漏洞扫描 on Liangweidong's blog

Harbor 镜像仓库：安装、升级、Trivy 扫描与双机复制实战

Sat, 15 Jun 2024 00:00:00 +0800

Harbor 是 CNCF 毕业的企业级 Docker 镜像仓库（VMWare 2016 年开源，2018 年捐赠给 CNCF），支持镜像签名、漏洞扫描、跨节点复制、基于角色的访问控制。自建 Harbor 是企业里"内网统一镜像源"的标配。这篇文章把 Harbor 2.9.1/2.10/2.13 的离线安装、配置、镜像 push/pull、Trivy 扫描、双机双向复制的完整流程一次性说清。

阅读对象：运维 / SRE / DevOps 团队；需要在多机房部署 Harbor 做"异地容灾"；需要 Trivy 漏洞扫描合规。 覆盖范围：Harbor 2.9.1/2.10.0/2.13.1 离线安装；harbor.yml 配置；daemon.json 配 insecure-registries；镜像 push/pull/打 tag 实战；Trivy 漏洞扫描 + 离线 DB 同步；双机双向复制（机器人账户 + 复制规则）。

一、Harbor 在企业里的角色

角色	价值
统一镜像源	内网统一分发，避免每台机器去 docker.io 拉
镜像合规	漏洞扫描、未签名镜像拦截、镜像签名
异地容灾	双机房 Harbor 双向复制
权限管理	RBAC、项目级隔离
CI/CD 集成	与 Jenkins / GitLab CI / ArgoCD 集成

架构：Harbor 本身是一个 docker-compose 项目（10+ 容器：core / jobservice / nginx / registry / trivy / portal / db / redis / exporter / log）。所以跑 Harbor = 跑一个 docker compose。

二、Harbor 2.9.1 离线安装

2.1 下载离线包

1
2
3
4
5
6
7
8


# 2.9.1
https://github.com/goharbor/harbor/releases/download/v2.9.1/harbor-offline-installer-v2.9.1.tgz

# 2.10.0
https://github.com/goharbor/harbor/releases/download/v2.10.0/harbor-offline-installer-v2.10.0.tgz

# 2.13.1
https://github.com/goharbor/harbor/releases/download/v2.13.1/harbor-offline-installer-v2.13.1.tgz

2.2 解压

1
2


mkdir /home/harbor-install
tar -zxvf harbor-offline-installer-v2.10.0.tgz -C /home/harbor-install

2.3 配置 `harbor.yml`

1
2
3


cd /home/docker/harbor
cp -ar harbor.yml.tmpl harbor.yml
vim harbor.yml

关键配置：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


hostname: internal.example.com  # 改成你的 IP/域名

http:
 port: 13001 # 改个非默认端口

# 关闭 HTTPS（演示环境，生产必开）
#https:
# port: 443
# certificate: /your/certificate/path
# private_key: /your/private/key/path

# 管理员密码（必改）
harbor_admin_password: {{REDACTED}}

# 数据目录
data_volume: /home/docker/harbor/data

2.4 启动

1

./install.sh

启动日志：

1
2
3
4
5
6
7


[Step 0]: checking if docker is installed ...
[Step 1]: checking docker-compose is installed ...
[Step 2]: loading Harbor images ...
[Step 3]: preparing environment ...
[Step 4]: preparing harbor configs ...
[Step 5]: starting Harbor ...
✔ ----Harbor has been installed and started successfully.----

访问 http://<host>:13001，默认账号 admin / 你的密码。

三、配置 Docker 客户端

3.1 daemon.json

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19


cat << 'EOF' > /etc/docker/daemon.json
{
 "exec-opts": ["native.cgroupdriver=systemd"],
 "log-driver": "json-file",
 "log-opts": { "max-size": "50m", "max-file": "1" },
 "registry-mirrors": [
 "https://docker.m.daocloud.io",
 "https://hub-mirror.c.163.com",
 "https://mirror.baidubce.com",
 "https://docker.nju.edu.cn",
 "https://docker.mirrors.sjtug.sjtu.edu.cn",
 "https://dockerproxy.com"
 ],
 "insecure-registries": ["internal.example.com:13001"]
}
EOF

systemctl daemon-reload
systemctl restart docker

insecure-registries：HTTP 协议的 Harbor 必须加这一项，否则客户端报 server gave HTTP response to HTTPS client。

3.2 登录 Harbor

1
2


docker login -u admin -p {{REDACTED}} internal.example.com:13001
# Login Succeeded

四、镜像 push / pull 实战

4.1 重新打 tag 推送

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# 拉官方镜像
docker pull nginx:latest

# 打 tag 到 Harbor
docker tag nginx:latest internal.example.com:13001/library/nginx:latest

# 推送
docker push internal.example.com:13001/library/nginx:latest

# 删除本地 tag
docker rmi -f internal.example.com:13001/library/nginx:latest

# 从 Harbor 拉
docker pull internal.example.com:13001/library/nginx:latest

4.2 完整业务镜像推送示例

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


# JDK 8
docker tag lwd/jdk:8u381 internal.example.com:13001/base/lwd/jdk:8u381
docker push internal.example.com:13001/base/lwd/jdk:8u381

