Nessusは総合脆弱性スキャナーです。フリーソフトで、細かく見やすいレポートを作成してくれます。
Nessusはクライアントとサーバという二つの部分から成り立っています。サーバを利用するには、UNIXライクのOS(Linuxなど)が必要となります。
Nessusの最新バージョンはhttp://www.nessus.org/download/からダウンロードできます。インストールのインストラクションを参照すれば、どのようにコンパイルするか分かります。
アップデート(プラグインのインストール)は次のように行います。
# nessus-update-plugins
KnoppixなどのCDブートの場合は以下のようにします(ここではWhoppixを使用しています)。
# nessus-update-whoppix.sh
これでアップデート情報がズラーっと表示されるはずです。
次のようにタイプしてNessusdのアカウントを作りましょう。Nessusdサーバは、ユーザデータベースを保有しており、それぞれのユーザは制限の設定を持ちます。この設定は、あなたにしばらくの間ネットワークとこれらのネットワークの一部をテストするための管理者にシングルNessusdサーバの利用許可を与えます。
新しいNessusdサーバのアカウントの作成には、次のようにタイプします。
# nessus-adduser Addition of a new nessusd user ------------------------------ Login : defolos Authentication (pass/cert) [pass] :[Enter]←ここでEnterを押す Password : newbie User rules ---------- nessusd has a rules system which allows you to restrict the hosts that renaud2 has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser(8) man page for the rules syntax Enter the rules for this user, and hit ctrl-D once you are done : (the user can have an empty rules set) [Ctrl] + D←ここでCtrl+Dを押す deny 10.163.156.1 accept 10.163.156.0/24 default deny Login : defolos Password : newbie DN : Rules : deny 10.163.156.1 accept 10.163.156.0/24 default deny Is that ok (y/n) ? [y] y ←yとタイプしてEnterを押す user added.
ターミナル上で次のようにタイプしましょう。
# /etc/init.d/nessusd start
これでNessusデーモンが起動します。
アイコンをクリックするなりしてNessusを起動させましょう。起動させたら、 Login: のところにさっき追加したユーザ名を、 Password: のところに設定したパスワードを入力してLoginボタンをクリックしましょう。
これでLoginできるので、Target Selectionタブを選択してターゲットのIPアドレスを入力します。後はデフォルトのままでも問題はないでしょう。最下部のStart the scanボタンをクリックしてスキャンを始めましょう。
後はコーヒーでも飲んで結果が出るまで待ちます。