/home/pochi/ChangeLog / 2006-02-28

■ Yahoo! の SNS Yahoo! 360° [computer]

http://recommend.yahoo.co.jp/360/
via http://nais.to/~yto/clog/2006-02-28-5.html

ミーハーなので招待して欲しいかもー。

プレミアム会員なら本人確認が取れてるので、
5月中旬から招待なしで使えるようになるんだとか。
あっというまに mixi を抜きそうだな。

■ 神楽坂で打ち合わせ [仕事]

仕事半分。雑談半分。

■ Nessus でセキュリティ監査 [computer][仕事]

Nessus
http://www.nessus.org/

Nessus は強力なセキュリティスキャナー。
サーバで食べてるのであれば使い方ぐらいは
知っとくと良いっす。

ウェブサービスを立ち上げる前にセキュリティ監査をするのは常識ね。
仕事だし、自分で作ったサービスじゃないので、久しぶりに、
真面目にツールを使ってセキュリティ監査してみた。

Nessus の最新バージョンは GPL ではなくなっていて、
ブランチが沢山出ている。

関連記事) Nessus に分派が続々
http://itpro.nikkeibp.co.jp/article/NEWS/20051018/222942/

でも今回は Debian の nessus パッケージを apt-get でインストール。
それなりにメンテされているみたいだし、だって楽なんだもん。
すでに真面目じゃない感じだけど、時間をかけない、
というのも仕事では重要。言い訳だけどな。

nessus-plugins nmap snmp もついでにインストール。

インストールをすると、nessus-mkcert の画面がいきなり出てくる。
普通はインストール後に nessus-mkcert を実行するもんなんだけど、
Debian は親切だ。

CA certificate life time in days [1460]:
Your country (two letter code) [FR]: JP
Your state or province name [none]:
Your location (e.g. town) [Paris]: Tokyo
Your organization [Nessus Users United]: <組織名>

と入力。
少し待つと鍵が完成。

次はユーザ作成。nessus-adduser を実行。

Login : <ユーザ名>
Authentication (pass/cert) [pass] :
Login password : <パスワード>

必要なら /etc/nessus 以下のファイルをいじって、
nessusd を起動。
バックグラウンドで動かすために -D オプションをくっつけて

nessusd -D

次はクライアントのインストール。

http://www.nessus.org/download/

から Windows のクライアントソフトのバイナリを
ダウンロードしてきて解凍。そんだけ。

実行は解凍したディレクトリの中にある、
NessusWX.exe をダブルクリック。
初期設定はデフォルトのままでとりあえずOK。

セキュリティ監査は以下のようにする。

- サーバに接続する
- セッションを作成する
- ターゲットを設定
- セッションのオプションをいろいろ設定
- 辞書っぽいアイコンができるのでそれをクリックして実行

とっても簡単。
今回指定したオプションは以下。

- Plugin を使うように設定
- ポートスキャンの範囲はデフォルトだと 1-1023 までなので、
  1-65535 までスキャンするように設定
- nmap も使ってスキャンするように設定


それにしても、Nessus のレポートはすごいわ。
6年前に使って SAINT に比べるとはるかに使いやすいし、
チェック項目も多彩。
こんなのまでチェックするのかー、と感心しまくり。
感心したっていうことは、穴が見付かった、ということで、
システムのオープンは延期になりましたとさ。むむぅ。


参考) 6年前に SAINT を使うことになったときの日記
http://www.pochi.cc/~sasaki/diary/200002.html?to=200002024#200002024