Вопрос: Как заставить OpenVAS прослушивать внешний интерфейс?


Мне нужно подключиться к моему OpenVAS из Интернета для проведения тестов на проникновение.

Я не нашел возможности постоянно прослушивать внешний интерфейс: openvas-start заставляет его слушать 127.0.0.1.

Я уже пытался изменить файлы конфигурации, но кажется, что я делаю это неправильно или что-то переопределяет конфигурации при запуске.

Любая помощь будет оценена по достоинству.

P.S: Я использую Kali 2.0.


4
2017-09-23 09:13


Источник


Не смешно. Вопросы конфигурации, относящиеся к конкретным продуктам, не соответствуют теме, поскольку они либо находятся на странице поддержки поставщиков, либо ответы содержатся в руководстве. Вы также не включаете никаких данных о том, какие конфигурации вы пытались или какие ошибки или эффекты вы испытывали. - schroeder


Ответы:


Поскольку мы на Systemd, вам действительно нужно изменить 3 .service файлы:

cd /lib/systemd/system

Файлы: greenbone-security-assistant.service, openvas-manager.service и openvas-scanner.service.

Чтобы сделать это быстро, вы можете захотеть использовать СЕПГ, Эта строка заменит все 127.0.0.1 в 0.0.0.0 что позволит предоставлять все сервисы на всех интерфейсах. Вы должны заменить 0.0.0.0 на адрес по вашему выбору.

sed -e 's/127.0.0.1/0.0.0.0/g' greenbone-security-assistant.service openvas-manager.service openvas-scanner.service

Убедитесь, что все будет сделано по вашему желанию. Если вы довольны изменениями, просто добавьте -i до конца предыдущей команды.

sed -e 's/127.0.0.1/0.0.0.0/g' greenbone-security-assistant.service openvas-manager.service openvas-scanner.service -i

Наконец, вам нужно перезагрузить демонов, так как вы внесли изменения в файлы и перезапустили службы.

systemctl daemon-reload
systemctl restart greenbone-security-assistant.service openvas-manager.service openvas-scanner.service

Убедитесь, что все службы прослушивают требуемый хост:

ss -nalt

Если перезапуск служб не работает, попробуйте перезапустить сервер.


12
2018-04-11 15:05



Это был ответ для меня. В systemd добавлена ​​новая версия Kali Linux с сервисов openvas. - jmreicha


  1. OpenVAS-стоп
  2. gsad --listen = 0.0.0.0
  3. OpenVAS-старт
  4. С любой клиентской машины попробуйте https: // поташ-ф /
  5. Наслаждайтесь доступом к openvas web

5
2017-08-20 02:32





Существует гораздо более простое решение. Вы можете перенаправить внешний ip-порт на localhost с помощью брандмауэра. Предполагая, что внешний IP-адрес вашего сервера 10.0.0.10:

sysctl -w net.ipv4.conf.eth0.route_localnet=1

iptables -t nat -A PREROUTING -p tcp -d 10.0.0.10 --dport 443 -j DNAT --to-destination 127.0.0.1:9392

Вот и все, теперь подключитесь к https://10.0.0.10

Я также пытался редактировать конфигурационные IP-адреса, но есть во многих местах и, похоже, нарушает авторизацию OMP. Это решение было протестировано с последними версиями Kali / OpenVAS (2016.09).


2
2017-09-12 14:20





Цитирование справочной страницы openvasd:

-a, --listen =                 Скажите серверу, чтобы он слушал только соединения по адресу                   который является IP, а не именем машины. Например,                 «openvasd -a 192.168.1.1» заставит openvasd слушать только                 запросы, идущие к 192.168.1.1 Этот параметр полезен, если вы                 запуск openvasd на шлюзе, и если вы не хотите, чтобы люди на                 снаружи, чтобы подключиться к вашему openvasd.

Вы можете добавить этот параметр в сценарий запуска, расположенный в /etc/init.d/openvas-scanner в DAEMONOPTS постоянная.


1
2017-09-23 12:34



добавлено DAEMONOPTS = "- listen = 0.0.0.0", но netstat -na все еще показывает локальный адрес 127.0.0.1:9390 127.0.0.1:9391 127.0.0.1:9392 - Sam
Вы перезапустили демон?
Я запускал openvas-stop, затем openvas-start соответственно. - Sam
Также почему вы не указали внешний адрес явно?
Бег /etc/init.d/openvas-scanner restart


редактировать /etc/default/greenbone-security-assistant:

+ Изменить 127.0.0.1 на ваш IP-адрес

GSA_ADDRESS=your_server_IP_address

Затем перезапустите службы:

root@tiger:/home/fw# ps aux | grep openvassd | grep -v grep
root      8918  2.6  1.2 138644 12212 ?        Ss   17:31   2:25 openvassd: Waiting for incoming connections
root@tiger:/home/fw#
root@tiger:/home/fw# killall openvassd
root@tiger:/home/fw#
root@tiger:/home/fw# ps aux | grep openvassd | grep -v grep
root@tiger:/home/fw#
root@tiger:/home/fw# service openvas-scanner start
root@tiger:/home/fw# service openvas-manager start
root@tiger:/home/fw# service greenbone-security-assistant restart
root@tiger:/home/fw#
root@tiger:/home/fw# ps aux | grep openvassd | grep -v grep
root      9681 39.4  1.3 123836 13476 ?        Ds   19:02   0:02 openvassd: Reloaded 7750 of 46062 NVTs (16% / ETA: 00:19)
root      9682  0.0  0.1 114564  1528 ?        S    19:02   0:00 openvassd (Loading Handler)
root@tiger:/home/fw#

Попробуйте получить доступ к нему извне https://ip:9392


0
2018-03-13 12:49



Я просто пробовал этот метод, но он, похоже, не работает. OpenVAS по-прежнему кажется обязательным для 127.0.0.1 вместо открытого интерфейса. - jmreicha