常用的安全漏洞扫描工具
以下由gemini生成的,先保存再说
推荐工具组合:
Trivy (用于软件包和操作系统漏洞扫描 - 必须)
- 为什么? 非常适合你的场景。它快速、易用,专门扫描已安装的操作系统软件包 (Debian packages) 和某些应用依赖项中的已知 CVEs,并直接提供 CVSS v3 分数。因为它扫描的是系统当前状态,所以非常适合在最终交付前运行。
怎么用?
- 在服务器还能连接互联网时安装 Trivy (使用前面提到的方法之一,如
apt
或下载.deb
)。 - 更新 Trivy 的漏洞数据库 (通常在扫描时自动进行,或手动
trivy image --download-db-only
)。 在服务器本地运行扫描:
1
2
3
4# 扫描操作系统安装的软件包
trivy os --severity HIGH,CRITICAL --ignore-unfixed --format table -o os-vulnerabilities.txt
# 或扫描整个根文件系统 (会包含 OS 包,可能更全面)
trivy fs --security-checks vuln --severity HIGH,CRITICAL --ignore-unfixed / -o fs-vulnerabilities.txt--severity HIGH,CRITICAL
: 仅报告高危和严重漏洞,方便聚焦。你可以根据需要调整。--ignore-unfixed
: 通常建议加上,忽略那些发行版尚未提供修复补丁的漏洞(因为你可能也无法修复)。-o ...
: 将结果输出到文件方便查看。
- 在服务器还能连接互联网时安装 Trivy (使用前面提到的方法之一,如
- 优点: 快速定位需要打补丁的软件包。
GVM (OpenVAS) (用于网络服务漏洞扫描 - 强烈推荐)
- 为什么? Trivy 主要看软件包版本,而 GVM 则模拟攻击者从网络层面探测服务。它可以发现:
- 运行的服务本身存在的已知漏洞 (即使软件包是最新版,服务配置也可能有问题或该版本有0-day)。
- 配置错误导致的安全风险(如弱密码、信息泄露等)。
- 这是 Trivy 无法覆盖的领域,对评估网络暴露面至关重要。
- 怎么用?
- 最佳实践: 在另一台机器(可以是你的管理机,只要能访问目标服务器 IP)上安装 GVM (推荐使用 Docker 镜像,部署更快)。
- 在 GVM 机器还能访问互联网时,确保其漏洞库 (NVT Feed) 是最新的。登录 GVM 的 Web UI (叫做 Greenbone Security Assistant / GSA),通常在 “Administration” -> “Feed Status” 下查看并更新。
- 在 GSA 中配置扫描任务,目标为你待交付的 Debian 服务器的 IP 地址。
- 选择一个合适的扫描配置 (例如 “Full and fast” 或根据需要调整)。
- 运行扫描。扫描会花费一些时间。
- 查看报告,重点关注高危和严重漏洞,报告会包含 CVSS v3 分数。
- 如果 GVM 太复杂?
- 为什么? Trivy 主要看软件包版本,而 GVM 则模拟攻击者从网络层面探测服务。它可以发现: