OpenVAS开源漏扫系统离线实施搭建 推荐
2014-07-14 14:29
429 查看
在这里向我老师所写博客“一路狂笑”致敬(虽说好几年不写了,可老文章还是经典),在安装初期因为在线安装时间较长,老师的帮助是不可否认的...
OpenVAS开源漏扫系统,主要用于扫描系统漏洞(端口漏洞、服务工具版本漏洞、系统配置漏洞、服务加固隐患等等),并出示系统评估报告,可根据报告提示进行系统修复.
过多的功能,还有OpenVAS在众多漏扫工具中的突出点就不说了,网上有很多关于它的介绍,下面直接进入离线安装...
一、系统环境
服务器 —— CentOS 5.8 x86_64 客户机 —— Windows 7漏扫系统工具—— OpenVAS 6.0关闭服务器上的selinux服务
关闭服务器本机防火墙(可选,不关闭需要配置防火墙策略)
关闭NetworkManager 服务
二、Openvas服务器层组件
openvas-manager //负责与客户端Greebone程序通信,完成扫描任务、检测报告的提交等工
作,默认端口为9390
openvas-scanner //实际执行扫描的主服务(调用插件库扫描),默认端口为9391gsad //负责提供Web访问界面,默认监听地址为127.0.0.1,端口为9392openvas-administrator //负责与openvas-manager、gsad通信,完成用户和配置管理等操作,默认 监听地址为127.0.0.1,端口为9393其中openvas-manager、openvas-scanner会在安装后自动启用,其余两个服务根据需要手动启动。gsad服务默认只监听127.0.0.1,若要从客户机的浏览器中访问,建议将其改为0.0.0.0后再启动服务。
三、客户端工具
这里就说Web访问和Greenbone-Desktop-Suite工具访问
Web输入网址可直接进行远程操作
Greenbone-Desktop-Suite(桌面套件)负责提供访问OpenVAS服务层的图形程序界面,主要允许在Windows客户机中。
四、离线安装OpenVAS1)、配置yum安装前先下载openvas包和依赖包,依赖包很多(大约90个)为了方便使用yum下载所有包,也可为以后离线安装提供素材.# vim /etc/yum.confkeepcache=1 //可把yum下载的包缓存下来存放在/var/cache/yum/下,下载完可去寻找,所有包都在
首先备份/etc/yum.repos.d/目录下的yum源,如下:# mv /etc/yum.repos.d/CenOS-Base.repo CenOS-Base.repo.backup
下载更新atomicorp.repo的yum源# wget -q -O -http://www.atomicorp.com/installers/atomic |sh # yum update
# cd /etc/yum.repos.d/;ls //这时会看到下载更新好的atomicorp.repo的YUM源
下载更新CentOS6-Base-163.repo的YUM源,主要提供依赖包
# wget http://mirrors.163.com/.help/CentOS6-Base-163.repo # yum makecache
# yum clean all //清空、重建yum缓存
查看是否成功:
# yum list | grep -i openvas //打印出如下包,成功
openvas.noarch 1.0-9.el6.art atomic
openvas-administrator.x86_64 1.3.2-5.el6.art atomic
openvas-cli.x86_64 1.2.0-4.el6.art atomic
openvas-libraries.x86_64 6.0.1-7.el6.art atomic
openvas-libraries-devel.x86_64 6.0.1-7.el6.art atomic
openvas-manager.x86_64 4.0.4-13.el6.art atomic
openvas-scanner.x86_64 3.4.0-7.el6.art atomic
2)、离线安装
# rpm -Uvh /root/OpenVAS-rpms/*.rpm --force //安装下载好的包,一共90个包,包括各种依赖包和重要组件,采用升级U和强制force安装,避免中间因为依赖问题中断3)、部署扫描插件
# cd /var/lib/openvas/plugins/
# wget http://www.openvas.org/openvas-nvt-feed-current.tar.bz2 //下载插件# tar xf openvas-nvt-feed-current.tar //解压好的扫描插件大约57826左右4)、启动服务组件
首次启动openvas-scanner加载插件时会耗时较长,期间出现的“Not able toopen nor to locate……”、“Undefined function ……”等提示可忽略。#/etc/init.d/openvas-scanner start //启动过程中需要首次加载插件时间会很长,耐心等待...Startingopenvas-scanner: [确定]#/etc/init.d/openvas-administrator startStartingopenvas-administrator: [确定]#/etc/init.d/openvas-manager startStartingopenvas-manager: [确定]注:此时openvas-manager 实际未启动成功,需要执行下列操作修复:# openvas-mkcert-client-n om –i# openvasmd–rebuild# service openvas-manager restart
