「OpenVAS」の版間の差分
ナビゲーションに移動
検索に移動
(項目を整理) |
|||
| (4人の利用者による、間の12版が非表示) | |||
| 1行目: | 1行目: | ||
| − | [[Category:国際化]] |
||
[[Category:ネットワーク]] |
[[Category:ネットワーク]] |
||
| − | [[Category:セキュリティ]] |
+ | [[Category:セキュリティテスト]] |
[[en:OpenVAS]] |
[[en:OpenVAS]] |
||
| + | OpenVAS は Open Vulnerability Assessment System の略で、グラフィカルなユーザーフロントエンドなどのツールが付属しているネットワークセキュリティスキャナです。リモート環境やアプリケーションのセキュリティ問題を検出するネットワーク脆弱性テスト (NVT) が集められたサーバーがコアになります。 |
||
| − | {{stub}} |
||
| − | ==概要== |
||
| − | OpenVAS は Open Vulnerability Assessment System のためのネットワークスキャナーのグラフィカルユーザーフロントエンドです。コアコンポーネントは、サーバーと、遠隔地のシステムとアプリケーションのセキュリティ問題を検知するためのネットワーク脆弱性テストツールが一組になっています。 |
||
| − | ==インストール== |
+ | == プリインストール == |
| − | 現在、[https://aur.archlinux.org/packages.php?ID=33721 OpenVAS] は [[Arch User Repository|AUR]] で利用できます。 |
||
| + | === PostgreSQL === |
||
| − | OpenVAS [https://aur.archlinux.org/packages.php?ID=22948&O=&L=&C=&K=&SB=&SO=&PP=&do_Orphans=&SeB= client] と [https://aur.archlinux.org/packages.php?ID=22944&O=&L=&C=&K=&SB=&SO=&PP=&do_Orphans=&SeB= libraries] がインストールされます。 |
||
| + | 続行する前に [[PostgreSQL]] をセットアップしてください。 |
||
| − | ==ユーザーの管理== |
||
| − | OpenVAS を使うには、OpenVAS のためのユーザーを作成する必要があります。パスワードによる認証と SSL 証明書による2つのユーザー認証方式が OpenVAS では使われています。 |
||
| + | === Redis === |
||
| − | 新しいユーザーを作成します。root 権限が必要です: |
||
| − | # openvas-adduser |
||
| + | [https://github.com/greenbone/openvas-scanner/blob/v20.8.1/doc/redis_config.md OpenVAS redis 設定] の規定に従って [[Redis]] を構成します。要約すると、{{ic|/etc/redis/redis.conf}} を次のように修正します: |
||
| − | 認証方式として、2つのメソッドから1つ選ぶプロンプトが表示されるでしょう。 |
||
| + | port 0 |
||
| − | ユーザーを削除するには (root 権限で実行します): |
||
| + | unixsocket /run/redis/redis.sock |
||
| − | # openvas-rmuser |
||
| + | unixsocketperm 770 |
||
| + | timeout 0 |
||
| + | databases 128 |
||
| + | {{Note|{{ic|databases}} の数を計算する方法については、前の {{ic|OpenVAS redis 設定}} ドキュメントを参照してください。}} |
||
| − | 証明書を使用して新しいユーザーを作成します (root 権限で実行します): |
||
| − | # openvas-mkcert |
||
| + | 最後に {{ic|redis.service}} を [[再起動]] します。 |
||
| − | ==更新== |
||
| − | OpenVAS を実行する前に、新しいプラグインや最新のセキュリティチェックを取得すべきです: |
||
| − | # openvas-nvt-sync |
||
| − | openvas-nvt-sync のアップデートには問題があります (現在利用できるバージョン - 3.0.2-1 に悪い影響があります)。修復するには /usr/sbin/openvas-nvt-sync のSYNC_TMP_DIR を以下のように編集します: |
||
| − | SYNC_TMP_DIR=`mktemp -d openvas-nvt-sync.XXXXXXXXXX -t` |
||
| + | == インストール == |
||
| − | ==OpenVAS の実行== |
||
| − | OpenVAS を使うには、始めに OpenVAS server を開始する必要があります: |
||
| − | # openvassd |
||
| + | 次のパッケージを [[インストール]] して、マネージャー、Web フロントエンド、スキャナーなどを含む完全な OpenVAS セットアップを取得します: {{AUR|openvas-scanner}}、{{AUR|ospd-openvas}}、{{AUR |gsa}}、{{AUR|gvmd}}。スキャナが適切な結果を提供するには {{Pkg|nmap}} をインストールする必要があり、PDF レポート機能が動作するには {{Grp|texlive}} が必要です。 |
||
| − | OpenVAS Client を実行するには: |
||
| − | # OpenVAS-Client & |
||
| − | OpenVAS-Client から OpenVAS server に接続するには、先程作成したユーザーを使用してください。 |
||
| + | {{Warning|1=パッケージ {{AUR|openvas-scanner}}、{{AUR|ospd-openvas}}、{{AUR|gsa}}、{{AUR|gvmd}} は現在壊れています。それらを修正するには、[https://bbs.archlinux.org/viewtopic.php?id=283507] を参照してください。}} |
