Debian 12にNessus脆弱性スキャナーをインストールして使用する方法

Nessusは、脆弱性評価、ペネトレーションテスト、倫理的ハッキングのためのオープンソースのネットワーク脆弱性スキャナーです。Common Vulnerabilities and Exposures (CVE) アーキテクチャを使用しており、市場で最も包括的な脆弱性スキャナーの1つです。Nessusを使用すると、ネットワーク脆弱性スキャンを実行し、設定ミスやサービス拒否 (Dos) 脆弱性などを見つけることができます。

このチュートリアルでは、Debian 12サーバーにNessusネットワークセキュリティスキャナーをインストールする手順を説明します。また、Nessusを使用してターゲットホストに対するセキュリティ脆弱性を検出するための最初のホースキャンも実行します。

前提条件

このチュートリアルを始めるには、以下のものを用意してください：

• Debian 12サーバー。
• 管理者権限を持つ非ルートユーザー。

DEBファイルを使用したNessusのインストール

NessusはTenableによって開発されたセキュリティ脆弱性スキャナーです。さまざまなデバイス、アプリケーション、オペレーティングシステムのセキュリティ脆弱性をスキャンすることができます。NessusはDebianを含む複数のLinuxディストリビューションをサポートしています。

このセクションでは、DEBファイルを介してNessusをダウンロードしてインストールします。

Nessusのダウンロードページにアクセスし、Nessusのバージョンを選択します。この場合、Debian 10、11、および12をサポートするDebian用のcurlを介してNessusをダウンロードします。

curl --request GET \  
--url 'https://www.tenable.com/downloads/api/v2/pages/nessus/files/Nessus-10.7.1-debian10_amd64.deb' \  
--output 'Nessus-10.7.1-debian10_amd64.deb'

ダウンロードが完了したら、次のコマンドを実行してNessusをインストールし、エラーが発生した場合は依存関係を修正します。

sudo dpkg -i Nessus-10.7.1-debian10_amd64.deb  
sudo apt install -f

次に、以下のコマンドを使用してnessusdサービスを開始し、有効にします。

sudo systemctl start nessusd  
sudo systemctl enable nessusd

開始したら、nessusdサービスが実行されていることを確認するために、次のコマンドを実行します。

sudo systemctl status nessusd

Nessusが実行されている場合、次のような出力が得られます：

UFWの設定

Nessusをインストールした後、UFWを構成し、Nessusのデフォルトポート8834/tcpを開きます。これはNessusのWebダッシュボードプロセスによって使用されます。

以下のコマンドを使用して、DebianシステムにUFWをインストールします。インストールを続行するにはyと入力します。

sudo apt install ufw

次に、以下のコマンドを実行してOpenSSHプロファイルを有効にし、ポート8834/tcpをUFWに追加します。Nessusのデフォルトポートは8834/tcpであり、Web管理ダッシュボードが実行されています。

sudo ufw allow OpenSSH  
sudo ufw allow 8834/tcp

以下のコマンドを使用してUFWを有効にします。その後、プロンプトが表示されたらyと入力して確認します。

sudo ufw enable

有効にすると、’ Firewall is active and enabled on system startup ‘という出力が表示されます。

最後に、以下のコマンドを使用してUFWのステータスを確認し、ルールをリストします。

sudo ufw status

OpenSSHプロファイルとポート8834/tcpがUFWでALLOWEDになっていることを確認してください。

Nessus CLIの設定

Nessusは、ターミナルからNessusを管理するためのnessuscliユーティリティを提供します。Nessusが提供するいくつかのユーティリティは、/opt/nessus/binおよび/opt/nessus/sbinディレクトリにあります。

これを簡単にするために、/opt/nessus/binおよび/opt/nessus/sbinディレクトリをシステムのPATHに追加します。これは~/.bashrc設定ファイルを介して行うことができます。

以下のコマンドを実行して、/opt/nessus/binおよび/opt/nessus/sbinを~/.bashrcファイルを介してシステムのPATH環境変数に追加します。

echo 'export PATH="$PATH:/opt/nessus/bin:/opt/nessus/sbin"' >> ~/.bashrc

現在のセッションで~/.bashrcファイルを再読み込みし、以下のコマンドでシステムPATHを確認します。/opt/nessus/binおよび/opt/nessus/sbinディレクトリがシステムのPATHに追加されていることを確認してください。

source ~/.bashrc  
echo $PATH

最後に、以下のnessuscliコマンドを実行して設定を確認します。成功した場合、nessuscliのヘルプメッセージが表示されます。

nessuscli help

Nessusの設定

nessuscliを設定したので、Webブラウザを介してNessusのインストールを設定しましょう。このセクションでは、Nessusのバージョンに登録する必要があり、そのためにメールアドレスが必要です。

Webブラウザを開き、https://192.168.5.15:8834/にアクセスしてNessusのインストールにアクセスします。Nessusのウェルカムメッセージが表示されます。

Continueをクリックして設定を開始します。

Register for Nessus Essentialsオプションを選択し、Continueをクリックします。

名前とメールアドレスの詳細を入力してNessusのアクティベーションコードを取得し、Registerをクリックします。これにより、インストール用のNessusアクティベーションコードが生成されます。

画面には生成されたNessusアクティベーションコードが表示されます。再度Continueをクリックします。

新しいadminユーザーとNessusのpasswordを入力し、Submitをクリックして確認します。

これでNessusのインストールが開始されるはずです。

インストールが完了すると、次のようなNessusダッシュボードが表示されます：

Nessusを取得したら、Nessusが必要なプラグインをコンパイルするまでしばらくお待ちください。Nessusプラグインがコンパイルされてインストールされるまで、スキャンを作成することはできますので、時間をかけてください。

Nessusでの最初のスキャンの作成

Nessusで新しいスキャンを作成するには、My Scansフォルダーを選択し、Create a new scanをクリックします。

スキャンテンプレートで、Basic Network Scan templateを選択します。このテンプレートは、ほとんどの基本的なネットワークスキャンに使用できます。

スキャンのnameとdescriptionを入力し、フォルダーMy Scansを選択し、ターゲットホストのIPアドレスを入力します。次に、Saveをクリックして確認します。

My Scansフォルダーに戻ると、作成したスキャンが表示されます。play/startボタンをクリックしてスキャンプロセスを開始します。

スキャンが完了したら、’first-scan’などのスキャンをクリックすると、スキャンの概要が表示されます。

Vulnerabilitiesタブをクリックして、Nessusがターゲットサーバーに対して検出したCVSSのリストを取得します。

結論

おめでとうございます！これで、Debian 12サーバーにNessusネットワークセキュリティスキャナーをインストールする作業が完了しました。DEBファイルを介してNessusをインストールし、ホストに対して最初の基本的なネットワークスキャンを実行し、Nessusを介してCVSS脆弱性を検出しました。