確保您主機的基線安全是很重要的，而其中一個很有用的工具就是網絡安全掃描器。網絡安全掃描器雖然不如集中的滲透測試，但對于識別簡單的漏洞、缺少的補丁、開放的端口以及其它的問題都是很有用的。

Tenable的開源或商業混合的工具Nessus，是一款您可能會比較熟悉的網絡安全掃描工具。這個工具已經有超過10年的歷史了，并且從2005年開始有了雙重發行，并僅對非商業目的的使用是免費的。但工具已經不再是免費的了，并且從3.0版開始，不再開源。

自由而開放的網絡安全掃描

為了適應Nessus的商業化和開源代碼的不開源化，開發了開放式漏洞評估系統(Open Vulnerability Assessment System OpenVAS)。最開始，其只是Nessus的一個純GPL性質的克隆產物。但現在已經開始了進一步的開發，并擴展了Nessus項目所沒有的能力和功能。在這里，我們將向您展示，如何去安裝OpenVAS并進行初步的使用。這是一個很簡單的過程。我們將很快讓您可以在自己的主機上運行安全掃描。

最新版本的OpenVAS 3.0.0是從Nessus 2.2克隆出來（Nessus從3.0開始發行自己專有的許可證）。它將一個客戶端—服務端的掃描架構和一個圖形化的前端結合起來，并可以在多種Linux、Windows以及其它操作系統上運行。它可以利用網絡漏洞測試或者使用Nessus攻擊腳本語言(Nessus Attack Scripting Language NASL)編寫的網絡漏洞測試，其中NASL是Nessus項目中用于編寫測試的語言。

截止到2009年12月，OpenVAS項目已經發布了15，500個帶簽名的網絡漏洞測試，而這些測試都由一個GPL許可進行授權。從3.0.0版本起，OpenVAS從原來的一個漏洞掃描器擴充為了一個完整的漏洞管理解決方案。OpenVAS現在有了一個模塊化的架構并支持一個中心管理掃描服務器和控制臺。

安裝OpenVAS

讓我們從安裝各種OpenVAS模塊開始。對于3.0.0版本來說，有三個核心模塊：openvas-libraries、openvas-scanner以及openvas-client，以及兩個可選的模塊：openvas-manager和openvas-administrator。我們將對三個核心模塊進行安裝。在寫這篇文章時，OpenVAS 3.0.0還沒有被打包用于發布。如果您想要一個打包后的版本，那么您只能使用2.x分支的發布版本。因此，由于我們沒有包，我們將通過源碼進行安裝。 在編譯OpenVAS之前，需要先安裝一些先決條件。比如說，在Red Hat上，我們將需要通過yum，安裝一個編譯器，以及下面的一些包：

$ sudo yum install gcc glib glib2 glib-dev glib2-dev gpgme gpgme-devel make bison gnutls gnutls-devel libpcap libpcap-devel cmake gtk+ gtk+-devel

在Ubuntu上，我們需要通過apt-get去安裝相同的包。這可以通過下載所需的源tarball，并進行解包來完成：

$ wget http://wald.intevation.org/frs/download.php/683/openvas-libraries-3.0.0.tar.gz $ tar -zxf openvas-libraries-3.0.0.tar.gz $ cd openvas-libraries-3.0.0 $ ./configure $ make $ sudo make install $ sudo ldconfig

然后，對下面的文件重復這些步驟：

http://wald.intevation.org/frs/download.php/684/openvas-scanner-3.0.0.tar.gz http://wald.intevation.org/frs/download.php/685/openvas-client-3.0.0.tar.gz

下來，我們需要為OpenVAS創建一個服務器證書。

$ sudo openvas-mkcert

按照屏幕上的指示，去創建您的證書。

現在，我們需要使用openvas-adduser命令去為OpenVAS的運行創建一個用戶。

$ sudo openvas-adduser

同樣地，按照屏幕上的指示，為OpenVAS用戶提供一個用戶名字和用戶密碼。最后，我們需要安裝我們用來掃描的網絡漏洞測試（NVTs）。OpenVAS的命令為：

$ sudo openvas-nvt-sync

第一次運行會持續一段時間，而且您需要定期地運行它以便收到更新和新的測試。我一般通過cron，一天運行它一次。

運行OpenVAS掃描器

當安裝完以后，您就可以運行OpenVAS掃描器守護進程：

$ sudo openvassd

由于守護進程會將所有的網絡漏洞測試都加載到掃描器中，所以根據你掃描用的主機的性能，會花一點時間。