Nessuslinux下安全漏洞工具详解

Nessuslinux下安全漏洞扫描工具详解Nessus:１、Nessus的概述２、Nessus软件使用演示３、Nessus的部署AIDE:１、aide的概述２、aide部署３、aide的初级使用４、使用aide监控系统中的文件５、使用aide检测rootkit１、Nessus的概述Nessus被认为是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus作为扫描该机构电脑系统的软件。*提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。*不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上摇控,进行系统的漏洞分析扫描。*其运作效能能随着系统的资源而自行调整。如果将主机加入更多的资源(例如加快CPU速度或增加内存大小),其效率表现可因为丰富资源而提高。*可自行定义插件(Plug-in)*NASL(NessusAttackScriptingLanguage)是由Tenable所开发出的语言，用来写入Nessus的安全测试选项.*完整支持SSL(SecureSocketLayer)。*自从1998年开发至今已谕十年,故为一架构成熟的软件。采用客户/服务器体系结构，客户端提供了运行在Xwindow下的图形界面，接受用户的命令与服务器通信，传送用户的扫描请求给服务器端，由服务器启动扫描并将扫描结果呈现给用户；扫描代码与漏洞数据相互独立，Nessus针对每一个漏洞有一个对应的插件，漏洞插件是用NASL(NESSUSAttackScriptingLanguage)编写的一小段模拟攻击漏洞的代码，这种利用漏洞插件的扫描技术极大的方便了漏洞数据的维护、更新；Nessus具有扫描任意端口任意服务的能力；以用户指定的格式（ASCII文本、html等）产生详细的输出报告，包括目标的脆弱点、怎样修补漏洞以防止黑客入侵及危险级别。２、Nessus软件使用演示－－观看老师演示３、Nessus的部署1）、安装软件#rpm-ivhNessus-4.4.1-es5.i386.rpm#vim~/.bash_profileexportPATH=/opt/nessus/sbin:/opt/nessus/bin:$PATHexportMANPATH=/opt/nessus/man:`manpath`#source~/.bash_profile软件的卸载：rpm-eNessusNessus软件的组成：#ll/opt/nessus/drwxr-xr-x2rootroot4096Jan800:47bin－－普通用户使用的命令drwxr-xr-x3rootroot4096Jan800:47com－－根证书drwxr-xr-x3rootroot4096Jan800:47etc－－配置文件drwxr-xr-x3rootroot4096Jan1114:11lib－－扫描时使用的插件drwxr-xr-x4rootroot4096Jan800:47mandrwxr-xr-x2rootroot4096Jan800:47sbindrwxr-xr-x3rootroot4096Jan800:47var－－账号／日志／报告/web页面２）启动nessus，并使用WEB客户端访问#servicenessusdstart#chkconfignessusdon#netstat-tnlp|grepnessustcp000.0.0.0:88340.0.0.0:*LISTEN13908/nessusd－－web访问端口tcp000.0.0.0:12410.0.0.0:*LISTEN13908/nessusd－－nessus客户端访问的端口tcp00:::1241:::*LISTEN13908/nessusd首先要求可以上网。配置网络3）打开浏览器访问，进行初始化配置申请序列号注册Nessus等待插件的更新访问之前需要在客户端上给浏览器安装flash插件：#rpm-ivhflash-plugin-10.3.183.11-release.i386.rpm--装完后需要重启浏览器#rpm-ivhflash-plugin-11.2.202.285-release.x86_64.rpm４）在NessusWEB界面上的操作(先扫自己，再扫别的主机)：1)新建扫描策略（定义扫描策略／扫描目标主机使用账号密码等等）2)扫描指定的主机（192.168.0.1192.168.0.0/24）3)查看报告，导出报告。4)修复漏洞AIDE--（文件系统）高级入侵检测关注的三洋东西：二进制主配置文件基准数据库１、aide的概述AIDE(AdevancedIntrusionDetectionEnvironment,高级入侵检测环境)是个入侵检测工具，主要用途是检查文本的完整性。AIDE能够构造一个指定文档的数据库，他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性，包括：权限(permission)、索引节点序号(inodenumber)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每个文档的校验码或散列号。常见的入侵检测软件：1、tripwire--操作比较复杂2、aide--用以代替tripwire的一款新产品文件系统入侵检测的原理：1、当系统处于健康状态时，把系统所有的文件做各种指纹的检验，得出一个检验基准数据库。