Nessus
Nessus號稱是世界上最流行的漏洞掃描程序,全世界有超過75000個組織在使用它。該工具提供完整的電腦漏洞掃描服務,並隨時更新其漏洞數據庫。Nessus不同於傳統的漏洞掃描軟件,Nessus可同時在本機或遠端上遙控,進行系統的漏洞分析掃描。對應滲透測試人員來說,Nessus是必不可少的工具之一。所以,本章將介紹Nessus工具的基礎知識。
Nessus概述
Nessus通常包括成千上萬的最新的漏洞,各種各樣的掃描選項,及易於使用的圖形界面和有效的報告。Nessus之所以被人們喜愛,是因為該工具具有幾個特點。如下所示:
提供完整的電腦漏洞掃描服務,並隨時更新其漏洞數據庫;
不同於傳統的漏洞掃描軟件。Nessus可同時在本機或遠程控制,進行系統的漏洞分析掃描;
其運作效能隨着系統的資源而自行調整。如果將主機配置更多的資源(如加快CPU速度或增加內存大小),其效率表現可因為豐富資源而提高;
可自行定義插件;
NASL(Nessus Attack Scripting Language)是由Tenable所發出的語言,用來寫入Nessus的安全測試選項;
完全支持SSL(Secure Socket Layer);
1. Nessus 安裝
1.1 獲取安裝包
官網下載:http://www.tenable.com/products/nessus/select-your-operating-system
根據自己服務器型號選擇版本
可以根據我們自己的需求選擇安裝包。Nessus有兩個版本,分別是Home(家庭版)和Professional(專業版)。這兩個版本的區別如下所示:
家庭版:家庭版是免費的,主要是供非商業性或個人使用。該版比較適合個人使用,並且可以用於非專業的環境。
專業版:專業版是需要付費的。但是,可以免費使用七天。該版主要是供商業人士使用。它包括技術支持或附加功能,如無線並發連接等。
對於大部分人來說,家庭版的功能都可以滿足。所以,這里選擇下載家庭版。在該界面單擊Nessus Home下面的Download按鈕。
1.2 獲取激活碼
http://www.tenable.com/products/nessus/nessus-plugins/obtain-an-activation-code
選擇免費的家庭版進行注冊。
在該界面填寫一些信息,為了獲取激活碼。在該界面First Name和Last Name文本框中,用戶可以任意填寫。但是,Email下的文本框必須填寫一個合法的郵件地址,用來獲取郵件。當以上信息設置完成后,單擊Register按鈕。接下來,將會在注冊的郵箱中收到一份關於Nessus的郵件。進入郵箱打開收到的郵件,將會看到一串數字,類似XXXX-XXXX-XXXX-XXXX,即激活碼。
安裝
家庭版:家庭版是免費的,主要是供非商業性或個人使用。該版比較適合個人使用,並且可以用於非專業的環境。
專業版:專業版是需要付費的。但是,可以免費使用七天。該版主要是供商業人士使用。它包括技術支持或附加功能,如無線並發連接等。
對於大部分人來說,家庭版的功能都可以滿足。所以,這里選擇下載家庭版。在該界面單擊Nessus Home下面的Download按鈕。
1.2 獲取激活碼
http://www.tenable.com/products/nessus/nessus-plugins/obtain-an-activation-code
選擇免費的家庭版進行注冊。
在該界面填寫一些信息,為了獲取激活碼。在該界面First Name和Last Name文本框中,用戶可以任意填寫。但是,Email下的文本框必須填寫一個合法的郵件地址,用來獲取郵件。當以上信息設置完成后,單擊Register按鈕。接下來,將會在注冊的郵箱中收到一份關於Nessus的郵件。進入郵箱打開收到的郵件,將會看到一串數字,類似XXXX-XXXX-XXXX-XXXX,即激活碼。
2. 安裝:
上傳安裝包到服務器,執行如下命令:
rpm -ivh Nessus-10.0.2-es7.x86_64.rpm
啟動:
systemctl start nessusd.service
3. Nessus啟用
使用瀏覽器進行訪問,例如,你的IP為192.168.1.10,則瀏覽器輸入https://192.168.1.10:8834。 需要注意的是Linux下https協議。首先我們需要注冊一個登錄名和密碼。
接下來就是填寫注冊碼,就是剛才我們郵箱獲得的注冊碼,注意此處選擇家庭版。
接下來就是等待安裝插件了。
參考資料:https://www.jianshu.com/p/847a28c1fb1a