您的位置:首页 > 运维架构 > Linux

Linux网关及安全应用之(5)漏洞检测和远程访问控制

2011-06-05 19:06 609 查看
Linux网关及安全应用之(5)漏洞检测和远程访问控制

5.1 构建Nessus漏洞检测系统

5.1.1 安装Nessus漏洞检测系统

1. 下载软件包

访问http://www.nessus.org/download/,分别下载以下两个rpm软件包

Nessus-3.2.1-es5.i386.rpm

NessusClient-3.2.1-es5.i386.rpm

2. 安装软件包

(1) 安装服务器端、客户端rpm包(安装过程中会初始化服务器端插件)

[root@web02 soft]# rpm -ivh Nessus*.rpm

Preparing... ########################################### [100%]

1:NessusClient ########################################### [ 50%]

2:Nessus ########################################### [100%]

nessusd (Nessus) 3.2.0. for Linux

(C) 1998 - 2008 Tenable Network Security, Inc.

Processing the Nessus plugins...

[##################################################]

All plugins loaded

- Please run /opt/nessus//sbin/nessus-adduser to add an admin user

- Register your Nessus scanner at http://www.nessus.org/register/ to obtain

all the newest plugins

- You can start nessusd by typing /sbin/service nessusd start

(2) 添加执行程序路径、帮助文件路径

Nessus的相关执行程序默认位于/opt/nessus/sbin和/opt/nessus/bin/目录下,帮助文件默认位于/opt/nessus/man/目录下,可分别调整环境变量PATH和MANPATH,以方便执行Nessus相关程序及查看帮助。

[root@localhost ~]# vi ~/.bash_profile \\将路径设置添加到配置文件中
export PATH=/opt/nessus/sbin:/opt/nessus/bin:$PATH
export MANPATH=/opt/nessus/man:`manpath`
[root@localhost ~]# source ~/.bash_profile

5.1.2 配置NessusD(服务端)
1. 启动NessusD服务
[root@localhost ~]# service nessusd start
2. 添加扫描用户
执行nessus-adduser脚本,将会进入添加用户的交互式过程,需要依次指定用户名、认证方式、扫描规则等,主要步骤如下。
(1) 输入新设置的用户名,如benet该用户不需要是本地系统用户
(2) 选择认证方式(证书或密码),默认使用密码认证。
(3) 如果选择使用密码认证,则重复输入两次设置的密码,如pwd@123
(4) 设置扫描权限规则(可以为空),即允许该用户探测哪些网段或主机。每行设置一条扫描规则,一般使用“accept|deny IP/mask”的形式,“default deny|accept”的形式用于定义默认规则。规则设置完毕后,按Ctrl+D 组合键提交。
(5) 再次确认以上信息无误后,直接回车即完成用户的添加。
[root@web02 ~]# nessus-adduser

Using /var/tmp as a temporary file holder
Add a new nessusd user

----------------------

Login : benet \\输入设置的用户名

Authentication (pass/cert) [pass] : \\直接回车

Login password : \\输入设置的密码

Login password (again) : \\重复输入密码
User rules

----------

nessusd has a rules system which allows you to restrict the hosts

that benet has the right to test. For instance, you may want

him to be able to scan his own host only.
Please see the nessus-adduser(8) man page for the rules syntax
Enter the rules for this user, and hit ctrl-D once you are done :

(the user can have an empty rules set)

accept 192.168.1.0/24 \\输入允许扫描的网段

accept 10.0.0.0/24

default deny \\设置默认策略为拒绝,回车后按Ctrl+D组合键提交输入

Login : benet

Password : ***********

DN :

Rules :

accept 192.168.1.0/24
accept 10.0.0.0/24

default deny

Is that ok ? (y/n) [y] y

user added.

[root@web02 ~]#

3. 管理扫描用户
nessus-rmuser脚本可以用于删除指定的扫描用户,而nessus-chpasswd用于修改密码。

5.1.3 使用NessusClient(用户端)

1. 运行用户端程序
确认当前系统运行在图形模式中(可执行“init 5”切换),执行命令“NessusClient &”,即可打开NessusClient用户端软件





2. 连接NessusD服务端





3. 添加扫描目标

在“Connection Manager”连接管理器中,选择上一步创建的“New Connection”进行连接。连接成功后,在“Scan”选项卡中,单击“Network(s) to scan”栏下方的“+”号按钮,设置需要扫描的主机或网络地址(如图),如单个主机211.100.1.192。单击“Save”保存。





4. 执行漏洞扫描

返回到“Scan”选项卡,从左侧列表中选择刚设置的扫描目标,在右侧列表中选择“Default scan policy”默认扫描策略,单击下方的“Scan Now”按钮(如图所示),执行漏洞扫描。





5. 获取及分析漏洞检测报告
扫描完成后,可以通过“Report”选项卡查看漏洞检测结果。如图所示



内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息