1)虛擬機環境:VMware® Workstation 14 Pro(版本號:14.1.2 build-8497320),如圖1。

image

圖1 虛擬機版本信息

2)kali鏡像

Kali2018.2安裝鏡像下載地址:https://www.kali.org/downloads/

本次測試安裝的卡里鏡像文件是:kali-linux-2018.2-amd64.iso。

3)更新源

# 官方源

---------------------------------------

# deb cdrom:[Debian GNU/Linux 2018.2 _Kali-rolling_ - Official Snapshot amd64 LIVE/INSTALL Binary 20180412-10:55]/ kali-last-snapshot contrib main non-free

#deb cdrom:[Debian GNU/Linux 2018.2 _Kali-rolling_ - Official Snapshot amd64 LIVE/INSTALL Binary 20180412-10:55]/ kali-last-snapshot contrib main non-free

deb http://http.kali.org/kali kali-rolling main non-free contrib

# deb-src http://http.kali.org/kali kali-rolling main non-free contrib

# This system was installed using small removable media

# (e.g. netinst, live or single CD). The matching "deb cdrom"

# entries were disabled at the end of the installation process.

# For information about how to configure apt package sources,

# see the sources.list(5) manual.

---------------------------------------

2 OpenVAS安裝與配置

2.1 安裝OpenVAS

Kali linux2018.3默認未安裝openvas,需要手動安裝:

安裝步驟:

1)更新系統

#apt-get clean

#apt-get update && apt-get upgrade && apt-get dist-upgrade

2)OpenVAS安裝包及依賴環境下載

#apt-get install openvas*

image

圖2 OpenVAS安裝包及依賴環境下載

這是一個漫長的等待,完成后如圖3所示:

image

圖3 OpenVAS安裝包及依賴環境下載完成

3)初始化openvas

#openvas-setup

image

圖4 OpenVAS初始化安裝

又是一個漫長的等待。

初始化完成后,會自動生成默認賬號密碼,默認賬號是:admin,密碼如圖5所示:

image

圖5 OpenVAS初始化密碼

4)安裝完整性檢測

#openvas-check-setup

image

圖6 完整性檢測1

image

圖7 完整性檢測2

安裝完整性檢測完成,如圖7-2所示,安裝ok。

2.2 OpenVAS配置

1)設置外部訪問

安裝完成之后,OpenVAS默認設置的監聽地址為127.0.0.1,為了使用方便,需要手動配置外部訪問,Openvas9.0修改以下四個配置文件中的監聽ip,由127.0.0.1改為0.0.0.0(表示任意IP),保存之后,重新加載systemctl,重啟openvas即可。

具體操作如下:

#leafpad /lib/systemd/system/greenbone-security-assistant.service

(1)本文件下修改兩處:--listen和—mlisten

image

圖8-1 修改greenbone-security-assistant.service監聽地址

(2)增加host 頭主機地址(IP或域名)

在--mlisten=0.0.0.0 后增加“--allow-header-host=外部訪問的地址IP或域名”,本次測試本機地址為:192.168.200.221,即外部訪問的IP為192.168.200.221,如圖8-2所示。

12.png

圖8-2 增加host主機地址

說明:在新的manager 7.0.3中,若不增加host 頭主機地址,外部訪問將會出現以下報錯:

==============================================================================================================

The request contained an unknown or invalid Host header. If you are trying to access GSA via its hostname or a proxy, make sure GSA is set up to allow it.

============================================================================================================== 

#leafpad /lib/systemd/system/openvas-manager.service

image

圖9 修改openvas-manager.service監聽地址

#leafpad /etc/default/openvas-manager  //管理器:與接口通信,分配掃描任務,並根據掃描結果生成評估報告,默認端口為9390

image

圖10 修改openvas-manager監聽地址

#leafpad /etc/default/greenbone-security-assistant  //訪問web 端接口(gsad):訪問opebvas 服務層的web 接口,默認監聽地址為127.0.0.1,端口為9392。

此文件也是修改兩處:GSA_ADDRESS和MANAGER_ADDRESS

image

圖11 修改greenbone-security-assistant監聽地址1

image

圖12 修改greenbone-security-assistant監聽地址1

重新加載systemctl:

#openvas-stop

#systemctl daemon-reload

重新啟動openvas:

#openvas-stop

#openvas-start

安裝完整性檢測

# openvas-check-setup

2)修改密碼

Openvas自動生成的默認密碼太長,不容易記,我們可以修改成符合我們記憶習慣的密碼。

方法一:通過命令行修改

# openvasmd --user=admin --new-password=admin

image

圖13 通過命令行修改密碼

方法二:GSA修改

登錄GSA后,打開administration-》Users,如圖14:

image

圖14

點擊“Edit User”,如圖15:

image

圖15

選擇如圖16,輸入新密碼保存即可。

image

圖16

3)升級插件和漏洞庫

方法一:

# openvas-feed-update //初始化安裝,可以不用更新

方法二:

# greenbone-nvt-sync

# greenbone-scapdata-sync  

# greenbone-certdata-sync

建議使用方法一進行升級。

2.3 錯誤處置

2.3.1 安裝過程錯誤處置

在安裝檢測中,一旦發現錯誤問題,均可以根據提示進行修復。

1)錯誤1:No OpenVAS SCAP database found

image

圖17 No OpenVAS SCAP database found

修復命令:openvas-scapdata-sync

image

圖18 No OpenVAS SCAP database found處置方法

2)錯誤2:The number of NVTs in the OpenVAS Manager database is too low

image

圖 19 The number of NVTs in the OpenVAS Manager database is too low

修復命令:openvasmd --rebuild

image

圖20 The number of NVTs in the OpenVAS Manager database is too low

處置方法

此處重新構建OpenVAS數據庫,需等待很長一段時間。

2.3.2 啟動過程錯誤

啟動過程錯誤是指第一安裝完成OpenVAS時可以正常啟動和使用,但關機重啟后使用openvas-start命令啟動OpenVAS,出現greenbone-security-assistant、openvas-scanner和openvas-manager三個服務中某個服務啟動失敗,如圖21所示,問題主要出現在kali2018.x上。原因是OpenVAS的啟動腳本openvas-start(停用腳本openvas-stop)未收到相關服務進行反饋信息,導致啟動失敗。

image

圖21 openvas-manager.service啟動失敗

解決辦法:

通過systemctl進行啟動服務

# systemctl start greenbone-security-assistant openvas-scanner openvas-manager

image

圖22 systemctl啟動服務

或者針對某個啟動失敗的服務進行啟動

# systemctl start greenbone-security-assistant //啟動greenbone-security-assistant

# systemctl start openvas-scanner // 啟動openvas-scanner

# systemctl start openvas-manager //啟動openvas-manager

再次執行OpenVAS 啟動命令openvas-start即可。