Nessus漏洞扫描教程之安装Nessus工具
Nessus漏洞掃描教程之安裝Nessus工具
Nessus基礎(chǔ)知識(shí)
Nessus號(hào)稱是世界上最流行的漏洞掃描程序,全世界有超過(guò)75000個(gè)組織在使用它。該工具提供完整的電腦漏洞掃描服務(wù),并隨時(shí)更新其漏洞數(shù)據(jù)庫(kù)。Nessus不同于傳統(tǒng)的漏洞掃描軟件,Nessus可同時(shí)在本機(jī)或遠(yuǎn)端上遙控,進(jìn)行系統(tǒng)的漏洞分析掃描。對(duì)應(yīng)滲透測(cè)試人員來(lái)說(shuō),Nessus是必不可少的工具之一。所以,本章將介紹Nessus工具的基礎(chǔ)知識(shí)。
Nessus概述
Nessus通常包括成千上萬(wàn)的最新的漏洞,各種各樣的掃描選項(xiàng),及易于使用的圖形界面和有效的報(bào)告。Nessus之所以被人們喜愛(ài),是因?yàn)樵摴ぞ呔哂袔讉€(gè)特點(diǎn)。如下所示:
q提供完整的電腦漏洞掃描服務(wù),并隨時(shí)更新其漏洞數(shù)據(jù)庫(kù)。
q不同于傳統(tǒng)的漏洞掃描軟件。Nessus可同時(shí)在本機(jī)或遠(yuǎn)程控制,進(jìn)行系統(tǒng)的漏洞分析掃描。
q其運(yùn)作效能隨著系統(tǒng)的資源而自行調(diào)整。如果將主機(jī)配置更多的資源(如加快CPU速度或增加內(nèi)存大小),其效率表現(xiàn)可因?yàn)樨S富資源而提高。
q可自行定義插件。
qNASL(Nessus Attack Scripting Language)是由Tenable所發(fā)出的語(yǔ)言,用來(lái)寫入Nessus的安全測(cè)試選項(xiàng)。
q完全支持SSL(Secure Socket Layer)。
安裝Nessus工具
為了順利的使用Nessus工具,則必須要將該工具安裝在系統(tǒng)中。Nessus工具不僅可以在電腦上使用,而且還可以在手機(jī)上使用。本節(jié)將介紹在不同操作系統(tǒng)平臺(tái)及手機(jī)上安裝Nessus工具的方法。
獲取Nessus軟件包
在安裝Nessus工具之前,首先要獲取該工具的安裝包。而且,Nessus工具安裝后,必須要激活才可使用。所以,下面將分別介紹獲取Nessus安裝包和激活碼的方法。
1.獲取Nessus安裝包
Nessus的官方下載地址是:
http://www.tenable.com/products/nessus/select-your-operating-system
在瀏覽器中輸入以上地址,將打開如圖1.1所示的界面。
圖1.1下載Nessus軟件包
從該界面可以看到Nessus有兩個(gè)版本,分別是Home(家庭版)和Professional(專業(yè)版)。這兩個(gè)版本的區(qū)別如下所示:
q家庭版:家庭版是免費(fèi)的,主要是供非商業(yè)性或個(gè)人使用。該版比較適合個(gè)人使用,并且可以用于非專業(yè)的環(huán)境。
q專業(yè)版:專業(yè)版是需要付費(fèi)的。但是,可以免費(fèi)使用七天。該版主要是供商業(yè)人士使用。它包括技術(shù)支持或附加功能,如無(wú)線并發(fā)連接等。
對(duì)于大部分人來(lái)說(shuō),家庭版的功能都可以滿足。所以,這里選擇下載家庭版。在該界面單擊Nessus Home下面的Download按鈕,將顯示如圖1.2所示的界面。
圖1.2下載各種平臺(tái)的Nessus軟件包
從該界面可以看到,官網(wǎng)提供了Nessus工具各種平臺(tái)的安裝包,如Windows、Mac OS X、Linux、FreeBSD等。用戶可以根據(jù)自己的操作系統(tǒng)及架構(gòu),選擇對(duì)應(yīng)的安裝包。例如,下載Windows 64位架構(gòu)的包,則單擊Nessus-6.3.7-x64.msi。單擊該軟件包后,將彈出如圖1.3所示的對(duì)話框。
圖1.3許可證協(xié)議對(duì)話框
該界面顯示了下載Nessus軟件包的許可證協(xié)議信息。這里單擊Agree按鈕,即可開始下載。
2.獲取激活碼
在使用Nessus之前,必須先激活該服務(wù)才可使用。如果要激活Nessus服務(wù),則需要到官網(wǎng)獲取一個(gè)激活碼。下面將介紹獲取激活碼的方法。具體操作步驟如下所示:
(1)在瀏覽器中輸入以下地址:
http://www.nessus.org/products/nessus/nessus-plugins/obtain-an-activation-code
成功訪問(wèn)以上鏈接后,將打開如圖1.4所示的界面。
圖1.4獲取激活碼
(2)在該界面單擊Nessus Home Free下面的Register Now按鈕,將顯示如圖1.5所示的界面。
圖1.5注冊(cè)信息
(3)在該界面填寫一些信息,為了獲取激活碼。在該界面First Name和Last Name文本框中,用戶可以任意填寫。但是,Email下的文本框必須填寫一個(gè)合法的郵件地址,用來(lái)獲取郵件。當(dāng)以上信息設(shè)置完成后,單擊Register按鈕。接下來(lái),將會(huì)在注冊(cè)的郵箱中收到一份關(guān)于Nessus的郵件。進(jìn)入郵箱打開收到的郵件,將會(huì)看到一串?dāng)?shù)字,類似XXXX-XXXX-XXXX-XXXX,即激活碼。
(4)當(dāng)成功安裝Nessus工具后,就可以使用以上獲取到的激活碼來(lái)激活該服務(wù)了。
Nessus工具在Windows下安裝
【示例1-1】下面將介紹在Windows下安裝Nessus工具的方法。具體操作步驟如下所示:
(1)雙擊下載的安裝包,將彈出安裝向?qū)?duì)話框,如圖1.6所示。
(2)該對(duì)話框顯示了一些歡迎信息。此時(shí)單擊Next按鈕,將彈出許可證協(xié)議對(duì)話框,如圖1.7所示。
圖1.6安裝向?qū)?duì)話框圖1.7許可證協(xié)議對(duì)話框
(3)該界面顯示了安裝Nessus的許可證信息。此時(shí),選擇I accept the terms in the license agreement單選按鈕。然后單擊Next按鈕,將彈出安裝位置對(duì)話框,如圖1.8所示。
(4)該界面可以選擇Nessus工具的安裝位置,默認(rèn)將安裝在C:Program FilesTenableNessus目錄中。如果用戶希望安裝到其它位置,則單擊Change...按鈕,選擇其安裝位置。本例中使用默認(rèn)的安裝位置,并單擊Next按鈕,將彈出準(zhǔn)備安裝對(duì)話框,如圖1.9所示。
圖1.8選擇安裝位置對(duì)話框圖1.9準(zhǔn)備安裝對(duì)話框
(5)該界面提示將開始安裝Nessus工具。此時(shí),單擊Install按鈕,將開始安裝。安裝完成后,將彈出安裝完成向?qū)?duì)話框,如圖1.10所示。
(6)從該界面可以看到Nessus工具已安裝完成。此時(shí),單擊Finish按鈕,退出安裝向?qū)Ы缑妫瑢⒆詣?dòng)在網(wǎng)頁(yè)中打開繼續(xù)配置界面,如圖1.11所示。
圖1.10安裝完成對(duì)話框圖1.11歡迎使用Nessus
(7)該界面提示訪問(wèn)Nessus服務(wù)需要通過(guò)SSL協(xié)議,在該界面點(diǎn)擊clicking here鏈接,將打開如圖1.12所示的界面。
圖1.12安全證書
(8)該界面提示證書存在錯(cuò)誤,是因?yàn)樵撜军c(diǎn)使用了不受信任的自簽名的SSL證書。如果確認(rèn)該站點(diǎn)沒(méi)問(wèn)題,則單擊“繼續(xù)瀏覽此網(wǎng)站”選項(xiàng),將顯示如圖1.13所示的界面。
圖1.13歡迎信息圖1.14初始化用戶設(shè)置
(9)該界面顯示了Nessus工具的歡迎信息。此時(shí),單擊Continue按鈕,將顯示如圖1.14所示的界面。
(10)該界面用來(lái)創(chuàng)建一個(gè)帳號(hào),用戶管理Nessus服務(wù)。這里創(chuàng)建一個(gè)名為admin的用戶,并為該用戶設(shè)置一個(gè)密碼。設(shè)置完成后,單擊Continue按鈕,將顯示如圖1.15所示的界面。
圖1.15填寫激活碼圖1.16加載Nessus插件
(11)在該界面Activation Code對(duì)應(yīng)的文本框中,輸入前面獲取到的激活碼。然后,單擊Continue按鈕,將開始加載Nessus中的插件,如圖1.16所示。
(12)從該界面可以看到正在下載插件,并進(jìn)行初始化。此過(guò)程,大概需要十分鐘的時(shí)間。當(dāng)初始化完成后,將顯示如圖1.17所示的界面。
(13)該界面是登錄Nessus服務(wù)界面。在該界面輸入的用戶名和密碼,就是在前面初始化過(guò)程中創(chuàng)建的用戶和密碼。輸入用戶名和密碼后,單擊Sign In按鈕,即可成功登錄Nessus服務(wù)。
