在Ubuntu 16.04上安装OpenVAS 8

OpenVAS（开放式漏洞评估系统）是一个客户端/服务器架构，它常用来评估目标主机上的漏洞。OpenVAS是Nessus项目的一个分支，它提供的产品是完全地免费。OpenVAS默认安装在标准的Kali Linux上，本教程将介绍配置及启动OpenVAS。

OpenVAS包括：

• 存储结果和配置的数据库;
• 定期更新的网络漏洞测试（NVT）源;
• 扫描仪，运行NVT;
• Greenbone Security Assistant，一个图形界面，允许您从Web应用程序管理漏洞扫描。

有关该软件体系结构的更多信息，请参阅OpenVAS网站。

警告 OpenVAS是一个功能强大的安全工具，能够扫描远程主机以及本地计算机。本教程旨在允许您监视您控制或有权扫描的计算机上的漏洞。如果您使用OpenVAS扫描其他人拥有的远程服务器，请确保您完全了解所涉及的责任和潜在后果。

开始之前

1. 本教程需要一台已经设置好可以使用sudo命令的非root账号的CentOS服务器，并且已开启防火墙。没有服务器的同学可以在这里购买，不过我个人更推荐您使用免费的腾讯云开发者实验室进行试验，学会安装后在购买服务器。
2. 更新您的系统相关软件包。

sudo apt update && sudo apt upgrade

安装OpenVAS

Ubuntu不正式支持openvas存储库及其软件包。 如果您想在Ubuntu上安装OpenVAS，您需要安装相关签名密钥和指纹，您可以在Ubuntu软件包存档中执行此操作。

• 由于OpenVAS未包含在默认的Ubuntu存储库中，因此请安装其PPA：

sudo apt install software-properties-common
sudo add-apt-repository ppa:mrazavi/openvas

第一个命令安装software-properties-common包，这是添加某些存储库所必需的。第二个命令将输出有关如何安装OpenVAS的说明列表。我们将在以下步骤中解释这些说明。您无需显式导入GPG密钥，因为它将使用第二个命令自动添加到密钥环中。但是，您应该验证您的输出包括：

gpg: key 4AA450E0: public key "Launchpad PPA for Mohammad Razavi" imported

• 添加存储库后，更新系统包并安装openvas包：

sudo apt update
sudo apt install openvas

安装时openvas，系统会提示您为应用程序数据（例如任务和配置）配置Redis数据库。当系统询问您是否要在/var/run/redis/redis.sock添加套接字时选择是：

• 安装SQLite 3数据库包。这用于存储我们将在步骤5中获取的常见漏洞和披露（CVE）数据：

sudo apt install sqlite3

• 同步OpenVAS NVT源。 这允许您的安装访问最新漏洞和暴露的测试：

sudo openvas-nvt-sync

注意 此Feed由OpenVAS维护，每周更新一次。要使NVT Feed保持最新，我们建议您定期运行此命令，或者设置cron以自动执行此过程。

• 将安全内容自动化协议（SCAP）和计算机紧急准备团队（CERT）漏洞数据同步到本地数据库。同步将花费几分钟，您可以在输出中监视其进度：

sudo openvas-scapdata-sync
sudo openvas-certdata-sync

• 重新启动OpenVAS扫描程序和管理器：

sudo service openvas-scanner restart
sudo service openvas-manager restart

• 最后，重建OpenVAS数据库，以便管理员可以访问先前下载的NVT数据：

sudo openvasmd --rebuild --progress

配置OpenVAS

远程访问

要远程访问Greenbone Security Assistant Web界面，必须将其配置为侦听CVM的公共IP地址。 您可以通过编辑/etc/init.d/openvas-gsa下的配置文件，并在DAEMON_ARGS行上指定公共IP地址来完成此操作。 将198.51.100.221替换为您的CVM的公共地址：

/etc/init.d/openvas-gsa

DAEMON_ARGS= --listen "198.51.100.221"

保存更改，然后重新启动openvas-gsa：

sudo service openvas-gsa restart

OpenVAS 用户身份验证

OpenVAS现已安装，您已准备好开始使用它来扫描漏洞。但是，您应首先更改默认密码以防止未经授权的访问。

在您的CVM中，将以下示例中的your_password替换为您的新密码：

sudo openvasmd --user=admin --new-password=your_password

这会将admin用户的密码更改为您选择的值。您还可以通过替换new_user以下命令来创建新的管理用户：

sudo openvasmd --create-user=new_user

即使您指定了密码，此方法也会创建一个随机密码。 要更改新创建的用户的密码，请使用第一个命令的语法，替换用户名和所需的密码。 要创建没有管理员权限的新访客用户，请使用gsad（Greenbone Security Assistant守护程序）工具：

sudo gsad --guest-username=new_user --guest-password

将new_user和your_password替换为适当的值。 有关OpenVAS CLI可用的管理功能的完整列表，请使用openvasmd --help和gsad --help。

使用OpenVAS 扫描您的系统

恭喜！ OpenVAS现在可以使用了。 在本节中，我们将提供登录Greenbone Security Assistant（GSA）Web应用程序和运行基本漏洞扫描的基本教程。

