一、前言
2020年底,GVM 10和GVM 11都已退休,并且不会再发布任何其他版本。Greenbone漏洞管理版本将使用基于日历的版本控制,这将使识别哪个组件版本属于哪个发行版变得更加容易。GVM-20.08是第一个使用基于日历的版本控制(2020年8月)并对所有主要组件使用相同版本的版本。官方建议所有用户和发行版都应立即切换到GVM 20.08。
从GVM-20.08版本开始,支持的平台如下:Redhat 8、Rocky 8、CentOS 8、Fedora 33、Fedora 34、Docker。本人在CentOS7平台下测试出现各种问题(如无法在安装过程中自动创建用户等),无法完成安装部署。
二、部分组件介绍
OSPd是共享相同通信协议的漏洞扫描程序的框架:OSP(开放扫描程序协议)。OSP为不同的安全扫描程序创建统一的界面,并在中央Greenbone Vulnerability Manager服务下始终提供其控制流和扫描结果。OSP在许多方面类似于GMP(Greenbone Management Protocol):基于XML的无状态非永久连接。该设计支持使用相同的协议OSP包装任意扫描程序,共享核心守护程序选项,同时添加特定于扫描程序的参数和选项。项目地址:
https://github.com/greenbone/ospd
ospd-openvas是OSP服务器实现,允许GVM远程控制OpenVAS扫描器。详细请参阅:
https://github.com/greenbone/openvas。运行后,您需要为Greenbone Vulnerability Manager配置OpenVAS,例如通过Web界面Greenbone Security Assistant。 然后,您可以创建扫描任务以使用OpenVAS。项目地址:
https://github.com/greenbone/ospd-openvas
Greenbone Vulnerability Manager——Greenbone漏洞管理(GVM)框架的数据库后端,是安全扫描程序和用户客户端之间的中央管理服务。它管理所有漏洞管理配置和扫描结果的存储。通过基于XML的Greenbone管理协议(GMP),可以访问数据、控制命令和工作流程。通过Open Scanner Protocol(OSP)可以控制像 OpenVAS这样的扫描器。项目地址:
https://github.com/greenbone/gvmd
Greenbone Security Assistant是为Greenbone Security Manager设备开发的Web前端界面 。它连接到Greenbone Vulnerability Manager GVM,以提供功能齐全的用户界面来进行漏洞管理。Greenbone安全助手包括:GSA-用React编写的网页和GSAD-与GVM守护程序对话的HTTP服务器。项目地址:
https://github.com/greenbone/gsa
OpenVAS-Scanner——该存储库包含用于Greenbone漏洞管理(GVM)的扫描程序组件。这是Greenbone漏洞管理(GVM)解决方案的开放漏洞评估扫描程序(OpenVAS)。它用于Greenbone Security Manager设备,并且是功能齐全的扫描引擎,可以执行网络漏洞测试(NVT)的持续更新和扩展的提要。项目地址:
https://github.com/greenbone/openvas-scanner
三、环境规划
操作系统 |
IP地址 |
主机名 |
内存 |
磁盘 |
Centos8.4 |
172.20.230.200 |
openvas |
8G |
500G |
四、基础环境准备
1. 查看系统版本
[root@openvas ~]# cat /etc/redhat-release
CentOS Linux release 8.4.2105
注意:显示有内容则代表硬件辅助虚拟化功能已开启,无任何内容则代表硬件辅助虚拟化未开启,需要到BIOS中开启
2. 关闭防火墙
[root@openvas ~]# systemctl stop firewalld ebtables iptables
[root@openvas ~]# systemctl disable firewalld ebtables
[root@openvas ~]#
3. 关闭Selinux
[root@openvas ~]# sed -i '/SELINUX=/cSELINUX=disabled' /etc/selinux/config
[root@openvas ~]# setenforce 0
五、安装基础库文件
[root@openvas ~]# yum -y install epel-release
[root@openvas ~]# yum config-manager --set-enabled powertools
[root@openvas ~]# yum -y install gnutls-utils libX11 libX11-common libXpm libjpeg libtiff net-snmp-utils nmap postgresql postgresql-server postgresql-contrib socat tcl teckit texlive wget vim
六、安装Openvas
1. 安装配置yum源
[root@openvas ~]# wget -q -O - http://www.atomicorp.com/installers/atomic | sh
Atomic Free Unsupported Archive installer, version 5.0.2
BY INSTALLING THIS SOFTWARE AND BY USING ANY AND ALL SOFTWARE
PROVIDED BY ATOMICORP LIMITED YOU ACKNOWLEDGE AND AGREE:
THIS SOFTWARE AND ALL SOFTWARE PROVIDED IN THIS REPOSITORY IS
PROVIDED BY ATOMICORP LIMITED AS IS, IS UNSUPPORTED AND ANY
EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL ATOMICORP LIMITED, THE
COPYRIGHT OWNER OR ANY CONTRIBUTOR TO ANY AND ALL SOFTWARE PROVIDED
BY OR PUBLISHED IN THIS REPOSITORY BE LIABLE FOR ANY DIRECT,
INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES
(INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
OF THE POSSIBILITY OF SUCH DAMAGE.
