NESSUS

установка/настройка/разбор

Спецвыпуск Xakep, номер #023, стр. 023-048-2


Для того чтобы запустить этот самый nessus-сервер, надо сначала выполнить команду:

nessus-mkcert

Это команда создаст какой-то идиотский сертификат (скрин 2), который нам, в общем-то, и на фиге не нужен. Скрипт будет задавать всякие дурацкие вопросы - если не охота ковырять, просто нажимай везде Enter, будет все по дефолту.

Теперь необходимо создать юзера на nessus-сервере. Надо это, чтоб всякие левые хаксоры не могли воспользоваться установленным тобой nessus-сервером. Вбивай:

nessus-adduser

Прога предложит тебе ввести имя пользователя, выбрать метод аутентификации (соглашайся на pass), ввести логин и определить правила для этого пользователя. У nessus-сервера есть механизм ограничения прав пользователей, и правила каждого пользователя определяют, какие хосты он может сканить и анализировать на ошибки (проще говоря, на какие хосты он может натравить nessus). Объясню, как это работает, на случай если ты вдруг захочешь создать аккаунт своему младшему братишке, но такой, чтоб он сканить комп только младшей сестренки, а не сервера, скажем, Microsoft'а. У каждого пользователя может быть бесконечное количество правил. Правило – это одна строка следующего формата:

accept|deny ip

Первая часть строки (accept|deny) – это действие, которое распространяется на втору часть – на IP'шник. Действие может быть либо accept (разрешить), либо deny (запретить), а IP'шник может быть любым (более того, можно задавать не один айпи, а маску, в которую может войти несколько адресов). Логика простая: берется IP и смотрится, какое действие к нему привязано – accept или deny. Если accept, то пользователю разрешается сканить этот IP, если deny, то, соответственно, иди на фиг и все такое :). Так как правил много, можно задавать сколько угодно IP'шников, к которым у юзера будет доступ или нет. Кроме того существует еще и завершающее правило, которое имеет формат:

default accept|deny

Оно определяет, что делать, если юзер решил посканить IP, который не определен ни в одном из его правил. Соответственно, если вбить default accept, сервер разрешит пользователю сканить такие адреса, если же default deny – посылает далеко.

Короче, если комп твоей сестренки имеет адрес 192.168.0.65, то следующее правило запретит твоему братишке сканить что-либо, кроме ее компа:

accept 192.168.0.65

default deny

Можно сканить только 192.168.0.65, все остальное – гуляй. Это касательно твоего мелкого братишки, а если ты создаешь аккаунт для себя (и, естественно, не хочешь иметь никаких ограничений), то вообще не вводи никаких правил – просто нажми Cterl-D. В итоге должно получиться что-то типа этого (скрин 1).

Фууу, вроде всю подготовительно-настроечную работу nessus-сервера провели, теперь можно и запустить его. Вбивай:

nessusd –D –p 1090

Этим ты запустишь демон сервера в бэкграунд-моде на порту 1090. Все, теперь он будет ждать соединения клиента. Чтоб запустить последнего достаточно просто набрать в командной строке слово nessus и нажать Enter. Появится окно Nessus'а. В нем есть несколько закладок – давай пройдемся по ним.

Назад на стр. 023-048-1  Содержание  Вперед на стр. 023-048-3