专栏首页云计算教程系列在Ubuntu 16.04上安装OpenVAS 8
原创

在Ubuntu 16.04上安装OpenVAS 8

OpenVAS(开放式漏洞评估系统)是一个客户端/服务器架构,它常用来评估目标主机上的漏洞。OpenVAS是Nessus项目的一个分支,它提供的产品是完全地免费。OpenVAS默认安装在标准的Kali Linux上,本教程将介绍配置及启动OpenVAS。

OpenVAS包括:

  • 存储结果和配置的数据库;
  • 定期更新的网络漏洞测试(NVT)源;
  • 扫描仪,运行NVT;
  • Greenbone Security Assistant,一个图形界面,允许您从Web应用程序管理漏洞扫描。

有关该软件体系结构的更多信息,请参阅OpenVAS网站

警告 OpenVAS是一个功能强大的安全工具,能够扫描远程主机以及本地计算机。本教程旨在允许您监视您控制或有权扫描的计算机上的漏洞。如果您使用OpenVAS扫描其他人拥有的远程服务器,请确保您完全了解所涉及的责任和潜在后果。

开始之前

  1. 本教程需要一台已经设置好可以使用sudo命令的非root账号的CentOS服务器,并且已开启防火墙。没有服务器的同学可以在这里购买,不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验,学会安装后在购买服务器
  2. 更新您的系统相关软件包。
sudo apt update && sudo apt upgrade

安装OpenVAS

Ubuntu不正式支持openvas存储库及其软件包。 如果您想在Ubuntu上安装OpenVAS,您需要安装相关签名密钥和指纹,您可以在Ubuntu软件包存档中执行此操作。

  • 由于OpenVAS未包含在默认的Ubuntu存储库中,因此请安装其PPA:
sudo apt install software-properties-common
sudo add-apt-repository ppa:mrazavi/openvas

第一个命令安装software-properties-common包,这是添加某些存储库所必需的。第二个命令将输出有关如何安装OpenVAS的说明列表。我们将在以下步骤中解释这些说明。您无需显式导入GPG密钥,因为它将使用第二个命令自动添加到密钥环中。但是,您应该验证您的输出包括:

gpg: key 4AA450E0: public key "Launchpad PPA for Mohammad Razavi" imported
  • 添加存储库后,更新系统包并安装openvas包:
sudo apt update
sudo apt install openvas

安装时openvas,系统会提示您为应用程序数据(例如任务和配置)配置Redis数据库。当系统询问您是否要在/var/run/redis/redis.sock添加套接字时选择是:

sudo apt install sqlite3
  • 同步OpenVAS NVT源。 这允许您的安装访问最新漏洞和暴露的测试:
sudo openvas-nvt-sync

注意 此Feed由OpenVAS维护,每周更新一次。要使NVT Feed保持最新,我们建议您定期运行此命令,或者设置cron以自动执行此过程。

  • 将安全内容自动化协议(SCAP)和计算机紧急准备团队(CERT)漏洞数据同步到本地数据库。同步将花费几分钟,您可以在输出中监视其进度:
sudo openvas-scapdata-sync
sudo openvas-certdata-sync
  • 重新启动OpenVAS扫描程序和管理器:
sudo service openvas-scanner restart
sudo service openvas-manager restart
  • 最后,重建OpenVAS数据库,以便管理员可以访问先前下载的NVT数据:
sudo openvasmd --rebuild --progress

配置OpenVAS

远程访问

要远程访问Greenbone Security Assistant Web界面,必须将其配置为侦听CVM的公共IP地址。 您可以通过编辑/etc/init.d/openvas-gsa下的配置文件,并在DAEMON_ARGS行上指定公共IP地址来完成此操作。 将198.51.100.221替换为您的CVM的公共地址:

/etc/init.d/openvas-gsa

DAEMON_ARGS= --listen "198.51.100.221"

保存更改,然后重新启动openvas-gsa

sudo service openvas-gsa restart

OpenVAS 用户身份验证

OpenVAS现已安装,您已准备好开始使用它来扫描漏洞。但是,您应首先更改默认密码以防止未经授权的访问。

在您的CVM中,将以下示例中的your_password替换为您的新密码:

sudo openvasmd --user=admin --new-password=your_password

这会将admin用户的密码更改为您选择的值。您还可以通过替换new_user以下命令来创建新的管理用户:

sudo openvasmd --create-user=new_user

即使您指定了密码,此方法也会创建一个随机密码。 要更改新创建的用户的密码,请使用第一个命令的语法,替换用户名和所需的密码。 要创建没有管理员权限的新访客用户,请使用gsad(Greenbone Security Assistant守护程序)工具:

sudo gsad --guest-username=new_user --guest-password

new_useryour_password替换为适当的值。 有关OpenVAS CLI可用的管理功能的完整列表,请使用openvasmd --helpgsad --help