||
| − | ==参照== |
||
| + | |||
| − | * [http://www.openvas.org/ OpenVAS] 公式 OpenVAS ウェブサイト。 |
||
| + | == 初期設定 == |
||
| − | * [http://www.openvas.org/compendium/openvas-compendium.html OpenVAS Compendium] OpenVAS プロジェクトの告知。 |
||
| + | |||
| + | gvm 用に PostgreSQL DB をセットアップします: |
||
| + | |||
| + | [postgres]$ createuser gvm |
||
| + | [postgres]$ createdb -O gvm gvmd |
||
| + | |||
| + | このユーザーに DBA ロールを付与します: |
||
| + | |||
| + | [postgres]$ psql gvmd |
||
| + | # create role dba with superuser noinherit; |
||
| + | # grant dba to gvm; |
||
| + | # create extension "uuid-ossp"; |
||
| + | # \q |
||
| + | |||
| + | 次の sysctl 設定があることを確認してください: |
||
| + | |||
| + | # echo "net.core.somaxconn = 1024" >> /etc/sysctl.d/90-openvas.conf |
||
| + | # echo "vm.overcommit_memory = 1" >> /etc/sysctl.d/90-openvas.conf |
||
| + | # sysctl -p /etc/sysctl.d/90-openvas.conf |
||
| + | |||
| + | これを行う前に、somaxconn の値を確認してください (Arch Linux では通常、これは 4096 であり、調整する必要はありません): |
||
| + | |||
| + | # sysctl -a | grep somaxconn |
||
| + | |||
| + | この場合は、最初のエコー行をスキップしてください。 |
||
| + | |||
| + | gvm ユーザーに Redis ソケットへのアクセスを許可します: |
||
| + | |||
| + | # usermod -aG redis gvm |
||
| + | # echo "db_address = /run/redis/redis.sock" > /etc/openvas/openvas.conf |
||
| + | # chown gvm:gvm /etc/openvas/openvas.conf |
||
| + | |||
| + | NVT を更新します: |
||
| + | |||
| + | # chown -R gvm:gvm /var/lib/openvas |
||
| + | [gvm]$ greenbone-nvt-sync && openvas --update-vt-info |
||
| + | |||
| + | フィードを更新します: |
||
| + | |||
| + | [gvm]$ greenbone-feed-sync --type GVMD_DATA |
||
| + | [gvm]$ greenbone-scapdata-sync --rsync |
||
| + | [gvm]$ greenbone-certdata-sync --rsync |
||
| + | |||
| + | 次のタイマーを [[有効化]] して、これらのデータを頻繁に更新できます: {{ic|greenbone-nvt-sync.timer}}、{{ic|greenbone-feed-sync.timer}}、{{ic |greenbone-scapdata-sync.timer}}、{{ic|greenbone-certdata-sync.timer}} |
||
| + | |||
| + | サーバーとクライアントの証明書を作成します。デフォルト値が使用されます: |
||
| + | |||
| + | [gvm]$ gvm-manage-certs -a |
||
| + | |||
| + | 管理者ユーザーアカウントを追加します。必ずパスワードをコピーしてください: |
||
| + | |||
| + | [gvm]$ gvmd --create-user=admin --role=Admin |
||
| + | |||
| + | ユーザーのパスワードを後で変更することもできます |
||
| + | |||
| + | [gvm]$ gvmd --user=admin --new-password=<password> |
||
| + | |||
| + | == 使用方法 == |
||
| + | |||
| + | {{ic|ospd-openvas.service}}, {{ic|gvmd.service}} および {{ic|gsad.service}} を [[起動]] します。 |
||
| + | |||
| + | スキャナーを作成します: |
||
| + | |||
| + | [gvm]$ gvmd --get-scanners |
||
| + | |||
| + | OpenVAS デフォルトスキャナーの ID をコピーし、次を実行します: |
||
| + | |||
| + | [gvm]$ gvmd --modify-scanner=id-of-scanner --scanner-host=/run/gvm/ospd.sock |
||
| + | [gvm]$ gvmd --verify-scanner=id-of-scanner |
||
| + | |||
| + | フィードインポートユーザーを設定します: |
||
| + | |||
| + | [gvm]$ gvmd --get-users --verbose |
||
| + | |||
| + | 管理者ユーザーの ID をコピーして、次を実行します: |
||
| + | |||
| + | [gvm]$ gvmd --modify-setting 78eceaec-3385-11ea-b237-28d24461215b --value id-of-admin |
