Мне нужно подключиться к моему OpenVAS из Интернета, чтобы провести тесты на проникновение.
Я не нашел способа заставить его постоянно слушать внешний интерфейс: openvas-start заставляет его слушать 127.0.0.1.
Я уже пытался изменить файлы конфигурации, но кажется, что я делаю это неправильно или что-то переопределяет конфигурации при запуске.
Любая помощь будет оценена.
PS: я использую Kali 2.0.
Поскольку мы находимся на systemd, вам нужно изменить 3 файла .service :
cd /lib/systemd/system
Файлы: greenbone-security-assistant.service, openvas-manager.service и openvas-scanner.service.
Чтобы сделать это быстро, вы можете использовать sed. Эта строка заменит все 127.0.0.1 до 0.0.0.0, что позволит всем службам быть доступными на всех интерфейсах. Вам следует заменить 0.0.0.0 на адрес по вашему выбору.
sed -e 's/127.0.0.1/0.0.0.0/g' greenbone-security-assistant.service openvas-manager.service openvas-scanner.service
Убедитесь, что все будет сделано так, как вы хотите. Если вы довольны изменениями, просто добавьте -i в конец предыдущей команды.
sed -e 's/127.0.0.1/0.0.0.0/g' greenbone-security-assistant.service openvas-manager.service openvas-scanner.service -i
Наконец, вам необходимо перезагрузить демоны, так как вы внесли изменения в файлы и перезапустите сервисы.
systemctl daemon-reload
systemctl restart greenbone-security-assistant.service openvas-manager.service openvas-scanner.service
Убедитесь, что все службы прослушивают нужный хост:
ss -nalt
Если перезапуск сервисов не сработал, попробуйте перезапустить сам сервер.
Существует гораздо более простое решение. Вы можете перенаправить внешний IP-порт на локальный хост, используя брандмауэр. Предполагая, что внешний IP-адрес вашего сервера 10.0.0.10:
sysctl -w net.ipv4.conf.eth0.route_localnet=1
iptables -t nat -A PREROUTING -p tcp -d 10.0.0.10 --dport 443 -j DNAT --to-destination 127.0.0.1:9392
Вот и все, теперь подключитесь к https://10.0.0.10
Я также пытался редактировать конфигурационные IP-адреса, но они есть во многих местах и, кажется, нарушают авторизацию OMP. Это решение было протестировано с последней Kali/OpenVAS (2016.09).
Цитирую страницу руководства openvasd:
-a, --listen = Сказать серверу прослушивать соединения только по адресу, который является IP, а не именем машины. Например, «openvasd -a 192.168.1.1» заставит openvasd только слушать запросы, идущие на 192.168.1.1. Этот параметр полезен, если вы запускаете openvasd на шлюзе и если вы не хотите, чтобы внешние люди подключались к вашему openvasd.
Вы можете добавить эту опцию в скрипт запуска, расположенный в /etc/init.d/openvas-scanner в константе DAEMONOPTS .
Отредактируйте /etc/default/greenbone-security-assistant:
Измените 127.0.0.1 на ваш IP
GSA_ADDRESS=your_server_IP_address
Затем перезапустите сервисы:
root@tiger:/home/fw# ps aux | grep openvassd | grep -v grep
root 8918 2.6 1.2 138644 12212 ? Ss 17:31 2:25 openvassd: Waiting for incoming connections
root@tiger:/home/fw#
root@tiger:/home/fw# killall openvassd
root@tiger:/home/fw#
root@tiger:/home/fw# ps aux | grep openvassd | grep -v grep
root@tiger:/home/fw#
root@tiger:/home/fw# service openvas-scanner start
root@tiger:/home/fw# service openvas-manager start
root@tiger:/home/fw# service greenbone-security-assistant restart
root@tiger:/home/fw#
root@tiger:/home/fw# ps aux | grep openvassd | grep -v grep
root 9681 39.4 1.3 123836 13476 ? Ds 19:02 0:02 openvassd: Reloaded 7750 of 46062 NVTs (16% / ETA: 00:19)
root 9682 0.0 0.1 114564 1528 ? S 19:02 0:00 openvassd (Loading Handler)
root@tiger:/home/fw#
Попробуйте получить к нему доступ извне https://ip:9392