确认四个服务都启动后的监听状态:#netstat -anpt | grep :939tcp 0 0 0.0.0.0:9390 0.0.0.0:* LISTEN 25540/openvasmdtcp 0 0 0.0.0.0:9391 0.0.0.0:* LISTEN 25361/openvassdtcp 0 0 127.0.0.1:9392 0.0.0.0:* LISTEN 25442/gsadtcp 0 0 127.0.0.1:9393 0.0.0.0:* LISTEN 25399/openvasad
5)、启动客户层组件
gsad服务默认只监听127.0.0.1,若要从客户机的浏览器中访问,建议将其改为0.0.0.0后再启动服务#vim /etc/sysconfig/gsadGSA_ADDRESS=0.0.0.0 //必须修改为0.0.0.0GSA_PORT=9392#/etc/init.d/gsad restart# netstat-anpt | grep -i gsadtcp 0 00.0.0.0:9392 0.0.0.0:* LISTEN 2074/gsad
五、添加普通用户与管理员用户
openvas-adduser //创建用户
openvas-rmuser //删除用户
1)、添加普通用户yy
#openvas-adduser
Using/var/tmp as a temporary file holder.
Add anew openvassd user
-------------------------
Login:yy //输入要添加的扫描用户名称
Authentication(pass/cert)[pass]: //直接回车使用默认的密码认证方式
Loginpassword: //设置密码
Loginpassword(again): //设置密码(确认)
Userrules
------------
openvassdhas a rules system which allows you to restrict the hosts that tsengyia has theright to test.
Forinstance, you may want him to be able to scan his own host only.
Pleasesee the openvas-adduser(8) man page for the rules syntax.
Enterthe rules for this user, and hit ctrl-D once you are done.
(theuser can have an empty rules set)
accept192.168.10.0/24 //设置授权规则(允许扫描哪些网段或主机)
accept10.0.0.0/24
defaultdeny //设置默认授权规则(若不指定任何规则,默认允许扫描任意主机、网络)
注:在这填写完默认授权规则要Ctrl+d提交,进行下一步
Login yy
Password ************
Rules
accept192.168.4.0/24
accept10.0.0.0/24
defaultdeny
Isthat ok? (y/n)[y] //直接回车接受前述设置,完成用户添加
useradded.
2)创建管理员用户admin先使用openvas-adduser工具添加普通的扫描用户admin,然后其配置目录中建立isadmin文件,即可将角色设置为管理员。# openvas-adduserUsing/var/tmp as a temporary file holder.Adda new openvassd user-------------------------Login:admin…… //省略其创建普通用户过程#touch /var/lib/openvas/users/admin/isadmin //将普通用户admin设置成管理员
六、客户端访问OpenVAS
浏览器访问 https://192.168.134.133:9392 注意:是加密传输https
注意:如果登录失败,出现“Login failed. OMP service is down”,可执行下列操作修复(排错思路及过程附后):#openvas-mkcert-client -n om -i#openvasmd –rebuild#service openvas-manager restart#netstat -anpt | grep openvasmdtcp 0 0 0.0.0.0:9390 0.0.0.0:* LISTEN 33097/openvasmd
安装到这里可以使用[b]openvas-check-setup[/b]命令来检测OpenVAS是否安装成功,如果报FIX错误,可根据提示命令来完成修复或安装...注:可以通过openvas-check-setup命令来检测OpenVAS是否安装成功 要是报FIX关键字段错误,那么就根据后面的提示执行操作 FIX:代表错误字段
七、更新扫描插件库后续的维护过程中,可在线更新插件库和离线更新在线更新:# openvas-nvt-sync //执行在线更新脚本,更新较慢
离线更新:http://www.openvas.org/openvas-nvt-feed-current.tar.bz2下载离线更新包#cp openvas-nvt-feed-current.tar.bz2 /var/lib/openvas/plugins/# tarxf openvas-nvt-feed-current.tar.bz2#/etc/init.d/openvas-scanner restart //更新完重启服务,时间较长耐心等待
八、基本使用方法访问https://192.168.134.133:93921)、创建扫描目标 ·单击Configuration àTargets ·设置目标名称、目标地址、端口范围2)、创建扫描任务
·单击Scan Management àNew Task· 设置任务名称、扫描配置类型、扫描目标3)、开始扫描· 单击ScanManagement à Tasks (可回到主界面)
具体使用不说了,自己研究吧...