||
| + | |||
| + | Web ブラウザで http://127.0.0.1 を指定し、管理者の資格情報を使用してログインします。 |
||
| + | |||
| + | {{Note|デフォルトでは、{{ic|gsad}} はポート 80 にバインドします。すでに Web サーバーを実行している場合、これは明らかに問題を引き起こします。/etc/default/gsad ファイル内のポートと待受アドレスを変更して下さい。}} |
||
| + | |||
| + | == 参照 == |
||
| + | |||
| + | * [[Wikipedia:ja:OpenVAS]] |
||
| + | * [http://www.openvas.org/ OpenVAS] - 公式 OpenVAS ウェブサイト。 |
||
2023年12月31日 (日) 16:03時点における最新版
OpenVAS は Open Vulnerability Assessment System の略で、グラフィカルなユーザーフロントエンドなどのツールが付属しているネットワークセキュリティスキャナです。リモート環境やアプリケーションのセキュリティ問題を検出するネットワーク脆弱性テスト (NVT) が集められたサーバーがコアになります。
プリインストール
PostgreSQL
続行する前に PostgreSQL をセットアップしてください。
Redis
OpenVAS redis 設定 の規定に従って Redis を構成します。要約すると、/etc/redis/redis.conf を次のように修正します:
port 0 unixsocket /run/redis/redis.sock unixsocketperm 770 timeout 0 databases 128
最後に redis.service を 再起動 します。
インストール
次のパッケージを インストール して、マネージャー、Web フロントエンド、スキャナーなどを含む完全な OpenVAS セットアップを取得します: openvas-scannerAUR、ospd-openvasAUR、gsaAUR、gvmdAUR。スキャナが適切な結果を提供するには nmap をインストールする必要があり、PDF レポート機能が動作するには texlive が必要です。
初期設定
gvm 用に PostgreSQL DB をセットアップします:
[postgres]$ createuser gvm [postgres]$ createdb -O gvm gvmd
このユーザーに DBA ロールを付与します:
[postgres]$ psql gvmd # create role dba with superuser noinherit; # grant dba to gvm; # create extension "uuid-ossp"; # \q
次の sysctl 設定があることを確認してください:
# echo "net.core.somaxconn = 1024" >> /etc/sysctl.d/90-openvas.conf # echo "vm.overcommit_memory = 1" >> /etc/sysctl.d/90-openvas.conf # sysctl -p /etc/sysctl.d/90-openvas.conf
これを行う前に、somaxconn の値を確認してください (Arch Linux では通常、これは 4096 であり、調整する必要はありません):
# sysctl -a | grep somaxconn
この場合は、最初のエコー行をスキップしてください。
gvm ユーザーに Redis ソケットへのアクセスを許可します:
# usermod -aG redis gvm # echo "db_address = /run/redis/redis.sock" > /etc/openvas/openvas.conf # chown gvm:gvm /etc/openvas/openvas.conf
NVT を更新します:
# chown -R gvm:gvm /var/lib/openvas [gvm]$ greenbone-nvt-sync && openvas --update-vt-info
フィードを更新します:
[gvm]$ greenbone-feed-sync --type GVMD_DATA [gvm]$ greenbone-scapdata-sync --rsync [gvm]$ greenbone-certdata-sync --rsync
次のタイマーを 有効化 して、これらのデータを頻繁に更新できます: greenbone-nvt-sync.timer、greenbone-feed-sync.timer、greenbone-scapdata-sync.timer、greenbone-certdata-sync.timer
サーバーとクライアントの証明書を作成します。デフォルト値が使用されます:
[gvm]$ gvm-manage-certs -a
管理者ユーザーアカウントを追加します。必ずパスワードをコピーしてください:
[gvm]$ gvmd --create-user=admin --role=Admin
ユーザーのパスワードを後で変更することもできます
[gvm]$ gvmd --user=admin --new-password=<password>
使用方法
ospd-openvas.service, gvmd.service および gsad.service を 起動 します。
スキャナーを作成します:
[gvm]$ gvmd --get-scanners
OpenVAS デフォルトスキャナーの ID をコピーし、次を実行します:
[gvm]$ gvmd --modify-scanner=id-of-scanner --scanner-host=/run/gvm/ospd.sock [gvm]$ gvmd --verify-scanner=id-of-scanner
フィードインポートユーザーを設定します:
[gvm]$ gvmd --get-users --verbose
管理者ユーザーの ID をコピーして、次を実行します:
[gvm]$ gvmd --modify-setting 78eceaec-3385-11ea-b237-28d24461215b --value id-of-admin
Web ブラウザで http://127.0.0.1 を指定し、管理者の資格情報を使用してログインします。
参照
- Wikipedia:ja:OpenVAS
- OpenVAS - 公式 OpenVAS ウェブサイト。