OpenVAS开源漏扫系统,主要用于扫描系统漏洞(端口漏洞、服务工具版本漏洞、系统配置漏洞、服务加固隐患等等),并出示系统评估报告,可根据报告提示进行系统修复。
过多的功能,还有OpenVAS在众多漏扫工具中的突出点就不说了,网上有很多关于它的介绍,下面直接进入离线安装...
一、系统环境 服务器 —— CentOS 5.8 x86_64 客户机 —— Windows 7 漏扫系统工具—— OpenVAS 6.0
关闭服务器上的selinux服务 关闭服务器本机防火墙(可选,不关闭需要配置防火墙策略) 关闭NetworkManager 服务
二、Openvas服务器层组件 openvas-manager //负责与客户端Greebone程序通信,完成扫描任务、检测报告的提交等工 作,默认端口为9390 openvas-scanner //实际执行扫描的主服务(调用插件库扫描),默认端口为9391 gsad //负责提供Web访问界面,默认监听地址为127.0.0.1,端口为9392 openvas-administrator //负责与openvas-manager、gsad通信,完成用户和配置管理等操作,默认 监听地址为127.0.0.1,端口为9393 其中openvas-manager、openvas-scanner会在安装后自动启用,其余两个服务根据需要手动启动。 gsad服务默认只监听127.0.0.1,若要从客户机的浏览器中访问,建议将其改为0.0.0.0后再启动服务。
三、客户端工具 这里就说Web访问和Greenbone-Desktop-Suite工具访问 Web输入网址可直接进行远程操作 Greenbone-Desktop-Suite(桌面套件)负责提供访问OpenVAS服务层的图形程序界面,主要允许在Windows客户机中。
四、离线安装OpenVAS 1)、配置yum 安装前先下载openvas包和依赖包,依赖包很多(大约90个)为了方便使用yum下载所有包,也可为以后离线安装提供素材. # vim /etc/yum.conf keepcache=1 //可把yum下载的包缓存下来存放在/var/cache/yum/下,下载完可去寻找,所有包都在
首先备份/etc/yum.repos.d/目录下的yum源,如下: # mv /etc/yum.repos.d/CenOS-Base.repo CenOS-Base.repo.backup
下载更新atomicorp.repo的yum源 # wget -q -O -http://www.atomicorp.com/installers/atomic |sh # yum update
# cd /etc/yum.repos.d/;ls //这时会看到下载更新好的atomicorp.repo的YUM源
下载更新CentOS6-Base-163.repo的YUM源,主要提供依赖包 # wget http://mirrors.163.com/.help/CentOS6-Base-163.repo # yum makecache # yum clean all //清空、重建yum缓存
查看是否成功: # yum list | grep -i openvas //打印出如下包,成功 openvas.noarch 1.0-9.el6.art atomic openvas-administrator.x86_64 1.3.2-5.el6.art atomic openvas-cli.x86_64 1.2.0-4.el6.art atomic openvas-libraries.x86_64 6.0.1-7.el6.art atomic openvas-libraries-devel.x86_64 6.0.1-7.el6.art atomic openvas-manager.x86_64 4.0.4-13.el6.art atomic openvas-scanner.x86_64 3.4.0-7.el6.art atomic
2)、离线安装
# rpm -Uvh /root/OpenVAS-rpms/*.rpm --force //安装下载好的包,一共90个包,包括各种依赖包和重要组件,采用升级U和强制force安装,避免中间因为依赖问题中断 3)、部署扫描插件 # cd /var/lib/openvas/plugins/ # wget http://www.openvas.org/openvas-nvt-feed-current.tar.bz2 //下载插件 # tar xf openvas-nvt-feed-current.tar //解压好的扫描插件大约57826左右 4)、启动服务组件
首次启动openvas-scanner加载插件时会耗时较长,期间出现的“Not able toopen nor to locate……”、“Undefined function ……”等提示可忽略。 #/etc/init.d/openvas-scanner start //启动过程中需要首次加载插件时间会很长,耐心等待... Startingopenvas-scanner: [确定] #/etc/init.d/openvas-administrator start Startingopenvas-administrator: [确定] #/etc/init.d/openvas-manager start Startingopenvas-manager: [确定] 注:此时openvas-manager 实际未启动成功,需要执行下列操作修复: # openvas-mkcert-client-n om –i # openvasmd–rebuild # service openvas-manager restart
确认四个服务都启动后的监听状态: #netstat -anpt | grep :939 tcp 0 0 0.0.0.0:9390 0.0.0.0:* LISTEN 25540/openvasmd tcp 0 0 0.0.0.0:9391 0.0.0.0:* LISTEN 25361/openvassd tcp 0 0 127.0.0.1:9392 0.0.0.0:* LISTEN 25442/gsad tcp 0 0 127.0.0.1:9393 0.0.0.0:* LISTEN 25399/openvasad
5)、启动客户层组件 gsad服务默认只监听127.0.0.1,若要从客户机的浏览器中访问,建议将其改为0.0.0.0后再启动服务 #vim /etc/sysconfig/gsad GSA_ADDRESS=0.0.0.0 //必须修改为0.0.0.0 GSA_PORT=9392 #/etc/init.d/gsad restart # netstat-anpt | grep -i gsad tcp 0 00.0.0.0:9392 0.0.0.0:* LISTEN 2074/gsad
五、添加普通用户与管理员用户
openvas-adduser //创建用户 openvas-rmuser //删除用户