# Go 应用
docker tag lwd/go:2.0 internal.example.com:13001/base/lwd/go:2.0
docker push internal.example.com:13001/base/lwd/go:2.0

# Tomcat
docker tag tomcat:9.0.79-jdk8-temurin-jammy \
 internal.example.com:13001/base/tomcat:9.0.79-jdk8-temurin-jammy
docker push internal.example.com:13001/base/tomcat:9.0.79-jdk8-temurin-jammy

# MySQL 8
docker tag mysql:8.0.23 internal.example.com:13001/base/mysql:8.0.23
docker push internal.example.com:13001/base/mysql:8.0.23

# EMQX
docker tag emqx/emqx:5.0.24 internal.example.com:13001/base/emqx/emqx:5.0.24
docker push internal.example.com:13001/base/emqx/emqx:5.0.24

路径约定：<harbor>/<project>/<repo>:<tag>。library 是默认项目，公开镜像放这里；私有项目用 base 等命名空间。

4.3 Harbor API 查询镜像

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 查 Harbor 版本
curl http://internal.example.com:13001/api/version -k
# {"version":"v2.0"}

# 查项目下的 tags
curl -u admin:{{REDACTED}} -H "Content-Type: application/json" \
 -X GET "http://internal.example.com:13001/v2/library/lwd/jdk/tags/list" -k

# 查镜像是否存在（200 存在，404 不存在）
curl -sIL -w "%{http_code}\n" -o /dev/null \
 -X GET "http://internal.example.com:13001/api/v2.0/projects/base/repositories/lwd%252Fjdk/artifacts/8u381-3"

五、Trivy 漏洞扫描

Harbor 集成了 Trivy 作为默认扫描器。Trivy 漏洞库更新非常频繁（每天），离线环境需要定期同步 DB。

5.1 启用 Trivy 扫描

1
2
3
4
5
6
7
8
9


# 1. 停 Harbor
cd /home/docker/harbor
docker-compose stop

# 2. 重新 prepare（启用 trivy）
./prepare --with-trivy

# 3. 重新启动
docker-compose -f docker-compose.yml up -d

5.2 离线 DB 同步

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 安装 Oras CLI（用于从 OCI 仓库下载 trivy-db）
curl -LO https://github.com/oras-project/oras/releases/download/v1.1.0/oras_1.1.0_linux_amd64.tar.gz
mkdir -p oras-install/
tar -zxf oras_1.1.0_linux_amd64.tar.gz -C oras-install/
mv oras-install/oras /usr/local/bin/

# 拉 trivy-db（用 ghcr dockerproxy 镜像加速）
oras pull ghcr.dockerproxy.com/aquasecurity/trivy-db:2 -v --insecure

# 解压到 Harbor 的 trivy 目录
tar xf db.tar.gz -C /home/docker/harbor/data/trivy-adapter/trivy/db
chown 10000.10000 -R /home/docker/harbor/data/trivy-adapter/trivy/db

5.3 定时同步脚本

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18


cat << 'EOF' > /usr/bin/sh/download_trivy_db.sh
#!/bin/bash
# 每天凌晨 0:30 同步
# cron：30 0 * * * /usr/bin/sh /usr/bin/sh/download_trivy_db.sh > /var/log/download_trivy_db.log 2>&1 &

cd /home/data/trivy-db

oras pull ghcr.io/aquasecurity/trivy-db:2 -v --insecure

if [ $? -eq 0 ]; then
 tar xf db.tar.gz -C /home/docker/harbor/data/trivy-adapter/trivy/db
 chown 10000.10000 -R /home/docker/harbor/data/trivy-adapter/trivy/db
 echo 'succ'
else
 echo 'download failed!'
fi
EOF
chmod +x /usr/bin/sh/download_trivy_db.sh

坑：Trivy 漏洞库体积 ~100MB，不能放在 Harbor 容器内，必须挂在外部卷。

六、双机双向复制（异地容灾）

Harbor 支持"两个实例之间同步镜像"，**机器人账户（Robot Account）**是机器间互信的标准做法。

6.1 架构

1
2
3


[机房 1 Harbor] [机房 2 Harbor]
 10.8.33.254:13001 1.2.3.4:13001
 robot$copy (双向) ◄────────────► robot$copy

6.2 机房 2 创建机器人

访问 http://机房2:13001/harbor/robot-accounts
创建机器人：
- 名称：robot$copy
- 权限：项目级（具体到要复制的项目）
- 复制：+ 保存
记录 Token（如 FKkxBNnmKD8Z13l6TCGf3sTl9ObfB3Lf），关闭后再无法查看