2、不是所有的文件都需要保存指纹，临时文件（/var/log|/tmp|/var/tmp|/proc|/sys|/dev/shm...）3、需要检验文件是否被更改，只需要把基准数据对应指纹值做对比，就可以得知哪些文件被更改过。4、每天把检验的结果以邮件或者其它方式发送管理员。２、aide部署1.从结帽官方获取最新的srcrpm包#wget:aide.x86_640:0.14-3.el6_2.2Complete!３、aide的初级使用1）新建一个目录，里边放一些测试文件#mkdir/aide_check_test#cp/etc/hosts*/aide_test_check#grep-v^#/etc/aide.conf|grep-v^$/etc/aide2.conf#mv/etc/aide2.conf/etc/aide.confmv:overwrite`/etc/aide.conf'?y2）定义配置文件，及被临控的目录#cp/etc/aide.conf/etc/aide.conf.bak#vim/etc/aide.conf@@defineDBDIR/var/lib/aide--基准数据库目录@@defineLOGDIR/var/log/aidedatabase=file:@@{DBDIR}/aide.db.gz--基准数据库文件database_out=file:@@{DBDIR}/aide.db.new.gz--更新数据库文件gzip_dbout=yesverbose=5report_url=file:@@{LOGDIR}/aide.logreport_url=stdoutR=p+i+n+u+g+s+m+c+acl+xattrs+md5L=p+i+n+u+g+acl+xattrs=p+u+g+i+n+S+acl+xattrsALLXTRAHASHES=sha1+rmd160+sha256+sha512+tigerEVERYTHING=R+ALLXTRAHASHESNORMAL=R+rmd160+sha256DIR=p+i+n+u+g+acl+xattrsPERMS=p+i+u+g+aclLOG=LSPP=R+sha256DATAONLY=p+n+u+g+s+acl+xattrs+md5+sha256+rmd160+tiger/aide_check_testEVERYTHING3）初始化数据库：rpm-qlaide可查#rpm-qlaide/etc/aide.conf/etc/logrotate.d/aide/usr/sbin/aide#/usr/sbin/aide--help#/usr/sbin/aide--config=/etc/aide.conf--initAIDE,version0.13.1###AIDEdatabaseat/var/lib/aide/aide.db.new.gzinitialized.4)把初始化的数据库当做基准数据库#cp/var/lib/aide/aide.db.new.gz/var/lib/aide/aide.db.gz5)测试AIDE能否发现文件更改什么都没有改动之前，先check一次：#/usr/sbin/aide--config=/etc/aide.conf--checkAIDE,version0.14###AllfilesmatchAIDEdatabase.Looksokay!#cp/etc/passwd/aide_test_check/#rm-rf/aide_test_check/hosts#echohello/aide_test_check/hosts.allow#/usr/sbin/aide-c/etc/aide.conf--checkAIDEfounddifferencesbetweendatabaseandfilesystem!!Starttimestamp:2012-07-1015:03:17Summary:Totalnumberoffiles:6Addedfiles:1Removedfiles:1Changedfiles:2---------------------------------------------------Addedfiles:---------------------------------------------------added:/aide_test_check/passwd---------------------------------------------------Removedfiles:---------------------------------------------------removed:/aide_test_check/hosts---------------------------------------------------Changedfiles:---------------------------------------------------changed:/aide_test_checkchanged:/aide_test_check/hosts.allow--------------------------------------------------Detailedinformationaboutchanges:------------