使用OpenVAS 扫描您的系统

恭喜! OpenVAS现在可以使用了。 在本节中,我们将提供登录Greenbone Security Assistant(GSA)Web应用程序和运行基本漏洞扫描的基本教程。

  • 在本地计算机上,在Web浏览器中导航到CVM的IP地址或域名。您应该被代理到GSA登录页面。

在大多数浏览器中,您将首先遇到安全警告。发生这种情况是因为OpenVAS在安装时生成自签名SSL证书,并且您的主机未被识别为受信任的证书颁发机构。

要在Chrome中验证证书:

  • 单击URL栏中https://旁边的警告图标,然后在显示的消息下选择“详细信息”。
  • 在“安全性概述”窗格中,单击“查看证书”按钮。
  • 将出现一个小窗口,其中包含有关自签名证书的信息。单击“详细信息”以展开窗口并显示更多信息。
  • 滚动到底部找到SHA 1指纹。
  • 在您的CVM上,运行sudo openssl x509 -noout -in /var/lib/openvas/CA/servercert.pem -fingerprint -sha1
  • 比较两个指纹。如果匹配,则忽略警告并继续进行是安全的。

要在Firefox中验证证书:

  • 单击浏览器中警告页面上的“高级”按钮。
  • 将显示其他详细信息,包括错误代码,类似于SEC_ERROR_UNKNOWN_ISSUER。单击错误代码以查看更多信息。
  • 将显示一个窗格,其中包含服务器的“证书链”。
  • 在您的CVM上,运行cat /var/lib/openvas/CA/servercert.pem并在输出中查找----- BEGIN CERTIFICATE -----行。
  • 比较两个证书以确保它们匹配。如果他们这样做,可以安全地点击“添加例外”并继续。
  • 您看到的下一页将是Greenbone Security Assistant的登录页面,这是OpenVAS管理器的图形Web界面。页面出现在屏幕上后,输入admin用户的凭据并单击“登录”。
  • 欢迎屏幕将显示有关如何使用该工具的说明。 OpenVAS使用“任务”来管理扫描,但是要立即开始运行扫描,只需在“快速启动”下的文本框中输入主机名或IP地址,然后单击“开始扫描”。这将安排扫描指定的主机立即启动并将页面内容设置为每30秒刷新一次,这样您就可以实时查看进度。

注意 安排3个或更多任务后,登录时不会出现“快速启动”屏幕。要随时访问此屏幕,请单击屏幕顶部的“扫描管理”选项卡,选择“任务”,然后将鼠标悬停在顶部栏中的紫色魔棒图标上。从那里,您可以选择“任务向导”或“高级任务向导”以快速轻松地创建新任务。

  • 在扫描过程中,可以随时访问显示任务结果的报告。扫描完成所需的时间取决于主机上运行的服务,并且可能会有很大差异。要查看扫描结果,请选择顶部导航栏中的“扫描管理”,然后单击“报告”。

要查看特定任务的详细信息,请在“任务”下单击其名称。在下面的示例中,当我们使用任务向导创建它时,它被称为“IP localhost的立即扫描”:

  • 将显示“任务详细信息”屏幕,其中显示状态和检测到的漏洞数等信息。 要查看找到的任何漏洞的详细信息,请单击“结果”旁边的数字。在我们的示例中,有33个:
  • “结果”页面将列出扫描中发现的潜在漏洞。 要对它们进行排序,请单击页面顶部任何列的标题。 请注意,如果在多个服务器上运行扫描,则需要按主机对结果进行排序,以确定哪些服务器受漏洞影响。

要查看漏洞的详细信息,例如检测方法,对系统的影响以及某些情况下的解决方案,请单击漏洞的名称。在下面的示例中,OpenVAS检测到我们没有更改默认登录凭据,它告诉我们如何解决问题:

解决漏洞后,返回“任务”屏幕,然后单击“操作”下的绿色播放按钮图标再次运行扫描。 任务完成后,结果中不再存在漏洞。

故障排除

有时,当您尝试通过浏览器进行连接时,可能会收到502 Bad Gateway错误。在大多数情况下,这是由其中一个OpenVAS守护进程停止引起的。

检查问题:

sudo netstat -plntu

您的输出应包括以下行:

Proto Recv-Q Send-Q Local Address  Foreign AddressState PID/Program name
tcp  00 0.0.0.0:93910.0.0.0:*LISTEN3579/openvassd: Wai
tcp6 00 :::443:::*  LISTEN7046/gsad
tcp6 00 :::9390  :::*  LISTEN3577/openvasmd

这些行分别代表OpenVAS扫描程序,Greenbone安全助手和OpenVAS管理器。如果其中一行不存在,只需启动守护程序并尝试重新连接。例如,如果gsad程序停止,请运行sudo service openvas-gsa restart。以下是相关守护程序的名称,以及可用于重新启动它们的命令:

程序名称

重启的命令

openvassd

sudo service openvas-scanner restart

openvasmd

sudo service openvas-manager restart

GSAD

sudo service openvas-gsa restart

怎么样?学会了吗?对于重要的业务我建议您使用腾讯云Web 漏洞扫描服务,Web 漏洞扫描是用于监测网站漏洞的安全服务,为企业提供 7*24 小时准确、全面的漏洞监测服务,并为企业提供专业的修复建议, 从而避免漏洞被黑客利用,影响网站安全。目前 Web 漏洞扫描已广泛应用于金融、通信、政府、能源、军工等多个行业,并已被多个行业监管机构和等级保护单位使用。更多Linux教程请前往腾讯云+社区学习更多知识。


参考文献:《Install OpenVAS 8 on Ubuntu 16.04》

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 如何在Debian 8上设置VNC服务器

    VNC(虚拟网络计算)是一种使用户能够连接远程计算机的图形桌面并与之交互的系统。它可以通过网络传输屏幕更新,键盘和鼠标事件。

    谢鸢
  • 如何在Ubuntu 14.04上使用Mail-in-a-Box运行自己的邮件服务器

    Mail-in-a-Box是一个开源软件包,可以轻松将您的Ubuntu服务器转换为多个域的全栈电子邮件解决方案。

    谢鸢
  • 如何在Ubuntu 16.04上使用dry管理和监控Docker容器

    dry是一个简单但广泛的终端应用程序,用于与Docker容器及其映像交互。使用dry会删除执行常规Docker Engine命令时所涉及的重复,并且还提供了更原...

    谢鸢
  • 关于Mybatis-Plus的一些话题

      最近公司的项目有用到Mybatis-Plus这个新东西,就学了一下,和大家分享分析。

    haoming1100
  • 蔚来汽车市值超过450亿!创始人李斌身价暴涨,腾讯成大赢家

    蔚来汽车这家公司,可能很多人都没有听过。不过不要紧,我可以慢慢的跟你说。蔚来汽车成立不到四年时间,创始人是李斌,这位老兄是一个连续的成功创业者。李斌先后已经有三...

    光荣与梦想1987
  • SpringBoot2.x系列教程(二十八)freemarker基本语法使用

    程序新视界
  • 来自 SaaS 行业的一封公开信

    ? 来源:牛透社   ---- ? 中国的 SaaS 企业,既被推到前所未有的“风口”时刻,更是置身一个充满巨大考验的危急关头。 我们是一群提供云端企业应用的...

    腾讯SaaS加速器
  • SNMP学习笔记之SNMP介绍,OID及MIB库

    1.1.    SNMP概览  SNMP的基本知识介绍 简单网络管理协议(SNMP-Simple Network Management Protocol)是一个...

    Jetpropelledsnake21
  • 产业互联网能否给垂直领域的SaaS服务带来新的发展机会?

    ? 来源: 本文已获授权,内容转载自 黑板洞察(公众号ID:heibandongcha) 作者: 刘征 ---- 国内互联网行业发展至今已逾二十载,从 web...

    腾讯SaaS加速器
  • Hadoop之--集群环境搭建

    上篇博客介绍了HDFS的相关框架与理念,这篇博客介绍如何搭建Hadoop集群 前期准备 我因为没有实体的多台主机,只有自己一台主机,所以决定借助VirtualB...

    GavinZhou

扫码关注云+社区

领取腾讯云代金券