So installierst und verwendest du den Nessus Security Scanner auf Rocky Linux

Nessus ist ein Open-Source-Netzwerk-Schwachstellen-Scanner für Schwachstellenbewertungen, Penetrationstests und Ethical Hacking. Er nutzt die CVE-Architektur (Common Vulnerabilities and Exposures) und ist einer der umfassendsten Schwachstellen-Scanner auf dem Markt. Mit Nessus kannst du Schwachstellen im Netzwerk scannen, Fehlkonfigurationen und Denial-of-Service-Schwachstellen (Dos) finden und vieles mehr.

Nessus bietet eine schnelle Erkennung von Assets, die Erstellung von Zielprofilen, die Überprüfung von Konfigurationen, die Erkennung von Malware, die Erkennung sensibler Daten, Vulnerability Management in der IT Security und vieles mehr. Außerdem ist Nessus in verschiedenen Versionen erhältlich, darunter Nessus Essentials, der kostenlose Schwachstellen-Scanner, und Nessus Professional für professionelle Pentester und ethische Hacker.

Dieser Leitfaden beschreibt, wie du den Nessus Security Scanner auf dem Rocky Linux Server installierst. Außerdem hilft er dir, die Nessus CLI einzurichten, mit der du Nessus über die Terminal-Kommandozeile verwalten kannst. Und schließlich wird beschrieben, wie du den Server mit Nessus scannen kannst.

Voraussetzungen

Um die folgende Anleitung fertigzustellen, brauchst du die folgenden Voraussetzungen:

  • Einen Rocky Linux Server – in diesem Beispiel wird Rocky Linux 8 mit dem Hostnamen’nessus-server‘ verwendet.
  • Ein Nicht-Root-Benutzer mit sudo/root-Administrationsrechten.
  • SELinux mit dem Statusmodus‚permissive‚.

Installation von Nessus über eine .rpm-Datei

Nessus ist eine Sicherheitslösung für Unternehmen, die auf verschiedenen Betriebssystemen installiert werden kann, darunter Linux-Distributionen, BSD, Windows und macOS. Die vollständige Liste der Nessus-Pakete findest du auf der Nessus-Downloadseite, die mehrere Pakete für Linux-Distributionen bereitstellt, darunter die .deb-Datei für Debian-basierte oder die .rpm-Datei für RHEL-basierte Distributionen.

Um Nessus auf Rocky Linux zu installieren, lädst du die .rpm-Datei des Nessus-Pakets herunter und installierst es manuell mit dem Befehl „rpm“.

Bevor du beginnst, installiere curl mit dem unten stehenden dnf-Befehl.

sudo dnf install curl

Lade dann die Nessus .rpm-Datei mit dem folgenden curl-Befehl herunter. Zum Zeitpunkt der Erstellung dieses Leitfadens ist die neueste Version Nessus v10.4.

curl --request GET \
  --url 'https://www.tenable.com/downloads/api/v2/pages/nessus/files/Nessus-10.4.1-es8.x86_64.rpm' \
  --output 'Nessus-10.4.1-es8.x86_64.rpm'

Nachdem der Download abgeschlossen ist, siehst du die Datei„Nessus-10.4.1-es8.x86_64.rpm“ im aktuellen Arbeitsverzeichnis.

nessus download

Führe nun den folgenden rpm-Befehl aus, um das Nessus-Paket„Nessus-10.4.1-es8.x86_64.rpm“ zu installieren.

sudo rpm -Uvh Nessus-10.4.1-es8.x86_64.rpm

Wenn die Installation abgeschlossen ist, solltest du eine Ausgabe wie die folgende sehen.

