「OpenVAS」の版間の差分

提供: ArchWiki
ナビゲーションに移動 検索に移動
(同期)
(項目を整理)
 
(4人の利用者による、間の11版が非表示)
1行目: 1行目:
 
[[Category:ネットワーク]]
 
[[Category:ネットワーク]]
[[Category:セキュリティ]]
+
[[Category:セキュリティテスト]]
 
[[en:OpenVAS]]
 
[[en:OpenVAS]]
 
OpenVAS は Open Vulnerability Assessment System の略で、グラフィカルなユーザーフロントエンドなどのツールが付属しているネットワークセキュリティスキャナです。リモート環境やアプリケーションのセキュリティ問題を検出するネットワーク脆弱性テスト (NVT) が集められたサーバーがコアになります。
 
OpenVAS は Open Vulnerability Assessment System の略で、グラフィカルなユーザーフロントエンドなどのツールが付属しているネットワークセキュリティスキャナです。リモート環境やアプリケーションのセキュリティ問題を検出するネットワーク脆弱性テスト (NVT) が集められたサーバーがコアになります。
   
==インストール==
+
== プリインストール ==
   
  +
=== PostgreSQL ===
{{grp|openvas}} パッケージグループを[[インストール]]してください。グループには {{pkg|openvas-cli}} コマンドライン {{ic|omp}} インターフェイスと {{ic|gsad}} デーモンを使用する {{pkg|greenbone-security-assistant}} ウェブインターフェイスが含まれています。
 
   
  +
続行する前に [[PostgreSQL]] をセットアップしてください。
==初期設定==
 
   
  +
=== Redis ===
サーバーの証明書を作成してください、デフォルト値を選択します:
 
   
  +
[https://github.com/greenbone/openvas-scanner/blob/v20.8.1/doc/redis_config.md OpenVAS redis 設定] の規定に従って [[Redis]] を構成します。要約すると、{{ic|/etc/redis/redis.conf}} を次のように修正します:
# openvas-mkcert
 
   
  +
port 0
クライアントの証明書を作成:
 
  +
unixsocket /run/redis/redis.sock
  +
unixsocketperm 770
  +
timeout 0
  +
databases 128
   
  +
{{Note|{{ic|databases}} の数を計算する方法については、前の {{ic|OpenVAS redis 設定}} ドキュメントを参照してください。}}
# openvas-mkcert-client -n -i
 
   
  +
最後に {{ic|redis.service}} を [[再起動]] します。
プラグインと脆弱性データをアップデート:
 
   
  +
== インストール ==
# openvas-nvt-sync
 
# openvas-scapdata-sync
 
# openvas-certdata-sync
 
   
  +
次のパッケージを [[インストール]] して、マネージャー、Web フロントエンド、スキャナーなどを含む完全な OpenVAS セットアップを取得します: {{AUR|openvas-scanner}}、{{AUR|ospd-openvas}}、{{AUR |gsa}}、{{AUR|gvmd}}。スキャナが適切な結果を提供するには {{Pkg|nmap}} をインストールする必要があり、PDF レポート機能が動作するには {{Grp|texlive}} が必要です。
スキャナサービスを起動:
 
   
  +
{{Warning|1=パッケージ {{AUR|openvas-scanner}}、{{AUR|ospd-openvas}}、{{AUR|gsa}}、{{AUR|gvmd}} は現在壊れています。それらを修正するには、[https://bbs.archlinux.org/viewtopic.php?id=283507] を参照してください。}}
# systemctl start openvas-scanner
 
   
  +
== 初期設定 ==
データベースを再生成:
 
   
  +
gvm 用に PostgreSQL DB をセットアップします:
# openvasmd --rebuild --progress
 
   
  +
[postgres]$ createuser gvm
管理者ユーザーアカウントを追加、パスワードをコピーしてください:
 
  +
[postgres]$ createdb -O gvm gvmd
   
  +
このユーザーに DBA ロールを付与します:
# openvasmd --create-user=admin --role=Admin
 
   
  +
[postgres]$ psql gvmd
==インストール後の設定==
 
  +
# create role dba with superuser noinherit;
  +
# grant dba to gvm;
  +
# create extension "uuid-ossp";
  +
# \q
   
  +
次の sysctl 設定があることを確認してください:
[https://svn.wald.intevation.org/svn/openvas/tags/openvas-scanner-release-5.0.3/doc/redis_config.txt OpenVAS redis configuration] に書かれているように [[redis]] を設定してください。{{ic|/etc/redis.conf}} で以下を編集します:
 
   
  +
# echo "net.core.somaxconn = 1024" >> /etc/sysctl.d/90-openvas.conf
unixsocket /var/lib/redis/redis.sock
 
  +
# echo "vm.overcommit_memory = 1" >> /etc/sysctl.d/90-openvas.conf
unixsocketperm 700
 
  +
# sysctl -p /etc/sysctl.d/90-openvas.conf
port 0
 
  +
timeout 0
 
  +
これを行う前に、somaxconn の値を確認してください (Arch Linux では通常、これは 4096 であり、調整する必要はありません):
  +
  +
# sysctl -a | grep somaxconn
  +
  +
この場合は、最初のエコー行をスキップしてください。
  +
  +
gvm ユーザーに Redis ソケットへのアクセスを許可します:
  +
  +
# usermod -aG redis gvm
  +
# echo "db_address = /run/redis/redis.sock" > /etc/openvas/openvas.conf
  +
# chown gvm:gvm /etc/openvas/openvas.conf
  +
  +
NVT を更新します:
  +
  +
# chown -R gvm:gvm /var/lib/openvas
  +
[gvm]$ greenbone-nvt-sync && openvas --update-vt-info
  +
  +
フィードを更新します:
  +
  +
[gvm]$ greenbone-feed-sync --type GVMD_DATA
  +
[gvm]$ greenbone-scapdata-sync --rsync
  +
[gvm]$ greenbone-certdata-sync --rsync
  +
  +
次のタイマーを [[有効化]] して、これらのデータを頻繁に更新できます: {{ic|greenbone-nvt-sync.timer}}、{{ic|greenbone-feed-sync.timer}}、{{ic |greenbone-scapdata-sync.timer}}、{{ic|greenbone-certdata-sync.timer}}
  +
  +
サーバーとクライアントの証明書を作成します。デフォルト値が使用されます:
  +
  +
[gvm]$ gvm-manage-certs -a
  +
  +
管理者ユーザーアカウントを追加します。必ずパスワードをコピーしてください:
   
  +
[gvm]$ gvmd --create-user=admin --role=Admin
{{ic|/etc/openvas/openvassd.conf}} を作成、以下を追加してください:
 
   
  +
ユーザーのパスワードを後で変更することもできます
kb_location = /var/lib/redis/redis.sock
 
   
  +
[gvm]$ gvmd --user=admin --new-password=<password>
最後に {{ic|redis}} を再起動してください:
 
   
  +
== 使用方法 ==
# systemctl restart redis
 
   
  +
{{ic|ospd-openvas.service}}, {{ic|gvmd.service}} および {{ic|gsad.service}} を [[起動]] します。
==使用方法==
 
   
  +
スキャナーを作成します:
{{ic|openvasmd}} デーモンを起動:
 
   
  +
[gvm]$ gvmd --get-scanners
# openvasmd -p 9390 -a 127.0.0.1
 
   
  +
OpenVAS デフォルトスキャナーの ID をコピーし、次を実行します:
[http://www.greenbone.net/technology/openvas.html Greenbone Security Assistant] WebUI を起動 (任意):
 
   
  +
[gvm]$ gvmd --modify-scanner=id-of-scanner --scanner-host=/run/gvm/ospd.sock
# gsad -f --listen=127.0.0.1 --mlisten=127.0.0.1 --mport=9390
 
  +
[gvm]$ gvmd --verify-scanner=id-of-scanner
   
  +
フィードインポートユーザーを設定します:
ウェブブラウザで http://127.0.0.1 を開いて管理者ユーザーでログインしてください。
 
   
  +
[gvm]$ gvmd --get-users --verbose
{{Note|
 
* デフォルトでは {{ic|gsad}} はポート 80 を使います。既に別のウェブサーバーを立ち上げている場合、問題が発生します。{{ic|gsad}} に {{ic|--port}} スイッチを指定することで別のポートが使えます。{{ic|--http-only}} や {{ic|--no-redirect}} など他のオプションについては {{ic|gsad}} の man ページを参照してください。}}
 
* [http://www.greenbone.net/technology/openvas.html Greenbone Security Assistant] WebUI はレポートの PDF をダウンロードするために {{grp|texlive-most}} パッケージを必要とします。}}
 
   
  +
管理者ユーザーの ID をコピーして、次を実行します:
==Systemd==
 
   
  +
[gvm]$ gvmd --modify-setting 78eceaec-3385-11ea-b237-28d24461215b --value id-of-admin
{{aur|openvas-systemd}} という名前の AUR パッケージに Redhat による systemd ユニットが入っています。より良い TLS 設定なども入っています。
 
   
  +
Web ブラウザで http://127.0.0.1 を指定し、管理者の資格情報を使用してログインします。
==メジャーバージョンのアップデート==
 
   
  +
{{Note|デフォルトでは、{{ic|gsad}} はポート 80 にバインドします。すでに Web サーバーを実行している場合、これは明らかに問題を引き起こします。/etc/default/gsad ファイル内のポートと待受アドレスを変更して下さい。}}
新しいメジャーバージョンにするときはデータベースの移行が必要です:
 
