Wie man Nessus Vulnerability Scanner unter Debian 12 installiert und verwendet

Nessus ist ein Open-Source-Netzwerk-Schwachstellen-Scanner für Schwachstellenbewertungen, Penetrationstests und Ethical Hacking. Er nutzt die CVE-Architektur (Common Vulnerabilities and Exposures) und ist einer der umfassendsten Schwachstellen-Scanner auf dem Markt. Mit Nessus kannst du Schwachstellen im Netzwerk scannen, Fehlkonfigurationen und Denial-of-Service-Schwachstellen (Dos) finden und vieles mehr.

In diesem Lernprogramm führen wir dich durch die Installation des Nessus Network Security Scanners auf dem Debian 12 Server. Außerdem führst du den ersten Host-Scan mit Nessus durch, um Sicherheitslücken auf den Zielhosts zu finden.

Voraussetzungen

Um mit diesem Tutorial beginnen zu können, musst du folgende Voraussetzungen erfüllen:

  • Einen Debian 12 Server.
  • Einen Nicht-Root-Benutzer mit Administrator-Rechten.

Installation von Nessus vi DEB-Datei

Nessus ist ein von Tannable entwickelter Sicherheitslücken-Scanner. Er ermöglicht es dir, verschiedene Geräte, Anwendungen und Betriebssysteme auf Sicherheitslücken zu überprüfen. Nessus unterstützt mehrere Linux-Distributionen, darunter auch Debian.

In diesem Abschnitt wirst du Nessus über die DEB-Datei herunterladen und installieren.

Besuche die Nessus Download-Seite und wähle die Nessus-Version aus. In diesem Fall lädst du Nessus via curl für Debian herunter, das Debian 10, 11 und 12 unterstützt.

curl --request GET \
--url 'https://www.tenable.com/downloads/api/v2/pages/nessus/files/Nessus-10.7.1-debian10_amd64.deb' \
--output 'Nessus-10.7.1-debian10_amd64.deb'

Sobald der Download abgeschlossen ist, führe den folgenden Befehl aus, um Nessus zu installieren und Abhängigkeiten zu beheben, falls ein Fehler auftritt.

sudo dpkg -i Nessus-10.7.1-debian10_amd64.deb
sudo apt install -f

Nessus herunterladen und installieren

Starte und aktiviere den Nessusd-Dienst mit dem unten stehenden Befehl.

sudo systemctl start nessusd
sudo systemctl enable nessusd

Sobald er gestartet ist, überprüfe den nessusd-Dienst, um sicherzustellen, dass der Dienst läuft.

sudo systemctl status nessusd

Wenn Nessus läuft, solltest du eine Ausgabe wie die folgende erhalten:

Verifizierung von Nessus starten

UFW einrichten

Nachdem du Nessus installiert hast, konfigurierst du UFW und öffnest den Standard-Nessus-Port 8834/tcp, der durch den Nessus-Web-Dashboard-Prozess belegt ist.

Installiere UFW auf deinem Debian-System mit dem unten stehenden Befehl. Gib y ein, um mit der Installation fortzufahren.

sudo apt install ufw

ufw installieren

Führe nun den folgenden Befehl aus, um das OpenSSH-Profil zu aktivieren und Port 8834/tcp zu UFW hinzuzufügen. Der Standardport von Nessus ist 8834/tcp, auf dem das Webadministrations-Dashboard läuft.

sudo ufw allow OpenSSH
sudo ufw allow 8834/tcp

Aktiviere UFW mit dem unten stehenden Befehl. Wenn du dazu aufgefordert wirst, bestätige mit y.

sudo ufw enable

Sobald die UFW aktiviert ist, siehst du die Ausgabe„Firewall ist aktiv und wird beim Systemstart aktiviert„.

ufw aktivieren

Überprüfe abschließend den UFW-Status und liste die Regeln mit dem folgenden Befehl auf.

sudo ufw status

Vergewissere dich, dass das OpenSSH-Profil und Port 8834/tcp in der UFW ERLAUBT sind.

ufw prüfen

Nessus CLI einrichten

Nessus stellt das Dienstprogramm nessuscli zur Verfügung, um Nessus über das Terminal zu verwalten. Einige von Nessus bereitgestellte Dienstprogramme sind in den Verzeichnissen /opt/nessus/bin und /opt/nessus/sbin verfügbar.

