◎名稱 nessusd - The server part of the Nessus Security Scanner ◎前言 這幾天由於與國家資通安全會報的人員有所接觸. 提到了伺服器安全掃瞄部分,恰巧在資通安全的網頁上發現了這個nessus, 所以到FreeBSD來試試看. ◎描述 The Nessus Security Scanner是一個安全稽核程式,分成server和clIEnt兩個部分 server部分,nessusd,當clinet登入nessus後,負責攻擊的部分. nessusd的攻擊形式是採用外部模組(plugin)的方式. 因為nessusd是一種系統掃描程式,所以隨意讓每一個人使用是非常危險的. 不過經由適當的設定,可以避免不當的使用. ◎語法 nessusd [-v] [-h] [-c config-file] [-a address ] [-p port-number] [-D] [-d] ◎參數 -c <config-file> , 指定nessusd啟動設定檔位置. --config-file=<config-file> (預設為/usr/local/etc/nessus/nessusd.conf) -a <address> , 讓nessusd server只有針對某個ip位址監聽, --listen=<address> 舉例來說: "nessusd -a 192.168.1.1" 只會針對該ip進行監聽, 可以避免外界人士使用...address須為ip位址. -p <port-number> , 指定nessusd執行監聽的埠號(port number). --port=<port-number> (預設為1241) -D , --background 以背景模式(daemon mode)執行nessusd -d , --dump-cfg 使nessusd轉儲(dump)抱怨或錯誤訊息. -v , --version 顯示nessusd的版本資訊. -h , --help 顯示nessusd的簡易說明畫面. ◎nessusd 設定檔 預設的設定檔位置/usr/local/etc/etc/nessusd.conf 包含下列參數: plugins_folder nessusd plugins的資料夾位置.通常是/usr/local/lib/nessus/plugins. logfile nessusd log紀錄檔位置.可以依據需求將log輸出到stderr或是經由syslogd紀錄. max_threads 每一client同一時間測試hosts的最大值. 此一數值須考量您的頻寬及你想要測試的hosts數及其他因素. thread數值越大,當您在測試時就有更多的可能性遺漏封包. 相對的,數值越大測試時的速度也就越快. 依據nessusd manpage作者的測試,在PII 450 128 mb 的記憶體,採用 50 threads, 來測試1整個class c (0/24)仍能夠運作的十分順暢. users nessusd使用者的資料庫位置. rules nessusd 限制規則的資料庫位置. language nessusd傳送測試結果給clinet端所使用的語言設定. 目前可以使用的語言只有英文和法文. checks_read_timeout nessusd測試timeout的時間設定.若您處在一個慢速的網路,應該把這個值稍微調大. ◎nessusd 使用者資料庫 此資料庫包含可以使用nessusd的所有使用者.為什麼要有很多使用者 而不是只讓一個使用者使用nessus? 因為你可以設定一些規則,使每一個使用者依照不同的權限做不同的事情 可以達到分工的效果. ◎nessusd 限制規則資料庫 每一規則有相同的格式: keyWord IP/mask 其中關鍵字(keyword)是 deny(拒絕),accept(接受),或是default(預設值) 此外 ! (驚嘆號) 表示not (否定). 規則舉例: accept 127.0.0.0/8 (接受127.0.0.0/8 此class A,包含127.0.0.1 也就是localhost ) deny 192.168.1.1/32 (拒絕192.168.1.1/32 /32表示1/256個class c ) deny !192.168.0.0/16(接受192.168.0.0/16 此段class B ) default deny (預設是拒絕) ==> 允許使用者測試localhost,和所有192.168.0.0/16 這個class B,除了192.168.1.1 之外. 若你只要讓該使用者能夠測試自己本身可以利用clinet_ip這個特殊關鍵字 accept client_ip/32 default deny ◎安裝 1.採用port安裝 別忘了更新ports tree 2.過程如下圖: ◎啟動nessusd # nessusd -D ◎作者 Nessus乃是由 Renaud Deraison <deraison@cvs.nessus.org> 開始發展及維護. ◎參考資料 http://www.nessus.org/ (官方網站) http://cvs.nessus.org/ (研發網站) nessusd(8) ** 隨意掃瞄他人的系統,是違法的.在進行掃瞄前,請務必考量清楚. 別拿自己的前途開玩笑喔...
标签: