Testando configurações e segurança do Apache com Nikto

Nikto é um script Perl usado para testar a segurança de seu servidor web. Neste artigo veremos como usá-lo para verificar a segurança de seu servidor.

[ Hits: 27.349 ]

Por: Thiago Roberth em 29/09/2009


Instalando o Net_SSLeay



Net_SSLeay é um módulo Perl que adiciona ao Nikto a capacidade de realizar conexões SSL. Sua última versão é a 1.30 (nesta data) e pode ser baixada a partir do repositório CPAN:
Este será exigido pelo Nikto se você está pensando em testar o SSL habilitado no servidor.

Geralmente crio um diretório /opt/down para baixar os fontes que utilizo.

# mkdir /opt/down
# cd /opt/down


Agora podemos fazer o download do módulo Perl Net_SSLeay:

# wget http://search.cpan.org/CPAN/authors/id/F/FL/FLORA/Net_SSLeay.pm-1.30.tar.gz

Assim que terminar o download, vamos extraí-lo e entrar no diretório:

# tar xzvf Net_SSLeay.pm-1.30.tar.gz
# cd ./Net_SSLeay.pm-1.30


Agora vamos instalar este módulo com alguns comandos simples:

# perl Makefile.PL
# make
# make install


Na distro CentOS é um pouco mais fácil, basta com apenas um comando:

# yum install -y perl-Net-SSLeay

Instalando o Nikto

Primeiro vamos baixar a versão mais recente do Nikto. Isto pode ser realizado a partir do site dos peritos de segurança que escreveram o software em www.CIRT.net.

Volte ao diretório /opt/down:

# cd /opt/down

E agora vamos obter o software Nikto (versão atual 2.03, mas o link abaixo deve ser sempre o download da última versão estável) e descompactar:

# wget http://www.cirt.net/nikto/nikto-current.tar.gz
# tar xzvf nikto-current.tar.gz

Nikto usa a biblioteca RFPs Libwhisker, porém a versão inclusa em seu código não é a mais recente, então vamos atualizá-la:

# wget http://www.wiretrip.net/rfp/libwhisker/LW.pm
# cp LW.pm ./nikto/LW.pm

Nikto é apenas um script perl, ele não precisa ser instalado, mas devemos ir em frente e movê-lo para um local mais permanente, tal como /usr/local:

# cp nikto /usr/local/nikto

Agora vamos mudar para este diretório para que possamos atualizar o banco de dados do Nikto:

# cd /usr/local/nikto
# perl nikto.pl -update


    Próxima página

Páginas do artigo
   1. Instalando o Net_SSLeay
   2. Usando o Nikto
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Bom escudo não teme espada: o módulo pam_cracklib

Quando próximo, finja estar longe; quando longe, finja estar próximo

PaX: Solução eficiente para segurança em Linux

Ferramentas de segurança - uma pequena compilação

SELinux - Segurança em Servidores GNU/Linux

  
Comentários
[1] Comentário enviado por balani em 29/09/2009 - 15:23h

Interessante, muito util.

[2] Comentário enviado por removido em 29/09/2009 - 19:18h

Acho que não existe distribuição com mais de 1% dos usuários de Linux que não tenha um gerenciador de pacotes semelhante ao APT. apt-get install nikto no Ubuntu Jaunty instala a versão 2.03 do nikto.

[3] Comentário enviado por roberto_espreto em 29/09/2009 - 23:22h

Eu gosto do Nikto, apanhei no começo.
Em relação aos resultados do Nikto pode-se aparecer várias afirmativas falsas e algumas informações cuja a interpretação não seja tão óbvia, sendo assim, é preciso analisar os resultados com calma e ver quais são relevantes ou não para o servidor testado em questão. Fica a pequena dica.

[4] Comentário enviado por geraldoresende em 29/09/2009 - 23:40h

Boa brother... intessante esse tópico, testarei tb.

[5] Comentário enviado por diegoaceneves em 03/10/2009 - 23:54h

Muito Interessante, e é sempre bom saber como esta a segurança do servidor


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts