CentOS 5.8下离线安装OpenVAS开源漏扫系统

共计 6147 个字符，预计需要花费 16 分钟才能阅读完成。

OpenVAS 开源漏扫系统，主要用于扫描系统漏洞（端口漏洞、服务工具版本漏洞、系统配置漏洞、服务加固隐患等等），并出示系统评估报告，可根据报告提示进行系统修复。

过多的功能，还有 OpenVAS 在众多漏扫工具中的突出点就不说了，网上有很多关于它的介绍，下面直接进入离线安装 …

一、系统环境
服务器 —— CentOS 5.8  x86_64
客户机 —— Windows 7
漏扫系统工具—— OpenVAS 6.0

关闭服务器上的 selinux 服务
关闭服务器本机防火墙（可选，不关闭需要配置防火墙策略）
关闭 NetworkManager 服务

二、Openvas 服务器层组件
openvas-manager            // 负责与客户端 Greebone 程序通信，完成扫描任务、检测报告的提交等工 
                            作，默认端口为 9390
openvas-scanner          // 实际执行扫描的主服务（调用插件库扫描），默认端口为 9391
gsad                      // 负责提供 Web 访问界面，默认监听地址为 127.0.0.1，端口为 9392
openvas-administrator    // 负责与 openvas-manager、gsad 通信，完成用户和配置管理等操作，默认
                            监听地址为 127.0.0.1，端口为 9393
其中 openvas-manager、openvas-scanner 会在安装后自动启用，其余两个服务根据需要手动启动。
gsad 服务默认只监听 127.0.0.1，若要从客户机的浏览器中访问，建议将其改为 0.0.0.0 后再启动服务。

三、客户端工具
这里就说 Web 访问和 Greenbone-Desktop-Suite 工具访问
Web 输入网址可直接进行远程操作
Greenbone-Desktop-Suite(桌面套件) 负责提供访问 OpenVAS 服务层的图形程序界面，主要允许在 Windows 客户机中。

四、离线安装 OpenVAS
1）、配置 yum
安装前先下载 openvas 包和依赖包，依赖包很多（大约 90 个）为了方便使用 yum 下载所有包，也可为以后离线安装提供素材.
# vim /etc/yum.conf
keepcache=1    // 可把 yum 下载的包缓存下来存放在 /var/cache/yum/ 下，下载完可去寻找，所有包都在

首先备份 /etc/yum.repos.d/ 目录下的 yum 源，如下：
# mv  /etc/yum.repos.d/CenOS-Base.repo  CenOS-Base.repo.backup

下载更新 atomicorp.repo 的 yum 源
# wget -q -O -http://www.atomicorp.com/installers/atomic |sh
# yum update

# cd /etc/yum.repos.d/;ls  // 这时会看到下载更新好的 atomicorp.repo 的 YUM 源

下载更新 CentOS6-Base-163.repo 的 YUM 源，主要提供依赖包
# wget  http://mirrors.163.com/.help/CentOS6-Base-163.repo 
# yum  makecache 
# yum clean all  // 清空、重建 yum 缓存

查看是否成功：
# yum list | grep -i openvas  // 打印出如下包，成功
openvas.noarch                          1.0-9.el6.art                  atomic
openvas-administrator.x86_64            1.3.2-5.el6.art                atomic
openvas-cli.x86_64                      1.2.0-4.el6.art                atomic
openvas-libraries.x86_64                6.0.1-7.el6.art                atomic
openvas-libraries-devel.x86_64          6.0.1-7.el6.art                atomic
openvas-manager.x86_64                  4.0.4-13.el6.art              atomic
openvas-scanner.x86_64                  3.4.0-7.el6.art                atomic

2）、离线安装

# rpm  -Uvh /root/OpenVAS-rpms/*.rpm  –force // 安装下载好的包，一共 90 个包，包括各种依赖包和重要组件，采用升级 U 和强制 force 安装，避免中间因为依赖问题中断
3）、部署扫描插件
# cd /var/lib/openvas/plugins/
# wget  http://www.openvas.org/openvas-nvt-feed-current.tar.bz2      // 下载插件
# tar  xf openvas-nvt-feed-current.tar    // 解压好的扫描插件大约 57826 左右
4）、启动服务组件

首次启动 openvas-scanner 加载插件时会耗时较长，期间出现的“Not able toopen nor to
locate……”、“Undefined function ……”等提示可忽略。
#/etc/init.d/openvas-scanner start  // 启动过程中需要首次加载插件时间会很长，耐心等待 …
Startingopenvas-scanner:                                  [确定]
#/etc/init.d/openvas-administrator  start
Startingopenvas-administrator:                            [确定]
#/etc/init.d/openvas-manager  start
Startingopenvas-manager:                                  [确定]
注：此时 openvas-manager 实际未启动成功，需要执行下列操作修复：
# openvas-mkcert-client-n om –i
# openvasmd–rebuild
# service openvas-manager restart 

确认四个服务都启动后的监听状态：
#netstat -anpt | grep :939
tcp        0    0 0.0.0.0:9390      0.0.0.0:*    LISTEN    25540/openvasmd
tcp        0    0 0.0.0.0:9391      0.0.0.0:*    LISTEN    25361/openvassd
tcp        0    0 127.0.0.1:9392    0.0.0.0:*    LISTEN      25442/gsad
tcp        0    0 127.0.0.1:9393    0.0.0.0:*    LISTEN    25399/openvasad