6.3 机房 1 配置复制规则

登录机房 1 Harbor
系统管理 → 复制管理 → 新建规则
填写：
- 名称：to-机房2
- 模式：Pull-based（推荐，先从机房 1 推到机房 2）
- 源注册表：机房 2 的 URL
- 源机器人：机房 2 创建的 robot$copy + Token
- 目标项目：library / base（按需）
- 触发模式：手动 / 定时 / 事件

6.4 验证复制

1
2
3
4
5


# 机房 1 推送
docker push internal.example.com:13001/library/nginx:latest

# 几分钟后在机房 2 看是否自动同步
# 访问 http://机房2:13001 → library 项目 → 应能看到 nginx

七、Harbor 升级（2.9.1 → 2.13.1）

7.1 备份

1
2
3
4
5
6
7


# 停 Harbor
cd /home/docker/harbor
docker-compose down

# 备份配置和数据
mkdir -p /home/bak/harbor2.9.1
rsync -a --exclude="data" /home/docker/harbor/ /home/bak/harbor2.9.1/

不要备份 data 目录（太大，迁移时会复用）。

7.2 装载新版

1
2
3
4
5
6


# 解压新版到同一目录
tar -zxvf harbor-offline-installer-v2.13.1.tgz \
 -C /home/docker/harbor --strip-components=1

# 加载新镜像
docker image load -i harbor.v2.13.1.tar.gz

7.3 迁移旧配置 + 安装

1
2
3
4
5
6
7
8
9


# 把旧 harbor.yml 复制回来
cp /home/bak/harbor2.9.1/harbor.yml /home/docker/harbor/

# 用 prepare 迁移（v2.13.1 自动检测旧配置）
docker run -it --rm -v /:/hostfs \
 goharbor/prepare:v2.13.1 migrate -i /home/docker/harbor/harbor.yml

# 安装
./install.sh

关键：goharbor/prepare:v2.13.1 migrate 会自动转换旧配置到新版本（如 v2.9 的字段升级到 v2.13 的字段）。

八、2024+ 视角补充

本文写于 2024-06，2024-2026 期间 Harbor 持续演进：Harbor 2.11（2024-09）/ 2.12（2025-02）/ 2.13（2025-08）/ 2.14（2026-Q1） 几个大版本。关键变化：

P2P 镜像分发（2.11+）：基于 Kraken / Dragonfly，大镜像（GB 级）拉取速度提升 10x+——AI 训练镜像 / 视频处理镜像场景强相关
SBOM + SLSA Level 3 合规：2.12+ 自动生成 CycloneDX / SPDX 格式 SBOM；满足供应链安全要求（金融 / 政企刚需）
Proxy Cache 项目（2.10+ 引入、2.12 GA）：Harbor 可作为远程 Registry 的"代理缓存层"，减少 90% 出口带宽——多机房 K8s 拉取 docker.io 镜像必备
Trivy 0.50+：漏洞库大小 200MB+，离线 DB 同步脚本对网络要求更高
机器人账户（Robot Account）权限粒度细化：从项目级到仓库级（repository-level）
OCI 1.1+ 兼容：Helm Chart、OPA Bundle 等 OCI artifact 完美支持

实战建议（2026 视角）：Harbor 2.13.1+ 是当前生产推荐版本；Proxy Cache + P2P 是新装机必选能力；金融政企场景强推 SBOM + SLSA 模式。

九、扩展阅读

Harbor 官方仓库：github.com/goharbor/harbor
Harbor 官方文档：goharbor.io/docs
Trivy 漏洞库：github.com/aquasecurity/trivy-db
Trivy 官方仓库：github.com/aquasecurity/trivy
镜像复制最佳实践：goharbor.io/blog/harbor-1.10-release

Linux 安全：挖矿病毒清理、c3Pool 木马与 GVM 漏洞扫描实战

Mon, 15 Apr 2024 00:00:00 +0800

一、为什么是 2024 年这一份

2024 年这个时间点，Linux 主机安全进入"专业化"阶段：

挖矿病毒（xmrig / c3Pool / kinsing）仍是企业最常见的入侵后果
EDR 终端（Endpoint Detection and Response）成为云主机标配
OpenVAS 在 2017 改名 GVM（Greenbone Vulnerability Management），2024 已是 23.x
合规要求（等保 2.0、ISO 27001）要求定期漏洞扫描
xmrig 6.x 的对抗特征（chattr +i 防删）成为应急手册标配

这一篇覆盖挖矿病毒应急、c3Pool 木马清理、EDR 部署、GVM 漏洞扫描安装与升级、漏扫告警——一个"安全运营"工程师的实战手册。

阅读建议：本文是"应急 + 体系建设"双重性质——先应急（挖矿病毒清理），再体系（漏洞扫描）。

二、挖矿病毒应急：c3Pool 木马清理

2.1 现象与定位

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 1. top 找高 CPU 进程
top
# 看到 xmrig、kdevtmpfsi、.service 等非常规进程

# 2. 找进程 exe 路径
ls -l /proc/<pid>
# /proc/<pid>/exe -> /usr/local/lib/<挖矿二进制>

# 3. 看进程工作目录
ls -l /proc/<pid>/cwd
# 通常在 /tmp 或 /dev/shm 这种"隐蔽"位置

2.2 文件无法删除：`chattr +i`

挖矿木马常 chattr +i 锁住自己的二进制、SSH 公钥、cron 文件等，让 rm 删不掉。

1
2
3
4
5
6
7
8


# 查属性
lsattr 文件名

# 加锁（之后 rm 删不掉）
chattr -R +i ./test*

# 解除（运行完就能删）
chattr -R -i ./test*

2.3 c3Pool 矿池连接特征

c3Pool 是公开矿池（c3pool.com），挖矿木马的"标配"会连接 c3pool.com：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 1. 看进程网络连接
ss -tnp | grep <pid>
# 看是否有到矿池 IP 的 TCP 连接

# 2. 查 DNS 解析记录
cat /etc/resolv.conf
# 木马经常改 DNS 指向自建 DNS

# 3. 查 hosts
cat /etc/hosts
# 木马经常把 c3pool.com、pool.minexmr.com 指向 0.0.0.0

xmrig 配置：挖矿配置一般在 ~/.config/xmrig/config.json，里面能找到矿池地址、钱包地址、CPU 占用等。

2.4 完整清理流程

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48


# 1. 杀进程
ps -ef | grep xmrig | grep -v grep | awk '{print $2}' | xargs kill -9
pkill -9 xmrig

# 2. 解锁
find / -name "*.xmrig*" -exec chattr -i {} \;
find / -path "*/xmrig/*" -exec chattr -R -i {} \;
chattr -R -i /etc/cron.d/
chattr -R -i /etc/cron.daily/
chattr -R -i /var/spool/cron/

# 3. 删文件
rm -rf /usr/local/lib/xmrig
rm -rf /tmp/.xmrig
rm -rf /dev/shm/.xmrig

# 4. 清 cron
# 全局搜索定时任务
find / -name "cron*" -type d

# 看每个 cron 文件内容
for f in /var/spool/cron/* /etc/crontab /etc/cron.d/* /etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/* /etc/cron.weekly/*; do
 echo "=== $f ==="
 cat "$f" 2>/dev/null
done

# 找可疑条目（含 curl / wget / base64 / sh -c 的）
grep -rE "(curl|wget|base64|sh -c)" /var/spool/cron/ /etc/cron.d/ /etc/cron.daily/ /etc/cron.hourly/ 2>/dev/null

# 重启 crond
systemctl restart crond

# 5. 查 SSH 攻击者后门
# 看 authorized_keys
find / -name "authorized_keys" -ls 2>/dev/null
cat ~/.ssh/authorized_keys
# 找陌生的公钥

# 6. 查新增 sudo 用户
awk -F ":" '$3==0{print $1}' /etc/passwd

# 7. 改所有用户密码
passwd root
passwd <其他用户>

# 8. 查进程还在不在
top
ps -ef | grep -E "(xmrig|kdevtmpfsi|minerd)"

2.5 xmrig 自检配置

xmrig 官方有"配置向导"：https://xmrig.com/wizard

不要去生成实际挖矿配置——这个工具只是让你理解挖矿配置长什么样，方便在应急时识别。

三、EDR 终端部署

3.1 简介

EDR（Endpoint Detection and Response）通过 agent 收集主机行为日志，实时检测异常，是现代主机的"安全底座"。

3.2 命令行部署

1
2
3
4
5


wget --no-check-certificate https://<EDR管理平台IP>:4430/download_installer_linux.php \
 -O linux_edr_installer.tar.gz

tar -xzvf linux_edr_installer.tar.gz
./agent_installer.sh -c

端口：默认 4430。

3.3 下载器部署

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 1. 把安装包拷贝到终端
scp linux_edr_installer.tar.gz root@<host>:/tmp/

# 2. 终端解压
cd /tmp
tar -xzvf linux_edr_installer.tar.gz

# 3. 安装
cd /tmp
./agent_installer.sh # 同目录有 manager_info.txt 时
# 或
./agent_installer.sh -f # 强制安装
./agent_installer.sh -h www.mgr.com # 自定义域名
./agent_installer.sh -h www.mgr.com -p 443 -d /root/edr/ -f # 完全自定义

# 4. 验证
./agent_installer.sh --help

1
2


# 4. agent 启动后会自动连接 EDR 管理中心
systemctl status edr-agent

四、OpenVAS / GVM 漏洞扫描

4.1 简介

OpenVAS（Open Vulnerability Assessment Scanner）2017 年改名 GVM（Greenbone Vulnerability Management），是开源漏洞扫描器的事实标准。

特点：

用户界面简单友好
内置测试库，每天更新
扫描目标设备的所有软件版本
匹配漏洞库后直接提示可能的漏洞

4.2 GVM 23.x 时代组件

gvmd —— Manager
gsad —— Web 前端（Greenbone Security Assistant）
openvas / ospd-openvas —— Scanner
notus —— 产品元数据
redis-server —— Scanner 缓存
PostgreSQL —— 元数据库
gvm-tools —— 命令行工具

4.3 安装（Debian/Ubuntu）

1
2
3


apt update
apt install gvm -y
# 依赖：greenbone-security-assistant gsad gvm-tools libmicrohttpd12t64

4.4 初始化

1
2
3
4
5
6
7
8
9


# 初始化（下载漏洞库，时间比较长）
gvm-setup

# 检查安装结果
gvm-check-setup
# 如果检测失败按提示执行修复命令

# GVM 的 Redis 不是开机启动
systemctl enable redis-server@openvas.service

4.5 升级漏洞库

1
2
3
4
5
6
7


# 旧命令（已废弃）
gvm-feed-update
# > This script is now deprecated
# > Please use 'sudo greenbone-feed-sync' instead

# 新命令
sudo greenbone-feed-sync

4.6 启动

1
2


gvm-start
# > GVM services are already running

4.7 修改 admin 密码

1
2
3
4
5
6
7


# 改密码为自定义值
runuser -u _gvm -- gvmd --user=admin --new-password='<your-password>'

# 第一次安装时会有初始化密码输出
# [+] Done
# [*] Please note the password for the admin user
# [*] User created with password '...uuid...'

4.8 创建新用户

1
2


# admin 填要创建的用户名，最后的 password 填密码
runuser -u _gvm -- gvmd --create-user=<username> --new-password='<password>'

4.9 修改 Web UI 监听地址

默认 gsad 只监听 127.0.0.1:9392，要对外暴露：

1
2
3
4
5
6
7
8
9


vim /usr/lib/systemd/system/gsad.service

# 把
# ExecStart=/usr/local/sbin/gsad --foreground --listen=127.0.0.1 --port=9392
# 改为
ExecStart=/usr/local/sbin/gsad --foreground --listen=0.0.0.0 --port=443

sudo systemctl daemon-reload
sudo systemctl restart gsad

4.10 查日志

1

tail -f /var/log/gvm/gvmd.log

4.11 典型 `gvm-check-setup` 输出（23.11）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


gvm-check-setup 23.11.0
 Test completeness and readiness of GVM-23.11.0
Step 1: Checking OpenVAS (Scanner)...
 OK: OpenVAS Scanner is present in version 23.0.1.
 OK: Notus Scanner is present in version 22.6.3.
 OK: Server CA Certificate is present.
 OK: redis-server is present.
 OK: scanner (db_address setting) is configured properly.
 OK: _gvm owns all files in /lib/openvas/plugins.
 OK: NVT collection contains 91760 NVTs.
 OK: The notus directory contains 464 NVTs.
Step 2: Checking GVMD Manager ...
 OK: GVM Manager (gvmd) is present in version 23.5.2.
Step 3: Checking Certificates ...
 OK: GVM client certificate is valid.
 OK: Your GVM certificate infrastructure passed validation.
Step 4: Checking data ...

关键指标：91760 NVTs（漏洞特征库）、464 notus NVTs（产品元数据）是 2024 时代正常范围。GVM 23.5.2 是 2024 上半年的版本。

五、漏扫告警体系建设

5.1 关键指标

指标	含义
CVSS 评分	通用漏洞评分系统，0-10 越高越严重
高危 / 中危 / 低危	业务常用的粗粒度分类
CVE 编号	公开漏洞编号
影响资产	漏洞影响的具体资产范围

5.2 集成方式

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 方式一：GVM 自带的 Web UI
# 浏览器访问 https://<gvm-host>:443
# 登录后：Configuration → Targets → New Target

# 方式二：Python gvm-tools
pip install gvm-tools
gvm-cli --gmp-username admin --gmp-password <password> \
 tls --hostname <gvm-host> --port 443 \
 --xml '<get_tasks/>'

# 方式三：REST API（gmp 22.4+）
# 见 https://greenbone.github.io/docs/

5.3 与企业 SIEM 集成

把 GVM 扫描结果导入 SIEM（Splunk / ELK / QRadar）：

1
2
3
4
5


# 1. GVM 导出 CSV
# Web UI → Reports → Export → CSV

# 2. 用 logstash / filebeat 采集
# 3. 用 SPL / DSL 写告警规则

六、安全基线检查清单（2024 等保 2.0 视角）

检查项	命令 / 工具
操作系统补丁	`uname -r` 比对最新安全公告
特权账号	`awk -F":" '$3==0{print $1}' /etc/passwd`
弱口令	`john --wordlist=pass.txt /etc/shadow`（破解测试）
SSH 安全	`sshd -T
防火墙	`iptables -L -n` / `ufw status`
入侵检测	AIDE / Tripwire / OSSEC
病毒查杀	chkrootkit / rkhunter / clamav
漏洞扫描	GVM / Nessus / Qualys
终端 EDR	部署 EDR agent
日志审计	auditd / rsyslog → SIEM
备份	至少 3-2-1 策略

七、前置知识 / 下一步

想看 chkrootkit / rkhunter / clamav 详细用法 → 翻独立文章
想看 SIEM 集成（ELK / Loki）→ 翻独立文章
想看 GVM 高级配置（任务、报告、调度）→ 翻独立文章
想看 AIDE / Tripwire 主机入侵检测 → 翻独立文章
想看 SELinux / AppArmor 强制访问控制 → 翻独立文章

八、参考资源

GVM 官方文档：https://greenbone.github.io/docs/
Greenbone 社区版（Greenbone CE）：https://greenbone.github.io/docs/greenbone-ce-22.04/
xmrig 官方（仅作识别参考）：https://xmrig.com/wizard
挖矿木马家族（360 报告）：https://www.360.cn/n/11701.html
国家信息安全漏洞库（CNNVD）：http://www.cnnvd.org.cn/
国家信息安全漏洞共享平台（CNVD）：https://www.cnvd.org.cn/
CVE 官方：https://cve.mitre.org/
NVD：https://nvd.nist.gov/
MITRE ATT&CK：https://attack.mitre.org/

OpenVAS/GVM 漏洞扫描：从原生安装到 Docker 化部署

Sat, 15 Apr 2023 00:00:00 +0800

一、为什么 2023 年要聊 OpenVAS / GVM

OpenVAS（Open Vulnerability Assessment Scanner）是开源界最老牌的网络漏洞扫描器之一，2017 年改名 GVM（Greenbone Vulnerability Management），由 Greenbone 维护。GVM 21.4+ 开始把组件名从 openvas 改成 gvm，但核心扫描引擎还是 OpenVAS。

2022-04 发布的 GVM 22.4 是当前主流生产版本——本篇示例基于这个版本。gvm-check-setup 跑出来的就是：

1

It seems like your GVM-23.11.0 installation is OK.

本文写于 2023-04-15。示例基于 GVM 22.04（Ubuntu 22.04 LTS）+ 9 万+ NVT 漏洞库。Greenbone 在 2023-2024 年陆续把 gvm-setup 改造成 greenbone-feed-sync，新版本会越来越 Docker 化。

二、GVM 是什么、能做什么

核心能力：

漏洞扫描：扫描目标主机的开放端口、运行服务、CVE 漏洞，9 万+ NVT（Network Vulnerability Tests）覆盖
合规检查：PCI DSS、HIPAA、CIS 等基线
CVE 库自动更新：默认每天从 Greenbone 社区 feed 同步

典型使用场景：

内部网络定期漏扫（季度/半年）
重要业务上线前的安全验收
等保 2.0 二级 / 三级测评的漏洞证据
攻防演练 / 红蓝对抗的攻击面梳理

架构（多个 daemon 协作）：

组件	作用
`gvmd`	主管理进程，API 服务
`gsad`	Web UI（Greenbone Security Assistant）
`openvas-scanner` / `ospd-openvas`	实际扫描引擎
`pg-gvm`	PostgreSQL 后端
`redis-server`	任务队列
`notus-scanner`	轻量存活/服务检测

三、方式一：apt 一键安装（Ubuntu 22.04）

3.1 装 GVM 包

1
2
3


sudo apt update
sudo apt install gvm -y
# 依赖：greenbone-security-assistant gsad gvm-tools libmicrohttpd12t64

3.2 初始化

1
2


sudo gvm-setup
# 初始化要下载漏洞库，时间 30-90 分钟（看带宽）

初始化成功后会输出默认 admin 密码（一串 UUID）：

1

[*] User created with password '3ffd4efb-d181-4201-ae4d-5126584f5461'.

一定要记下来，或者立即改密：

1

sudo runuser -u _gvm -- gvmd --user=admin --new-password=123456

3.3 检查

1

sudo gvm-check-setup

如果中途某一步失败，按提示执行修复命令。最常见的失败是 redis-server 没启动：

1

sudo systemctl enable --now redis-server@openvas.service

3.4 同步漏洞库

1
2
3


sudo gvm-feed-update
# 较新的 GVM 版本会提示用：
# sudo greenbone-feed-sync

gvm-feed-update 已 deprecated，新版本 GVM（22.4+）推荐 greenbone-feed-sync。

3.5 启停

1
2


sudo gvm-start # 启动
sudo gvm-stop # 停止

检查 GVM 服务状态：
1
systemctl status ospd-openvas gvmd gsad

3.6 改 Web UI 监听地址

默认只监听 127.0.0.1:9392，远程访问需要改 0.0.0.0:443：

1
2
3
4
5


sudo systemctl edit gsad.service
# 写入：
# [Service]
# ExecStart=
# ExecStart=/usr/local/sbin/gsad --foreground --listen=0.0.0.0 --port=443

或直接改 service 文件：

1
2
3
4
5
6


sudo vi /usr/lib/systemd/system/gsad.service
# -ExecStart=/usr/local/sbin/gsad --foreground --listen=127.0.0.1 --port=9392
# +ExecStart=/usr/local/sbin/gsad --foreground --listen=0.0.0.0 --port=443

sudo systemctl daemon-reload
sudo systemctl restart gsad

3.7 加新用户

1

sudo runuser -u _gvm -- gvmd --create-user=<新用户名> --new-password=<密码>

3.8 日志

1

sudo tail -f /var/log/gvm/gvmd.log

四、方式二：docker-compose 集群化部署

生产环境强烈推荐 Docker 部署——方便升级、数据持久化、跟其他服务（反向代理、监控）集成。

4.1 拉取 yml 和镜像

1
2
3
4
5
6


# 拉 docker-compose.yml（22.4 官方）
curl -f -L https://greenbone.github.io/docs/latest/_static/docker-compose-22.4.yml \
 -o docker-compose.yml

# 拉镜像（约 3GB）
docker-compose -f docker-compose.yml -p greenbone-community-edition pull

镜像清单（约 18 个容器）：

镜像	用途
`greenbone/scap-data`	SCAP 数据
`greenbone/vulnerability-tests`	NVT 漏洞测试
`greenbone/data-objects`	数据对象
`greenbone/report-formats`	报告格式
`greenbone/notus-data`	notus 漏洞数据
`greenbone/cert-bund-data`	CERT-Bund 漏洞
`greenbone/dfn-cert-data`	DFN-CERT 漏洞
`greenbone/redis-server`	任务队列
`greenbone/pg-gvm`	PostgreSQL 后端
`greenbone/gvmd`	主管理
`greenbone/gsa`	Web UI
`greenbone/ospd-openvas`	扫描引擎
`greenbone/openvas-scanner`	扫描 daemon
`greenbone/gvm-tools`	命令行工具
`greenbone/gpg-data`	GPG 签名

4.2 启动

1

docker-compose -f docker-compose.yml -p greenbone-community-edition up -d

第一次启动要等所有 feed 同步（5-30 分钟），看日志：

1

docker-compose -f docker-compose.yml -p greenbone-community-edition logs -f

4.3 Web UI 访问

默认 https://localhost:9392（docker-compose yml 里绑定了 127.0.0.1:9392:80）。

默认 admin 密码：admin——第一次登录必须立即改密：

1
2


docker-compose -f docker-compose.yml -p greenbone-community-edition \
 exec -u gvmd gvmd gvmd --user=admin --new-password=123456

4.4 改远程访问

docker-compose.yml 里：

1
2
3
4
5
6


services:
 gsa:
 ports:
 - 9392:80 # 改成 0.0.0.0:9392:80
 # 或者
 - 443:80 # 标准 HTTPS 端口

坑提醒：把 9392 直接暴露到公网极不安全——GVM 有 RCE 历史漏洞。必须走 Nginx 反代 + Basic Auth + IP 白名单。

4.5 删除环境（危险操作）

1
2


docker-compose -f docker-compose.yml -p greenbone-community-edition down -v
# -v 会删所有 volume，漏洞库、扫描结果、用户数据全清

五、gvm-check-setup 详解

跑完 gvm-setup / docker 启动后，建议跑一次：

1

sudo gvm-check-setup

典型输出（成功）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


gvm-check-setup 23.11.0
 Test completeness and readiness of GVM-23.11.0
Step 1: Checking OpenVAS (Scanner)...
 OK: OpenVAS Scanner is present in version 23.0.1.
 OK: Notus Scanner is present in version 22.6.3.
 OK: Server CA Certificate is present as /var/lib/gvm/CA/servercert.pem.
 OK: _gvm owns all files in /var/lib/openvas/gnupg
 OK: redis-server is present.
 OK: scanner (db_address setting) is configured properly using the redis-server socket
 OK: the mqtt_server_uri is defined in /etc/openvas/openvas.conf
 OK: _gvm owns all files in /var/lib/openvas/plugins
 OK: NVT collection in /var/lib/openvas/plugins contains 91760 NVTs.
 OK: The notus directory /var/lib/notus/products contains 464 NVTs.
Step 2: Checking GVMD Manager ...
 OK: GVM Manager (gvmd) is present in version 23.5.2.
...
It seems like your GVM-23.11.0 installation is OK.

NVT 数量是核心指标——9 万+ 才算健康，低于 5 万说明漏洞库同步失败。

六、典型任务：扫描一个网段

Configuration → Targets → New Target
- Name: 内网服务器网段
- Hosts: 192.168.1.0/24
- Port List: All IANA Assigned TCP and UDP
- Alive Test: Consider Alive
Configuration → Scan Configs → 选一个基线
- Full and fast：常用
- Base：快，弱扫
Scans → Tasks → New Task
- Name: 季度漏扫-2023Q2
- Target: 内网服务器网段
- Scanner: OpenVAS Default
- Scan Config: Full and fast
Save → Start
扫描结果：Dashboard / Reports

