Openvas Install Guide

环境：Fedora29/centos7

一、Fedora-YUM安装

安装openvas软件包及依赖。
安装redis使用定制sock进行发布订阅，从openvas8以后开始使用redis推送消息，之前用的是lua。
sqlite3是openvas的内置数据库，存储例如每一次用户扫描的id，扫描结果等等，openvas还可以支持postgresql，本文只测试sqlite3的数据库。

$ sudo yum update -y
$ yum install openvas* -y
$ yum install redis* -y
$ yum install sqlite3* -y

yum安装openvas的软件包如下：

check一次

openvas-check-setup --v9

提示需要启动redis，且监听/tmp/redis.sock，编辑/etc/redis.conf配置文件，取消下列两行的注释

vim /etc/redis.conf
unixsocket /tmp/redis.sock
unixsocketperm 700

运行以下命令：

redis-server /etc/redis.conf &

check第二次

openvas-check-setup --v9

按提示运行命令

greenbone-nvt-sync

等待一会，生成了一堆.nasl文件 check第三次

openvas-check-setup --v9

openvassd
openvasmd --rebuild

check第四次

openvas-check-setup --v9

这里按照提示进行以下操作

rm -f /var/lib/openvas/mgr/tasks.db
openvasmd --rebuild

再次check发现还是原来的错误 cat openvasmd.log查到有三个报错，建立scap、cert数据库、以及创建gnupg的目录 建立数据库这里有两种方法： 方法一：使用命令建立相应的数据库，缺点是速度太慢， 丰富的漏洞库然后又是离线的就代表安装的时候要下载大量数据，下载十几K的速度更新同步需要很久

greenbone-scapdata-sync
greenbone-certdata-sync

方法二：在/var/lib/openvas/下建立两个文件夹，分别是cert-data、scap-data，然后把已经搭好的服务器上的数据copy过来，可以节省大量时间

scp user@ip:/path/to/cert-data/* ./cert-data/
scp user@ip:/path/to/scap-data/* ./scap-data/

然后重建数据库：

greenbone-scapdata-sync --refresh
greenbone-certdata-sync  --refresh

建立gnupg目录:

mkdir -p /var/lib/openvas/openvasmd/gnupg/

打开openvassd

openvassd

check第五次

openvas-check-setup --v9

openvasmd --rebuild

.... check第六次 创建admin用户

openvasmd --create-user=admin --role=Admin
openvasmd --user=admin --new-password=admin

.... check第七次

openvas-manage-certs -a
ERROR:certtool binary not found!

原因是没有创建证书,且首先得安装证书生成工具

yum install gnutls-utils
openvas-manage-certs -a

check第八次 按照要求启动gsad openvasmd

gsad --listen=0.0.0.0 --port=9390

check第九次 提示安装nmap扫描工具

yum install nmap

check第十次 提示关闭SELINUX

vim /etc/sysconfig/selinux
selinux=disabled
reboot

check第十一次 出现installation OK证明安装成功，访问127.0.0.1即可。 #### 二、nginx反代 实际上通过简单的配置即可以达到域名访问的效果，如：

gsad --listen=0.0.0.0 --allow-header-host=openvas.cc

但通过nginx做domian-to-service的代理，无论对横向扩展，还是端口规范来说都是很好的选择 首先我尝试了不配置证书直接nginx反代，访问时会报错。 所以还是得做证书，首先使用openssl生成一对ssl的证书

openssl genrsa -des3 -out openvas.key 1024
ENTER password:******
openssl req -new -key openvas.key -out openvas.csr
openssl x509 -req -days 3650 -in openvas.csr -signkey openvas.key -out openvas.crt

