注:转载 http://blogt.chinaunix.net/space.php?uid=21546393&do=blog&id=3026338
在渗透测试领域,自动的漏洞扫描工具是非常重要的,在不同的环境中专家使用不同的工具。在下文中,我们将讨论网络漏洞扫描工具--Nessus,你在网络上会发现关于nessus的许多不同的文章,但是我们将要从头讨论nessus。
Nessus 是由Tenable network security开发的,它有非商业版本的提供给家庭用户。它是一个网络漏洞扫描起,可以使用它找出系统上非常严重的bugs,它能够检测出如下漏洞:×错误配置或没有打补丁的服务;
×默认的密码,普通的密码,一般的弱密码;
×系统上可利用的漏洞;
×其他等;
它适用于不同的操作系统,现在我们来学习在ubuntu或其他Linux系统上的安装步骤,
(1)首先,下载nessus(http://www.nessus.org/products/nessus);
(2)下载成功后,把文件至于Home Folder中;
(3)现在,打开终端terminal,然后输入:
sudo dpkg -i Nessus-x.x.x-debian5_i386.deb
(4)Nessus-x.x.x-debian5_i386.deb 这个可能有变动,依自己下载的为准;
(5)安装完成之后,在terminal中操作增加用户:
sudo /opt/nessus/sbin/nessus-adduser
(6)然后输入你的登录名和密码(作为root用户);
(7)然后去http://www.nessus.org/register登记获得激活码;
(8)打开你的邮箱复制激活码,然后在终端你们输入:
sudo /opt/nessus/bin/nessus-fetch --register 贴上你的激活码
(9)现在开启nessus:
sudo /etc/init.d/nessusd start
(10)打开游览器并输入:
https://127.0.0.1:8834/
(11)在打开的nessus的页面中输入你所设置的用户名和密码;
(12)完成。
×××××××××××××××××可能的问题及解决的方法×××××××××××××××
注:如果按照上述方法操作的过程中出现如下错误:
Fetching the newest updates from nessus.org...
[Wed Nov 23 18:54:36 2011][5169.0] Could not open connection to plugins.nessus.org:443
Could not verify the signature of all-2.0.tar.gz
解决之法:通过在线的方式激活以及获得插件包:
(1)删除文件nessus-fetch.rc:
rm /opt/nessus/etc/nessus/nessus-fetch.rc
(2)重新登记取得的 Active code:http://www.nessus.org/register.php;
(3)需要透過指令 nessus-fetch --challenge 來取得 challenge code:
/opt/nessus/bin/nessus-fetch --challenge
(4)登上https://plugins.nessus.org/offline.php后,输入Challenge code 和active code
之后将获得nessus-fetch.rc和all-2.0.tar.gz插件的下载链接地址,将其下载到本地
(5)把所获得的nessus-fetch.rc复制到: /opt/nessus/etc/nessus/下
(6)Nessus 的 plugin 檔案名稱為 all-version.tar.gz 透過 nessus-update-plugins 來匯入:
/opt/nessus/sbin/nessus-update-plugins /root/all/all-2.0.tar.gz
(7)重新启动,ok
××××××××××××××××××××××××××××××××××××××××××××
小指导:
nessus安装到主机之后,需要激活和插件才能使用。而激活可通过网页在线份的方式进行,得到两个至关重要的文件:nessus-fetch.rc和all-2.0.tar.gz
####################################################################