bonjour
 
J'aimerai mettre en place une application open-source pour réaliser des audits de sécurité de mes serveurs (linux) et applications web.
J'aimerai automatiser tout ça. Réaliser des rapports (hebdo).
 
Évidement il y a nessus, mais depuis quelques temps c'est propriétaire et cher.
 
Y a t'il d'autres solutions ?
 
Comment faites vous ça ?

Salut,
 
Ne sachant pas ce que tu souhaites auditer exactement , je te conseille ce site:
http://sectools.org/
 
Sinon, je pense que snort pourrait te convenir  

merci, je connaissais ce site.
 
snort c'est un ids.
 
Je cherche une appli qui teste une liste de machines / sites.
Verifie les versions des services et liste les vulnérabilités
 
Cherche les problemes de sql injection, ou dossiers visibles qui ne le devraient pas .....
 
Liste des ports ouverts ...

http://www.nessus.org/nessus/
 
pas besoin d'etre un specialiste pour s'en servir

ouais mais a 1200$ par an ....

Sur http://sectools.org/  tu trouveras des scripts d'audits gratuit (sarah, tiger ...) mais il est pas évident que ceux ci soit très à jour.
 
Personnellement je trouve ce genre d'audits récurrents inutiles, une fois si tu veux, mais le principal est de prendre les bonnes mesures en amont et d'être réactif en cas de problème (IDS).
 
Bon courage

D'après Wikipedia, il existe un fork de Nessus : OpenVAS
 
Je ne sais pas ce que ca vaut par contre...

 
exact, j'avais oublie ce detail...
 
je ne connaissais pas le fork, je vais tester.