🔍 为什么要在虚拟机里装Nessus?
很多安全测试新手第一次接触漏洞扫描工具时,都会纠结:“直接装电脑上不行吗?” 其实虚拟机环境能帮你隔离风险(比如误扫本地系统导致崩溃),还能随时快照备份,方便测试不同版本。尤其是Nessus这种需要频繁升级规则库的工具,虚拟机部署更灵活!
一、Nessus虚拟机安装前准备:这些硬件和软件你缺一不可!
想顺利装上Nessus,先检查你的“装备”是否齐全👇:
– 虚拟机软件:推荐VMware Workstation Pro(稳定兼容性强)或VirtualBox(免费轻量)
– 操作系统镜像:Nessus官方支持Linux(如Ubuntu 20.04/22.04)和Windows,但Linux环境更轻量且官方优化更好(新手建议选Ubuntu Server版)
– 硬件要求:至少4GB内存(推荐8GB以上)、双核CPU、20GB可用磁盘空间(扫描任务多建议50GB+)
– 网络配置:确保虚拟机网络模式为NAT(方便外网下载插件)或桥接(直接访问局域网目标)
💡 个人经验:我第一次用VirtualBox装Ubuntu时忘了开虚拟化支持(BIOS里要开启VT-x/AMD-V),导致Nessus安装后一直卡在初始化!记得提前检查主机BIOS设置哦~
二、分步安装Nessus:从下载到激活全流程拆解
以VMware + Ubuntu 22.04为例,手把手教你装Nessus👇:
步骤1:创建虚拟机并安装Ubuntu
- 打开VMware,新建虚拟机→选择“稍后安装操作系统”→类型选“Linux”,版本选“Ubuntu 64位”
- 分配资源:内存建议4GB(最低2GB会卡死),硬盘20GB(动态分配更省空间)
- 挂载Ubuntu镜像文件,按提示完成系统安装(语言选英文避免编码问题,分区默认即可)
步骤2:下载Nessus安装包
- 打开浏览器访问Nessus官网(https://www.tenable.com/downloads/nessus),选择对应版本(比如“Nessus Essentials”免费版,或“Professional”付费版)
- 根据Ubuntu系统位数(64位)下载对应的“.deb”安装包(比如nessus-10.7.0-debian11_amd64.deb)
步骤3:安装依赖和Nessus本体
- 打开Ubuntu终端(Ctrl+Alt+T),先更新软件源:
sudo apt update && sudo apt upgrade -y - 安装必要依赖:
sudo apt install -y libssl3 libncurses5(不同Ubuntu版本可能依赖略有差异) - 运行安装命令:
sudo dpkg -i nessus-xxx.deb(替换为你的实际文件名) - 如果报依赖错误,执行修复:
sudo apt --fix-broken install
步骤4:启动Nessus并获取激活码
- 启动服务:
sudo systemctl start nessusd.service - 浏览器访问
https://虚拟机IP:8834(比如192.168.1.100:8834,虚拟机IP通过ip a命令查看) - 按提示创建管理员账号,选择“Nessus Essentials”免费版(功能足够个人测试用)
- 填写邮箱后,Nessus会发送激活码到邮箱(注意查垃圾箱!),输入激活码完成初始化
三、新手必看!安装后这些坑千万别踩
装完Nessus只是第一步,这些细节不注意会让你崩溃👇:
问题1:浏览器无法访问管理页面?
- 检查虚拟机网络是否互通(主机ping虚拟机IP通吗?)
- 确认Nessus服务状态:
sudo systemctl status nessusd.service(显示“active (running)”才是正常) - 如果是HTTPS证书警告,直接点击“高级→继续访问”(测试环境不用纠结证书)
问题2:扫描速度慢甚至卡死?
- 检查虚拟机资源占用(通过VMware任务管理器看CPU/内存是否跑满)
- 关闭其他占用网络的程序(比如迅雷、视频软件)
- 免费版Nessus有扫描目标数量限制(Essentials版通常限制16个IP/天),别贪多!
问题3:如何备份和迁移虚拟机?
- 定期快照:在VMware里右键虚拟机→快照→拍摄当前状态(遇到配置错误直接恢复)
- 导出OVF文件:文件→导出→选择OVF格式(方便迁移到其他电脑或云平台)
四、进阶技巧:让Nessus在虚拟机中发挥更大价值
如果你想进一步提升效率,试试这些操作👇:
– 插件更新:首次安装后等待Nessus自动下载插件(约1-2GB,耐心等!),后续每周手动更新一次(设置→软件更新)
– 自定义扫描策略:根据目标类型(比如Web网站、内网设备)调整扫描模板(避免默认全扫浪费时间)
– 联动其他工具:在虚拟机里同时装Wireshark抓包分析,或搭配Metasploit做渗透测试组合拳
💡 我的建议:新手先拿自己的旧手机/路由器练手(扫描前记得关掉敏感服务!),熟悉流程后再测试公司内网(需授权!)。虚拟机最大的好处就是“试错成本低”,摔倒了随时能回滚!