OpenVAS 安全扫描器安装与配置完全指南

前言

OpenVAS（Open Vulnerability Assessment System）是一款功能强大的开源安全扫描工具，作为Greenbone Vulnerability Management（GVM）套件的核心组件之一，它能够帮助安全专业人员识别网络系统中的安全问题。本文将详细介绍OpenVAS的安装、编译和配置过程，帮助用户快速搭建自己的安全扫描环境。

系统要求与依赖准备

基础环境要求

OpenVAS开发团队主要基于Debian Stable系统进行开发和测试，因此推荐使用Debian或Ubuntu系统以获得最佳兼容性。以下是核心依赖组件：

• 编译工具链：GCC编译器、CMake（≥3.0）、pkg-config
• 核心库：glib-2.0（≥2.42）、json-glib（≥1.4.4）、libgcrypt（≥1.6）
• 网络相关：libpcap、libssh（≥0.6.0）、libcurl开发包
• 加密相关：libgpgme（≥1.1.2）、libksba（≥1.0.7）、libgnutls（≥3.6.4）
• 数据库：Redis服务器（≥5.0.3）

可选组件

• Windows支持：openvas-smb（≥1.0.1）、python-impacket（≥0.9.15）
• SNMP支持：netsnmp库或snmpget客户端
• 端口扫描：nmap或pnscan工具

Debian系统安装示例

对于Debian 11（Bullseye）系统，可使用以下命令安装主要依赖：

apt-get install gcc pkg-config libssh-gcrypt-dev libgnutls28-dev \
libglib2.0-dev libjson-glib-dev libpcap-dev libgpgme-dev bison libksba-dev \
libsnmp-dev libgcrypt20-dev redis-server libbsd-dev libcurl4-gnutls-dev \
krb5-multidev

编译安装过程详解

环境变量配置

如果依赖库安装在非标准路径，需设置PKG_CONFIG_PATH环境变量：

export PKG_CONFIG_PATH=/your/location/lib/pkgconfig:$PKG_CONFIG_PATH

构建步骤

1. 创建并进入构建目录：

   mkdir build
   cd build
   

2. 配置构建参数：

   • 自定义安装路径：

     cmake -DCMAKE_INSTALL_PREFIX=/path/to/your/installation ..
     

   • 使用默认路径（/usr/local）：

     cmake ..
     

3. 重要路径变量（可通过-D参数修改）：

   变量名	默认值
   SYSCONFDIR	/etc
   LOCALSTATEDIR	/var
   OPENVAS_FEED_LOCK_PATH	/var/lib/openvas/feed-update.lock
   OPENVAS_RUN_DIR	/run/ospd

4. 常用构建命令：

   make                # 编译主程序
   make doxygen        # 生成文档
   make tests          # 构建测试套件
   make install        # 安装到系统
   

系统配置指南

1. 扫描器参数配置

OpenVAS的默认配置存储在/etc/openvas/openvas.conf中（路径可能因SYSCONFDIR设置而变化）。如需自定义：

openvas -s > /etc/openvas/openvas.conf  # 导出默认配置

然后编辑生成的配置文件，可调整扫描目标限制、并发连接数等参数。

2. 安全规则集(NVT)更新

OpenVAS依赖NVT规则集进行安全检测，首次使用前必须同步：

greenbone-feed-sync  # 同步社区版规则集

建议设置定时任务定期更新规则集，以保持检测能力的最新状态。

3. Redis服务配置

OpenVAS使用Redis作为临时数据存储，需专门配置：

sudo cp config/redis-openvas.conf /etc/redis/
sudo chown redis:redis /etc/redis/redis-openvas.conf
sudo systemctl start redis-server@openvas.service

4. 权限配置

由于部分检测需要root权限，需配置sudoers文件：

<user> ALL = NOPASSWD: <install prefix>/sbin/openvas

日志系统配置

日志文件位置

默认日志路径为/var/log/gvm/openvas.log（可通过LOCALSTATEDIR变量修改）。

日志级别控制

配置文件位于/etc/openvas/openvas_log.conf，可调整以下日志级别：

• 4：错误信息
• 8：严重警告
• 16：一般警告
• 32：普通消息
• 64：信息详情
• 128：调试信息（最详细）

示例配置节：

[sd   main]
file=/var/log/gvm/openvas.log
level=128  # 启用所有级别日志

高级功能

静态代码分析

使用Clang Static Analyzer进行代码质量检查：

scan-build cmake ..
scan-build make

分析完成后会提示查看结果的URL地址。

常见问题解决

1. 编译失败：检查所有依赖是否安装正确，特别是开发包（*-dev）版本是否满足要求
2. 扫描不完整：确保以root权限运行，并检查sudoers配置是否正确
3. 规则集更新失败：检查网络连接，确认feed服务可用
4. Redis连接问题：验证redis-openvas服务是否正常运行，socket权限是否正确

结语

通过本文的详细指导，您应该已经成功搭建了OpenVAS安全扫描环境。作为企业安全防护体系的重要组成部分，建议定期更新规则集并监控扫描日志，以确保系统能够及时发现最新的安全威胁。对于生产环境，还应考虑性能调优和分布式部署方案。