【無料ツールで作るセキュアな環境(25)】〜nessusの導入〜(執筆:office) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.23(月)

【無料ツールで作るセキュアな環境(25)】〜nessusの導入〜(執筆:office)

特集 特集

 今回はセキュリティスキャナとして最も有名な nessus について解説したい[1]。ここで言うセキュリティスキャナとは、遠隔地から特定のネットワークを監査し、それがクラッカーによって侵入、あるいは悪用が可能か否かを査証するツールのことである。

 nessusは、Renaud Deraison氏を中心としたNessus Projectによっての開発が行われていて、その成果はフリーで提供されている。nessusの特徴は、開いている特定のポートのサービスを仮定せずに監査を行うという、強力な調査能力にある。従って、仮にWebサービスを通常のポート80ではなくポート1234で行っていたとしても、そのWebサービスの脆弱性までもが調査されて明らかになる。

 Nessusはクライアントとサーバの二種類のソフトウェアで構成されている。サーバが動作するのはPOSIX準拠のUnix系OSのみで、Windows系では利用できない。なお、サーバにはNmapがインストールしてある必要がある。一方クライアントはPOSIX準拠のUnix版だけでなく、Widnwos版、java版が使える。但しjava版は2年以上更新されていないので、その使用は推奨されていない。

 RedHat用のrpmファイルは

6.x用: ftp://ftp.nessus.org/pub/nessus/nessus-1.0.8/RPMs/
7.0用: http://guinness.freshrpms.net/pub/RPMS/redhat-7.0/nessus/
7.1用: http://seawolf.freshrpms.net/pub/nessus/

からダウンロードできる。4つのファイルをダウンロードして、
# rpm -Ivh nessus-1.0.8-1.i386.rpm
# rpm -Ivh nessus-client-1.0.8-1.i386.rpm
# rpm -Ivh nessus-devel-1.0.8-1.i386.rpm
# rpm -Ivh nessus-plugins-1.0.8-1.i386.rpm

としてインストールする。執筆時点でのnessusの最新バージョンは1.0.8であるが、RedHat7.0用のrpmは1.0.7のようである。ソースから構築する場合は、
ftp://ftp.nessus.org/pub/nessus/nessus-1.0.8/src/

から

nessus-libraries-1.0.8.tar.gz
libnasl-1.0.8.tar.gz
nessus-core-1.0.8.tar.gz
nessus-plugins-1.0.8.tar.gz

をダウンロードし、これら4つのファイル各々に対して

tar zxvf nessus-*****-1.0.8.tar.gz
cd nessus-*****
./configure
make
make install

という操作を繰り返し、インストール作業を行う。上記の作業でサーバ、クライアント両方のインストールされる。

次に、クライアントから接続するためのユーザアカウントを作る。

office
office@ukky.net
http://www.office.ac/

[1] http://www.jp.nessus.org/
[2] http://cgi.nessus.org/plugins/dump.php3

詳しくはScan本誌をご覧下さい
http://www.vagabond.co.jp/vv/m-sc.htm

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第5回「ウソも方便」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第6回 「川辺」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×