基于Nessus的主机网络安全检测[第九期]

八重樱

ChinaUnix网友：kns1024wh

Linux主机网络安全检测
　　采用基于OpenSource的 Nessus实现对Linux主机网络安全检测，Nessus是一个OPENSOURCE的功能强大而又易于使用的远程安全扫描器。安全扫描器的功能是对指定网络进行安全检查，找出该网络是否存在有导致对手攻击的安全漏洞。Nessus系统架构被设计为client/sever模式，服务器端负责进行安全检查，客户端用来配置管理服务器端。检查的结果可以HTML、纯文本、LaTeX（一种文本文件格式）等几种格式保存。
　　在Nessus客户端，用户可以指定运行Nessus服务的机器、使用的端口扫描器及测试的内容及测试的IP地址范围。Nessus本身是工作在多线程基础上的，所以用户还可以设置系统同时工作的线程数。这样用户在远端就可以设置Nessus的工作配置了。安全检测完成后，服务端将检测结果返回到客户端，客户端生成直观的报告。在这个过程当中，由于服务器向客户端传送的内容是系统的安全弱点，为了防止通信内容受到监听，其传输过程还可以选择加密。
Nessus由客户端和服务器端两部分组成。使用Nessus首先需要完成服务器端的安装及设置。

图：Nessus应用架构图

安装Nessus安装步骤
Nessus服务器端RPM包安装

[root@dr ~]# rpm -ivh Nessus-3.2.1-es5.x86_64.rpm Preparing... ########################################### [100%] 1:Nessus ########################################### [100%] nessusd (Nessus) 3.2.1. for Linux (C) 1998 - 2008 Tenable Network Security, Inc. Processing the Nessus plugins... [##################################################] All plugins loaded - Please run /opt/nessus//sbin/nessus-adduser to add an admin user - Register your Nessus scanner at http://www.nessus.org/register/ to obtain all the newest plugins - You can start nessusd by typing /sbin/service nessusd start

Nessus安装到/opt目录中，目录信息如下：

[root@rs3 nessus]# pwd /opt/nessus [root@rs3 nessus]# ls bin com etc lib man sbin share var

创建Nessus用户
　　Nessus服务端有自己的用户资料库，其中对每个用户都做了约束。用户可以在整个网络范围内通过nessusd服务端进行安全扫描。 Nessus-adduser是Nessusd的附带工具，安装完毕后，在安装目录下会产生这个程序。
创建用户的方法如下：

[root@rs3 snort]# /opt/nessus/sbin/nessus-adduser Using /var/tmp as a temporary file holder Add a new nessusd user ---------------------- Login : admin //输入用户名 Authentication (pass/cert) [pass] : pass //选择认证方式 Login password : //输入口令 Login password (again) : //输入口令 User rules ---------- nessusd has a rules system which allows you to restrict the hosts that admin has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser( man page for the rules syntax Enter the rules for this user, and hit ctrl-D once you are done : (the user can have an empty rules set) Login : admin Password : *********** DN : Rules : Is that ok ? (y/n) [y] user added.

配置Nessus服务端程序Nessusd
它的配置文件为nessusd.conf，位于/opt/nessus/etc/nessus目录下。一般情况下，不建议你改动其中的内容，除非你确实有需要。
启动nessusd
在上面的准备工作完成后，以root用户的身份用下面的命令启动服务端

[root@rs3 nessus]# service nessusd start Starting Nessus services: [ OK ]

确认Nessus已经启动，查看日志信息

[root@rs3 nessus]# tail -f /opt/nessus/var/nessus/logs/nessusd.messages [Mon Aug 25 10:25:22 2008][11024] nessusd 3.2.1 (build A919) started

确认Nessus已经启动，检测进程状态信息

[root@rs3 nessus]# ps -ed|grep nessus 11024 ? 00:00:00 nessusd

确认Nessus已经启动，检测网络端口状态信息

[root@rs3 nessus]# netstat -ant|grep 1241 tcp 0 0 0.0.0.0:1241 0.0.0.0:* LISTEN tcp 0 0 :::1241 :::* LISTEN

安装Nessus客户端
为便于扫描操作，可以将Nessus客户端安装在一台Windows XP上，并开放Nessus服务端主机的1241端口。
开放1241 Nessus服务器端口

[root@rs3 nessus]# iptables -I INPUT -p tcp --dport 1241 -j ACCEPT

安装Nessus Windows Client（具体过程略）。
执行Nessus进行安全扫描
按照上面的方法启动Nessus的服务进程后，就可以运行Nessus Windows Client客户端程序开始安全扫描。
运行Nessus客户端,建立与服务器的链接

图：选择Connect链接到您选择的服务器

图：配置Nessus服务端连接信息

图：设置好的Nessus服务端连接信息

选择connect进行连接

图：已经与Nessus服务端建立连接

添加需要检查的目标服务器

图：输入要检查的目标机器地址

在这个里面可以根据选项自行选择是扫描多台目标机器或者单台.然后选择 save .
配置本地扫描规则
在Nessus 客户端界面中点击右面的 select a scan policy 栏目中的+ 添加规则.

图：编辑策略 Policy name可根据自己需要自行添加.

进行扫描

图：进行扫描

选择刚刚建立好的扫描策略以及目标服务器的地址.点击 Scan Now 进行扫描.

图：扫描报告

通过Nessus运行日志，确认Nessus运行状态

[root@rs3 nessus]# tail -f /opt/nessus/var/nessus/logs/nessusd.messages [Mon Aug 25 11:35:59 2008][4496] gallery_script_exec.nasl (process 2041) finished its job in 0.000 seconds [Mon Aug 25 11:35:59 2008][4496] user admin : launching aardvark_422_remote_file_include.nasl against 192.168.1.206 [2043] [Mon Aug 25 11:35:59 2008][4496] aardvark_422_remote_file_include.nasl (process 2043) finished its job in 0.000 seconds [Mon Aug 25 11:35:59 2008][4496] user admin : launching nukedit_email_sql_injection.nasl against 192.168.1.206 [2044] [Mon Aug 25 11:35:59 2008][4496] phpdocumentor_1_3_remote_file_inclusion.nasl (process 2042) finished its job in 0.000 seconds [Mon Aug 25 11:35:59 2008][4496] user admin : launching movabletype_320.nasl against 192.168.1.206 [2045]

导出扫描报告，并对nessus扫描报告进行分析，查看Nessus导出报告：

图：报告中出现的High Severity problem(s) found需要详细检测此主机的报告信息

图：查看导出的Nessus报告具体主机信息

图：查看Nessus报告中检测到的端口服务信息，关注Risk factor :内容

　　根据报告的内容关键字Risk factor :确定是否需要安装相关的补丁程序；建议在安装补丁程序后再做一次扫描.这样前后对比一下就可以确认是否有漏掉的补丁没有打上。
　　定期进行弱点扫描；分析弱点扫描分析报告并修正存在的漏洞，通过套件进行更新、修补漏洞，并再次进行弱点扫描，确认漏洞是否已经获得修补。
作者简介：CU网友kns1024wh，目前从事Linux群集方面的具体工作，之前做过多年的IT技术支持、MCT讲师、及REDFLAG的技术合作，技术专长群集、unix主机、AD部署等，您可以通过电子邮件lvsheat@qq.com或者Chinaunix社区与他取得联系。