OpenVAS开源漏扫系统,主要用于扫描系统漏洞(端口漏洞、服务工具版本漏洞、系统配置漏洞、服务加固隐患等等),并出示系统评估报告,可根据报告提示进行系统修复.
过多的功能,还有OpenVAS在众多漏扫工具中的突出点就不说了,网上有很多关于它的介绍,下面直接进入离线安装...
一、系统环境
服务器 —— CentOS 5.8 x86_64 客户机 —— Windows 7漏扫系统工具—— OpenVAS 6.0关闭服务器上的selinux服务
关闭服务器本机防火墙(可选,不关闭需要配置防火墙策略)
关闭NetworkManager 服务
二、Openvas服务器层组件
openvas-manager //负责与客户端Greebone程序通信,完成扫描任务、检测报告的提交等工
作,默认端口为9390
openvas-scanner //实际执行扫描的主服务(调用插件库扫描),默认端口为9391gsad //负责提供Web访问界面,默认监听地址为127.0.0.1,端口为9392openvas-administrator //负责与openvas-manager、gsad通信,完成用户和配置管理等操作,默认 监听地址为127.0.0.1,端口为9393其中openvas-manager、openvas-scanner会在安装后自动启用,其余两个服务根据需要手动启动。gsad服务默认只监听127.0.0.1,若要从客户机的浏览器中访问,建议将其改为0.0.0.0后再启动服务。
三、客户端工具
这里就说Web访问和Greenbone-Desktop-Suite工具访问
Web输入网址可直接进行远程操作
Greenbone-Desktop-Suite(桌面套件)负责提供访问OpenVAS服务层的图形程序界面,主要允许在Windows客户机中。
四、离线安装OpenVAS1)、配置yum安装前先下载openvas包和依赖包,依赖包很多(大约90个)为了方便使用yum下载所有包,也可为以后离线安装提供素材.# vim /etc/yum.confkeepcache=1 //可把yum下载的包缓存下来存放在/var/cache/yum/下,下载完可去寻找,所有包都在
首先备份/etc/yum.repos.d/目录下的yum源,如下:# mv /etc/yum.repos.d/CenOS-Base.repo CenOS-Base.repo.backup
下载更新atomicorp.repo的yum源# wget -q -O -http://www.atomicorp.com/installers/atomic |sh # yum update
# cd /etc/yum.repos.d/;ls //这时会看到下载更新好的atomicorp.repo的YUM源
下载更新CentOS6-Base-163.repo的YUM源,主要提供依赖包
# wget http://mirrors.163.com/.help/CentOS6-Base-163.repo # yum makecache
# yum clean all //清空、重建yum缓存
查看是否成功:
# yum list | grep -i openvas //打印出如下包,成功
openvas.noarch 1.0-9.el6.art atomic
openvas-administrator.x86_64 1.3.2-5.el6.art atomic
openvas-cli.x86_64 1.2.0-4.el6.art atomic
openvas-libraries.x86_64 6.0.1-7.el6.art atomic
openvas-libraries-devel.x86_64 6.0.1-7.el6.art atomic
openvas-manager.x86_64 4.0.4-13.el6.art atomic
openvas-scanner.x86_64 3.4.0-7.el6.art atomic
2)、离线安装
