Howto: Installation von Nessus 3 unter Debian Etch
Wer nach einem guten Vulnerability Scanner für Linux sucht, kommt kaum am freien Scanner Nessus vorbei. Da dieser seit Version 3 nicht mehr unter der GPL steht und unter einer proprietären Lizenz vertrieben wird, gibt es für viele Distributionen kein offizielles Paket. Dazu gehört auch das neue Debian Etch, dass den nessusd in Version 2.2.8 anbietet. Wer trotzdem die neuere Version installieren möchte, muss selbst Hand anlegen. Gründe für einen Wechsel gibt es genügend.
Nessus bietet auf seiner Homepage Pakete für Debian Sarge an. Diese funktionieren jedoch auch mit Debian Etch. Zuerst muss also das Paket von der Downloadseite heruntergeladen werden. Hierfür muss man einige Angaben wie Name und Email-Adresse machen. An die Email-Adresse wird auch der Freischaltcode für den Nessus Plugin Feed versendet.
Nachdem man die aktuelle Version mit dem Dateinamen Nessus-3.0.5-debian3_i386.deb heruntergeladen hat, müssen einige notwendige Pakete installiert werden.
[sourcecode language="css"]aptitude install openssl libssl0.9.7[/sourcecode]
Danach kann man Nessus mit folgendem Befehl installieren:
[sourcecode language="css"]dpkg -i Nessus-3.0.5-debian3_i386.deb[/sourcecode]
Das Paket installiert alle Programmbestandteile sauber nach /opt/nessus/. Ein Init-Skript unter /etc/init.d/ wird erstellt. Nun sollte ein SSL Zertifikat zur Verschlüsselung der Daten zwischen Nessus-Server und -Client erstellt werden:
[sourcecode language="css"]/opt/nessus/sbin/nessus-mkcert[/sourcecode]
Man kann hier entweder die Standardwerte beibehalten oder seinen Wünschen entsprechend anpassen. Um sich mit dem Server verbinden zu können, muss ein erster Nessus-Benutzer angelegt werden.
[sourcecode language="css"]/opt/nessus/sbin/nessus-add-first-user
Add a new nessusd user
———————-
Login : matthias
Authentication (pass/cert) [pass] :
Login password :
Login password (again) :
User rules
———-
nessusd has a rules system which allows you to restrict the hosts
that matthias has the right to test. For instance, you may want
him to be able to scan his own host only.
Please see the nessus-adduser(8) man page for the rules syntax
Enter the rules for this user, and hit ctrl-D once you are done :
(the user can have an empty rules set)
default accept[/sourcecode]
Bei den Angaben habe ich als Authentifizierungsmethode “Passwort” gewählt. Hier kann auch die Authentifizierung per SSL-Schlüssel oder sogar ein kombiniertes Verfahren gewählt werden. Als Regel für den Benutzer habe ich default accept gewählt, was dem User volle Rechte für den Nessus-Scanner einräumt. Das Rechtesystem von Nessus erlaubt es, detaillierte Rechte für Benutzer zu vergeben. So kann man z.B. unpriviligierte User nur auf einen Scan des internen Netzes 192.168.0.0 beschränken:
[sourcecode language="css"]accept 192.168.0.0/24
default deny[/sourcecode]
Abschließend sollte man sich mit dem Registrierungscode aus der Email Zugang zu den aktuellsten Plugins verschaffen. Nun gut – ganz aktuell sind die Plugins für die kostenlosen Feeds nicht. Sie hinken dem bezahlten Abo immer 7 Tage hinterher. Dies ist aber verschmerzbar, wenn man die Kosten von stolzen $1.200 für das Bezahlangebot berücksichtigt.
[sourcecode language="css"]/opt/nessus/bin/nessus-fetch –register 1234-5678-90AB-CDEF-GHIJ</code></pre>
<p align="justify">Im Anschluss an die Übermittlung des Codes werden die Plugins auf den aktuellen Stand gebracht. Der Registrierungscode ist nur einmal gültig. Bei einer Neuinstallation wird also ein <a href="http://www.nessus.org/plugins/index.php?view=register" target="_blank">neuer Code</a> fällig.</p>
<p align="justify">Nun kann Nessus gestartet werden:</p>
[sourcecode language='css']/etc/init.d/nessusd start[/sourcecode]
Nessus horcht nun auf Port 1241 auf eingehende Verbindungen. Unter Windows kann man sich mit NessusWX verbinden – unter Linux gibt es den (deutlich übersichtlicheren) NessusClient. Diesen gibt es auf der offiziellen Nessus Seite zum Download. Zur Installation des Clients auf einer Debian Etch Box müssen mindestens folgende Pakete installiert werden:
[sourcecode language="css"]aptitude install libatk1.0-0 libglib2.0-0 libgtk2.0-0 libpango1.0-0[/sourcecode]
Nun kann nach Lust und Laune losgescannt werden.
Links:
Nessus Homepage
Nessus WX
Debian Etch