Nessus installieren

Als Nächstes führst du den folgenden Befehl aus, um den Nessus-Dienst zu starten und zu aktivieren.

sudo systemctl start nessusd
sudo systemctl enable nessusd

Wenn der Nessus-Dienst läuft, führe den folgenden Befehl aus, um den Nessus-Dienst zu überprüfen und sicherzustellen, dass der Dienst aktiviert ist und läuft.

sudo systemctl is-enabled nessusd
sudo systemctl status nessusd

Du erhältst dann die folgende Ausgabe: Der Nessus-Dienst ist aktiviert und wird beim Hochfahren automatisch gestartet. Und der Status des Nessus-Dienstes lautet „running“.

Nessus starten

Firewalld einrichten

Nachdem du Nessus installiert hast, musst du als Nächstes die Firewalld einrichten und den Nessus-Port öffnen. Firewalld läuft standardmäßig auf dem Rocky Linux System. Du fügst den TCP-Port 8834 für das Nessus Administrations-Dashboard hinzu.

Führe den folgenden Befehl firewall-cmd aus, um Port 8834/tcp zur Firewalld hinzuzufügen.

sudo firewall-cmd --add-port=8834/tcp --permanent

Als Nächstes lädst du die Firewalld neu, um die neuen Firewall-Regeln anzuwenden.

sudo firewall-cmd --reload

Überprüfe abschließend die Liste der offenen Ports in der Firewalld mit dem folgenden Befehl. Du siehst dann, dass der Port 8834/tcp zur Firewalld hinzugefügt wurde.

sudo firewall-cmd --list-all

firewalld einrichten

Nachdem Nessus installiert und die Firewalld konfiguriert ist, kannst du nun über den Webbrowser auf deine Nessus-Installation zugreifen.

Nessus Grundkonfiguration

In diesem Schritt wirst du nun die Nessus-Installation einrichten und starten. Du installierst die„Nessus Essentails„, die kostenlose Version, und stellst vorher sicher, dass du eine E-Mail-Adresse vorbereitet hast, um den Nessus-Aktivierungscode zu erhalten.

Öffne deinen Webbrowser und rufe die IP-Adresse des Servers auf, gefolgt von Port 8834 (d.h.: https://192.168.5.100:8834/). Du solltest die Installationsseite von Nessus sehen.

Auf der ersten Seite solltest du die Version von Nessus auswählen, die du installieren möchtest. Für die kostenlose Version von Nessus solltest du„Nessus Essentials“ auswählen und auf„Weiter“ klicken.

nessus essentials

Gib nun deinen Namen und deine E-Mail-Adresse ein, um den Aktivierungscode zu erhalten, und klicke auf„E-Mail„. Achte darauf, dass du die echte E-Mail-Adresse verwendest, um den Nessus-Aktivierungscode zu erhalten.

Aktivierungscode erhalten

Nachdem du den Nessus-Aktivierungscode erhalten hast, gibst du den Aktivierungscode auf der Seite ein und klickst auf„Weiter„.

Nessus aktivieren

Wenn der Nessus-Aktivierungscode verifiziert wurde, wird die nächste Seite angezeigt, auf der du einen Admin-Benutzer für Nessus anlegen kannst. Gib den Admin-Benutzer und das Passwort ein und bestätige mit„Absenden„.

Admin-Benutzer anlegen

Jetzt beginnt die Installation von Nessus. Bei diesem Vorgang werden auch einige Nessus-Plugins kompiliert und installiert, was eine gewisse Zeit in Anspruch nimmt.

Installation von Plugins

Nachdem die Nessus-Installation abgeschlossen ist, erhältst du das Nessus-Dashboard und bist als Admin-Benutzer angemeldet.

Nessus Dashboard

Von dort aus kannst du dein System oder alle entfernten Rechner vom Nessus-Dashboard aus scannen.

Nessus CLI einrichten

Standardmäßig wird Nessus im Verzeichnis „/opt/nessus“ installiert, das Nessus-Konfigurationsdateien im Verzeichnis „/opt/nessus/etc“ und Nessus-Binärdateien in den Verzeichnissen „/opt/nessus/bin“ und „/opt/nessus/sbin“ enthält.

