLinuxディストリビューションであれば公式のリポジトリからLet's Encrypt(LE)  続きを読む

StartSSL証明書が無効に!
blank
2017年4月27日

AndroidベースOS上のChromからArigato.esに接続すると「この接続ではプライバシー  続きを読む

サーバー証明書の更新
blank
2016年10月7日

SSL化から早いものでもう一年経った(前回の記事はこちら)。サーバー証明書の有効期限がそろそろ切れる  続きを読む

SSL化完了
blank
2015年10月23日

最近は、個人のブログ(サーバー)でもSSL(Secure Sockets Layer)化するのが流行  続きを読む

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください