openVAS安裝說明

前提條件：

• a C compiler (e.g. gcc)

• cmake >= 3.0

• libgvm_base, libgvm_util >= 21.4

• glib-2.0 >= 2.42

• gio-2.0

• bison

• flex

• libgcrypt >= 1.6

• pkg-config

• libpcap

• libgpgme >= 1.1.2

• redis >= 3.2.0

• libssh >= 0.6.0

• libksba >= 1.0.7

• libgnutls >= 3.2.15
  構建文檔的前提條件：

• Doxygen

• xmltoman (optional, for building man page)
  構建測試的先決條件：

• Cgreen (optional, for building tests)
  建議具有WMI支持：

• openvas-smb >= 1.0.1
  建議用于擴展的Windows支持（例如，自動啟動遠程注冊表服務）：

• 在您的PATH中找到python-impacket> = 0.9.15的impacket-wmiexec
  建議具有改進的SNMP支持：

• netsnmp

在Debian GNU / Linux’Buster’10上安裝必備軟件：

apt-get install gcc pkg-config libssh-gcrypt-dev libgnutls28-dev
libglib2.0-dev libpcap-dev libgpgme-dev bison libksba-dev libsnmp-dev
libgcrypt20-dev redis-server

編譯openvas

如果已將所需的庫安裝到非標準位置，請記住PKG_CONFIG_PATH在配置之前將環境變量設置為pkg-config文件的位置：

export PKG_CONFIG_PATH=/your/location/lib/pkgconfig:$PKG_CONFIG_PATH

創建一個構建目錄，并使用以下命令將其更改為：

mkdir build
cd build

然后使用以下命令配置構建：

cmake -DCMAKE_INSTALL_PREFIX=/path/to/your/installation ..

或（如果要使用默認安裝路徑/ usr / local）：

cmake ..

這僅需要執行一次。

此后，以下命令很有用：

make                # build the scanner
make doc            # build the documentation
make doc-full       # build more developer-oriented documentation
make tests          # build tests
make install        # install the build
make rebuild_cache  # rebuild the cmake cache

請注意，您可能必須以make installroot用戶身份執行，尤其是在您指定了用戶沒有完全權限的前綴時。

要清理構建環境，只需刪除build 上面創建的目錄的內容。

配置選項

在編譯過程中，構建過程使用一組編譯器選項，這些選項可進行非常嚴格的錯誤檢查，并要求編譯器在檢測到代碼中的任何錯誤時中止運行。這是為了確保最大程度的代碼質量和安全性。

在進行錯誤檢查時，某些（尤其是較新的）編譯器可能比其他編譯器更嚴格。盡管這是一件好事，并且開發人員旨在解決所有編譯器警告，但它可能導致構建過程中止您的系統。

設置openvas

設置openvas需要執行以下步驟：

1. （可選）您可以通過在文件中設置默認掃描儀首選項來決定更改它們$prefix/etc/openvas.conf。如果該文件不存在（默認），則使用默認設置。您可以使用查看它們openvas -s。該命令的輸出是有效的配置文件。手冊頁（man openvas）提供了有關可用設置的詳細信息，其中包括限制掃描儀訪問掃描目標和界面的機會。

2. 為了運行漏洞掃描，您將需要一組可由openvas運行的網絡漏洞測試（NVT）。最初，您的NVT集合將為空。建議您在首次啟動openvas之前與NVT feed服務進行同步。

   只需執行以下命令即可檢索初始NVT集合：

   greenbone-nvt-sync

如果存在Greenbone訂閱密鑰，此工具將使用Greenbone安全提要。否則，將使用社區提要。

請注意，您至少需要以下工具之一才能成功進行同步：

• rsync
• wget
• curl

NVT供稿會定期更新。確保定期更新您的NVT集合以檢測最新威脅。

3.掃描程序需要運行的Redis服務器來臨時存儲在掃描的主機上收集的信息。支持Redis 3.2和更高版本。請參閱doc/redis_config.txt以了解如何設置和運行Redis服務器。

在Ubuntu和Debian下啟動Redis的最簡單，最可靠的方法是使用systemd。

sudo cp redis-openvas.conf /etc/redis/
sudo chown redis:redis /etc/redis/redis-openvas.conf
sudo echo "db_address = /run/redis-openvas/redis.sock" > /etc/openvas/openvas.conf
sudo systemctl start redis-server@openvas.service

4. Greenbone漏洞管理服務（gvmd）充當OSP客戶端，用于連接并控制掃描程序。openvas不能充當OSP服務- OSPD-OpenVAS為此您需要模塊。實際的用戶界面（例如GSA或GVM-Tools）將僅與gvmd和/或 ospd-openvas而不與掃描儀進行交互。您可以使用以下命令啟動openvas以在redis中上傳插件：

   openvas -u
   

但ospd-openvas會自動進行更新。

5.請注意，盡管您可以openvas以沒有提升特權的用戶身份運行，但由于許多網絡漏洞測試（NVT）都需要root用戶特權才能執行某些操作（例如，數據包偽造），因此建議您openvas以這種方式啟動root。如果openvas以用戶身份運行而沒有執行這些操作的權限，則您的掃描結果可能不完整。

正如openvas將從ospd-openvas使用sudo 的進程啟動的一樣，在sudoers文件中需要下一個配置：

    sudo visudo

添加此行以允許運行的用戶 以root權限ospd-openvas啟動openvas

    <user> ALL = NOPASSWD: <install prefix>/sbin/openvas

如果設置安裝前綴，則還必須更新sudoers文件中的路徑：

    Defaults        secure_path=<existing paths...>:<install prefix>/sbin

記錄配置

如果遇到問題，默認情況下掃描程序會將日志寫入文件

<install-prefix>/var/log/gvm/openvas.log

通過文件配置日志

<install-prefix>/etc/openvas/openvas_log.conf

配置分為這樣的域

[sd   main]
prepend=%t %p
prepend_time_format=%Y-%m-%d %Hh%M.%S %Z
file=/var/log/gvm/openvas.log
level=128

該level字段控制寫入的日志量。的值level可以是

  4  Errors.
  8  Critical situation.
 16  Warnings.
 32  Messages.
 64  Information.
128  Debug.  (Lots of output.)

啟用任何級別均包括其之上的所有級別。因此，啟用信息將包括警告，嚴重情況和錯誤。

要獲得絕對的所有日志記錄，請將配置文件中所有域的級別設置為128。

syslog可以在每個域中啟用登錄到，例如：

[sd   main]
prepend=%t %p
prepend_time_format=%Y-%m-%d %Hh%M.%S %Z
file=syslog
syslog_facility=daemon
level=128

使用Clang Static Analyzer進行靜態代碼分析

如果要使用Clang靜態分析器（https://clang-analyzer.llvm.org/）進行靜態代碼分析，則可以在配置和構建命令前添加前綴scan-build：

scan-build cmake ..
scan-build make
該工具將提示如何啟動帶有結果的Web瀏覽器。

建議在單獨的空白構建目錄中進行此分析，并在scan-build調用之前清空構建目錄。