• 在本地计算机上，在Web浏览器中导航到CVM的IP地址或域名。您应该被代理到GSA登录页面。

在大多数浏览器中，您将首先遇到安全警告。发生这种情况是因为OpenVAS在安装时生成自签名SSL证书，并且您的主机未被识别为受信任的证书颁发机构。

要在Chrome中验证证书：

• 单击URL栏中https：//旁边的警告图标，然后在显示的消息下选择“详细信息”。
• 在“安全性概述”窗格中，单击“查看证书”按钮。
• 将出现一个小窗口，其中包含有关自签名证书的信息。单击“详细信息”以展开窗口并显示更多信息。
• 滚动到底部找到SHA 1指纹。
• 在您的CVM上，运行sudo openssl x509 -noout -in /var/lib/openvas/CA/servercert.pem -fingerprint -sha1。
• 比较两个指纹。如果匹配，则忽略警告并继续进行是安全的。

要在Firefox中验证证书：

• 单击浏览器中警告页面上的“高级”按钮。
• 将显示其他详细信息，包括错误代码，类似于SEC_ERROR_UNKNOWN_ISSUER。单击错误代码以查看更多信息。
• 将显示一个窗格，其中包含服务器的“证书链”。
• 在您的CVM上，运行cat /var/lib/openvas/CA/servercert.pem并在输出中查找----- BEGIN CERTIFICATE -----行。
• 比较两个证书以确保它们匹配。如果他们这样做，可以安全地点击“添加例外”并继续。
• 您看到的下一页将是Greenbone Security Assistant的登录页面，这是OpenVAS管理器的图形Web界面。页面出现在屏幕上后，输入admin用户的凭据并单击“登录”。

• 欢迎屏幕将显示有关如何使用该工具的说明。 OpenVAS使用“任务”来管理扫描，但是要立即开始运行扫描，只需在“快速启动”下的文本框中输入主机名或IP地址，然后单击“开始扫描”。这将安排扫描指定的主机立即启动并将页面内容设置为每30秒刷新一次，这样您就可以实时查看进度。

注意 安排3个或更多任务后，登录时不会出现“快速启动”屏幕。要随时访问此屏幕，请单击屏幕顶部的“扫描管理”选项卡，选择“任务”，然后将鼠标悬停在顶部栏中的紫色魔棒图标上。从那里，您可以选择“任务向导”或“高级任务向导”以快速轻松地创建新任务。

• 在扫描过程中，可以随时访问显示任务结果的报告。扫描完成所需的时间取决于主机上运行的服务，并且可能会有很大差异。要查看扫描结果，请选择顶部导航栏中的“扫描管理”，然后单击“报告”。

要查看特定任务的详细信息，请在“任务”下单击其名称。在下面的示例中，当我们使用任务向导创建它时，它被称为“IP localhost的立即扫描”：

• 将显示“任务详细信息”屏幕，其中显示状态和检测到的漏洞数等信息。 要查看找到的任何漏洞的详细信息，请单击“结果”旁边的数字。在我们的示例中，有33个：

• “结果”页面将列出扫描中发现的潜在漏洞。 要对它们进行排序，请单击页面顶部任何列的标题。 请注意，如果在多个服务器上运行扫描，则需要按主机对结果进行排序，以确定哪些服务器受漏洞影响。

要查看漏洞的详细信息，例如检测方法，对系统的影响以及某些情况下的解决方案，请单击漏洞的名称。在下面的示例中，OpenVAS检测到我们没有更改默认登录凭据，它告诉我们如何解决问题：

解决漏洞后，返回“任务”屏幕，然后单击“操作”下的绿色播放按钮图标再次运行扫描。 任务完成后，结果中不再存在漏洞。

故障排除

有时，当您尝试通过浏览器进行连接时，可能会收到502 Bad Gateway错误。在大多数情况下，这是由其中一个OpenVAS守护进程停止引起的。

检查问题：

sudo netstat -plntu

您的输出应包括以下行：

Proto Recv-Q Send-Q Local Address  Foreign AddressState PID/Program name
tcp  00 0.0.0.0:93910.0.0.0:*LISTEN3579/openvassd: Wai
tcp6 00 :::443:::*  LISTEN7046/gsad
tcp6 00 :::9390  :::*  LISTEN3577/openvasmd

这些行分别代表OpenVAS扫描程序，Greenbone安全助手和OpenVAS管理器。如果其中一行不存在，只需启动守护程序并尝试重新连接。例如，如果gsad程序停止，请运行sudo service openvas-gsa restart。以下是相关守护程序的名称，以及可用于重新启动它们的命令：

怎么样？学会了吗？对于重要的业务我建议您使用腾讯云Web 漏洞扫描服务，Web 漏洞扫描是用于监测网站漏洞的安全服务，为企业提供 7*24 小时准确、全面的漏洞监测服务，并为企业提供专业的修复建议， 从而避免漏洞被黑客利用，影响网站安全。目前 Web 漏洞扫描已广泛应用于金融、通信、政府、能源、军工等多个行业，并已被多个行业监管机构和等级保护单位使用。更多Linux教程请前往腾讯云+社区学习更多知识。

参考文献：《Install OpenVAS 8 on Ubuntu 16.04》