今天來搭一個Linux下的漏洞檢測系統。咱們使用Nessus這款軟件。Nessus是目前比較流行的網絡漏洞掃描與分析工具,由服務端(NessusD)和用戶端(NessusClient)兩個部分組成,核心的掃描工作和插件擴展由服務器端進行,用戶端可以指定掃描策略和目標。服務器端能夠限制用戶掃描哪些目標網絡或主機,並通密碼或密鑰的方式對用戶進行登錄認證。
這個工具用的時候感覺界面有些像windows下的網管軟件Solarwinds,但它比Solarwinds智能一些,屬於漏洞檢測工具。如果它發現設備有異常,比如開了一些不安全的服務,就會用以顯眼的顏色標出來,並且會給出解決方案。更重要的是它具有一定的風險評估能力。下面咱們來看看這款軟件是如何使用的。
首先是安裝Nessus漏洞檢測系統。步驟很簡單軟件可以從下面的鏈接下載到。下面是具體的步驟:
1. 下載軟件包
Nessus-3.2.1-es5.i386.rpm
NessusClient-3.2.1-es5.i386.rpm
2. 安裝軟件包
1> 安裝服務器端、客戶端rpm 包
說明:我這裏是給大家介紹這個軟件,所以爲了簡單我就把客戶端和服務器端裝在一起了。安裝起來挺快的,初始化可能稍微慢點(大概二分鐘)
2> 添加執行程序路徑、幫助文件路徑
說明:Nessus的相關執行程序默認位於/opt/nessus/sbin/和/opt/nessus/bin/目錄下,幫助文件默認位於/opt/nessus/man目錄下。可分別調整環境變量PATH和MANPATH。這樣的話我們執行程序或查看幫助時會更方便一些。
然後我們來配置NessusD服務端,配置起來也是非常簡便。啓個服務添加一個用戶即可。
1. 啓動NesusD服務
2. 添加掃描用戶
安裝好之後咱們就可以使用命令nessus-adduser添加掃描用戶
|
[root@localhost ~]# nessus-adduser
Using /var/tmp as a temporary file holder
Add a new nessusd user
----------------------
Login : zpp //輸入設置的用戶名
Authentication (pass/cert) [pass] : //回車
Login password : //設置密碼
Login password (again) : //確認密碼
User rules
----------
nessusd has a rules system which allows you to restrict the hosts
that zpp has the right to test. For instance, you may want
him to be able to scan his own host only.
Please see the nessus-adduser(8) man page for the rules syntax
Enter the rules for this user, and hit ctrl-D once you are done :
(the user can have an empty rules set)
192.168.1.0/24 //設置允許掃描的網段
61.134.1.0/24
default deny //默認策略咱們設置爲拒絕,設完了回車按 Ctrl+D
Login : zpp
Password : ***********
DN :
Rules :
192.168.1.0/24
61.134.1.0/24
default deny
Is that ok ? (y/n) [y] y
user added. |
說明:上面的設置的用戶名可以是本地系統用戶,也可以不是。我設置的zpp就不是系統用戶。這個用戶的作用就是稍後咱們用這個用戶來連接這臺設備對其進行檢測。認證的方式可以使用證書或密碼。還有後面設的訪問規則可以不寫。它的作用就是允許這個用戶探測哪些網段或主機。
現在我們來使用NessusClient(用戶端),別看它是英文界面,大家進來點兩下就會用了。界面挺酷的,來看看吧!
1. 運行用戶端程序
切換到圖形界面下執行命令“NessusClient &”即可打開NessusClient用戶端軟件。如圖:
2. 連接NessusD服務端
單擊左下方的“Connect”,在彈出的對話框中點擊左下方的“+”號按鈕,設置連接名稱、需要登錄的NessusD服務器地址,以及使用的掃描用戶名/密碼,單擊“Save”保存即可。
說明:我這輸入的連接名稱是Server1;主機名(或IP)是192.168.1.1;端口是1241(默認的)登錄名:zpp,密碼:*******。
3. 添加掃描目標
在“Connection Manager”連接管理器中,選擇上一步創建的“Server1”,然後點擊右下角的“connect”進行連接。
如下圖,就開始連接了,最多10秒鐘就可以連接上。
4. 連接成功後,在“Scan”選項卡中,單擊“Network(s) to scan”欄下方的“+”號按鈕,設置需要掃描的主機或網絡地址。如下圖所示:
這個界面是不是和Solarwinds有點像啊?也是一樣咱們可以以主機查詢、IP範圍查詢、子網查詢等方式掃描。
5. 執行漏洞掃描
返回到“Scan”選項卡,從左側列表中選擇剛設置的掃描目標,在右側列表中選擇“Default scan policy”默認掃描策略,單擊下方的“Scan Now”按鈕,執行漏洞掃描。
說明:這裏我選擇的是默認的策略,如果大家覺得不好的話還可以重新添加。
6. 獲取及分析漏洞檢測報告。
掃完了之後點擊Report選項就可以通過這些信息來確定這個設備目前的狀態。可以看到目前192.168.1.1這臺主機還是比較健康的。如果有漏洞或其它安全隱患時,會以紅色或橙色顯示出來。
OK!這個軟件用起來就是這麼簡單。本人能力有限特別英文這方面所以只能給大家介紹到這裏。這個工具的功能還有很多很多,希望Linux發燒友或是英文水平更高的博友會喜歡它。並挖掘它更多的功能。