在這裏向我老師所寫博客“一路狂笑”致敬(雖說好幾年不寫了,可老文章還是經典),在安裝初期因爲在線安裝時間較長,老師的幫助是不可否認的...
OpenVAS開源漏掃系統,主要用於掃描系統漏洞(端口漏洞、服務工具版本漏洞、系統配置漏洞、服務加固隱患等等),並出示系統評估報告,可根據報告提示進行系統修復.
過多的功能,還有OpenVAS在衆多漏掃工具中的突出點就不說了,網上有很多關於它的介紹,下面直接進入離線安裝...
一、系統環境
服務器 —— CentOS 5.8 x86_64
客戶機 —— Windows 7
漏掃系統工具—— OpenVAS 6.0
關閉服務器上的selinux服務
關閉服務器本機防火牆(可選,不關閉需要配置防火牆策略)
關閉NetworkManager 服務
二、Openvas服務器層組件
openvas-manager //負責與客戶端Greebone程序通信,完成掃描任務、檢測報告的提交等工
作,默認端口爲9390
openvas-scanner //實際執行掃描的主服務(調用插件庫掃描),默認端口爲9391
gsad //負責提供Web訪問界面,默認監聽地址爲127.0.0.1,端口爲9392
openvas-administrator //負責與openvas-manager、gsad通信,完成用戶和配置管理等操作,默認
監聽地址爲127.0.0.1,端口爲9393
其中openvas-manager、openvas-scanner會在安裝後自動啓用,其餘兩個服務根據需要手動啓動。
gsad服務默認只監聽127.0.0.1,若要從客戶機的瀏覽器中訪問,建議將其改爲0.0.0.0後再啓動服務。
三、客戶端工具
這裏就說Web訪問和Greenbone-Desktop-Suite工具訪問
Web輸入網址可直接進行遠程操作
Greenbone-Desktop-Suite(桌面套件)負責提供訪問OpenVAS服務層的圖形程序界面,主要允許在Windows客戶機中。
四、離線安裝OpenVAS
1)、配置yum
安裝前先下載openvas包和依賴包,依賴包很多(大約90個)爲了方便使用yum下載所有包,也可爲以後離線安裝提供素材.
# vim /etc/yum.conf
keepcache=1 //可把yum下載的包緩存下來存放在/var/cache/yum/下,下載完可去尋找,所有包都在
首先備份/etc/yum.repos.d/目錄下的yum源,如下:
# mv /etc/yum.repos.d/CenOS-Base.repo CenOS-Base.repo.backup
下載更新atomicorp.repo的yum源
# wget -q -O -http://www.atomicorp.com/installers/atomic |sh
# yum update
# cd /etc/yum.repos.d/;ls //這時會看到下載更新好的atomicorp.repo的YUM源
下載更新CentOS6-Base-163.repo的YUM源,主要提供依賴包
# wget http://mirrors.163.com/.help/CentOS6-Base-163.repo
# yum makecache
# yum clean all //清空、重建yum緩存
查看是否成功:
# yum list | grep -i openvas //打印出如下包,成功
openvas.noarch 1.0-9.el6.art atomic
openvas-administrator.x86_64 1.3.2-5.el6.art atomic
openvas-cli.x86_64 1.2.0-4.el6.art atomic
openvas-libraries.x86_64 6.0.1-7.el6.art atomic
openvas-libraries-devel.x86_64 6.0.1-7.el6.art atomic
openvas-manager.x86_64 4.0.4-13.el6.art atomic
openvas-scanner.x86_64 3.4.0-7.el6.art atomic
2)、離線安裝
# rpm -Uvh /root/OpenVAS-rpms/*.rpm --force //安裝下載好的包,一共90個包,包括各種依賴包和重要組件,採用升級U和強制force安裝,避免中間因爲依賴問題中斷
3)、部署掃描插件
# cd /var/lib/openvas/plugins/
# wget http://www.openvas.org/openvas-nvt-feed-current.tar.bz2 //下載插件
# tar xf openvas-nvt-feed-current.tar //解壓好的掃描插件大約57826左右
4)、啓動服務組件
首次啓動openvas-scanner加載插件時會耗時較長,期間出現的“Not able toopen nor to
locate……”、“Undefined function ……”等提示可忽略。
#/etc/init.d/openvas-scanner start //啓動過程中需要首次加載插件時間會很長,耐心等待...
Startingopenvas-scanner: [確定]
#/etc/init.d/openvas-administrator start
Startingopenvas-administrator: [確定]
#/etc/init.d/openvas-manager start
Startingopenvas-manager: [確定]
注:此時openvas-manager 實際未啓動成功,需要執行下列操作修復:
# openvas-mkcert-client-n om –i
# openvasmd–rebuild
# service openvas-manager restart
確認四個服務都啓動後的監聽狀態:
#netstat -anpt | grep :939
tcp 0 0 0.0.0.0:9390 0.0.0.0:* LISTEN 25540/openvasmd
tcp 0 0 0.0.0.0:9391 0.0.0.0:* LISTEN 25361/openvassd
tcp 0 0 127.0.0.1:9392 0.0.0.0:* LISTEN 25442/gsad
tcp 0 0 127.0.0.1:9393 0.0.0.0:* LISTEN 25399/openvasad
5)、啓動客戶層組件
gsad服務默認只監聽127.0.0.1,若要從客戶機的瀏覽器中訪問,建議將其改爲0.0.0.0後再啓動服務
#vim /etc/sysconfig/gsad
GSA_ADDRESS=0.0.0.0 //必須修改爲0.0.0.0
GSA_PORT=9392
#/etc/init.d/gsad restart
# netstat-anpt | grep -i gsad
tcp 0 00.0.0.0:9392 0.0.0.0:* LISTEN 2074/gsad
五、添加普通用戶與管理員用戶
openvas-adduser //創建用戶
openvas-rmuser //刪除用戶
1)、添加普通用戶yy
#openvas-adduser
Using/var/tmp as a temporary file holder.