1)、添加普通用户yy #openvas-adduser Using/var/tmp as a temporary file holder. Add anew openvassd user ------------------------- Login:yy //输入要添加的扫描用户名称 Authentication(pass/cert)[pass]: //直接回车使用默认的密码认证方式 Loginpassword: //设置密码 Loginpassword(again): //设置密码(确认) Userrules ------------ openvassdhas a rules system which allows you to restrict the hosts that tsengyia has theright to test. Forinstance, you may want him to be able to scan his own host only. Pleasesee the openvas-adduser(8) man page for the rules syntax. Enterthe rules for this user, and hit ctrl-D once you are done. (theuser can have an empty rules set) accept192.168.10.0/24 //设置授权规则(允许扫描哪些网段或主机) accept10.0.0.0/24 defaultdeny //设置默认授权规则(若不指定任何规则,默认允许扫描任意主机、网络) 注:在这填写完默认授权规则要Ctrl d提交,进行下一步 Login yy Password ************ Rules accept192.168.4.0/24 accept10.0.0.0/24 defaultdeny Isthat ok? (y/n)[y] //直接回车接受前述设置,完成用户添加 useradded. 2)创建管理员用户admin 先使用openvas-adduser工具添加普通的扫描用户admin,然后其配置目录中建立isadmin文件,即可将角色设置为管理员。 # openvas-adduser Using/var/tmp as a temporary file holder. Adda new openvassd user ------------------------- Login:admin …… //省略其创建普通用户过程 #touch /var/lib/openvas/users/admin/isadmin //将普通用户admin设置成管理员
六、客户端访问OpenVAS
浏览器访问 https://192.168.134.133:9392 注意:是加密传输https
注意:如果登录失败,出现“Login failed. OMP service is down”,可执行下列操作修复(排错思路及过程附后): #openvas-mkcert-client -n om -i #openvasmd –rebuild #service openvas-manager restart #netstat -anpt | grep openvasmd tcp 0 0 0.0.0.0:9390 0.0.0.0:* LISTEN 33097/openvasmd
如果能访问Internet,再执行以下操作: # /etc/init.d/openvas-managerstop //关闭openvas管理服务 # /etc/init.d/openvas-scannerstop //关闭openvas浏览器服务 #openvas-scapdata-sync //导入数据库,会很慢,快则半个小时,慢则一天,看网络环境 #mkdir /var/lib/openvas/scap-data/private #openvas-certdata-sync //同步证书数据 #openvasmd –rebuild //重建数据库 # /etc/init.d/openvas-scannerrestart //重启openvas浏览器服务 #/etc/init.d/openvas-manager restart //重启openvas管理服务 要是openvas-manager重启失败那么执行 #openvas-mkcert-client -n om -i #openvasmd --rebuild #service openvas-manager restart
# netstat -anptu | grep :939 tcp 0 0 0.0.0.0:9390 0.0.0.0:* LISTEN 3224/openvasmd tcp 0 0 0.0.0.0:9391 0.0.0.0:* LISTEN 3356/openvassd tcp 0 0 0.0.0.0:9392 0.0.0.0:* LISTEN 2064/gsad tcp 0 0 127.0.0.1:9393 0.0.0.0:* LISTEN 1953/openvasad
安装到这里可以使用openvas-check-setup命令来检测OpenVAS是否安装成功,如果报FIX错误,可根据提示命令来完成修复或安装...
注:可以通过openvas-check-setup命令来检测OpenVAS是否安装成功 要是报FIX关键字段错误,那么就根据后面的提示执行操作 FIX:代表错误字段
七、更新扫描插件库 后续的维护过程中,可在线更新插件库和离线更新 在线更新: # openvas-nvt-sync //执行在线更新脚本,更新较慢
离线更新: http://www.openvas.org/openvas-nvt-feed-current.tar.bz2下载离线更新包 #cp openvas-nvt-feed-current.tar.bz2 /var/lib/openvas/plugins/ # tarxf openvas-nvt-feed-current.tar.bz2 #/etc/init.d/openvas-scanner restart //更新完重启服务,时间较长耐心等待
八、基本使用方法 访问https://192.168.134.133:9392 1)、创建扫描目标 ·单击Configuration àTargets
·设置目标名称、目标地址、端口范围 2)、创建扫描任务
·单击Scan Management àNew Task · 设置任务名称、扫描配置类型、扫描目标 3)、开始扫描
· 单击ScanManagement à Tasks (可回到主界面)
具体使用不说了,自己研究吧...
最重要一点,要把selinux关掉,否则任何功能都无法实现。需要在/etc/sysconfig/selinux中设置参数selinux=0
漏洞扫描工具OpenVAS的安装 http://www.linuxidc.com/Linux/2013-05/84178.htm