网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !

7*24小时服务专线： 152-150-65-006 023-68263070 扫描二维码加我微信

网络安全工具团结互助，让我们共同进步！

当前位置：主页 > 技术资讯 > 工具 > 网络安全工具 >

我们的优势： 10年相关行业经验，专业设计师量身定制设计师一对一服务模式，上百家客户案例！企业保证，正规流程，正规合作 7*24小时在线服务，售后无忧

openvas：开源扫描器，性能卓越，扩展性强，接入方式灵活，配置主从服务器时存在BUG

文章来源：重庆网络安全围观次数：

分享到:

摘要：该扫描器具有很好的功能点，GMP协议支持该功能，平台支持灵活的任务分配。但在配置openvas的主从服务器时遇到了一些错误，这很头疼。

该扫描器具有很好的功能点，GMP协议支持该功能，平台支持灵活的任务分配。但在配置openvas的主从服务器时遇到了一些错误，这很头疼。很长一段时间后，它终于解决了，所以记录下来，以防同道中人掉进坑里。

在配置扫描仪时，很多教程和词汇经常让我感到头晕，例如Openvasmd，gvmd，openvassd，gasd，OMP，GMP等。首先，我们来谈谈这些术语。第三列中的重要索引是作者在学习OpenVas的过程中遇到的频率，重要性和困扰的参考值。

如何配置slave-scanner

无论是与GMP还是OSP服务器通信，首先需要选择主服务器和从服务器之间的通信方法：

TLS

TLS连接类型是GOS 3.1和更高版本中用于通信的默认连接类型，它也是要关注的配置方法。测试环境是centos7，从属和主属，防火墙关闭（易于测试）

Master配置

步骤1：登录GSA，转到 Configuration-> Credentials

第2步：转到Configuration-> Scanner。 Type必须选择GMPScanner.Credential选择刚创建的test.

第三步：创建任务

第四步：配置证书

创建任务后需要在master上给相应的scanner配置slave的cacert.pemslave上cert默认路径在/var/lib/gvm/CA/cacert.pem此处需要把slave上的cacert.pem复制到master上.

此处的证书配置需要在master上，并通过命令行执行

gvmd --get-scanners //查找test的uuid

gvmd --modify-scanner="test-uuid" --scanner-ca-pub=/path/to/slave/cacert.pem

在此处完成master后，最好重新启动gvmd和gsad。

Slave配置

第一步是创建一个非管理员帐户

gvmd --create-user=test --new-password=test --role=Admin

第二步：确保gvmd侦听TCP端口，而不侦听Unixsocket。在这一步在实验中犯了许多错误，并总结了几点要注意的地方。首先执行：

service gvmd stop

service gsad stop

第二次执行：

gvmd --listen=0.0.0.0 --port=9391

gsad --mlisten=0.0.0.0 --mport=9391

在确保gsad正常运行的前提下，gvmd侦听端口9391：

netstat -anop | grep gvmd

tcp 0 0 0.0.0.0:9391 0.0.0.0:* LISTEN 13034/gvmd: Waiting off (0.00/0/0)

在后续操作中打开日志并报告错误：

tail -f /var/log/gvm/gvmd.log

启动task

单击以启动task，这里可能会遇到以下问题：

问题一：

failed to connect xxxx port 9391.

解决方案：确保从属服务器上的9391端口已打开，并且防火墙可以通过。

问题二：

(master)slave_connect failed | (slave)read_from_client_tls

这个问题在Greenbone开源社区github问题中广泛出现，相同的配置可能无法解决相同的问题，因此进行了深入的分析和研究。

tail -f /var/log/gvm/gvmd-master:

md manage:WARNING:slave_connect: failed to open connection to XXXX on 9391

lib serv:WARNING:gvm_server_verify: the certificate is not trusted

lib serv:WARNING:gvm_server_verify: the certificate hasn't got a known issuer

tail -f /var/log/gvm/gvm-slave:

md main:read_from_client_tls: failed to read from client: The TLS connection was non-properly terminated.

1.首先在主机上抓取数据包，发现有数据包发送到从机的端口9391，并且从机的端口9391也返回了数据包，从而消除了网络不可达的问题。

2.端口可以通信。证书选择不正确？查阅了各种材料以确保cacert正确无误，路径正确无误。

3.端口是否正常，证书是否正确，配置是否正确？经过一天的故障排除，在确认配置正确的前提下，终于找到了可能的原因，即执行以下命令后

gvmd --modify-scanner="uuid" --scanner-ca-pub=/path/to/cacert.pem

gvmd无法立即加载证书，即使执行了上述步骤，也会重复上述错误。如果未加载证书，则说明配置正确，错误相同，分析无效。

因此，在配置证书后，重新启动gvmd以加载证书以加载正确的配置。

重启task即可在两边的log中发现如下log,且GSA上也终于从requested变成了running.欣喜地发现进度为1%.

Status of task test6 has changed to Running

ssh

从GOS 4开始，SSH是默认的连接类型。可以通过GVM建立管理守护程序之间的连接。 GMP协议通过SSH隧道传输，并转发到我目前尚未测试的gvmd / openvasmd。

Unix Domain Socket

Unix Domain Socket是Greenbone Source Edition中gvmd的默认类型。但是，仅当在与该进程相同的主机上运行client-tools时才可以使用它。

gvmd / openvasmd提供的Unix Domain Socket从GVM 9中的openvasmd.sock更改为GVM 10中的gvmd.sock。

在GOS 4代中，sock路径通常为/run/openvas/openvasmd.sock。

在GOS 5代中，sock路径通常为/run/gvm/gvmd.sock。

基于OSPd的扫描器也可以通过Unix Domain Socket访问。

例如，作者的实验环境是：

rpm -qa | grep gvm

rpm -qa | grep openvas

gvmd-8.0.0-6928.el7.art.x86_64

gvm-libs-10.0.0-6924.el7.art.x86_64

openvas-scanner-6.0.0-6930.el7.art.x86_64

openvas-smb-1.0.5-6923.el7.art.x86_64

默认情况下启动的gvmd使用Unix域套接字，已验证如下：

netstat -ano |grep gvmd

unix 2 [ ACC ] STREAM LISTENING 25846 /var/run/gvmd.sock

本文由重庆网络安全整理发布,转载请保留出处，内容部分来自于互联网，如有侵权请联系我们删除。

上一篇：XposedOrNot：搜索xposed密码聚合存储库，用户可以使用此密码存储库来判断其帐户安全性。
下一篇：SysWhispers：功能强大的AV/EDR绕过工具，生成Header和ASM文件，并通过发送直接系统调用来绕过反病毒以及终端防护响应工具

关于我们

重庆牛创网络科技有限责任公司是一群技术强大、思维活跃、拥有创新精神的年轻人创立，公司致力于为企业提供全面、周到、专业的互联网解决方案，提供网站建设、网络推广、网络安全审计、wifi营销认证、网站运营维护、域名注册、虚拟主机、企业邮局、企业形象设计等多种信息产品和服务。

联系我们

公司电话： 023—68263070
办公地址：重庆市北碚区金华路399号
邮箱：120481297@qq.com
技术咨询：15215065006

“互联网+”方案

重庆网站建设

备案图标渝ICP备19004889号-1 渝公网安备 50010902000896号

行业安全认证

网络安全工具团结互助，让我们共同进步！

openvas：开源扫描器，性能卓越，扩展性强，接入方式灵活，配置主从服务器时存在BUG

热门资讯

关于我们

联系我们

“互联网+”方案