Um dies zu erleichtern, füge die beiden Verzeichnisse /opt/nessus/bin und /opt/nessus/sbin zum Systempfad hinzu. Das kannst du über die Konfigurationsdatei ~/.bashrc tun.

Führe den folgenden Befehl aus, um /opt/nessus/bin und /opt/nessus/sbin über die Datei ~/.bashrc zur Umgebungsvariablen PATH des Systems hinzuzufügen.

echo 'export PATH="$PATH:/opt/nessus/bin:/opt/nessus/sbin"' >> ~/.bashrc

Lade die Datei ~/.bashrc in der aktuellen Sitzung neu und überprüfe den Systempfad mit dem folgenden Befehl. Vergewissere dich, dass die beiden Verzeichnisse /opt/nessus/bin und /opt/nessus/sbin zum Systempfad hinzugefügt wurden.

source ~/.bashrc
echo $PATH

Einrichtungspfad

Führe abschließend den Befehl nessuscli aus, um deine Konfiguration zu überprüfen. Wenn du erfolgreich warst, solltest du die Hilfemeldung für nessuscli sehen.

nessuscli help

nessuscli Hilfe

Nessus konfigurieren

Nachdem du nun nessuscli konfiguriert hast, können wir deine Nessus-Installation über den Webbrowser konfigurieren. In diesem Abschnitt wirst du dich auch für die Nessus-Version registrieren und brauchst dafür eine E-Mail-Adresse.

Öffne deinen Webbrowser und besuche https://192.168.5.15:8834/, um auf die Nessus-Installation zuzugreifen. Du wirst die Willkommensnachricht von Nessus sehen.

Klicke auf Weiter, um die Konfiguration zu starten.

anmelden

Wähle die Option Für Nessus Essentials registrieren und klicke auf Weiter.

für Nessus Essentials registrieren

Gib deinen Namen und deine E-Mail-Adresse ein, um den Nessus-Aktivierungscode zu erhalten, und klicke auf Registrieren. Dadurch wird ein Nessus-Aktivierungscode für deine Installation generiert.

Nessus Aktivierungscode generieren

Auf dem Bildschirm siehst du den generierten Nessus-Aktivierungscode. Klicke erneut auf Weiter.

Aktivierungscode generiert

Gib den neuen Admin-Benutzer und das Kennwort für Nessus ein und bestätige dann mit Senden.

Admin-Setup

Jetzt sollte die Nessus-Installation gestartet werden.

installation nessus

Sobald die Installation abgeschlossen ist, erhältst du ein Nessus-Dashboard wie das folgende:

Nessus Dashboard

Nachdem du Nessus erhalten hast, musst du einen Moment warten, denn Nessus kompiliert seine benötigten Plugins. Nimm dir also Zeit, denn du kannst einen Scan erstellen, ohne dass die Nessus-Plugins kompiliert und installiert sind.

Den ersten Scan mit Nessus erstellen

Um einen neuen Scan mit Nessus zu erstellen, wähle den Ordner Meine Scans und klicke auf Neuen Scan erstellen.

Wähle in den Scanvorlagen die Vorlage Basic Network Scan aus. Du kannst diese Vorlage für die meisten grundlegenden Netzwerk-Scans verwenden.

Scanvorlage

Gib den Namen und die Beschreibung für den Scan ein, wähle den Ordner Meine Scans und gib die IP-Adressen der Zielhosts ein. Klicke zum Bestätigen auf Speichern.

Scan-Konfiguration

Gehe zurück zum Ordner Meine Scans und du wirst sehen, dass dein Scan erstellt ist. Klicke auf die Schaltfläche Play/Start, um den Scanvorgang zu starten.

Scanvorgang

Sobald der Scan abgeschlossen ist, klicke auf deinen Scan, z.B. „first-scan“, und du siehst die Zusammenfassung deines Scans.

Übersichtsscan

Klicke auf die Registerkarte “ Schwachstellen“, um eine Liste der CVSS-Werte zu erhalten, die Nessus auf deinen Zielservern entdeckt hat.

nessus scannt Schwachstellen

Fazit

Herzlichen Glückwunsch! Du hast nun die Installation des Nessus Network Security Scanner auf dem Debian 12 Server abgeschlossen. Du hast Nessus per DEB-Datei installiert, den ersten grundlegenden Netzwerkscan gegen deinen Host durchgeführt und CVSS-Schwachstellen über Nessus entdeckt.

Das könnte dich auch interessieren …