如何在 Ubuntu 12.04 上使用 OpenVAS 审计远程系统的安全性

金钱(警告)

** 状态:** 被贬值

如果您目前正在运行运行 Ubuntu 12.04 的服务器,我们强烈建议升级或迁移到支持的 Ubuntu 版本:

• 升级到 Ubuntu 14.04。
• 升级从 Ubuntu 14.04 到 Ubuntu 16.04
• 迁移服务器数据到受支持的版本

** 原因:** Ubuntu 12.04 已于 2017 年 4 月 28 日到期(EOL)并且不再收到安全补丁或更新。

** 相反,请参阅:** 此指南可能仍然有用作为参考,但可能不会在其他Ubuntu版本上工作. 如果可用,我们强烈建议使用为您正在使用的Ubuntu版本撰写的指南。

介绍

服务器安全的一个重要方面是积极进行安全筛查,如果您将任何服务暴露在互联网上,渗透测试至关重要,以确保您不容易受到已知威胁的影响。

开放漏洞评估系统(OpenVAS)是一套工具,可以通过使用已知的漏洞和弱点的数据库来对客户端计算机进行测试。

在本指南中,我们将安装OpenVAS套件在Ubuntu 12.04 VPS上,然后我们可以使用这个系统来扫描它自己和其他服务器。

添加OpenVAS PPA并安装软件

虽然Ubuntu的默认存储库中有一些OpenVAS组件,但我们会使用PPA来保持包的更新版本。

首先,我们需要安装python-software-properties包,这将使我们能够轻松地使用PPA。

1sudo apt-get update
2sudo apt-get install python-software-properties

然后我们可以将最新的稳定版本添加到我们的系统:

1sudo add-apt-repository ppa:openvas/openvas6

我们需要重建 apt 数据库,以收集通过我们的新 PPA 可用的包信息。

1sudo apt-get update
2sudo apt-get install openvas-manager openvas-scanner openvas-administrator openvas-cli greenbone-security-assistant sqlite3 xsltproc texlive-latex-base texlive-latex-extra texlive-latex-recommended htmldoc alien rpm nsis fakeroot

这将下载并安装需要让我们开始的组件。

初始配置

我们可以使用默认包含的包装工具为 OpenVAS 创建 SSL 证书,我们需要称之为管理权限,以便将其放置在文件系统的有限部分。

1sudo openvas-mkcert

您将被问到一系列问题,这将帮助您构建一个用于本服务器的证书文件。

大多数问题,您可以简单地键入 Enter 以接受默认值. 这是主要用于您自己的用途,所以输入您想要使用的值。

接下来,我们将创建另一个证书. 这次,我们将为用户创建一个名为om的客户端证书,这代表OpenVAS Manager。我们不需要客户端部分的任何具体信息,所以我们会告诉它自动配置事物并在所需的地方安装证书:

1sudo openvas-mkcert-client -n om -i

构建数据库信息

现在我们已经安装了证书,我们可以开始构建我们的数据库,以便我们的本地工具了解不同类型的威胁和漏洞。

通过发出此命令更新网络漏洞测试数据库:

1sudo openvas-nvt-sync

这将下载最新的定义到您的本地机器。

要继续,我们需要停止管理器和扫描程序,以便我们可以暂时调用命令而没有冲突。

通过键入停止这两个服务:

1sudo service openvas-manager stop
2sudo service openvas-scanner stop

现在,我们可以启动扫描仪应用程序,而无需 init 文件中通常被称为的参数。在第一次运行过程中,OpenVAS 将需要下载和同步大量数据。

1sudo openvassd

一旦完成,您需要通过键入来重建扫描仪生成的数据库:

1sudo openvasmd --rebuild

接下来,我们将下载并更新我们的安全内容自动化协议数据,这被称为SCAP数据,这是OpenVAS对我们的安全测试进行检查的另一个数据库。

1sudo openvas-scapdata-sync

它下载了一些通用文件,然后在数据库中更新它们。

然后,我们将为 cert 数据运行类似的同步操作:

1sudo openvas-certdata-sync

第一次运行此命令时,您可能会看到一些错误,它们可能看起来像这样:

1Error: no such table: meta

这是因为Ubuntu包实际上缺少一些在其他版本中包装的文件。

我们可以从管理器组件的 RPM 包中获取这些内容. 输入此文以下载到您的主目录:

1cd
2wget http://www6.atomicorp.com/channels/atomic/fedora/18/i386/RPMS/openvas-manager-4.0.2-11.fc18.art.i686.rpm

现在我们已经下载了文件,我们可以提取并扩展RPM中存在的目录结构。

1rpm2cpio openvas* | cpio -div

我们将为我们的新文件创建一个目录,在OpenVAS找到它们的地方,然后将文件移动到该目录:

1sudo mkdir /usr/share/openvas/cert
2sudo cp ./usr/share/openvas/cert/* /usr/share/openvas/cert

现在,我们可以安全地再次运行 cert 同步命令,该命令应按预期完成:

1sudo openvas-certdata-sync

之后,我们可以从我们的主目录中删除提取的 RPM 数据和目录:

1rm -rf ~/openvas* ~/usr ~/etc

设置OpenVAS用户和端口

要登录我们的服务,我们需要一个用户,我们可以创建一个使用OpenVAS管理员组件。

在这里,我们将创建一个名为admin的用户,扮演管理员的角色,您将被要求为新帐户提供一个密码:

1sudo openvasad -c add_user -n admin -r Admin

您将被告知,用户已获得无限访问权限。

接下来,我们需要改变我们的组件之一的启动方式。Greenbone安全助理组件是我们安装的工具的基于Web的界面。

默认情况下,接口只能从本地计算机访问。由于我们正在在远程服务器上安装OpenVAS套件,我们将无法使用这些设置访问Web接口。

在您喜爱的文本编辑器中打开下面的 root 特权文件:

1sudo nano /etc/default/greenbone-security-assistant

在顶部,你应该看到一个参数,指定网页接口将收听的地址. 我们需要将值从127.0.0.1更改为VPS的公共IP地址. 这将允许它收听来自互联网的连接,我们将能够连接:

GSA_ADDRESS=your_server_IP_address

保存并关闭文件,当你做上述更改。

开始服务

我们现在将启动我们已经配置的服务,其中大多数已经在某种容量下运行,但我们将不得不重新启动它们,以确保它们使用我们收集的新信息。

首先,杀死所有正在运行的 OpenVAS 扫描仪流程:

1sudo killall openvassd

这个过程可能需要 15 或 20 秒才能真正被杀死,你可以通过发行来检查是否有仍在运行的过程:

1ps aux | grep openvassd | grep -v grep

如果返回了任何东西,那么你的流程还没有完成,你应该继续等待。

一旦该过程完全结束,您可以重新开始所有服务:

1sudo service openvas-scanner start
2sudo service openvas-manager start
3sudo service openvas-administrator restart
4sudo service greenbone-security-assistant restart

每一个都可能需要一些时间才能开始。

访问 Web 界面并运行一些测试

一旦所有服务都启动,您可以使用您的 Web 浏览器访问 Greenbone 安全助理 Web 界面。

要访问此处,您必须先输入您的服务器的地址,然后输入您的服务器的域名或 IP 地址,然后输入您的服务器的地址,然后输入您的服务器的地址,然后输入您的服务器的域名或 IP 地址,然后输入您的服务器的地址,然后输入您的服务器的地址。

https://server_domain_or_IP:9392

您将收到一个看起来可怕的警告屏幕,告诉您证书不是由您的浏览器默认信任的人签署的:

这是预期的,而不是一个问题,你应该点击无论如何继续按钮继续。

接下来,您将被介绍到登录屏幕:

您将需要输入您之前配置的用户名和密码. 对于本指南,用户名为admin。

一旦您登录,您将被快速启动向导立即欢迎,这将允许您立即对目标计算机运行默认扫描:

一个很好的选择是针对您拥有的另一个服务器运行,重要的是不要对您无法控制的目标运行这些扫描,因为它们可能看起来像是对其他用户的潜在攻击。

输入您想要测试的计算机的IP地址,然后点击开始扫描按钮开始。

随着扫描进展,页面将更新,您还可以手动更新页面以跟踪进展:

当扫描完成时(甚至在您想要审查信息之前),您可以点击紫色放大玻璃图标查看扫描结果。

请注意,我们完成的即时扫描不是我们可用的最深入的扫描。

在底部,你可以看到OpenVAS创建的报告告诉我们我们扫描的系统中的潜在漏洞,我们可以看到威胁级别被分类为中等。

这意味着在中等的评级系统中发现了至少一个漏洞,我们可以通过再次点击放大玻璃来了解更多。

在顶部部分,您可以选择以各种格式下载结果:

在中间部分,我们可以过滤结果. 默认情况下,界面只会显示标记为高或中等的威胁。 您第一次通过时,您可能应该检查威胁类别下的所有框。

如果您选择了上述所有框,您将看到一些有关开放的端口和类似的发现的信息信息。

威胁将被彩色编码以匹配他们的按钮颜色. 例如,这是我们的中间威胁:

此警告告我们,我们的目标响应时刻标记请求,这些请求可以让攻击者知道主机连续上网了多久。

正如您所看到的,该报告还包含有关如何解决问题的信息。

结论

现在,您应该有一个功能齐全的OpenVAS服务器来扫描您的主机,这可以帮助您发现漏洞,并突出您在加强安全时要专注的区域。

我们只展示了OpenVAS安全套件的最小功能。 其他任务中,您可以轻松安排扫描,自动生成报告和电子邮件警报,当某些威胁水平被生成时。