Como fazer o OpenVAS escutar em uma interface externa?

Como estamos em systemd , você precisa modificar 3% de arquivos.service:

cd /lib/systemd/system

Os arquivos são: greenbone-security-assistant.service, openvas-manager.service e openvas-scanner.service.

Para tornar isso mais rápido, você pode usar sed . Esta linha substituirá todos os 127.0.0.1 para 0.0.0.0 , o que permitirá que todos os serviços estejam disponíveis em todas as interfaces. Você deve substituir 0.0.0.0 pelo endereço de sua escolha.

sed -e 's/127.0.0.1/0.0.0.0/g' greenbone-security-assistant.service openvas-manager.service openvas-scanner.service

Verifique se tudo será feito como você deseja. Se você estiver satisfeito com as alterações, basta adicionar -i ao final do comando anterior.

sed -e 's/127.0.0.1/0.0.0.0/g' greenbone-security-assistant.service openvas-manager.service openvas-scanner.service -i

Por fim, você precisa recarregar os daemons, já que fez alterações nos arquivos e reinicia os serviços.

systemctl daemon-reload
systemctl restart greenbone-security-assistant.service openvas-manager.service openvas-scanner.service

Verifique se todos os serviços estão escutando no host desejado:

ss -nalt

Se os serviços de reinicialização não funcionarem, tente reiniciar o próprio servidor.

1. openvas-stop
2. gsad --listen = 0.0.0.0
3. openvas-start
4. Em qualquer máquina cliente, tente link
5. Aproveite o acesso ao openvas web

Existe uma solução muito mais simples. Você pode redirecionar a porta ip externa para localhost usando o firewall. Supondo que o IP externo do seu servidor seja 10.0.0.10 :

sysctl -w net.ipv4.conf.eth0.route_localnet=1

iptables -t nat -A PREROUTING -p tcp -d 10.0.0.10 --dport 443 -j DNAT --to-destination 127.0.0.1:9392

Isso é tudo, agora conecte-se ao link

Eu também tentei editar os IPs de configuração, mas existem muitos locais e parecem violar a autorização do OMP. Esta solução foi testada com o mais recente Kali / OpenVAS (2016.09).

Citando a página de manual do openvasd:

-a , --listen= Tell the server to only listen to connections on the address which is an IP, not a machine name. For instance, "openvasd -a 192.168.1.1" will make openvasd only listen to requests going to 192.168.1.1 This option is useful if you are running openvasd on a gateway and if you don't want people on the outside to connect to your openvasd.

Você pode acrescentar essa opção ao script de inicialização localizado em /etc/init.d/openvas-scanner na constante DAEMONOPTS .

Edite o /etc/default/greenbone-security-assistant :

Altere 127.0.0.1 para seu IP

GSA_ADDRESS=your_server_IP_address

Em seguida, reinicie os serviços:

root@tiger:/home/fw# ps aux | grep openvassd | grep -v grep
root      8918  2.6  1.2 138644 12212 ?        Ss   17:31   2:25 openvassd: Waiting for incoming connections
root@tiger:/home/fw#
root@tiger:/home/fw# killall openvassd
root@tiger:/home/fw#
root@tiger:/home/fw# ps aux | grep openvassd | grep -v grep
root@tiger:/home/fw#
root@tiger:/home/fw# service openvas-scanner start
root@tiger:/home/fw# service openvas-manager start
root@tiger:/home/fw# service greenbone-security-assistant restart
root@tiger:/home/fw#
root@tiger:/home/fw# ps aux | grep openvassd | grep -v grep
root      9681 39.4  1.3 123836 13476 ?        Ds   19:02   0:02 openvassd: Reloaded 7750 of 46062 NVTs (16% / ETA: 00:19)
root      9682  0.0  0.1 114564  1528 ?        S    19:02   0:00 openvassd (Loading Handler)
root@tiger:/home/fw#

Tente acessá-lo de fora de https://ip:9392