NessusでVPSサーバーの脆弱性診断

サーバーがクラッキングされないように、サーバーの脆弱性については常に気を配る必要があります。

かといって、常に最新のセキュリティ情報をウォッチして対策を検討するのは大変なので、セキュリティ対策に慣れるまでフリーで使える脆弱性ツールを使って脆弱性の診断を行っています。
 
ここでは、個人利用の範囲ではフリーで使えるようでしたのでNessusを使用しています。(最新の使用許諾については、公式サイトでご確認ください)
 
Nessusインストール
 
1)TENABLE Networkのサイトにアクセス。ダウンロードボタン押下
 
2)”HomeFeed”の使用許諾に同意。
 
3)ユーザー登録
 
名前、メールアドレスを登録。
 
4)ファイルをダウンロード
 
自分のPCにインストールするのでWindows版にしました。
 
5)インストール
 
ほとんどデフォルトのままでインストールしました。
 
6)”すべてのプログラム”からNessu Web Clientを起動。初期設定が自動開始。
 
7)初期アカウント作成
 
管理用ユーザのユーザー名とパスワードを指定しました。
Nessus-account
 
8)アクティベーションコード入力
 
 ユーザ登録をしたときのメールアドレスに届いた登録メールにアクティベーションコードが記載されいてそれを入力しました。
Nessus-activation
 
9)初期設定、プラグインの最新化の処理が走ります。
 
私のPCの性能が貧弱なせいか30分以上待たされました。
Nessus-wait
 
10)Flash10.2が必要とのコメント。インストール
 
Nessus-Flash
 
Nessusで脆弱性診断実行
 
1)Nessu Web Clientを起動。作成したユーザでログイン。
Nessus-login
 
2)管理コンソールで”Scan”→”Add”をクリック。
Nessus-menu
 
3)スキャンの設定をし、スキャン実行
 
“Name”    :適当な名前
“Type”    :Run Now
“Policy”   :”External Network Scan”
“Scan Targets”:診断するサーバーのIPアドレス
 
“Launch Scan”をクリックして、スキャン開始。
Nessus-scan
 
4)少し待って、スキャン終了。
 
Nessusのレポートを見て、対策実行。
 
1)”Reports”メニューから診断レポートを表示。
Nessus-Report
 
2)各診断項目の詳細画面を見て、対策を実施。
 
下記例では、”Solution”欄にメソッドを無効にするとありますので、
Apacheの設定ファイルのTRACEの設定を無効にしました。
Nessus-detail

関連記事の目次

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です