配置OpenVAS

（1）在終端窗口中切換到OpenVAS目錄，為OpenVAS程序創建SSL證書。執行命令如下所示：

root@kali:~# cd /usr/share/openvas/
root@kali:/usr/share/openvas# openvas-mkcert

執行以上命令后，將輸出如下所示的信息：

以上提示的信息，可以配置也可以不配置。如果不想配置的話，直接按下Enter鍵接收默認值即可。以上信息設置完后，將顯示以下信息：

-----------------------------------------------
  Creation of the OpenVAS SSL Certificate
-----------------------------------------------
Congratulations. Your server certificate was properly created.
The following files were created:
. Certification authority:
   Certificate = /var/lib/openvas/CA/cacert.pem
   Private key = /var/lib/openvas/private/CA/cakey.pem
. OpenVAS Server :
   Certificate = /var/lib/openvas/CA/servercert.pem
   Private key = /var/lib/openvas/private/CA/serverkey.pem
Press [ENTER] to exit

輸出的信息顯示了創建的OpenVAS證書及位置。此時按下Enter鍵，退出程序。

（2）使用OpenVAS NVT Feed同步OpenVAS NVT數據庫，并且更新最新的漏洞檢查。執行命令如下所示：

root@kali:/usr/share/openvas# openvas-nvt-sync
[i] This script synchronizes an NVT collection with the 'OpenVAS NVT Feed'.
[i] The 'OpenVAS NVT Feed' is provided by 'The OpenVAS Project'.
[i] Online information about this feed: 'http://www.openvas.org/openvas-nvt-feed.html'.
[i] NVT dir: /var/lib/openvas/plugins
[i] rsync is not recommended for the initial sync. Falling back on http.
[i] Will use wget
[i] Using GNU wget: /usr/bin/wget
[i] Configured NVT http feed: http://www.openvas.org/openvas-nvt-feed-current.tar.bz2
[i] Downloading to: /tmp/openvas-nvt-sync.xAKyyzYVdT/openvas-feed-2014-04-25-8214.tar.bz2
--2014-04-25 14:35:48-- http://www.openvas.org/openvas-nvt-feed-current.tar.bz2
正在解析主機 www.openvas.org (www.openvas.org)… 5.9.98.186
正在連接 www.openvas.org (www.openvas.org)|5.9.98.186|:80… 已連接。
已發出 HTTP 請求，正在等待回應… 200 OK
長度：14771061 (14M) [application/x-bzip2]
正在保存至:“/tmp/openvas-nvt-sync.xAKyyzYVdT/openvas-feed-2014-04-25-8214.tar.bz2”
100%[===============================================================>] 14,771,061 54.0K/s 用時 7m 16s
2014-04-25 14:43:07 (33.1 KB/s) - 已保存“/tmp/openvas-nvt-sync.xAKyyzYVdT/openvas- feed-
2014-04-25-8214.tar.bz2” [14771061/14771061])

12planet_chat_server_xss.nasl
12planet_chat_server_xss.nasl.asc
2013/
2013/secpod_ms13-005.nasl.asc
2013/gb_astium_voip_pbx_51273.nasl
2013/secpod_ms13-001.nasl
2013/deb_2597.nasl
2013/gb_astium_voip_pbx_51273.nasl.asc
2013/secpod_ms13-006.nasl
2013/gb_edirectory_57038.nasl
2013/secpod_ms13-006.nasl.asc
…省略部分內容…
zope_zclass.nasl.asc
zyxel_http_pwd.nasl
zyxel_http_pwd.nasl.asc
zyxel_pwd.nasl
zyxel_pwd.nasl.asc
[i] Download complete
[i] Checking dir: ok
[i] Checking MD5 checksum: ok

輸出的信息顯示了同步OpenVAS NVT數據庫的信息，并也更新了所有的漏洞信息。

（3）創建客戶端證書庫。執行命令如下所示：

root@kali:/usr/share/openvas# openvas-mkcert-client -n om -i
Generating RSA private key, 1024 bit long modulus
………………………………++++++
……++++++
e is 65537 (0x10001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [DE]:State or Province Name (full name) [Some-State]:Locality Name (eg, city) []:Organization Name (eg, company) [Internet Widgits Pty Ltd]:Organizational Unit Name (eg, section) []:Common Name (eg, your name or your server's hostname) []:Email Address []:Using configuration from /tmp/openvas-mkcert-client.16792/stdC.cnf
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
countryName    :PRINTABLE:'DE'
localityName   :PRINTABLE:'Berlin'
commonName     :PRINTABLE:'om'
Certificate is to be certified until Apr 25 06:55:05 2015 GMT (365 days)
Write out database with 1 new entries
Data Base Updated
User om added to OpenVAS.

以上輸出的信息顯示了生成客戶端證書的詳細過程，并添加了om用戶。

（4）重建數據庫。執行命令如下所示：

root@kali:/usr/share/openvas# openvasmd –rebuild

執行以上命令后，沒有任何輸出信息。

（5）啟動OpenVAS掃描，并加載所有插件。執行命令如下所示：

root@kali:/usr/share/openvas# openvassd
Loading the OpenVAS plugins…base gpgme-Message: Setting GnuPG homedir to '/etc/openvas/ gnupg'
base gpgme-Message: Using OpenPGP engine version '1.4.12'
All plugins loaded

從輸出的信息中可以看到所有插件已加載。由于加載的插件比較多，所以執行該命令的時間會長一點。

（6）重建并創建數據庫的備份。執行命令如下所示：

root@kali:/usr/share/openvas# openvasmd --rebuild
root@kali:/usr/share/openvas# openvasmd –backup

執行以上命令后，沒有任何信息輸出。

（7）創建一個管理OpenVAS的用戶。執行命令如下所示：

root@kali:/usr/share/openvas# openvasad -c 'add_user' -n openvasadmin -r Admin
Enter password:
ad  main:MESSAGE:2732:2014-04-25 15h25.35 CST: No rules file provided, the new user will have no restrictions.
ad  main:MESSAGE:2732:2014-04-25 15h25.35 CST: User openvasadmin has been successfully created.

從輸出的信息中可以看到用戶openvasadmin被成功創建。

（8）創建一個普通用戶。執行命令如下所示：

從輸出的信息中看到用戶被添加。

（9）為OpenVAS配置端口。執行命令如下所示：

root@kali:/usr/share/openvas# openvasmd -p 9390 -a 127.0.0.1
root@kali:/usr/share/openvas# openvasad -a 127.0.0.1 -p 9393
root@kali:/usr/share/openvas# gsad --http-only --listen=127.0.0.1 -p 9392

執行以上命令后，OpenVAS的端口號就被設置為9392。

注意：9392是推薦的一個Web瀏覽器端口。用戶也可以選擇其他端口號。

（10）在瀏覽器中輸入http://127.0.0.1:9392/，打開OpenVAS登錄界面，如圖5.28所示。

圖5.28 OpenVAS登錄界面

（11）在該界面輸入創建的用戶名和密碼，然后單擊Login按鈕，將顯示如圖5.29所示的界面。

圖5.29 OpenVAS初始界面

關于啟動OpenVAS介紹一些附加信息。每次運行OpenVAS時，都必須要做以下工作：

• 同步NVT Feed（當新的漏洞被發現時，該記錄將改變）；
• 啟動OpenVAS掃描器；
• 重建數據庫；
• 備份數據庫；
• 配置端口。

為了節約時間，下面將介紹編寫一個簡單的Bash腳本，方便用戶啟動OpenVAS。保存腳本文件名為OpenVAS.sh，并放該文件在/root文件夾中。腳本文件內容如下所示：

#!/bin/bash
openvas-nvt-sync
openvassd
openvasmd --rebuild
openvasmd --backup
openvasmd -p 9390 -a 127.0.0.1
openvasad -a 127.0.0.1 -p 9393
gsad --http-only --listen=127.0.0.1 -p 9392

編寫好該腳本時，以后運行OpenVAS就不用執行多條命令了，只需要執行一下OpenVAS.sh腳本就可以了。

在Kali中，OpenVAS也提供了圖形界面。啟動OpenVAS圖形界面的方法如下：

在Kali桌面上依次選擇“應用程 序”|Kali Linux|“漏洞分析”|OpenVAS| openvas-gsd命令，將顯示如圖5.30所示的界面。

圖5.30 OpenVAS圖形登錄界面

在該界面輸入服務器的地址127.0.0.1、用戶名和登錄密碼。然后單擊Log in按鈕即可登錄到OpenVAS服務器。