Nessusは,コンピュータに存在するセキュリティ・ホールを探すソフトウエアである。ポート・スキャンや実際に攻撃を仕掛けることでシステムの弱い部分を探し出す。プラグインにより最新のセキュリティ・ホールを探すこともできる。
| ||
| ||
|
しかし,接続時間の増加と共に,外部から不正アクセスを試みられる機会も増えている。外部からの不正侵入を受けると,内部データの盗聴,破損,改ざんといった被害を受ける。それだけでなく,コンピュータが乗っ取られて知らぬ間に踏み台として,他サイトのマシンの攻撃に使われる可能性もある。
不正侵入の防止の第一歩は,侵入の足掛かりとなるセキュリティ・ホールを自分のシステムから無くすことである。それにはまず,どのようなセキュリティ・ホールが存在するかを調べなければならない。ところが,セキュリティ・ホールの発見には知識や労力が必要である。また,セキュリティ・ホールは日々発見されており,確認を怠るとセキュリティ・ホールを残したままになりかねない。
Nessusは,コンピュータに存在するセキュリティ・ホールを探し出すソフトウエアだ。不要なポートや危険なポートを探し出すポート・スキャン機能や,セキュリティ・ホールを実際に攻撃する機能,侵入を試みる機能などを備えている。また,プラグインによるアップデート機能も搭載する。最新のスキャン・プラグインをNessusのサイトからダウンロードすれば,新しいセキュリティ・ホールに対応した調査が可能である。なお,2003年2月にリリースされたNessus2.0では,従来版に比べて必要メモリー容量が減るなどの改良が施された。
Nessusを用いてシステムの弱い部分を見つけ出し,それに対策を施すことでシステムのセキュリティ・レベルを高めよう。
Nessusのインストール
Nessusのインストールには,ソース・アーカイブを入手してビルドする方法と,NessusのWebサイトで公開されるスクリプトでオンライン・インストールする方法の2つがある。
オンライン・インストールは簡単だが,インストール時にrootパスワードを入力する必要があり,可能性は少ないとは言えパスワード流出の危険がある。不安がある場合は,ソースからのインストールをお勧めする。
なお,オンライン・インストールにはテキストWebブラウザのLynxが必要である。lynxがインストールされていれば,一般ユーザー権限で,
$ lynx -source http://install.nessus.org | sh
を実行するとNessusのインストール・スクリプトが実行される。
その後,質問に答えていくだけでインストールが完了する。インストールの際,rootパスワードが要求されるので,インストールするシステムのroot権限のパスワードを入力する。
ソース・アーカイブからインストールする場合は,図1[拡大表示]の手順で作業する。
インストールが完了したら,Nassus用のユーザー・アカウントを作成する。これには,root権限で図2の手順で作業を行う。最初にユーザー名を入力し,次に認証方法を入力する流れとなる。認証方式にパスワード認証を利用する場合は「pass」と入力する。
続いてパスワードを入力し,最後に監査するコンピュータのIPアドレス範囲を設定する。ここで範囲指定しておくことで,誤って他人のサーバーへのスキャンや攻撃を防止できる。
例えば,図2[拡大表示]の例では192.168.1.0から192.168.1.255までのサーバーのみを監査できるようになる。IPアドレス範囲の指定後は[Ctrl]+[D]を押す。最後に確認が行われ,良ければ「y」を入力する。
次にNessus用のクライアントとサーバー間のSSL(Secure Sockets Layer)通信に必要な電子証明書を発行する必要がある。これにはroot権限で,
# /usr/local/sbin/nessus-mkcert
とnessus-mkcertコマンドを実行し,質問に答えていくと証明書が発行される。