3650指证书有效期，建议大家填长一点。成功生成一对密钥之后，开始写nginx的配置文件。

vim /etc/nginx/conf.d/openvas.conf
server {
        listen  80;
        server_name     openvas.cc;
        rewrite ^(.*)$  https://$host$1 permanent;
}
server {
  listen 443 ssl;
  server_name openvas.cc;
  location / {
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  proxy_set_header Host $http_host;
  proxy_set_header X-Forwarded-Proto https;
  proxy_redirect off;
  proxy_ssl_verify off;
  proxy_pass https://192.168.1.103:9390;
  }
  ssl_certificate /etc/nginx/certs/openvas.crt;
  ssl_certificate_key /etc/nginx/certs/openvas.key;
}

nginx配置完成，但是直接启动是会报错的，因为gsad启动时会开启80端口和443端口，导致端口被占用，nginx就无法进行正常工作，于是需要在启动gsad时，加一些参数：

gsad --listen=0.0.0.0 --port=9390

–port是指将GSA的web管理开在哪个端口上，先启动gsad，然后kill掉80和443的pid，再启动nginx，这样就可以正常启动nginx.

nginx -s reload
service nginx start

在host里面做一条domain-to-ip的绑定

vim /etc/hosts
192.168.1.103 openvas.cc

访问openvas.cc，报错

根据报错，我们需要确定GSA的启动配置是否正确，查阅资料得需要在启动gsad时声明供外界访问的域名或IP，命令如下：

gsad --listen=0.0.0.0 --port=9390 --allow-header-host=openvas.cc

这样不论是本机测试，或者是局域网测试，均可以通过域名访问，需要注意的是在局域网测试时需要在本机或者路由器处，绑定openvas的IP和域名对应关系。

三、Centos-YUM安装

配置阿里源&&yum upgrade
配置atomic源， Atomic源支持Fedora，RHEL和CentOS的YUM包管理 ，相当于windows下的某软件管家一样

wget -q -O - http://www.atomicorp.com/installers/atomic | sh

安装好之后再次yum upgrade
执行完成之后开始安装openvas

yum install openvas

顺利安装完成，进行第一次检查

openvas-setup

提示需要关闭SELINUX

vim /etc/sysconfig/selinux
SELINUX=disabled

第二次检查

openvas-setup
Step 1: Update NVT, CERT, and SCAP data
17.54-18.08

启动成功，可以访问80端口进行test扫描

DEBUG问题

问题一：执行

yum install openvas*

会遇到python36-paramiko包安装的问题，尝试yum无果，尝试pip无果，最终发现需要通过rpm包 可以一个一个找缺失包 https://centos.pkgs.org/7/epel-x86_64/python36-pyasn1-0.4.7-1.el7.noarch.rpm.html 可以用一个源去解决 https://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/e/ 问题二：有时候运行openvas跑一个task会卡在1%，这里记录一下我的调试方法 首先看三个日志中有无启动运行的信息 gvmd.log任务状态变化 gsad.log 前端是否下发任务 openvassd.log 扫描器是否启动，并且到哪步针对哪个IP进行什么扫描会写进log，比如扫描完成一个就可以看到一个finish testing。

如果上面几个仍然看不到想要的信息，那么推荐进redis里面看看，输入MONITOR，监听openvas的socket看看正在跑什么东西:

redis-cli -s /var/run/redis/redis.sock 
redis /var/run/redis/redis.sock> MONITOR

可以看到，卡在如下界面，推测原因是正在将数据库中的东西读入redis，一般等待几分钟就会正常跑起来，

问题三：

在openvassd.log中看到如下报错

lib  kb:CRITICAL:2020-01-20 08h48.33 utc:14819: redis_new: cannot access redis at '/var/run/redis/redis.sock'
lib  kb:CRITICAL:2020-01-20 08h48.33 utc:14819: get_redis_ctx: redis connection error: No such file or directory