坑提醒：

第一次跑完整扫描很慢（24-48 小时，9 万 NVT × 254 个 IP）

大规模扫描分批做，避免被目标网络的 IDS/IPS 拉黑

重要业务先打招呼再扫——避免触发告警 / 业务中断

七、生产环境建议

7.1 走 Nginx 反代

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


server {
 listen 443 ssl;
 server_name gvm.example.com;

 ssl_certificate /etc/letsencrypt/live/gvm.example.com/fullchain.pem;
 ssl_certificate_key /etc/letsencrypt/live/gvm.example.com/privkey.pem;

 # Basic Auth 二层密码
 auth_basic "GVM Admin";
 auth_basic_user_file /etc/nginx/.htpasswd;

 # IP 白名单
 allow 10.0.0.0/8;
 allow 192.168.0.0/16;
 deny all;

 location / {
 proxy_pass http://127.0.0.1:9392;
 proxy_set_header Host $host;
 proxy_set_header X-Real-IP $remote_addr;
 }
}

7.2 走 LDAP/AD 集成

GVM 支持 LDAP 认证（22.4+），企业内网可对接 AD。

7.3 漏洞库同步策略

1
2
3


# 每天凌晨同步
crontab -e
0 3 * * * /usr/bin/greenbone-feed-sync

7.4 备份

apt 方式：备份 /var/lib/gvm/ /var/lib/openvas/ /etc/gvm/
docker 方式：备份所有命名 volume（docker volume ls）

八、典型坑速查

现象	原因	处理
`gvm-check-setup` Step 1 失败 NVT 数量 < 5 万	漏洞库没同步完	重跑 `greenbone-feed-sync`
9392 端口访问不到	默认只监听 127.0.0.1	改 `gsad.service` 监听 0.0.0.0
扫描任务卡在 “Requested”	扫描引擎没启动	`systemctl start ospd-openvas`
忘记 admin 默认密码	UUID 在 `gvm-setup` 输出里	`runuser -u _gvm -- gvmd --user=admin --new-password=...`
扫描器报 “Host not alive”	目标屏蔽 ICMP	关掉 Alive Test 或改用 TCP ping
漏洞库同步巨慢	没配代理	配 `greenbone-feed-sync` 走 `HTTPS_PROXY` 环境变量

九、2024+ 视角补充

本文写于 2023-04，2024-2026 期间 GVM / OpenVAS 关键演进：

GVM 23.x / 24.x（2024-2025）：notus-scanner 重写（Rust 重写后性能 5x）；ospd-openvas 升级；GSA Web UI 全面重构（React 18 + TypeScript）；PG 后端 PostgreSQL 15+
Greenbone Community Edition (GCE) 23.04+：每月发版（vs 老版本季度发版）；greenbone-feed-sync 替代老的 gvm-feed-update（已 2024 全面 EOL）
Greenbone Enterprise Appliance (GEA)：商业版 2024 强化 SaaS 化部署（cloud.greenbone.net），不再需要本地硬件
NVT 漏洞库 2024-2026：9 万+ → 11 万+ NVT（漏洞库持续增长）；每天同步 Greenbone Community Feed
漏洞扫描生态（2024+ 视角）：
- Nuclei 3.x（2024-2026）：ProjectDiscovery 出品——YAML 模板定义扫描，社区模板市场（5000+ 模板），云原生漏洞扫描首选
- Trivy 0.50+（2024-2025）：容器 / IaC / 镜像 / 文件系统 一站式扫描，K8s 集成完善
- Snyk / Aikido（2024）：AI 辅助漏洞评估（判断是否真影响项目）
- Tenable Nessus 10.7+（2025）：AI 漏洞优先级排序；云 connector（AWS / Azure / GCP）
- Qualys VMDR 4.x（2024）：云原生扫描；资产清单 / 风险评分
AI 驱动的漏洞扫描（2024+ 趋势）：用 LLM 做漏洞优先级排序（“哪些漏洞该先修”）——传统按 CVSS 排不科学，AI 结合业务上下文判断更准
合规基线（2024+ 视角）：CIS Benchmarks v8.0、NIST 800-53 Rev 5、等保 2.0 三级——GVM 内置基线持续更新

实战建议（2025-2026 视角）：

传统漏洞扫描 → GVM 24.x Community Edition（仍是开源首选）
容器 / 云原生 → Trivy + Nuclei 黄金组合
企业 / 合规 → Tenable Nessus Pro / Qualys VMDR（商业付费）
AI 辅助 → Snyk / Aikido（2024+ 趋势，AI 优先级排序）
免费 / 个人 → Trivy + Nuclei（开源 + 模板市场）

十、下一步

想要更现代化的漏洞管理 → 上 Greenbone Enterprise（商业版）/ Tenable Nessus（闭源老大）/ Qualys VMDR
想做基线合规扫描 → GVM 内置 CIS / PCI DSS Level 1 基线
想做大规模分布式扫描 → Greenbone Enterprise Appliance 多节点集群
想做自定义漏洞检测 → 写 NASL（NVT 脚本语言）
想要容器 / 云原生漏洞扫描 → Trivy + Nuclei 黄金组合