(最終更新 2008/09/04)
リンク元:さかなでブログ「Nessusをインストールしてみる」
Nessusはクライアント・サーバー型のセキュリティ診断ソフト。今回自分は
診断対象(Nessusサーバ)・・・Linux(Fedora 7) DMZに配置。主にSMTP,POP,HTTP,DNSサーバーとして使用
診断操作PC(Nessusクライアント)・・・Windows2000 Professional LAN内に配置
という環境でテストした。
手順1 ソフトを手に入れる
http://www.nessus.org/ へアクセスしNessusのページへ移動。そこから「Download」ページへ。
今回サーバー側とクライアント側でOSが異なるので2種類ダウンロードする。
サーバー・・・Nessus3.2.1.1 for Linux
クライアント・・・Nessus3.2.1.1 for Microsoft Windows
「Download」ボタンをクリックするとライセンス許諾(英語)が出るので適当に読んで「I accept(同意)」クリック。
名前やら住所やらを入れるページになるが面倒なので右上の「 Click Here to Download Nessus Directly」をクリック。
Nessus-3.2.1.1.exe、Nessus-3.2.1-fc7.i386.rpmをそれぞれクリックしてダウンロードする。
手順2 アクティベーションコードを手に入れる
Nessusを使うためにはアクティベーションコードが必要。ダウンロードページにある「You need an activation code to keep your scanner up-to-date. Please click here to obtain one.」の「here」をクリック。有料のものと無料のものがあるので当然無料のものを選択する。「Free」をクリックする。同意書の画面になるので「I accept(同意)」をクリック。
次にメールアドレスの入力を求められるので、捨てアドを入力。「Register(登録)」ボタンを押す。
登録したメールアドレスにアクティベーションコードのメールが届くので確認する。このコードは後で使う。
手順3 サーバーにNessusをインストールする
自分はWindowsでダウンロードしたためUSBメモリにいれてサーバーにファイルを移した。
rpmパッケージで「Nessus-3[1].2.1-fc7.i386.rpm」というファイル。
rpm -ivh でインストール。
ここで問題発生。なぜかrpmがパッケージが見つからないといってエラーで終わってしまう。よくみたらrpmファイル名の「 [ 」と「 ] 」の前に逆スラッシュが入っている・・・。どうやらTabキーでファイル名の補完を行うと入るらしい・・・なぜ。「Nessus-3[1].2.1-fc7.i386.rpm」というファイル名を「aaa.rpm」と適当に名前を変えて再び
rpm -ivh
を行ったら今度は正常にインストールされた。
手順4 診断を行うユーザーを追加する
インストールが完了すると/opt/nessusというディレクトリが作成される。その中のsbinディレクトリにある「nessus-adduser」コマンドでユーザーを追加する。
Login: ユーザー名入力(例:testuser)
Authentication: デフォルトの[pass]のまま
Login password: 入力 (例:testtest)
Login password(again): 同上
次にルールを入力する画面になるがとりあえずはややこしいのでパス。しかし後で設定した方がいいかも。
言われるまま「Ctrl+D」を押す。確認画面が出るのでよければ「y」。
手順5 Nessusサーバーを起動してみる
/sbin/service nessusd start
を実行してみる。ちなみに止めるときは「/sbin/service nessusd stop」
正常に起動すれば○。
手順6 アクティベーションコードを登録し最新のプラグインをダウンロードする
手順2で手に入れたアクティベーションコードを登録する。
/opt/nessus/bin/nessus-fetch --register アクティベーションコード
を実行。登録されると勝手にプラグインが最新の状態にアップデートされる。(要インターネット接続)
手順7 試しにスキャンしてみる
Nessusが正しく動くかテストしてみる。コマンド形式は
/opt/nessus/bin/nessus 自分のIP ポート ユーザー パスワード スキャンするファイル レポート出力ファイル
(例: /opt/nessus/bin/nessus 127.0.0.1 1241 testuser testtest ~/test1.txt ~/report1.txt)
初回はSSLの認証があるので「y」で応答。正常に完了するとレポートが作成される。
手順8 SSLの証明書を作成する
Nessusクライアントから接続するためのSSL証明書を作成する。
/opt/nessus/bin/nessus-mkcert-client を実行。
作るか聞かれるので 「y」
ライフタイムはデフォルトのまま
国を聞かれるので 「JP」
州を聞かれるのでデフォルトのまま
町を聞かれるので 「Tokyo」
組織を聞かれるのでデフォルトのまま
ユーザー名を聞かれるので手順4で登録したユーザー名を入力(例:testuser)
後は全てデフォルトのまま
ルールを登録できるが今回は無視。Ctrl+Dを押す。
/tmp/nessus-mkcert.****(****は数字) ディレクトリに色々ファイルが作成される。
その中からWindows用の証明書「cert_nessusmx_ユーザー名.pem(例:cert_nessusmx_testuser.pem)」と
秘密鍵「key_ユーザー名.pem(例:key_testuser.pem)」をUSBメモリでNessusクライアントを入れるWindows2000パソコンにコピーしておく。
手順9 Nessusクライアントをインストールする
手順1でダウンロードした「Nessus-3.2.1.1.exe」をWindows2000で実行する。インストーラが起動するのでNEXT、許諾書に同意する。
サーバーとクライアントのインストールを選択する画面になる。今回サーバーはFedoraなのでクライアントのみインストールする。
手順10 Nessusクライアントを設定する。
デスクトップに「Nessus Client」のアイコンができているので起動。まずはスキャンするターゲットを追加する。
「Scan」タブの下の方にある「+」をクリック。今回は1台しかスキャンしないので「Single host」を選択。Host nameにスキャンするサーバーのIPを入力。
「Save」で閉じる。
前の画面に戻るので「Connect」ボタンをクリック。「Connection Manager」が開くので左下の「+」をクリック
「Edit Connection」画面が開く。
「Host name」にサーバーのIPアドレス
「Port」はデフォルトのまま「1241」
「Login」は手順4で登録したユーザー名(例:testuser)
「Password」は手順4で登録したパスワード(例:testtest)
それぞれ入力
さらに左下の「SSL Setup」をクリック。
「Authenticate using SSL certificate」にチェックを入れる。
手順8で保存したファイルを指定する。
「Path to CA...」に「cert_nessusmx_ユーザー名.pem(例:cert_nessusmx_testuser.pem)」を指定
「Path to Key...」に「key_ユーザー名.pem(例:key_testuser.pem)」を指定
「Path to Cert...」に「cert_nessusmx_ユーザー名.pem(例:cert_nessusmx_testuser.pem)」を指定
両画面を「Save」で閉じる。
「Connection Manager」の画面に戻ったら、上でセーブした設定を選択し「Connection」ボタンをクリック。
「Logging into the remote scanner...」の画面が出るのでしばし待つ。
うまく接続できるとSSLの警告が出るので「YES」で受け付ける。
*うまく接続できないときは次のことを確認する。
・ファイアウォールでサーバへの1241ポートが許可されているか。
・Fedoraサーバー側でIPTABLESが無効もしくは1241ポートが許可されているか。
・それでも接続できないときは一度サービスを再起動してみる。
/sbin/service nessusd stop /sbin/service nessusd start
手順11 Nessusサーバーをスキャンしてみる
うまく接続できれば「Scan Now」ボタンが表示されるので「Default scan policy」でスキャンしてみる。
「Report」タブにスキャン結果が表示されれば成功。「Export」ボタンをクリックすればHTMLファイルとして出力できる。
おつかれさま。