发表 admin at 2025年2月28日

类别

未分类

标签

如何在 Ubuntu 12.04 上使用 OpenVAS 审计远程系统的安全性

状态：已弃用

本文涵盖不再受支持的 Ubuntu 版本。如果您目前正在运行运行 Ubuntu 12.04 的服务器，我们强烈建议您升级或迁移到受支持的 Ubuntu 版本：

升级到 Ubuntu 14.04。
从 Ubuntu 14.04 升级到 Ubuntu 16.04
将服务器数据迁移到支持的版本

原因：

请参阅：

介绍

服务器安全的一个重要方面是主动进行安全筛选。如果您将任何服务暴露在 Internet 上，渗透测试对于确保您不会受到已知威胁是必不可少的。

Open Vulnerability Assessment System（通常称为 OpenVAS）是一套工具，它们协同工作以使用已知漏洞利用和弱点的数据库对客户端计算机运行测试。目标是了解您的服务器对已知攻击媒介的防范程度。

在本指南中，我们将在 Ubuntu 12.04 VPS 上安装 OpenVAS 套件。然后我们可以使用这个系统来扫描它自己和其他服务器。

添加 OpenVAS PPA 并安装软件

尽管 Ubuntu 的默认存储库中有一些 OpenVAS 组件，但我们将使用 PPA 来维护软件包的更新版本。

首先，我们需要安装 python-software-properties 包，这将使我们能够轻松地使用 PPA。

sudo apt-get update
sudo apt-get install python-software-properties

然后我们可以将最新的稳定版本添加到我们的系统中：

sudo add-apt-repository ppa:openvas/openvas6

我们需要重建 apt 数据库以收集有关通过我们的新 PPA 可用的包的信息。之后，我们可以安装所需的软件：

sudo apt-get update
sudo apt-get install openvas-manager openvas-scanner openvas-administrator openvas-cli greenbone-security-assistant sqlite3 xsltproc texlive-latex-base texlive-latex-extra texlive-latex-recommended htmldoc alien rpm nsis fakeroot

这将下载并安装启动所需的组件。

初始配置

我们可以使用默认包含的包装实用程序为 OpenVAS 创建 SSL 证书。我们需要以管理权限调用它，以便它可以放置在文件系统的受限部分。

sudo openvas-mkcert

您将被问到一些问题，这些问题将帮助您构建用于此服务器的证书文件。

大多数问题，您只需键入 ENTER 即可接受默认值。这主要供您自己使用，因此请输入您要使用的值。

接下来，我们将创建另一个证书。这一次，我们将为名为 \om 的用户创建一个客户端证书，这代表 OpenVAS Manager。我们不需要客户端部分的任何特定信息，因此我们将告诉它自动配置并安装证书需要的地方：

sudo openvas-mkcert-client -n om -i

建立数据库信息

现在我们已经安装了证书，我们可以开始构建数据库，以便我们的本地工具能够识别不同类型的威胁和漏洞。

通过发出以下命令更新网络漏洞测试数据库：

sudo openvas-nvt-sync

这会将最新的定义下载到您的本地计算机。

要继续，我们需要停止管理器和扫描器应用程序，以便我们可以暂时调用命令而不会发生冲突。

通过键入以下内容停止这两项服务：

sudo service openvas-manager stop
sudo service openvas-scanner stop

现在，我们可以在没有通常调用的 init 文件中找到的参数的情况下启动扫描仪应用程序。在第一次运行期间，OpenVAS 需要下载和同步大量数据。这需要相当长的时间：

sudo openvassd

完成后，您必须通过键入以下内容来重建扫描仪生成的数据库：

sudo openvasmd --rebuild

接下来，我们将下载并更新我们的安全内容自动化协议数据。这被称为“SCAP”数据。这是 OpenVAS 为我们的安全测试检查的另一个数据库。

sudo openvas-scapdata-sync

这将是又一次漫长的等待。它下载一些通用文件，然后在数据库中更新它们。

然后我们将为证书数据运行类似的同步操作：

sudo openvas-certdata-sync

第一次运行此命令，您可能会看到一些错误。它们可能看起来像这样：

Error: no such table: meta

这是因为 Ubuntu 包实际上缺少一些其他版本中打包的文件。

我们可以从管理器组件的 RPM 包中获取这些。输入以下内容将其下载到您的主目录：

cd
wget http://www6.atomicorp.com/channels/atomic/fedora/18/i386/RPMS/openvas-manager-4.0.2-11.fc18.art.i686.rpm

现在我们已经下载了文件，我们可以提取和展开 RPM 中存在的目录结构。我们可以通过键入以下内容来做到这一点：

rpm2cpio openvas* | cpio -div

我们将在 OpenVAS 可以找到它们的地方为我们的新文件创建一个目录。然后我们将文件移动到该目录中：

sudo mkdir /usr/share/openvas/cert
sudo cp ./usr/share/openvas/cert/* /usr/share/openvas/cert

现在，我们可以再次安全地运行 cert syncing 命令，这次它应该按预期完成：

sudo openvas-certdata-sync

之后，我们可以从我们的主目录中删除提取的 RPM 数据和目录：

rm -rf ~/openvas* ~/usr ~/etc

设置 OpenVAS 用户和端口

要登录我们的服务，我们需要一个用户。我们可以使用 OpenVAS 管理员组件创建一个。

在这里，我们将创建一个名为 \admin 的用户，具有管理员的角色。您将被要求提供用于新帐户的密码：

sudo openvasad -c add_user -n admin -r Admin

您将被告知该用户已被授予无限制访问权限。

接下来，我们需要更改其中一个组件的启动方式。 Greenbone 安全助手组件是我们已安装的工具的基于 Web 的界面。

默认情况下，该界面只能从本地计算机访问。由于我们在远程服务器上安装 OpenVAS 套件，我们将无法使用这些设置访问 Web 界面。我们需要让它可以从互联网上访问。

在您首选的文本编辑器中以 root 权限打开以下文件：

sudo nano /etc/default/greenbone-security-assistant

在顶部附近，您应该会看到一个参数，该参数指定 Web 界面将侦听的地址。我们需要将值从 127.0.0.1 更改为您的 VPS 的公共 IP 地址。这将让它监听来自互联网的连接，我们将能够连接：

<前>

进行上述修改后保存并关闭文件。

启动服务

我们现在将启动我们一直在配置的服务。它们中的大多数已经以某种能力运行，但我们必须重新启动它们以确保它们使用我们一直在收集的新信息。

首先终止所有正在运行的 OpenVAS 扫描程序进程：

sudo killall openvassd

实际终止进程最多可能需要 15 或 20 秒。您可以通过发出以下命令检查是否仍有进程仍在运行：

ps aux | grep openvassd | grep -v grep

如果返回任何东西，那么你的进程还没有完成，你应该继续等待。

一旦该过程完全退出，您就可以再次开始启动所有服务：

sudo service openvas-scanner start
sudo service openvas-manager start
sudo service openvas-administrator restart
sudo service greenbone-security-assistant restart

这些中的每一个都可能需要一些时间来启动。