「OpenVAS」の版間の差分
削除された内容 追加された内容
インストールを更新して追加 |
項目を整理 |
||
| (同じ利用者による、間の3版が非表示) | |||
| 32行目: | 32行目: | ||
== 初期設定 == |
== 初期設定 == |
||
gvm 用に PostgreSQL DB をセットアップします: |
|||
| ⚫ | |||
[postgres]$ createuser gvm |
|||
# openvas-mkcert |
|||
[postgres]$ createdb -O gvm gvmd |
|||
このユーザーに DBA ロールを付与します: |
|||
クライアントの証明書を作成: |
|||
[postgres]$ psql gvmd |
|||
# openvas-mkcert-client -n -i |
|||
# create role dba with superuser noinherit; |
|||
# grant dba to gvm; |
|||
# create extension "uuid-ossp"; |
|||
# \q |
|||
次の sysctl 設定があることを確認してください: |
|||
プラグインと脆弱性データをアップデート: |
|||
# echo "net.core.somaxconn = 1024" >> /etc/sysctl.d/90-openvas.conf |
|||
# openvas-nvt-sync |
|||
# echo "vm.overcommit_memory = 1" >> /etc/sysctl.d/90-openvas.conf |
|||
| ⚫ | |||
# sysctl -p /etc/sysctl.d/90-openvas.conf |
|||
| ⚫ | |||
これを行う前に、somaxconn の値を確認してください (Arch Linux では通常、これは 4096 であり、調整する必要はありません): |
|||
| ⚫ | |||
# sysctl -a | grep somaxconn |
|||
# systemctl start openvas-scanner |
|||
この場合は、最初のエコー行をスキップしてください。 |
|||
データベースを再生成: |
|||
gvm ユーザーに Redis ソケットへのアクセスを許可します: |
|||
# openvasmd --rebuild --progress |
|||
# usermod -aG redis gvm |
|||
| ⚫ | |||
# echo "db_address = /run/redis/redis.sock" > /etc/openvas/openvas.conf |
|||
# chown gvm:gvm /etc/openvas/openvas.conf |
|||
NVT を更新します: |
|||
| ⚫ | |||
# chown -R gvm:gvm /var/lib/openvas |
|||
==インストール後の設定== |
|||
[gvm]$ greenbone-nvt-sync && openvas --update-vt-info |
|||
フィードを更新します: |
|||
[https://svn.wald.intevation.org/svn/openvas/tags/openvas-scanner-release-5.0.3/doc/redis_config.txt OpenVAS redis configuration] に書かれているように [[redis]] を設定してください。{{ic|/etc/redis.conf}} で以下を編集します: |
|||
[gvm]$ greenbone-feed-sync --type GVMD_DATA |
|||
unixsocket /var/lib/redis/redis.sock |
|||
| ⚫ | |||
unixsocketperm 700 |
|||
| ⚫ | |||
port 0 |
|||
timeout 0 |
|||
次のタイマーを [[有効化]] して、これらのデータを頻繁に更新できます: {{ic|greenbone-nvt-sync.timer}}、{{ic|greenbone-feed-sync.timer}}、{{ic |greenbone-scapdata-sync.timer}}、{{ic|greenbone-certdata-sync.timer}} |
|||
{{ic|/etc/openvas/openvassd.conf}} を作成、以下を追加してください: |
|||
| ⚫ | |||
kb_location = /var/lib/redis/redis.sock |
|||
[gvm]$ gvm-manage-certs -a |
|||
最後に {{ic|redis}} を再起動してください: |
|||
| ⚫ | |||
# systemctl restart redis |
|||
| ⚫ | |||
| ⚫ | |||
ユーザーのパスワードを後で変更することもできます |
|||
{{ic|openvasmd}} デーモンを起動: |
|||
[gvm]$ gvmd --user=admin --new-password=<password> |
|||
# openvasmd -p 9390 -a 127.0.0.1 |
|||
| ⚫ | |||
[http://www.greenbone.net/technology/openvas.html Greenbone Security Assistant] WebUI を起動 (任意): |
|||
{{ic|ospd-openvas.service}}, {{ic|gvmd.service}} および {{ic|gsad.service}} を [[起動]] します。 |
|||
# gsad -f --listen=127.0.0.1 --mlisten=127.0.0.1 --mport=9390 |
|||
