OpenVAS(开放式漏洞评估系统)是一个客户端/服务器架构,它常用来评估目标主机上的漏洞。OpenVAS是Nessus项目的一个分支,它提供的产品是完全地免费。OpenVAS默认安装在标准的Kali Linux上,本教程将介绍配置及启动OpenVAS。
OpenVAS包括:
有关该软件体系结构的更多信息,请参阅OpenVAS网站。
警告 OpenVAS是一个功能强大的安全工具,能够扫描远程主机以及本地计算机。本教程旨在允许您监视您控制或有权扫描的计算机上的漏洞。如果您使用OpenVAS扫描其他人拥有的远程服务器,请确保您完全了解所涉及的责任和潜在后果。
sudo
命令的非root账号的CentOS服务器,并且已开启防火墙。没有服务器的同学可以在这里购买,不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验,学会安装后在购买服务器。sudo apt update && sudo apt upgrade
Ubuntu不正式支持openvas
存储库及其软件包。 如果您想在Ubuntu上安装OpenVAS,您需要安装相关签名密钥和指纹,您可以在Ubuntu软件包存档中执行此操作。
sudo apt install software-properties-common
sudo add-apt-repository ppa:mrazavi/openvas
第一个命令安装software-properties-common
包,这是添加某些存储库所必需的。第二个命令将输出有关如何安装OpenVAS的说明列表。我们将在以下步骤中解释这些说明。您无需显式导入GPG密钥,因为它将使用第二个命令自动添加到密钥环中。但是,您应该验证您的输出包括:
gpg: key 4AA450E0: public key "Launchpad PPA for Mohammad Razavi" imported
openvas
包:sudo apt update
sudo apt install openvas
安装时openvas
,系统会提示您为应用程序数据(例如任务和配置)配置Redis数据库。当系统询问您是否要在/var/run/redis/redis.sock
添加套接字时选择是:
sudo apt install sqlite3
sudo openvas-nvt-sync
注意 此Feed由OpenVAS维护,每周更新一次。要使NVT Feed保持最新,我们建议您定期运行此命令,或者设置cron以自动执行此过程。
sudo openvas-scapdata-sync
sudo openvas-certdata-sync
sudo service openvas-scanner restart
sudo service openvas-manager restart
sudo openvasmd --rebuild --progress
要远程访问Greenbone Security Assistant Web界面,必须将其配置为侦听CVM的公共IP地址。 您可以通过编辑/etc/init.d/openvas-gsa
下的配置文件,并在DAEMON_ARGS
行上指定公共IP地址来完成此操作。 将198.51.100.221
替换为您的CVM的公共地址:
/etc/init.d/openvas-gsa
DAEMON_ARGS= --listen "198.51.100.221"
保存更改,然后重新启动openvas-gsa
:
sudo service openvas-gsa restart
OpenVAS现已安装,您已准备好开始使用它来扫描漏洞。但是,您应首先更改默认密码以防止未经授权的访问。
在您的CVM中,将以下示例中的your_password
替换为您的新密码:
sudo openvasmd --user=admin --new-password=your_password
这会将admin
用户的密码更改为您选择的值。您还可以通过替换new_user
以下命令来创建新的管理用户:
sudo openvasmd --create-user=new_user
即使您指定了密码,此方法也会创建一个随机密码。 要更改新创建的用户的密码,请使用第一个命令的语法,替换用户名和所需的密码。 要创建没有管理员权限的新访客用户,请使用gsad
(Greenbone Security Assistant守护程序)工具:
sudo gsad --guest-username=new_user --guest-password
将new_user
和your_password
替换为适当的值。 有关OpenVAS CLI可用的管理功能的完整列表,请使用openvasmd --help
和gsad --help
。
恭喜! OpenVAS现在可以使用了。 在本节中,我们将提供登录Greenbone Security Assistant(GSA)Web应用程序和运行基本漏洞扫描的基本教程。
在大多数浏览器中,您将首先遇到安全警告。发生这种情况是因为OpenVAS在安装时生成自签名SSL证书,并且您的主机未被识别为受信任的证书颁发机构。
要在Chrome中验证证书:
https://
旁边的警告图标,然后在显示的消息下选择“详细信息”。SHA 1
指纹。sudo openssl x509 -noout -in /var/lib/openvas/CA/servercert.pem -fingerprint -sha1
。要在Firefox中验证证书:
SEC_ERROR_UNKNOWN_ISSUER
。单击错误代码以查看更多信息。cat /var/lib/openvas/CA/servercert.pem
并在输出中查找----- BEGIN CERTIFICATE -----
行。admin
用户的凭据并单击“登录”。注意 安排3个或更多任务后,登录时不会出现“快速启动”屏幕。要随时访问此屏幕,请单击屏幕顶部的“扫描管理”选项卡,选择“任务”,然后将鼠标悬停在顶部栏中的紫色魔棒图标上。从那里,您可以选择“任务向导”或“高级任务向导”以快速轻松地创建新任务。
要查看特定任务的详细信息,请在“任务”下单击其名称。在下面的示例中,当我们使用任务向导创建它时,它被称为“IP localhost的立即扫描”:
要查看漏洞的详细信息,例如检测方法,对系统的影响以及某些情况下的解决方案,请单击漏洞的名称。在下面的示例中,OpenVAS检测到我们没有更改默认登录凭据,它告诉我们如何解决问题:
解决漏洞后,返回“任务”屏幕,然后单击“操作”下的绿色播放按钮图标再次运行扫描。 任务完成后,结果中不再存在漏洞。
有时,当您尝试通过浏览器进行连接时,可能会收到502 Bad Gateway错误。在大多数情况下,这是由其中一个OpenVAS守护进程停止引起的。
检查问题:
sudo netstat -plntu
您的输出应包括以下行:
Proto Recv-Q Send-Q Local Address Foreign AddressState PID/Program name
tcp 00 0.0.0.0:93910.0.0.0:*LISTEN3579/openvassd: Wai
tcp6 00 :::443:::* LISTEN7046/gsad
tcp6 00 :::9390 :::* LISTEN3577/openvasmd
这些行分别代表OpenVAS扫描程序,Greenbone安全助手和OpenVAS管理器。如果其中一行不存在,只需启动守护程序并尝试重新连接。例如,如果gsad
程序停止,请运行sudo service openvas-gsa restart
。以下是相关守护程序的名称,以及可用于重新启动它们的命令:
程序名称 | 重启的命令 |
---|---|
openvassd | sudo service openvas-scanner restart |
openvasmd | sudo service openvas-manager restart |
GSAD | sudo service openvas-gsa restart |
怎么样?学会了吗?对于重要的业务我建议您使用腾讯云Web 漏洞扫描服务,Web 漏洞扫描是用于监测网站漏洞的安全服务,为企业提供 7*24 小时准确、全面的漏洞监测服务,并为企业提供专业的修复建议, 从而避免漏洞被黑客利用,影响网站安全。目前 Web 漏洞扫描已广泛应用于金融、通信、政府、能源、军工等多个行业,并已被多个行业监管机构和等级保护单位使用。更多Linux教程请前往腾讯云+社区学习更多知识。
参考文献:《Install OpenVAS 8 on Ubuntu 16.04》
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。