Tester la sécurité de vos serveurs avec Nessus

Loin d’être un expert de la sécurité, je cherche toujours à sécuriser dans la mesure du possible mes serveurs (qu’ils soient en production ou non). Une question revient souvent sur la table :

Mon serveur est-il vraiment sécurisé ?!

L’outil Open Source Nessus permet de répondre en partie à cette question et d’assurer le minimum de sécurité pour mes machines en très peu de temps.

Voici un rapide tutoriel pour installer et tester vos serveurs avec Nessus.

Etape 1 : Télécharger Nessus pour Windows

Note : Nessus est disponible pour un nombre important de plateforme, à vous de choisir. La suite du tutoriel se déroule sous Windows.

Etape 2 : Lancer l’installation

next, next, next…

Etape 3 : Lancer Nessus Client (Menu démarrer, …, Nessus Client) et cliquez sur le bouton “Connect” en bas à gauche. Sélectionner la valeur par défaut (localhost) et valider.


Etape 4 : Ajouter l’adresse IP ou le nom de la machine à tester en cliquant sur le plus (+) en bas à gauche.


Etape 5 : Selectionner “Default Scan Policy” et cliquer sur Scan Now

Etape 6 : L’onglet rapport s’ouvre. Attendez sagement que Nessus scan votre machine et consultez les resultats de l’analyse


Etape 7 : Resolvez les failles de sécurité les plus importantes.

Cette étape est sans doute la plus fastidieuse, heureusement Nessus apporte très souvent les éléments de réponse vous permettant de corriger les problèmes détectés : just read !

Voilà, ce n’est finalement pas très compliqué et permet de vous assurer que votre serveur est “safe” (ou pas) dans les grandes lignes. Au risque de me repéter, cela ne constitue pas une solution ultime, mais pour les Non-experts de la sécurité, c’est déjà un premier pas de géant.

Vous noterez également la possibilité d’exporter le rapport au format HTML. Très pratique pour le diffuser si nécessaire.

Have fun !

How to : Masquer la version de votre serveur apache

J’ai découvert il y a quelques temps un produit Open Source fort utile permettant de détecter (donc de corriger) d’éventuelles failles de sécurité sur un serveur : Nessus.

Après avoir lancé Nessus sur mes quelques serveurs de production (Ubuntu Server, Windows Sevrer 2003, Debian), il m’a été remonté que la version d’Apache, PHP, SSL, … était disponible en consultation par n’importe qui. Ceci ouvrant une faille de sécurité potentiellement importante.

L’information affichée était du type :

HTTP Server type and version : Apache/2.2.4 (Win32) PHP/5.2.4

Pour corriger le tir et masquer ces informations, deux modifications très simples à effectuer dans votre configuration Apache (fichier apache2.conf ou httpd.conf), vérifiez la présence des deux directives suivantes :

ServerSignature Off
ServerTokens Prod