Add anew openvassd user
-------------------------
Login:yy //輸入要添加的掃描用戶名稱
Authentication(pass/cert)[pass]: //直接回車使用默認的密碼認證方式
Loginpassword: //設置密碼
Loginpassword(again): //設置密碼(確認)
Userrules
------------
openvassdhas a rules system which allows you to restrict the hosts that tsengyia has theright to test.
Forinstance, you may want him to be able to scan his own host only.
Pleasesee the openvas-adduser(8) man page for the rules syntax.
Enterthe rules for this user, and hit ctrl-D once you are done.
(theuser can have an empty rules set)
accept192.168.10.0/24 //設置授權規則(允許掃描哪些網段或主機)
accept10.0.0.0/24
defaultdeny //設置默認授權規則(若不指定任何規則,默認允許掃描任意主機、網絡)
注:在這填寫完默認授權規則要Ctrl+d提交,進行下一步
Login yy
Password ************
Rules
accept192.168.4.0/24
accept10.0.0.0/24
defaultdeny
Isthat ok? (y/n)[y] //直接回車接受前述設置,完成用戶添加
useradded.
2)創建管理員用戶admin
先使用openvas-adduser工具添加普通的掃描用戶admin,然後其配置目錄中建立isadmin文件,即可將角色設置爲管理員。
# openvas-adduser
Using/var/tmp as a temporary file holder.
Adda new openvassd user
-------------------------
Login:admin
…… //省略其創建普通用戶過程
#touch /var/lib/openvas/users/admin/isadmin //將普通用戶admin設置成管理員
六、客戶端訪問OpenVAS
瀏覽器訪問 https://192.168.134.133:9392 注意:是加密傳輸https
注意:如果登錄失敗,出現“Login failed. OMP service is down”,可執行下列操作修復(排錯思路及過程附後):
#openvas-mkcert-client -n om -i
#openvasmd –rebuild
#service openvas-manager restart
#netstat -anpt | grep openvasmd
tcp 0 0 0.0.0.0:9390 0.0.0.0:* LISTEN 33097/openvasmd
如果能訪問Internet,再執行以下操作:
# /etc/init.d/openvas-managerstop //關閉openvas管理服務
# /etc/init.d/openvas-scannerstop //關閉openvas瀏覽器服務
#openvas-scapdata-sync //導入數據庫,會很慢,快則半個小時,慢則一天,看網絡環境
#mkdir /var/lib/openvas/scap-data/private
#openvas-certdata-sync //同步證書數據
#openvasmd –rebuild //重建數據庫
# /etc/init.d/openvas-scannerrestart //重啓openvas瀏覽器服務
#/etc/init.d/openvas-manager restart //重啓openvas管理服務
要是openvas-manager重啓失敗那麼執行
#openvas-mkcert-client -n om -i
#openvasmd --rebuild
#service openvas-manager restart
# netstat -anptu | grep :939
tcp 0 0 0.0.0.0:9390 0.0.0.0:* LISTEN 3224/openvasmd
tcp 0 0 0.0.0.0:9391 0.0.0.0:* LISTEN 3356/openvassd
tcp 0 0 0.0.0.0:9392 0.0.0.0:* LISTEN 2064/gsad
tcp 0 0 127.0.0.1:9393 0.0.0.0:* LISTEN 1953/openvasad
安裝到這裏可以使用openvas-check-setup命令來檢測OpenVAS是否安裝成功,如果報FIX錯誤,可根據提示命令來完成修復或安裝...
注:可以通過openvas-check-setup命令來檢測OpenVAS是否安裝成功
要是報FIX關鍵字段錯誤,那麼就根據後面的提示執行操作
FIX:代表錯誤字段
七、更新掃描插件庫
後續的維護過程中,可在線更新插件庫和離線更新
在線更新:
# openvas-nvt-sync //執行在線更新腳本,更新較慢
離線更新:
http://www.openvas.org/openvas-nvt-feed-current.tar.bz2下載離線更新包
#cp openvas-nvt-feed-current.tar.bz2 /var/lib/openvas/plugins/
# tarxf openvas-nvt-feed-current.tar.bz2
#/etc/init.d/openvas-scanner restart //更新完重啓服務,時間較長耐心等待
八、基本使用方法
訪問https://192.168.134.133:9392
1)、創建掃描目標
·單擊Configuration àTargets
·設置目標名稱、目標地址、端口範圍
2)、創建掃描任務
·單擊Scan Management àNew Task
· 設置任務名稱、掃描配置類型、掃描目標
3)、開始掃描
· 單擊ScanManagement à Tasks (可回到主界面)
具體使用不說了,自己研究吧...