今天来搭一个Linux下的漏洞检测系统。咱们使用Nessus这款软件。Nessus是目前比较流行的网络漏洞扫描与分析工具,由服务端(NessusD)和用户端(NessusClient)两个部分组成,核心的扫描工作和插件扩展由服务器端进行,用户端可以指定扫描策略和目标。服务器端能够限制用户扫描哪些目标网络或主机,并通密码或密钥的方式对用户进行登录认证。
这个工具用的时候感觉界面有些像windows下的网管软件Solarwinds,但它比Solarwinds智能一些,属于漏洞检测工具。如果它发现设备有异常,比如开了一些不安全的服务,就会用以显眼的颜色标出来,并且会给出解决方案。更重要的是它具有一定的风险评估能力。下面咱们来看看这款软件是如何使用的。
首先是安装Nessus漏洞检测系统。步骤很简单软件可以从下面的链接下载到。下面是具体的步骤:
1. 下载软件包
Nessus-3.2.1-es5.i386.rpm
NessusClient-3.2.1-es5.i386.rpm
2. 安装软件包
1> 安装服务器端、客户端rpm 包
说明:我这里是给大家介绍这个软件,所以为了简单我就把客户端和服务器端装在一起了。安装起来挺快的,初始化可能稍微慢点(大概二分钟)
2> 添加执行程序路径、帮助文件路径
说明:Nessus的相关执行程序默认位于/opt/nessus/sbin/和/opt/nessus/bin/目录下,帮助文件默认位于/opt/nessus/man目录下。可分别调整环境变量PATH和MANPATH。这样的话我们执行程序或查看帮助时会更方便一些。
然后我们来配置NessusD服务端,配置起来也是非常简便。启个服务添加一个用户即可。
1. 启动NesusD服务
2. 添加扫描用户
安装好之后咱们就可以使用命令nessus-adduser添加扫描用户
|
[root@localhost ~]# nessus-adduser
Using /var/tmp as a temporary file holder
Add a new nessusd user
----------------------
Login : zpp //输入设置的用户名
Authentication (pass/cert) [pass] : //回车
Login password : //设置密码
Login password (again) : //确认密码
User rules
----------
nessusd has a rules system which allows you to restrict the hosts
that zpp has the right to test. For instance, you may want
him to be able to scan his own host only.
Please see the nessus-adduser(8) man page for the rules syntax
Enter the rules for this user, and hit ctrl-D once you are done :
(the user can have an empty rules set)
192.168.1.0/24 //设置允许扫描的网段
61.134.1.0/24
default deny //默认策略咱们设置为拒绝,设完了回车按 Ctrl+D
Login : zpp
Password : ***********
DN :
Rules :
192.168.1.0/24
61.134.1.0/24
default deny
Is that ok ? (y/n) [y] y
user added. |
说明:上面的设置的用户名可以是本地系统用户,也可以不是。我设置的zpp就不是系统用户。这个用户的作用就是稍后咱们用这个用户来连接这台设备对其进行检测。认证的方式可以使用证书或密码。还有后面设的访问规则可以不写。它的作用就是允许这个用户探测哪些网段或主机。
现在我们来使用NessusClient(用户端),别看它是英文界面,大家进来点两下就会用了。界面挺酷的,来看看吧!
1. 运行用户端程序
切换到图形界面下执行命令“NessusClient &”即可打开NessusClient用户端软件。如图:
2. 连接NessusD服务端
单击左下方的“Connect”,在弹出的对话框中点击左下方的“+”号按钮,设置连接名称、需要登录的NessusD服务器地址,以及使用的扫描用户名/密码,单击“Save”保存即可。
说明:我这输入的连接名称是Server1;主机名(或IP)是192.168.1.1;端口是1241(默认的)登录名:zpp,密码:*******。
3. 添加扫描目标
在“Connection Manager”连接管理器中,选择上一步创建的“Server1”,然后点击右下角的“connect”进行连接。
如下图,就开始连接了,最多10秒钟就可以连接上。
4. 连接成功后,在“Scan”选项卡中,单击“Network(s) to scan”栏下方的“+”号按钮,设置需要扫描的主机或网络地址。如下图所示:
这个界面是不是和Solarwinds有点像啊?也是一样咱们可以以主机查询、IP范围查询、子网查询等方式扫描。
5. 执行漏洞扫描
返回到“Scan”选项卡,从左侧列表中选择刚设置的扫描目标,在右侧列表中选择“Default scan policy”默认扫描策略,单击下方的“Scan Now”按钮,执行漏洞扫描。
说明:这里我选择的是默认的策略,如果大家觉得不好的话还可以重新添加。
6. 获取及分析漏洞检测报告。
扫完了之后点击Report选项就可以通过这些信息来确定这个设备目前的状态。可以看到目前192.168.1.1这台主机还是比较健康的。如果有漏洞或其它安全隐患时,会以红色或橙色显示出来。
OK!这个软件用起来就是这么简单。本人能力有限特别英文这方面所以只能给大家介绍到这里。这个工具的功能还有很多很多,希望Linux发烧友或是英文水平更高的博友会喜欢它。并挖掘它更多的功能。