◎名稱nessusd - The server part of the Nessus Security Scanner◎前言這幾天由於與國家資通安全會報的人員有所接觸.提到了伺服器安全掃瞄部分,恰巧在資通安全的網頁上發現了這個nessus,所以到FreeBSD來試試看.◎描述The Nessus Security Scanner是一個安全稽核程式,分成server和clIEnt兩個部分server部分,nessusd,當clinet登入nessus後,負責攻擊的部分.nessusd的攻擊形式是採用外部模組(plugin)的方式.因為nessusd是一種系統掃描程式,所以隨意讓每一個人使用是非常危險的.不過經由適當的設定,可以避免不當的使用.◎語法nessusd [-v] [-h] [-c config-file] [-a address ][-p port-number] [-D] [-d]◎參數-c , 指定nessusd啟動設定檔位置.--config-file=(預設為/usr/local/etc/nessus/nessusd.conf)-a,讓nessusd server只有針對某個ip位址監聽,--listen= 舉例來說: "nessusd -a 192.168.1.1" 只會針對該ip進行監聽,可以避免外界人士使用...address須為ip位址.-p, 指定nessusd執行監聽的埠號(port number).--port=【FreeBSD nessusd命令介绍】 (預設為1241)-D , --background以背景模式(daemon mode)執行nessusd -d , --dump-cfg使nessusd轉儲(dump)抱怨或錯誤訊息.-v , --version顯示nessusd的版本資訊.-h , --help顯示nessusd的簡易說明畫面.◎nessusd 設定檔預設的設定檔位置/usr/local/etc/etc/nessusd.conf 包含下列參數:plugins_foldernessusd plugins的資料夾位置.通常是/usr/local/lib/nessus/plugins.logfilenessusd log紀錄檔位置.可以依據需求將log輸出到stderr或是經由syslogd紀錄.max_threads每一client同一時間測試hosts的最大值.此一數值須考量您的頻寬及你想要測試的hosts數及其他因素.thread數值越大,當您在測試時就有更多的可能性遺漏封包.相對的,數值越大測試時的速度也就越快.依據nessusd manpage作者的測試,在PII 450 128 mb 的記憶體,採用 50 threads,來測試1整個class c (0/24)仍能夠運作的十分順暢.usersnessusd使用者的資料庫位置.rulesnessusd 限制規則的資料庫位置.languagenessusd傳送測試結果給clinet端所使用的語言設定.目前可以使用的語言只有英文和法文.checks_read_timeoutnessusd測試timeout的時間設定.若您處在一個慢速的網路,應該把這個值稍微調大.◎nessusd 使用者資料庫此資料庫包含可以使用nessusd的所有使用者.為什麼要有很多使用者而不是只讓一個使用者使用nessus?因為你可以設定一些規則,使每一個使用者依照不同的權限做不同的事情可以達到分工的效果.◎nessusd 限制規則資料庫每一規則有相同的格式:keyWord IP/mask其中關鍵字(keyword)是 deny(拒絕),accept(接受),或是default(預設值)此外 ! (驚嘆號) 表示not (否定).規則舉例:accept 127.0.0.0/8(接受127.0.0.0/8 此class A,包含127.0.0.1 也就是localhost )deny 192.168.1.1/32 (拒絕192.168.1.1/32/32表示1/256個class c ) deny !192.168.0.0/16(接受192.168.0.0/16此段class B )default deny(預設是拒絕)==> 允許使用者測試localhost,和所有192.168.0.0/16 這個class B,除了192.168.1.1 之外.若你只要讓該使用者能夠測試自己本身可以利用clinet_ip這個特殊關鍵字accept client_ip/32default deny◎安裝1.採用port安裝 別忘了更新ports tree2.過程如下圖:◎啟動nessusd# nessusd -D◎作者Nessus乃是由 Renaud Deraison 開始發展及維護.◎參考資料http://www.nessus.org/ (官方網站)http://cvs.nessus.org/ (研發網站)nessusd(8)** 隨意掃瞄他人的系統,是違法的.在進行掃瞄前,請務必考量清楚.別拿自己的前途開玩笑喔...
推荐阅读
