系統環境:
本篇的安裝環境主要為Solaris 8,之前的版本安裝方式也大致相同,但因為並沒有在其他版本上實際安裝過,所以或許有未知的問題,如有安裝上的疑問,歡迎提出來討論。
系統需求:
在安裝Nessus前,請先確認已經安裝下列軟體:
Solaris 8使用者可以先從Solaris 8 Companion CD中尋找這些軟體,或者可以至SunFreeWare(Mirror站台)下載及安裝包裝好的package
1. Gzip –
解壓縮軟體,會安裝在/usr/local/bin下,所以可能要自行增加這個PATH
/opt#pkgadd –d ./ gzip-1.3-sol8-sparc-local
2. Gcc –
Solaris內附的C Compiler並不能編譯Nessus,如果已經安裝了其他合用的Compiler,則gcc可以不用安裝。
/opt# gunzip gcc-3.0.1-sol8-sparc-local.gz
/opt#pkgadd –d ./ gcc-3.0.1-sol8-sparc-local
註:gcc會自動安裝在/usr/local/bin下,可以做一個symbol link將/usr/ucb/cc連結到/usr/local/bin/gcc,使gcc成為預設的compiler
/opt# mv /usr/ucb/cc /usr/ucb/cc.bak
/opt# ln -s /usr/local/bin/gcc /usr/ucb/cc
3. Gimp ToolKit(GTK) –
Gtk主要是Nessus的Client端介面要使用的,gtk與glib是分別安裝的,所以要安裝兩個package,SunFreeWare上有一些安裝上的注意事項,請仔細閱讀。
/opt#gunzip gtk+-1.2.10-sol8-sparc-local.gz
/opt#pkgadd –d ./gtk+-1.2.10-sol8-sparc-local
/opt#gunzip glib-1.2.10-sol8-sparc-local.gz
/opt#pkgadd –d ./glib-1.2.10-sol8-sparc-local
4. Nmap Port Scanner –
Nmap是極負盛名的Port Scanner,Nessus會應用它來做port scan的動作。
/opt#gunzip nmap-2.54BETA28-sol8-sparc-local.gz
/opt#pkgadd –d ./nmap-2.54BETA28-sol8-sparc-local
5. 另外Nessus的實驗性版本可能會用到一些其他的軟體例如OpenSSL等,請參閱Nessus網站(
http://www.ne....org)
安裝Nessus:
Nessus目前有兩種版本 – 穩定的stable以及開發及實驗中的experimental,建議沒有經驗的使用者以安裝stable為佳。
Nessus stable目前最新版本為1.0.9,Nessus網站上有兩種安裝方式,一種較簡易也較為危險:
/opt# lynx -source
http://install....s.org | sh
註:若沒有lynx則須另外安裝
另一種則是下載script後安裝,可以至
ftp://ftp.nessus.org/pub...sus-1.0.9/ 或是在stable網頁(
http://www.nessus....ix.html)有伺服器列表。
/opt# chmod 744 nessus-installer.sh
/opt# ./nessus-installer.sh
開始安裝後,Nessus會先詢問一些問題:
Where do you want the whole Nessus package to be installed ?
[/usr/local]
預設是將Nessus裝在/usr/local,請自行依系統配置調整。
The experimental features are a set of extra features designed to simplify
The daily use of Nessus. As their name imply, they may not be bug free.
Visit
http://www.nessus.org/...tion.html for details
Do you want the Nessus experimental features to be enabled ? [n]
Nessus詢問是否需要安裝experimental版本,預設為否。
Nessus is now ready to be installed on this host.
The installation process will first compile it then install it
Press ENTER to continue
按了Enter後Nessus即開始安裝至完成。
設定Nessus:
安裝完成後的Nessus主要在四個目錄下,/usr/local/bin下有Nessus Client,/usr/local/sbin下則有管理Nessus的工具以及Nessus Daemon,/usr/local/etc下有Nessus的設定檔以及使用者帳號, Nessus的所有plugin則擺在/usr/local/lib/nessus下。
Nessus管理自己的帳號資料,並且可以針對每個帳號設定使用規則,這樣可以允許許多Nessus Client共用一個Nessus Daemon。
新增Nessus使用者:
/usr/local/sbin# ./nessus-adduser
Add a new nessusd user
----------------------
Login : test
輸入自訂的UserID
Authentication method (cipher/plaintext) [cipher] :
認證方式是要加密還是明碼傳送,預設為加密
Is "test" a local user on this machine [y|n]?
是否為本機使用者
如果為本機使用者則有如下訊息,而密碼則為本機上的使用者密碼。
Ok, treating user "test" as a local user.
如果不是本機使用者則須設定Client來源及密碼,這樣可以方便管理使用者以及防止不當濫用。
Source restriction
------------------
You can, if you will, configure this account so that it can only
be used from a given host or subnet. For instance, you may want
root to be able to connect to this nessusd server only from
his work machine.
Please enter the host (or subnet) root is allowed to connect from.
A blank entry will allow him to connect from anywhere
The entry format must be an IP address followed by an optional netmask.
Hostnames are *not* accepted
Examples of valid entries :
192.168.1.5
192.168.1.0/24
192.168.1.0/255.255.255.0
Invalid entry :
prof.fr.nessus.org
Source host or network [anywhere] :
設定Client來源,預設為沒有限制,設定方式可參看上面說明,只能使用IP及netmask的表示法。
One time password :
設定登入的密碼
這裡可以設定使用者的掃描範圍,設定方式可以man nessus-adduser。
User rules
----------
nessusd has a rules system which allows you to restrict the hosts
that root has the right to test. For instance, you may want
him to be able to scan his own host only.
Please see the nessus-adduser( man page for the rules syntax
Enter the rules for this user, and hit ctrl-D once you are done :
(the user can have an empty rules set)
在這裡設定掃描的範圍,設定完或是不須設定按ctrl-D結束。
Login : test
Auth. method : cipher, local user connecting from 127.0.0.1
Rules :
Is that ok ? (y/n) [y]
最後將剛剛設定的所有資料表列一次確認是否有誤,一切無誤就設定完成。
啟動Nessus Daemon:
啟動Nessus Daemon的方法如下:
/usr/local/sbin# ./nessusd –D
如需一開機即起動,請將其加入/etc/rc.local中。
更新plug-in:
Nessus提供了一個很簡單的小工具可以直接更新plugins而不需要下載最新的plugin回來安裝,使用方法很簡單如下:
/usr/local/sbin# ./nessus-update-plugins
可將指令加進crontab中定時執行。
現在可以開始使用Nessus掃描了。
其他相關網頁:
Security Scanner 'Nessus' on Solaris:
http://www.sunhelpdesk.com.../nessus.htm How to install Nessus on a Unix-like system:
http://www.nessus.o...ll.html