   
  +
== 参照 ==
# openvasmd --migrate --progress
 
   
  +
* [[Wikipedia:ja:OpenVAS]]
==参照==
 
 
* [http://www.openvas.org/ OpenVAS] - 公式 OpenVAS ウェブサイト。
 
* [http://www.openvas.org/ OpenVAS] - 公式 OpenVAS ウェブサイト。

2023年12月31日 (日) 16:03時点における最新版

OpenVAS は Open Vulnerability Assessment System の略で、グラフィカルなユーザーフロントエンドなどのツールが付属しているネットワークセキュリティスキャナです。リモート環境やアプリケーションのセキュリティ問題を検出するネットワーク脆弱性テスト (NVT) が集められたサーバーがコアになります。

プリインストール

PostgreSQL

続行する前に PostgreSQL をセットアップしてください。

Redis

OpenVAS redis 設定 の規定に従って Redis を構成します。要約すると、/etc/redis/redis.conf を次のように修正します:

port 0
unixsocket /run/redis/redis.sock
unixsocketperm 770
timeout 0
databases 128
ノート: databases の数を計算する方法については、前の OpenVAS redis 設定 ドキュメントを参照してください。

最後に redis.service再起動 します。

インストール

次のパッケージを インストール して、マネージャー、Web フロントエンド、スキャナーなどを含む完全な OpenVAS セットアップを取得します: openvas-scannerAURospd-openvasAURgsaAURgvmdAUR。スキャナが適切な結果を提供するには nmap をインストールする必要があり、PDF レポート機能が動作するには texlive が必要です。

警告: パッケージ openvas-scannerAURospd-openvasAURgsaAURgvmdAUR は現在壊れています。それらを修正するには、[1] を参照してください。

初期設定

gvm 用に PostgreSQL DB をセットアップします:

[postgres]$ createuser gvm
[postgres]$ createdb -O gvm gvmd

このユーザーに DBA ロールを付与します:

[postgres]$ psql gvmd
# create role dba with superuser noinherit;
# grant dba to gvm;
# create extension "uuid-ossp";
# \q

次の sysctl 設定があることを確認してください:

# echo "net.core.somaxconn = 1024" >> /etc/sysctl.d/90-openvas.conf
# echo "vm.overcommit_memory = 1" >> /etc/sysctl.d/90-openvas.conf
# sysctl -p /etc/sysctl.d/90-openvas.conf

これを行う前に、somaxconn の値を確認してください (Arch Linux では通常、これは 4096 であり、調整する必要はありません):

# sysctl -a | grep somaxconn

この場合は、最初のエコー行をスキップしてください。

gvm ユーザーに Redis ソケットへのアクセスを許可します:

# usermod -aG redis gvm
# echo "db_address = /run/redis/redis.sock" > /etc/openvas/openvas.conf
# chown gvm:gvm /etc/openvas/openvas.conf

NVT を更新します:

# chown -R gvm:gvm /var/lib/openvas
[gvm]$ greenbone-nvt-sync && openvas --update-vt-info

フィードを更新します:

[gvm]$ greenbone-feed-sync --type GVMD_DATA
[gvm]$ greenbone-scapdata-sync --rsync
[gvm]$ greenbone-certdata-sync --rsync

次のタイマーを 有効化 して、これらのデータを頻繁に更新できます: greenbone-nvt-sync.timergreenbone-feed-sync.timergreenbone-scapdata-sync.timergreenbone-certdata-sync.timer

サーバーとクライアントの証明書を作成します。デフォルト値が使用されます:

[gvm]$ gvm-manage-certs -a

管理者ユーザーアカウントを追加します。必ずパスワードをコピーしてください:

[gvm]$ gvmd --create-user=admin --role=Admin

ユーザーのパスワードを後で変更することもできます

[gvm]$ gvmd --user=admin --new-password=<password>

使用方法

ospd-openvas.service, gvmd.service および gsad.service起動 します。

スキャナーを作成します:

[gvm]$ gvmd --get-scanners

OpenVAS デフォルトスキャナーの ID をコピーし、次を実行します:

[gvm]$ gvmd --modify-scanner=id-of-scanner --scanner-host=/run/gvm/ospd.sock
[gvm]$ gvmd --verify-scanner=id-of-scanner

フィードインポートユーザーを設定します:

[gvm]$ gvmd --get-users --verbose

管理者ユーザーの ID をコピーして、次を実行します:

[gvm]$ gvmd --modify-setting 78eceaec-3385-11ea-b237-28d24461215b --value id-of-admin

Web ブラウザで http://127.0.0.1 を指定し、管理者の資格情報を使用してログインします。

ノート: デフォルトでは、gsad はポート 80 にバインドします。すでに Web サーバーを実行している場合、これは明らかに問題を引き起こします。/etc/default/gsad ファイル内のポートと待受アドレスを変更して下さい。

参照