Nessus 自動運転させることにしよう
手抜きしたいから。
●下準備
まずターゲットファイルを作る。
ターゲットファイルとは、スキャン対象のアドレスを書いただけのファイル。
列挙しておくと複数対象を一気にスキャンできるけど、取りこぼしが怖いので一個ずつにする。
わかりやすく、ファイル名も対象の名前にしよう。
たとえば、対象が 192.168.1.2 だったら、こんな感じ
# cat ./192.138.1.2 192.168.1.2 #
●nessus のクライアント設定ファイルをつくる。
nessus クライアントをふつうに立ち上げていろいろ設定して、スキャンしないで終了しちゃえばいい。
そのあと、ホームディレクトリにある .nessusrc ファイルをコピーして使いまわすとらくちん。
●コマンドラインから nessus クライアントを叩く。
標準的な Nessus のレザルトファイルとして保存するやりかた。NBE 形式で保存しておけば、あとから GUI クライアントで読み込んで再出力してやるとグラフィカル HTML とかで見栄えがいい。
# nessus --output-type=nbe --batch-mode
それぞれの引数。
nessusd の稼動しているホストのアドレス nessusd がリスンしているポート。標準は 1241 nessusd にログインするユーザ名とパスワード さっき作ったような監査対象を書いてあるファイルの名前 結果を出力するファイル名
これで、コマンドを叩いたユーザのホームにある .nessusrc の設定の状態でクライアントが起動して、勝手にスキャンして結果を残してくれる。
バッチファイルにするんだったら、ファイル名はフルパス指定になるのかな。
んで、最後にメールでも飛ばしてやるとかにすればわかりやすくていいかもだ。
もしアレなら、cron とかで
- 毎日午前4時に nessus-plugin-update
- 毎日午前5時からスキャン
- 結果をメールで飛ばす
てな運用もできそうだね。
追記
おうち帰ってきたよ
んー。プラグインをアップデートしたところで、nessusrc で許可してないと読み込まない希ガス
だとしたらあんまり意味無いなあ。もしかしたら自動運転で毎日ペネトレしてくれる箱とか作れそうだったんだけど。
モノは箱代くらいしかかからんだろうし、サーバの台数なんか知れてるからハコ一個で15万とかでな。半分はたぶん構築の手間賃だ。とか考えて提案書とか作ったらどうなるかなとか思った瞬間にアップデートしたプラグインを読ませてやらなきゃいけないぢゃんとか気付いたわけだ。自動運転したくても毎回設定せんといかんのならどうにもならんわな。
クライアントをカスタマイズするとかそういう方向にいけばなんとでもなるんだけどもうソース読む気が失せる位の規模のツールだしなあ。
つうか gtk+ まるで触ったこともないからマッタクわかんねえし。
まあ、イベントハンドラみつけて「all but dangerous なんたら」のチェック入れたときの判定とかそういうの抽出して自動的に設定ファイル書くツールに切り出せばいいんだろうし。
とかなんとか書いていてもたぶん作ってるヒマはないだろうし今の職場で軽く「作れよ」とか隣の人あたりに言われたりしたら作ることになるんだろうけど今から本業で開発とかやりたくねえよなあ(´д`;
いやほら、やっぱプログラミングは趣味でやるべきものですよ。本業でやっちゃダメですよマヂで。