For supported software packages please contact us at:
sales@atomicorp.com
Do you agree to these terms? (yes/no) [Default: yes] yes
Configuring the [atomic] repo archive for this system
Installing the Atomic GPG keys: yes
OK
Downloading atomic-release-1.0-21.el8.art.noarch.rpm: warning: atomic-release-1.0-21.el8.art.noarch.rpm: Header V4 RSA/SHA256 Signature, key ID 4520afa9: NOKEY
Verifying... ################################# [100%]
Preparing... ################################# [100%]
Updating / installing...
1:atomic-release-1.0-21.el8.art ################################# [100%]
OK
Enable repo by default? (yes/no) [Default: yes]:
The Atomic repo has now been installed and configured for your system
The following channels are available:
atomic - [ACTIVATED] - contains the stable tree of ART packages
atomic-testing - [DISABLED] - contains the testing tree of ART packages
atomic-bleeding - [DISABLED] - contains the development tree of ART packages
[root@openvas ~]#
2. 安装Openvas
[root@openvas ~]# yum -y install gvm
3. 初始化配置
[root@openvas ~]# gvm-setup
## 此过程会配置NVT、scap数据、cert数据(需要比较长的时间,请耐心等待)以及设置管理账号及密码。
## 更新下载NVT,此过程所需时间有点长,请耐心等待
## 更新下载GVMD_DATA
## 更新下载SCAP_DATA
## 更新下载CERT_DATA
## 设置GSAD管理员用户密码,默认用户为:admin。管理员用户用于配置帐户、手动更新NVT并管理角色。本文中为默认管理员用户admin设置的密码为:123456
## 安装配置完成
注:上图中的提示"FirewallD is not running",是因为本人用来测试安装openvas的服务器禁用了CentOS8默认的FirewallD防火墙,使用的是iptables防火墙。
4. 启动服务
OpenVAS Manager的进程名称为gvmd,启动:systemctl start gvmd.service
OpenVAS Scanner的进程名称为ospd-openvas,启动:systemctl start ospd-openvas.service
Greenbone Security Assistant的进程名称为gsad,启动:systemctl start gsad.service
注:安装配置完成后,所有服务都已配置开机启动。
[root@openvas ~]# systemctl start gvmd.service ospd-openvas.service gsad.service
[root@openvas ~]# systemctl enable gvmd.service ospd-openvas.service gsad.service
6. 更新Feed
## 切换至用户gvm
[root@openvas ~]# su gvm
## 更新NVT
[root@openvas ~]# greenbone-nvt-sync
## 更新GVMD_DATA
[root@openvas ~]# greenbone-feed-sync --type GVMD_DATA
## 更新SCAP_DATA
[root@openvas ~]# greenbone-feed-sync --type SCAP
## 更新CERT_DATA
[root@openvas ~]# greenbone-feed-sync --type CERT
七、OpenVAS(GVM)基本使用操作
1. 登录