提示:以上過(guò)程中的Nessus服務(wù)登錄界面,是自動(dòng)彈出的。當(dāng)用戶關(guān)閉后,則需要重新登錄。此時(shí),用戶在瀏覽器中輸入https://IP:8834/或https://主機(jī)名:8834/地址,即可打開如圖1.12所示的界面。然后,選擇“繼續(xù)瀏覽此網(wǎng)站”選項(xiàng),即可打開登錄頁(yè)面。
圖1.17登錄Nessus服務(wù)
Nessus工具在Linux下安裝
【示例1-2】下面將以RHEL 6.4為例,介紹在Linux下安裝Nessus工具的方法。具體操作步驟如下所示:
(1)從官網(wǎng)上下載安裝包。本例中下載的安裝包文件名為Nessus-6.3.7-es6.i386.rpm。
(2)將下載的安裝包復(fù)制到RHEL 6.4中,本例中復(fù)制到/root下。接下來(lái),就可以安裝Nesus工具了。執(zhí)行命令如下所示:
[root@Server ~]# rpm -ivh Nessus-6.3.7-es6.i386.rpm
warning: Nessus-6.3.7-es6.i386.rpm: Header V4 RSA/SHA1 Signature, key ID 1c0c4a5d: NOKEY
Preparing...########################################### [100%]
1:Nessus########################################### [100%]
Unpacking Nessus Core Components...
nessusd (Nessus) 6.3.7 [build M20026] for Linux
Copyright (C) 1998 - 2015 Tenable Network Security, Inc
Processing the Nessus plugins...
[##################################################]
All plugins loaded (1sec)
- You can start nessusd by typing /sbin/service nessusd start
- Then go to https://Server:8834/ to configure your scanner
看到輸出以上類似信息,則表示Nessus工具安裝完成。接下來(lái),用戶在瀏覽器的地址欄中輸入https://Server:8834/或https://IP:8834,即可訪問(wèn)Nessus服務(wù)。
提示:在Linux系統(tǒng)中,Nessus工具默認(rèn)安裝在/opt/nessus目錄中。
同樣,如果要在Linux下使用Nessus工具,也需要先激活該服務(wù)。其中,激活方法和Windows下的激活方法是相同的。唯一不同的是,信任證書方式不同。如下所示:
(1)在RHEL 6.4的瀏覽器地址欄中輸入https://IP:8834,訪問(wèn)Nessus服務(wù)。本例中,主機(jī)的IP地址是192.168.1.102,所以輸入的地址為https://192.168.1.102:8834/。在瀏覽器地址欄中輸入該地址后,將打開如圖1.18所示的界面。
圖1.18連接不受信任圖1.19了解風(fēng)險(xiǎn)
注意:Nessus服務(wù)使用的是https協(xié)議,而不是http協(xié)議。
(2)在該界面顯示該連接不受信任。這是因?yàn)镹essus是一個(gè)安全連接(HTTPS協(xié)議),所以需要被信任后才允許登錄。此時(shí),在該界面單擊“我已充分了解可能的風(fēng)險(xiǎn)”選項(xiàng),將顯示如圖1.19所示的界面。
(3)該界面顯示了該連接可能存在的風(fēng)險(xiǎn)。此時(shí),單擊“添加例外”按鈕,將顯示如圖1.20所示的界面。
圖1.20添加安全例外圖1.21 Nessus歡迎界面
(4)在該界面單擊“確認(rèn)安全例外”按鈕,將顯示如圖1.21所示的界面。
(5)接下來(lái),就和Windows下激活Nessus的方法一樣了。所以,這里不再贅述。
本文選自:Nessus漏洞掃描基礎(chǔ)教程大學(xué)霸內(nèi)部資料,轉(zhuǎn)載請(qǐng)注明出處,尊重技術(shù)尊重IT人!
總結(jié)
以上是生活随笔為你收集整理的Nessus漏洞扫描教程之安装Nessus工具的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 常用邮箱SMTP服务器地址大全
- 下一篇: 肠胃炎能不能吃米粉