昨日リリースしたシステムに重大な障害が発覚。
つまらん、とか言ったバチがあたったらしい。
(--> [2006-03-13-1])
明日対応しないと。むむぅ。
でも丸1日発覚しなかったとは。。。
発見者してくれてどもです>理事に立候補した人
Nessus
http://www.nessus.org/
Nessus は強力なセキュリティスキャナー。
サーバで食べてるのであれば使い方ぐらいは
知っとくと良いっす。
ウェブサービスを立ち上げる前にセキュリティ監査をするのは常識ね。
仕事だし、自分で作ったサービスじゃないので、久しぶりに、
真面目にツールを使ってセキュリティ監査してみた。
Nessus の最新バージョンは GPL ではなくなっていて、
ブランチが沢山出ている。
関連記事) Nessus に分派が続々
http://itpro.nikkeibp.co.jp/article/NEWS/20051018/222942/
でも今回は Debian の nessus パッケージを apt-get でインストール。
それなりにメンテされているみたいだし、だって楽なんだもん。
すでに真面目じゃない感じだけど、時間をかけない、
というのも仕事では重要。言い訳だけどな。
nessus-plugins nmap snmp もついでにインストール。
インストールをすると、nessus-mkcert の画面がいきなり出てくる。
普通はインストール後に nessus-mkcert を実行するもんなんだけど、
Debian は親切だ。
CA certificate life time in days [1460]:
Your country (two letter code) [FR]: JP
Your state or province name [none]:
Your location (e.g. town) [Paris]: Tokyo
Your organization [Nessus Users United]: <組織名>
と入力。
少し待つと鍵が完成。
次はユーザ作成。nessus-adduser を実行。
Login : <ユーザ名>
Authentication (pass/cert) [pass] :
Login password : <パスワード>
必要なら /etc/nessus 以下のファイルをいじって、
nessusd を起動。
バックグラウンドで動かすために -D オプションをくっつけて
nessusd -D
次はクライアントのインストール。
http://www.nessus.org/download/
から Windows のクライアントソフトのバイナリを
ダウンロードしてきて解凍。そんだけ。
実行は解凍したディレクトリの中にある、
NessusWX.exe をダブルクリック。
初期設定はデフォルトのままでとりあえずOK。
セキュリティ監査は以下のようにする。
- サーバに接続する
- セッションを作成する
- ターゲットを設定
- セッションのオプションをいろいろ設定
- 辞書っぽいアイコンができるのでそれをクリックして実行
とっても簡単。
今回指定したオプションは以下。
- Plugin を使うように設定
- ポートスキャンの範囲はデフォルトだと 1-1023 までなので、
1-65535 までスキャンするように設定
- nmap も使ってスキャンするように設定
それにしても、Nessus のレポートはすごいわ。
6年前に使って SAINT に比べるとはるかに使いやすいし、
チェック項目も多彩。
こんなのまでチェックするのかー、と感心しまくり。
感心したっていうことは、穴が見付かった、ということで、
システムのオープンは延期になりましたとさ。むむぅ。
参考) 6年前に SAINT を使うことになったときの日記
http://www.pochi.cc/~sasaki/diary/200002.html?to=200002024#200002024