NESSUSD


Section: User Manual (8)

名称

nessusd - Nessusセキュリティスキャナのサーバ部分 (v1.1.9)

概要


nessusd [ -v ] [ -h] [ -c config-file ] [ -a address ] [-p port number ] [ -D ] [ -d ]

解説


Nessus Security Scannerは、サーバとクライアントの2つの部分からなるセキュリティ監査ツールである。サーバであるnessusdは攻撃を担当し、クライアントであるnessus(1)はユーザインターフェイスを担当する。

nessusdによってなされた攻撃は、異なる言語で書かれた外部モジュール(ある いは、望むならプラグイン)によってコードされる。

nessusdはセキュリティスキャナであるから、皆に使わせるのは危険である。 このman pageでは、nessusdを適切に設定する方法を記しているので、悪用さ れない。

オプション


-c config-file
/usr/local/etc/nessusd.conf の代わりに他の設定ファイルを使う
-a <address>
サーバが可能な接続のうちIP address が <address> であるもののみを listenするようにする。このアドレスは、マシン名ではない。つまり、 nessusd -a 192.168.1.1 では、nessusd に 192.168.1.1 あての要求だけを listenするようにする。nessusd がゲートウェイで走っており、かつnessusd が外部から接続されるのを望まないのならば、このオプションは有用である。
-p <port number>
サーバに、1241/tcp (デフォルト)の代わりにポート番号 <port> をlisten するようにさせる。
-D
サーバをbackgroundで走らせる(デーモンモード)。
-d
サーバにコンパイルオプションを表示させる。
-v, --version
バージョンナンバーを表示して終了する
-h, --help
このコマンドのサマリを表示する

設定ファイル


デフォルトのnessusd の設定ファイル、いくつかの情報:

plugins_folder
プラグインのフォルダの場所を示す。これは通常 /usr/local/lib/nessus/plugins だが、これを変更してもよい。
logfile
ログファイルへのパス。もしnessusdのメッセージをsyslog(8)経由で記録した いなら「syslog」と入れることができる。また、nessusdのログをstdoutに出 したいなら「stderr」とすれば良い。
max_threads
クライアントに与えられるべき同時にテストするホストの最大数(変更可能)。 この値は与えられた帯域、テストしたいホストの数などを考慮する必要がある。 より多くのスレッドを動かせば、テスト中より多くのパケットをとりこぼし、 より多くの脆弱性を見落とすかもしれない。一方、より多くのスレッドを動か せば、テストはより早く進む。個人的には、PII 450, RAM 128MBのマシンで50 スレッドでテストしたが、テストは好都合に進み、/24のネットワークに対し て素早く行なえた。
users
ユーザデータベースへのパス
rules
ルールデータベースへのパス
language
クライアントにレポートを送るとき、nessusdが使う言語。現在"english"と "francais"(フランス語)が利用可能な言語である。
checks_read_timeout
recv()をするとき、セキュリティチェックが待つ秒数。もしnessusdを遅いネッ トワークリンク経由(例えばダイヤルアップコネクション経由のホストに対す るテスト)で行なうなら、この値を増やしておくべきである。
このファイルで、これら以外のオプションは通常、クライアントによって再定義され る。

ユーザデータベース


ユーザデータベースは、nessusdを使うことが許されたユーザのリストを有し ている。なぜ、1人にだけ許す代わりにユーザのリストを作るのか?この文書 で後ほど定義されるであろうルールファイルで、あなたの会社の中心に nessusdサーバを立て、あなたのネットワークの一部だけをテストする権利が あるユーザを追加することができる。例えば、あなたは、R&Dの人にネットワー クの彼らの部分をテストすることを望み、残りをあなたがテストするかもしれ ない。あなたはnessusdを、誰もが自分自身のコンピュータのみをテストでき るように設定できるかもしれない。

ユーザデータベースは非常に簡単なフォーマットであり、それは、

user:password [rules]
ここで、

user
あなたが追加したいと思うログイン名である。これは、あなたが望む何で も可能である。特殊なエントリーが必要である:そのユーザ名は「*」である。 それは、あなたの公開鍵で認証されたユーザのために使われる。
password
このユーザに関連づけられたパスワードである。 パスワードはプレインテキストなので、ユーザデータベースは600のモー ドであることを確認すべきである。もし、ユーザに公開鍵経由でログインする ことを望むなら、これを空にする。
rule
この限定されたユーザに適用される。

典型的なnessusd.usersファイルは、 

# User foo, with password bar 
foo:bar 
deny 192.168.1.1/32 
accept 192.168.0.0/16 
default deny 

# 
# User oof:
# 
oof:rab
deny 192.168.1.1/24 
accept 192.168.0.0/16 
default deny

ルールセットのフォーマット


ルールは、常に以下の同じフォーマットを持つ:
keyword IP/mask
キーワードはdeny, accept, defaultのいずれかである。

これに加えて、エクスクラメーションマーク(!)をIPアドレスの前につけるこ とができ、それは "not" を意味する。ルールには3つの源があり、


ルールに優先順位があることを知らねばならない:ユーザはその特権を拡張す ることができず、下げることしかできない(つまり、彼がテストすることを許 可されているホストの組を制限することしかできない)。

ルールセットデータベース


ルールのデータベースはシステム全域のルールであり、全てのユーザに適用さ れる。その構文は前のセクションで定義されている。例えば: 
       accept 127.0.0.0/8

       deny 192.168.1.1/32

       deny !192.168.0.0/16

       default deny
こうすると、ユーザがlocalhost、192.168.0.0/16に属するホストのうち 192.168.1.1/32 以外の全てをテストすることが許される。 ルールは、接続時にログインしたユーザのIP addressに置き替えられる、 client_ipという特殊なキーワードを受け付ける。 もし、すべての人に、その人自身のコンピュータをテストすることを許可した いのなら、可能である: 

       accept client_ip/32

       default deny

参考


nessus(1), nessus-adduser(8),nmap(1)

NESSUSプロジェクトについてのさらなる情報


Nessusプロジェクトについてのさらなる情報が得られる正式な場所は:
http://www.nessus.org (Official site)
http://cvs.nessus.org (Developers site)

著者

Nessusプロジェクトは、Renaud Deraison <deraison@cvs.nessus.org> によって始められ、メンテナンスされている。Nessusサーバ、ほとんどの攻撃 モジュールは共に、主としてCopyright (C) 1998-1999 Renaud Deraison であ る。

Jordan Hrycaj <jordan@mjh.teddy-net.com> は、クライアント−サーバ間の暗号レイヤの作者である。暗号化ライブラリ (libpeks)については(C) 1998-1999 Jordan Hrycaj である。

そして、数人の他の人々が、親切にもパッチやバグレポートを送ってくれてい る。彼等に感謝したい。

もくじ

Translated by Mimori Yuki <mimori@puni.net>