Nexpose je vynikajúci nástroj na audit serverov a sietí, ktoré hľadajú bezpečnostné chyby. Umožňuje automatizovať bezpečnostné audity, je možné ho kombinovať s programom Metasploit a obsahuje správu o náprave zistených bezpečnostných chýb. Na spustenie je potrebných minimálne 8 GB pamäte RAM.
Sťahovanie Nexpose:
Prejdite na stránku s testami Rapid7 tu, vyplňte formulár a stlačte PREDLOŽIŤ.
Vyberte systém Linux stlačením tlačidla 64-bit a uložte súbor bin.
S licenciou dostanete e-mail, uložte si ho.
Inštalácia Nexpose:
Ak chcete nainštalovať Nexpose, dajte stiahnutému súboru povolenie na spustenie spustením:
chmod + x Rapid7Setup-Linux64.kôšPotom spustite:
./ Rapid7Setup-Linux64.kôš
Zobrazí sa otázka, či má inštalácia pokračovať, stlačte VSTÚPTE.
Potom sa zobrazí otázka, či chcete zahrnúť Konzolu zabezpečenia, stlačte VSTÚPTE nainštalovať.
Ďalej sa zobrazí výzva na adresár Nexpose. Odporúčam ponechať predvolený, ale môžete ho zmeniť. Ak chcete predvolený adresár, stlačte VSTÚPTE.
Nasledujúca obrazovka bude informovať o požiadavkách Nexpose. Budete informovaní, či má vaše zariadenie minimálne požiadavky. Stlačte VSTÚPTE pokračovať.
Predvolený port Nexpose je 5432 . Ak máte Metasploit, pravdepodobne je váš port zaneprázdnený. Môžete priradiť ľubovoľný požadovaný port. Ak chcete predvolený, stlačte kláves ENTER.
Budete požiadaní o osobné informácie, užívateľské meno a heslo, na ktoré odpovedáte.
Na otázku, či by sa mal program Nexpose spustiť po inštalácii, odpovedzte áno.
Po dokončení inštalácie ukončite proces inštalácie stlačením klávesu ENTER.
Spustite server Nexpose zadaním:
systemctl start nexposeconsole.službyAlebo
spustenie služby nexposeconsoleUistite sa, že beží zadaním
stav služby nexposeconsole
Teraz otvoríme konzolu, otvoríme vo svojom prehliadači https: // localhost: 3780
Pred chybou certifikátu SSL stlačte Advanced a pridajte výnimku pre prístup ku konzole.
Spustenie programu Nexpose môže trvať niekoľko minút, kým sa aktualizuje jeho databáza,
Po načítaní si vyžiada prihlasovacie údaje, pred prihlásením spustite Nexpose spustením.
sh / opt / rapid7 / nexpose / nsc / nsc.š
Teraz sa môžete prihlásiť pomocou používateľského mena a hesla, ktoré ste zadali počas procesu inštalácie.
Potom sa zobrazí výzva na zadanie licenčného čísla, ktoré ste dostali do doručenej pošty, vyplňte ho a stlačte AKTIVUJTE S KLÁVESOM a počkajte, kým sa neaktivuje.
POZNÁMKA: Pri písaní tohto tutoriálu som pokazil poverenia Nexpose. Nepodarilo sa mi nájsť spôsob, ako resetovať heslo z príkazového riadku pre aktuálnu verziu Nexpose. Jediným spôsobom, ako to opraviť, bolo odstrániť adresár / opt / rapid7 a znova spustiť inštalačný program pomocou nového licenčného kľúča.
Začíname s bezpečnostným skenerom Nexpose
Po prihlásení do Nexpose je prvým krokom pridanie našich cieľov, aby ste to mohli stlačiť na „Vytvoriť stránku“
Na prvej obrazovke stačí pridať popisné informácie, aby ste ľahko identifikovali svoj cieľ.
Po vyplnení informatívnych údajov kliknite na AKTÍVA a definujte svoj cieľ tak, ako je to znázornené na obrázku.
Po definovaní vášho cieľového lisu na ŠABLONÁCH vykonáme hĺbkové skenovanie, ale vyhnúť sa nadmernému času výberom úplného auditu bez aplikácie Web Spider.
Po výbere PLNÝ AUDIT BEZ WEBOVÉHO SPIDERA kliknite na svetlo modré tlačidlo ULOŽIŤ A SKENOVAŤ. ak sa zobrazí dialógové okno s potvrdením na potvrdenie skenovania.
Proces skenovania sa spustí a môže trvať dlho, pretože sme vybrali úplný audit.
Po 20 minútach naša kontrola proti LinuxHint.com skončil
Môžeme si stiahnuť protokol alebo ďalšie údaje, dňa VYPLNENÉ AKTÍVA uvidíte IP alebo URL vášho cieľa, prehľad zobrazíte kliknutím na jeden z nich.
Po stlačení nášho ASSETU prejdite nadol a skontrolujte nájdené chyby zabezpečenia.
Nexpose našiel problém v podpise SSL LinuxHint. Ako blog bez dôležitých transakcií je problém irelevantný, ale môže to znamenať hrozbu pre webovú stránku, ktorá si vymieňa rozumné informácie.
Na ľavej strane obrazovky uvidíte ikony, ktoré zobrazia hlavnú ponuku tak, ako je to znázornené na obrázku
Z Aktív môžete určiť svoje ciele a spustiť skenovanie, ako je vysvetlené vyššie, môžete vyskúšať rôzne šablóny a odoslať skupiny aktív.
Grafické grafické rozhranie Nexpose je veľmi intuitívne, musíte len nezabudnúť na spustenie nexposeconsole služba a / opt / rapid7 / nexpose / nsc / nsc.š pred prístupom ku konzole.
Dúfam, že vám tento úvodný tutoriál Nexpose bol produktívny, Nexpoe je vynikajúci bezpečnostný skener. Ak chcete získať ďalšie tipy a aktualizácie pre systém Linux, sledujte stránku LinuxHint.