OpenVASのソースを表示

[[Category:ネットワーク]]
[[Category:セキュリティテスト]]
[[en:OpenVAS]]
OpenVAS は Open Vulnerability Assessment System の略で、グラフィカルなユーザーフロントエンドなどのツールが付属しているネットワークセキュリティスキャナです。リモート環境やアプリケーションのセキュリティ問題を検出するネットワーク脆弱性テスト (NVT) が集められたサーバーがコアになります。

== プリインストール ==

=== PostgreSQL ===

続行する前に [[PostgreSQL]] をセットアップしてください。

=== Redis ===

[https://github.com/greenbone/openvas-scanner/blob/v20.8.1/doc/redis_config.md OpenVAS redis 設定] の規定に従って [[Redis]] を構成します。要約すると、{{ic|/etc/redis/redis.conf}} を次のように修正します:

 port 0
 unixsocket /run/redis/redis.sock
 unixsocketperm 770
 timeout 0
 databases 128

{{Note|{{ic|databases}} の数を計算する方法については、前の {{ic|OpenVAS redis 設定}} ドキュメントを参照してください。}}

最後に {{ic|redis.service}} を [[再起動]] します。

== インストール ==

次のパッケージを [[インストール]] して、マネージャー、Web フロントエンド、スキャナーなどを含む完全な OpenVAS セットアップを取得します: {{AUR|openvas-scanner}}、{{AUR|ospd-openvas}}、{{AUR |gsa}}、{{AUR|gvmd}}。スキャナが適切な結果を提供するには {{Pkg|nmap}} をインストールする必要があり、PDF レポート機能が動作するには {{Grp|texlive}} が必要です。

{{Warning|1=パッケージ {{AUR|openvas-scanner}}、{{AUR|ospd-openvas}}、{{AUR|gsa}}、{{AUR|gvmd}} は現在壊れています。それらを修正するには、[https://bbs.archlinux.org/viewtopic.php?id=283507] を参照してください。}}

== 初期設定 ==

gvm 用に PostgreSQL DB をセットアップします:

 [postgres]$ createuser gvm
 [postgres]$ createdb -O gvm gvmd

このユーザーに DBA ロールを付与します:

 [postgres]$ psql gvmd
 # create role dba with superuser noinherit;
 # grant dba to gvm;
 # create extension "uuid-ossp";
 # \q

次の sysctl 設定があることを確認してください:

 # echo "net.core.somaxconn = 1024" >> /etc/sysctl.d/90-openvas.conf
 # echo "vm.overcommit_memory = 1" >> /etc/sysctl.d/90-openvas.conf
 # sysctl -p /etc/sysctl.d/90-openvas.conf

これを行う前に、somaxconn の値を確認してください (Arch Linux では通常、これは 4096 であり、調整する必要はありません):

 # sysctl -a | grep somaxconn

この場合は、最初のエコー行をスキップしてください。

gvm ユーザーに Redis ソケットへのアクセスを許可します:

 # usermod -aG redis gvm
 # echo "db_address = /run/redis/redis.sock" > /etc/openvas/openvas.conf
 # chown gvm:gvm /etc/openvas/openvas.conf

NVT を更新します:

 # chown -R gvm:gvm /var/lib/openvas
 [gvm]$ greenbone-nvt-sync && openvas --update-vt-info

フィードを更新します:

 [gvm]$ greenbone-feed-sync --type GVMD_DATA
 [gvm]$ greenbone-scapdata-sync --rsync
 [gvm]$ greenbone-certdata-sync --rsync

次のタイマーを [[有効化]] して、これらのデータを頻繁に更新できます: {{ic|greenbone-nvt-sync.timer}}、{{ic|greenbone-feed-sync.timer}}、{{ic |greenbone-scapdata-sync.timer}}、{{ic|greenbone-certdata-sync.timer}}

サーバーとクライアントの証明書を作成します。デフォルト値が使用されます:

 [gvm]$ gvm-manage-certs -a

管理者ユーザーアカウントを追加します。必ずパスワードをコピーしてください:

 [gvm]$ gvmd --create-user=admin --role=Admin

ユーザーのパスワードを後で変更することもできます

 [gvm]$ gvmd --user=admin --new-password=<password>

== 使用方法 ==

{{ic|ospd-openvas.service}}, {{ic|gvmd.service}} および {{ic|gsad.service}} を [[起動]] します。 

スキャナーを作成します:

 [gvm]$ gvmd --get-scanners

OpenVAS デフォルトスキャナーの ID をコピーし、次を実行します:

 [gvm]$ gvmd --modify-scanner=id-of-scanner --scanner-host=/run/gvm/ospd.sock
 [gvm]$ gvmd --verify-scanner=id-of-scanner

フィードインポートユーザーを設定します:

 [gvm]$ gvmd --get-users --verbose

管理者ユーザーの ID をコピーして、次を実行します:

 [gvm]$ gvmd --modify-setting 78eceaec-3385-11ea-b237-28d24461215b --value id-of-admin

Web ブラウザで http://127.0.0.1 を指定し、管理者の資格情報を使用してログインします。

{{Note|デフォルトでは、{{ic|gsad}} はポート 80 にバインドします。すでに Web サーバーを実行している場合、これは明らかに問題を引き起こします。/etc/default/gsad ファイル内のポートと待受アドレスを変更して下さい。}}

== 参照 ==

* [[Wikipedia:ja:OpenVAS]]
* [http://www.openvas.org/ OpenVAS] - 公式 OpenVAS ウェブサイト。