5）、启动客户层组件
gsad 服务默认只监听 127.0.0.1，若要从客户机的浏览器中访问，建议将其改为 0.0.0.0 后再启动服务
#vim  /etc/sysconfig/gsad
GSA_ADDRESS=0.0.0.0        // 必须修改为 0.0.0.0
GSA_PORT=9392
#/etc/init.d/gsad  restart
# netstat-anpt | grep -i gsad
tcp    0    00.0.0.0:9392        0.0.0.0:*          LISTEN    2074/gsad 

五、添加普通用户与管理员用户

openvas-adduser      // 创建用户
openvas-rmuser      // 删除用户

1）、添加普通用户 yy
#openvas-adduser
Using/var/tmp as a temporary file holder.
Add anew openvassd user
————————-
Login:yy                                  // 输入要添加的扫描用户名称
Authentication(pass/cert)[pass]:          // 直接回车使用默认的密码认证方式
Loginpassword:                            // 设置密码
Loginpassword(again):                    // 设置密码(确认)
 
Userrules
————
openvassdhas a rules system which allows you to restrict the hosts that tsengyia has theright to test.
Forinstance, you may want him to be able to scan his own host only.
Pleasesee the openvas-adduser(8) man page for the rules syntax.
Enterthe rules for this user, and hit ctrl-D once you are done.
(theuser can have an empty rules set)
accept192.168.10.0/24                      // 设置授权规则（允许扫描哪些网段或主机）
accept10.0.0.0/24
defaultdeny      // 设置默认授权规则（若不指定任何规则，默认允许扫描任意主机、网络）
注：在这填写完默认授权规则要 Ctrl+ d 提交，进行下一步
 
Login              yy
Password          ************
 
Rules
accept192.168.4.0/24
accept10.0.0.0/24
defaultdeny
 
Isthat ok? (y/n)[y]                      // 直接回车接受前述设置，完成用户添加
useradded.
 
2）创建管理员用户 admin
先使用 openvas-adduser 工具添加普通的扫描用户 admin，然后其配置目录中建立 isadmin 文件，即可将角色设置为管理员。
# openvas-adduser
Using/var/tmp as a temporary file holder.
Adda new openvassd user
————————-
Login:admin
…… // 省略其创建普通用户过程
#touch /var/lib/openvas/users/admin/isadmin  // 将普通用户 admin 设置成管理员

六、客户端访问 OpenVAS

浏览器访问 https://192.168.134.133:9392    注意：是加密传输 https

注意：如果登录失败，出现“Login failed. OMP service is down”，可执行下列操作修复（排错思路及过程附后）：
#openvas-mkcert-client -n om -i
#openvasmd –rebuild
#service openvas-manager restart
#netstat -anpt | grep openvasmd
tcp        0    0 0.0.0.0:9390      0.0.0.0:*    LISTEN    33097/openvasmd

如果能访问 Internet，再执行以下操作：
# /etc/init.d/openvas-managerstop    // 关闭 openvas 管理服务
# /etc/init.d/openvas-scannerstop    // 关闭 openvas 浏览器服务
#openvas-scapdata-sync  // 导入数据库，会很慢，快则半个小时，慢则一天，看网络环境
#mkdir /var/lib/openvas/scap-data/private
#openvas-certdata-sync  // 同步证书数据
#openvasmd –rebuild  // 重建数据库
# /etc/init.d/openvas-scannerrestart    // 重启 openvas 浏览器服务
#/etc/init.d/openvas-manager restart    // 重启 openvas 管理服务
要是 openvas-manager 重启失败那么执行
#openvas-mkcert-client -n om -i
#openvasmd –rebuild
#service openvas-manager restart

# netstat -anptu | grep :939
tcp  0  0 0.0.0.0:9390    0.0.0.0:*          LISTEN      3224/openvasmd     
tcp  0  0 0.0.0.0:9391    0.0.0.0:*          LISTEN      3356/openvassd     
tcp  0  0 0.0.0.0:9392    0.0.0.0:*          LISTEN    2064/gsad         
tcp  0  0 127.0.0.1:9393  0.0.0.0:*          LISTEN    1953/openvasad 

安装到这里可以使用 openvas-check-setup 命令来检测 OpenVAS 是否安装成功，如果报 FIX 错误，可根据提示命令来完成修复或安装 …

注：可以通过 openvas-check-setup 命令来检测 OpenVAS 是否安装成功
 要是报 FIX 关键字段错误，那么就根据后面的提示执行操作
 FIX：代表错误字段

七、更新扫描插件库
后续的维护过程中，可在线更新插件库和离线更新
在线更新：
# openvas-nvt-sync    // 执行在线更新脚本，更新较慢

离线更新：
http://www.openvas.org/openvas-nvt-feed-current.tar.bz2 下载离线更新包
#cp  openvas-nvt-feed-current.tar.bz2  /var/lib/openvas/plugins/
# tarxf  openvas-nvt-feed-current.tar.bz2
#/etc/init.d/openvas-scanner restart  // 更新完重启服务，时间较长耐心等待

八、基本使用方法
访问 https://192.168.134.133:9392
1)、创建扫描目标
·单击 Configuration àTargets

·设置目标名称、目标地址、端口范围
2）、创建扫描任务

·单击 Scan Management àNew Task
· 设置任务名称、扫描配置类型、扫描目标
3）、开始扫描

· 单击 ScanManagement à Tasks（可回到主界面）

具体使用不说了，自己研究吧 …

最重要一点，要把 selinux 关掉，否则任何功能都无法实现。需要在 /etc/sysconfig/selinux 中设置参数 selinux=0

漏洞扫描工具 OpenVAS 的安装  http://www.linuxidc.com/Linux/2013-05/84178.htm

更多 CentOS 相关信息见CentOS 专题页面 http://www.linuxidc.com/topicnews.aspx?tid=14