但明明redis已经启动，却没有redis.sock，估计是sock地址什么的没绑定上，于是

解决方案:让它自己来！

问题四：

现象：前端启动一个任务，request之后直接变interrupted

查看gvmd.log

event task:MESSAGE:2020-03-14 09h59.33 UTC:20075: Task test (83a7a580-ed5b-4378-bb59
-8924e6bcec06) has been requested to start by user
event task:MESSAGE:2020-03-14 09h59.44 UTC:20090: Status of task test (83a7a580-ed5b
-4378-bb59-8924e6bcec06) has changed to Running
md   main:WARNING:2020-03-14 09h59.45 UTC:20090: openvas_scanner_read: Failed to rea
d from scanner: Connection reset by peer
event task:MESSAGE:2020-03-14 09h59.45 UTC:20090: Status of task test (83a7a580-ed5b
-4378-bb59-8924e6bcec06) has changed to Interrupted

查看gsad.log

sd   main:MESSAGE:2020-01-20 15h00.45 utc:7589: Plugin 2016/gb_disk_pulse_enterprise
_server_bof_vuln.nasl is deprecated. It will neither loaded nor launched.
sd   main:MESSAGE:2020-01-20 15h00.45 utc:7589: Plugin 2016/gb_disk_savvy_login_buff
er_overflow_vuln_oct.nasl is deprecated. It will neither loaded nor launched.
...

推测原因是很多nvts失效了，加载不上，于是启动更新nvt库

/usr/sbin/greenbone-nvt-sync

结果速度太慢了，难以接受，查看help里有wget选项，于是改了一下源码，给wget加上了proxy，速度很快就更新完了，然后就可以正常启动了HH。

vim /usr/sbin/greenbone-nvt-sync
371行
wget "$COMMUNITY_NVT_HTTP_FEED" -O $TMP_NVT -e "http_proxy=http://" --proxy-user= --proxy-password=

最后加入crontab里每日更新即可。

问题五：nginx和gsad在80端口上的冲突

gsad进程会默认监听80和443，因此会导致nginx启动不起来，我的处理方法如下：

先关闭gsad所有进程，然后启动已经配好ssl的nginx，接着启动gsad，将开放端口放到9390，并修改配置文件，如下：

vim /etc/sysconfig/gsad
OPTIONS="--listen=0.0.0.0 --port=9390 "

问题六：配置openvas只能通过域名访问，IP不能访问

nginx里增加如下配置，注意是增加，而不是在原有的基础上修改，不加这些配置，就无法使用ssl协议，但这样仍然有个缺点是9390对外依旧开放，暂时还没想到解决方法， 但至少IP访问被禁了。

server{
//原有的配置
}
server {
  listen 443 default;
  ssl_certificate  cert/openvas.pem;
  ssl_certificate_key cert/openvas.key;
  ssl_session_timeout 5m;
  ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
  ssl_prefer_server_ciphers on;
  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;  
  server_name _;
  return 403;
}

问题六：在GSA前端操作时，点击任务开始按钮弹出“Service temporaly down”

一般排查流程为，检查gsad、gvmd、openvassd，前两个一般没有问题。第三个会出现时而卡顿的现象，关也关不掉，开也开不开，

在gvmd.log中会出现要么是“连接不到openvassd.sock”，要么是“user不能启动”

md   main:WARNING:2020-03-15 07h58.14 utc:23198: openvas_scanner_connect_unix: Faile
d to connect to scanner (/var/run/openvassd.sock): Connection refused
event task:MESSAGE:2020-03-15 08h01.22 UTC:1069: Task test (83a7a580-ed5b-4378-bb59-
8924e6bcec06) could not be started by User123

如果尝试把三个进程都kill掉再重启还出现这种问题，最快的解决方案就是reboot。

·················debug两天

可能原因一：

启动test组正常，启动某些组就跑不动直到上面的状态，发现了一个很可能的原因，机器的硬核配置太低，某云的1核两G，如果一次置放的IP组太多，很可能导致openvassd并发数量过多卡死，于是通过调整配置再没有发现类似的情况：

启动task的时候,这里的默认配置为4和20,经过实验,建议在配置不高的机器上将这里的配置改为5和4,以上配置测试了两个200IP的task,没有出现openvassd卡死的情况.服务器内存占用也没有到警戒线.

可能原因二：

现象是gvm内存占用极多 ，通过ps -ef | grep gvmd可以看到gvmd在scaping data.