Um Nessus CLI einzurichten, musst du die beiden Nessus-Binärpfade „/opt/nessus/bin“ und „/opt/nessus/sbin“ zur Umgebungsvariablen $PATH des Systems hinzufügen.

Bevor du beginnst, kannst du die Liste der Verzeichnisse innerhalb des Nessus-Installationsverzeichnisses „/opt/nessus“ überprüfen.

ls /opt/nessus

Führe nun den folgenden Befehl aus, um die Verzeichnisse des Nessus-Binärpfads zur Umgebungsvariablen $PATH des Systems hinzuzufügen. Der folgende Befehl fügt der Datei ~/.bashrc eine neue Konfiguration hinzu, die jedes Mal geladen wird, wenn sich ein Benutzer am Server anmeldet.

echo 'export PATH="$PATH:/opt/nessus/bin:/opt/nessus/sbin"' >> ~/.bashrc

Als Nächstes lädst du die Konfigurationsdatei ~/ .bashrc in der aktuellen Sitzung mit folgendem Befehl neu. Überprüfe dann die Umgebungsvariable $PATH des Systems.

source ~/.bashrc
echo $PATH

Du wirst sehen, dass der Nessus-Binärpfad „/opt/nessus/bin“ und /opt/nessus/sbin“ zum System-USPATH hinzugefügt wurde.

nessus PATH

Du kannst nun die Nessus CLI ausführen, indem du den folgenden Befehl eingibst.

which nessuscli
nessuscli help

Du solltest den vollständigen Pfad der Binärdatei„nessuscli“ sehen und auch die Hilfeseite des Befehls„nessuscli“ wird angezeigt.

nessuscli Befehl

Außerdem kannst du auch einige andere von Nessus bereitgestellte Befehle ausführen, z. B.„nessusd“ und„nessus-service„.

Ersten Scan mit Nessus erstellen

Klicke im Nessus User Dashboard auf den Link„Create a new scan„.

Scan erstellen

Wähle nun die „Scan-Vorlagen“ aus, die du verwenden möchtest – in diesem Beispiel verwendest du die Vorlage„Basic network scan„.

Scan-Ziel

Gib Informationen über den neuen Scan ein, wie Name, Beschreibung, zu speichernder Ordner und Zielhost. Klicke dann auf„Speichern„, um zu bestätigen und den Nessus-Scan hinzuzufügen.

In diesem Beispiel wird ein neuer Scan„scan-rocky-linux“ erstellt, der im Ordner„Meine Scans“ gespeichert wird, und der Zielserver ist„192.168.5.100„.

Scan-Ziel

Klicke auf das Menü „Meine Scans“ auf der linken Seite und du kannst sehen, dass der neue Scan „scan-rocky-linux“ erstellt wurde. Klicke auf die Schaltfläche „Play“, um den Scan zu starten.

Scan erstellt

Jetzt wird der„scan-rocky-linux“ ausgeführt.

Scan läuft

Klicke auf„scan-rocky-linux„, um die detaillierten Ergebnisse deines Scans zu erhalten.

Unten siehst du eine einfache Zusammenfassung des von Nessus gescannten Hosts.

Scanergebnis

Klicke auf die Registerkarte„Schwachstellen„, um detaillierte Informationen über die von Nessus zu entdeckenden Schwachstellen zu erhalten.

Schwachstellenliste

Fazit

Herzlichen Glückwunsch! Du hast nun den Nessus Security Scanner erfolgreich auf dem Rocky Linux Server installiert. Außerdem hast du die Nessus-Installation abgeschlossen und das nessuscli über die Umgebungsvariable $PATH des Systems konfiguriert. Mit dem nessuscli kannst du einen Scan ausführen und deinen Scan von deinem Terminalserver aus verwalten.

Am Ende hast du auch gelernt, wie du einen Scan auf Nessus erstellst und den Server scannst, um Sicherheitslücken zu erkennen und Sicherheitsempfehlungen zu erhalten.

Das könnte dich auch interessieren …