# rpm -Uvh /root/OpenVAS-rpms/*.rpm --force //安装下载好的包,一共90个包,包括各种依赖包和重要组件,采用升级U和强制force安装,避免中间因为依赖问题中断3)、部署扫描插件
# cd /var/lib/openvas/plugins/
# wget http://www.openvas.org/openvas-nvt-feed-current.tar.bz2 //下载插件# tar xf openvas-nvt-feed-current.tar //解压好的扫描插件大约57826左右4)、启动服务组件
首次启动openvas-scanner加载插件时会耗时较长,期间出现的“Not able toopen nor to locate……”、“Undefined function ……”等提示可忽略。#/etc/init.d/openvas-scanner start //启动过程中需要首次加载插件时间会很长,耐心等待...Startingopenvas-scanner: [确定]#/etc/init.d/openvas-administrator startStartingopenvas-administrator: [确定]#/etc/init.d/openvas-manager startStartingopenvas-manager: [确定]注:此时openvas-manager 实际未启动成功,需要执行下列操作修复:# openvas-mkcert-client-n om –i# openvasmd–rebuild# service openvas-manager restart
确认四个服务都启动后的监听状态:#netstat -anpt | grep :939tcp 0 0 0.0.0.0:9390 0.0.0.0:* LISTEN 25540/openvasmdtcp 0 0 0.0.0.0:9391 0.0.0.0:* LISTEN 25361/openvassdtcp 0 0 127.0.0.1:9392 0.0.0.0:* LISTEN 25442/gsadtcp 0 0 127.0.0.1:9393 0.0.0.0:* LISTEN 25399/openvasad
5)、启动客户层组件
gsad服务默认只监听127.0.0.1,若要从客户机的浏览器中访问,建议将其改为0.0.0.0后再启动服务#vim /etc/sysconfig/gsadGSA_ADDRESS=0.0.0.0 //必须修改为0.0.0.0GSA_PORT=9392#/etc/init.d/gsad restart# netstat-anpt | grep -i gsadtcp 0 00.0.0.0:9392 0.0.0.0:* LISTEN 2074/gsad
五、添加普通用户与管理员用户
openvas-adduser //创建用户
openvas-rmuser //删除用户
1)、添加普通用户yy
#openvas-adduser
Using/var/tmp as a temporary file holder.
Add anew openvassd user
-------------------------
Login:yy //输入要添加的扫描用户名称
Authentication(pass/cert)[pass]: //直接回车使用默认的密码认证方式
Loginpassword: //设置密码
Loginpassword(again): //设置密码(确认)
Userrules
------------
openvassdhas a rules system which allows you to restrict the hosts that tsengyia has theright to test.
Forinstance, you may want him to be able to scan his own host only.
Pleasesee the openvas-adduser(8) man page for the rules syntax.
Enterthe rules for this user, and hit ctrl-D once you are done.
(theuser can have an empty rules set)
accept192.168.10.0/24 //设置授权规则(允许扫描哪些网段或主机)
accept10.0.0.0/24
defaultdeny //设置默认授权规则(若不指定任何规则,默认允许扫描任意主机、网络)
注:在这填写完默认授权规则要Ctrl+d提交,进行下一步
Login yy
Password ************
Rules
accept192.168.4.0/24
accept10.0.0.0/24
defaultdeny
Isthat ok? (y/n)[y] //直接回车接受前述设置,完成用户添加
useradded.
2)创建管理员用户admin先使用openvas-adduser工具添加普通的扫描用户admin,然后其配置目录中建立isadmin文件,即可将角色设置为管理员。# openvas-adduserUsing/var/tmp as a temporary file holder.Adda new openvassd user-------------------------Login:admin…… //省略其创建普通用户过程#touch /var/lib/openvas/users/admin/isadmin //将普通用户admin设置成管理员
六、客户端访问OpenVAS
浏览器访问 https://192.168.134.133:9392 注意:是加密传输https
注意:如果登录失败,出现“Login failed. OMP service is down”,可执行下列操作修复(排错思路及过程附后):#openvas-mkcert-client -n om -i#openvasmd –rebuild#service openvas-manager restart#netstat -anpt | grep openvasmdtcp 0 0 0.0.0.0:9390 0.0.0.0:* LISTEN 33097/openvasmd
如果能访问Internet,再执行以下操作:
# /etc/init.d/openvas-managerstop //关闭openvas管理服务# /etc/init.d/openvas-scannerstop //关闭openvas浏览器服务#openvas-scapdata-sync //导入数据库,会很慢,快则半个小时,慢则一天,看网络环境#mkdir /var/lib/openvas/scap-data/private#openvas-certdata-sync //同步证书数据#openvasmd –rebuild //重建数据库# /etc/init.d/openvas-scannerrestart //重启openvas浏览器服务#/etc/init.d/openvas-manager restart //重启openvas管理服务要是openvas-manager重启失败那么执行#openvas-mkcert-client -n om -i#openvasmd --rebuild#service openvas-manager restart# netstat -anptu | grep :939tcp 0 0 0.0.0.0:9390 0.0.0.0:* LISTEN 3224/openvasmd tcp 0 0 0.0.0.0:9391 0.0.0.0:* LISTEN 3356/openvassd tcp 0 0 0.0.0.0:9392 0.0.0.0:* LISTEN 2064/gsad tcp 0 0 127.0.0.1:9393 0.0.0.0:* LISTEN 1953/openvasad安装到这里可以使用[b]openvas-check-setup[/b]命令来检测OpenVAS是否安装成功,如果报FIX错误,可根据提示命令来完成修复或安装...注:可以通过openvas-check-setup命令来检测OpenVAS是否安装成功 要是报FIX关键字段错误,那么就根据后面的提示执行操作 FIX:代表错误字段
七、更新扫描插件库后续的维护过程中,可在线更新插件库和离线更新在线更新:# openvas-nvt-sync //执行在线更新脚本,更新较慢
离线更新:http://www.openvas.org/openvas-nvt-feed-current.tar.bz2下载离线更新包#cp openvas-nvt-feed-current.tar.bz2 /var/lib/openvas/plugins/# tarxf openvas-nvt-feed-current.tar.bz2#/etc/init.d/openvas-scanner restart //更新完重启服务,时间较长耐心等待
八、基本使用方法访问https://192.168.134.133:93921)、创建扫描目标 ·单击Configuration àTargets ·设置目标名称、目标地址、端口范围2)、创建扫描任务
·单击Scan Management àNew Task· 设置任务名称、扫描配置类型、扫描目标3)、开始扫描· 单击ScanManagement à Tasks (可回到主界面)
具体使用不说了,自己研究吧...
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 利用tomcat搭建jsp开源内容管理系统 推荐
- centos7搭建ELK开源实时日志分析系统 推荐
- 采用开源软件搭建WebGIS系统(3)工具总揽
- 采用开源软件搭建WebGIS系统(5)性能!性能!
- 微软内容管理系统Oxite v2009.1.5 -推荐.net的一个开源代码
- 初窥以Web为核心的系统搭建 推荐
- gentoo ffmpeg+mencoder快速搭建视频处理系统笔记 推荐
- 采用开源软件搭建WebGIS系统(1)系统架构
- 推荐一个开源的LMS系统ILIAS
- Linux NFS服务器的搭建与磁盘配额管理方案的实施 推荐
- 备份环境的部署及实施续——第二部分 备份环境的搭建 推荐
- 采用开源软件搭建WebGIS系统(6)数据格式
- 推荐几个Windows嵌入式系统的开源项目
- 采用开源方案的优势--从搭建WebGIS系统说起
- 采用开源软件搭建WebGIS系统(4)浏览器端Client
- 采用开源软件搭建WebGIS系统(8)遇到困难,决定试一试WFS
- 用华硕服务器搭配FreeNAS构建企业存储系统——华硕服务器IT硬件平台搭建大赛获奖方案 推荐
- Taste/Thoth:开源的推荐系统引擎