| ⚫ | |||
| ⚫ | |||
[gvm]$ gvmd --get-scanners |
|||
{{Note| |
|||
* デフォルトでは {{ic|gsad}} はポート 80 を使います。既に別のウェブサーバーを立ち上げている場合、問題が発生します。{{ic|gsad}} に {{ic|--port}} スイッチを指定することで別のポートが使えます。{{ic|--http-only}} や {{ic|--no-redirect}} など他のオプションについては {{ic|gsad}} の man ページを参照してください。 |
|||
* [http://www.greenbone.net/technology/openvas.html Greenbone Security Assistant] WebUI はレポートの PDF をダウンロードするために {{grp|texlive-most}} パッケージを必要とします。}} |
|||
OpenVAS デフォルトスキャナーの ID をコピーし、次を実行します: |
|||
==Systemd== |
|||
[gvm]$ gvmd --modify-scanner=id-of-scanner --scanner-host=/run/gvm/ospd.sock |
|||
{{aur|openvas-systemd}} という名前の AUR パッケージに Redhat による systemd ユニットが入っています。より良い TLS 設定なども入っています。 |
|||
[gvm]$ gvmd --verify-scanner=id-of-scanner |
|||
フィードインポートユーザーを設定します: |
|||
==メジャーバージョンのアップデート== |
|||
[gvm]$ gvmd --get-users --verbose |
|||
新しいメジャーバージョンにするときはデータベースの移行が必要です: |
|||
管理者ユーザーの ID をコピーして、次を実行します: |
|||
# openvasmd --migrate --progress |
|||
[gvm]$ gvmd --modify-setting 78eceaec-3385-11ea-b237-28d24461215b --value id-of-admin |
|||
| ⚫ | |||
| ⚫ | |||
{{Note|デフォルトでは、{{ic|gsad}} はポート 80 にバインドします。すでに Web サーバーを実行している場合、これは明らかに問題を引き起こします。/etc/default/gsad ファイル内のポートと待受アドレスを変更して下さい。}} |
|||
| ⚫ | |||
* [[Wikipedia:ja:OpenVAS]] |
|||
* [http://www.openvas.org/ OpenVAS] - 公式 OpenVAS ウェブサイト。 |
* [http://www.openvas.org/ OpenVAS] - 公式 OpenVAS ウェブサイト。 |
||
2023年12月31日 (日) 16:03時点における最新版
OpenVAS は Open Vulnerability Assessment System の略で、グラフィカルなユーザーフロントエンドなどのツールが付属しているネットワークセキュリティスキャナです。リモート環境やアプリケーションのセキュリティ問題を検出するネットワーク脆弱性テスト (NVT) が集められたサーバーがコアになります。
プリインストール
PostgreSQL
続行する前に PostgreSQL をセットアップしてください。
Redis
OpenVAS redis 設定 の規定に従って Redis を構成します。要約すると、/etc/redis/redis.conf を次のように修正します:
port 0 unixsocket /run/redis/redis.sock unixsocketperm 770 timeout 0 databases 128
ノート
databases の数を計算する方法については、前の OpenVAS redis 設定 ドキュメントを参照してください。最後に redis.service を 再起動 します。
インストール
次のパッケージを インストール して、マネージャー、Web フロントエンド、スキャナーなどを含む完全な OpenVAS セットアップを取得します: openvas-scannerAUR、ospd-openvasAUR、gsaAUR、gvmdAUR。スキャナが適切な結果を提供するには nmap をインストールする必要があり、PDF レポート機能が動作するには texlive が必要です。
初期設定
gvm 用に PostgreSQL DB をセットアップします:
[postgres]$ createuser gvm [postgres]$ createdb -O gvm gvmd
このユーザーに DBA ロールを付与します:
[postgres]$ psql gvmd # create role dba with superuser noinherit; # grant dba to gvm; # create extension "uuid-ossp"; # \q
次の sysctl 設定があることを確認してください:
# echo "net.core.somaxconn = 1024" >> /etc/sysctl.d/90-openvas.conf # echo "vm.overcommit_memory = 1" >> /etc/sysctl.d/90-openvas.conf # sysctl -p /etc/sysctl.d/90-openvas.conf
これを行う前に、somaxconn の値を確認してください (Arch Linux では通常、これは 4096 であり、調整する必要はありません):
# sysctl -a | grep somaxconn
この場合は、最初のエコー行をスキップしてください。
gvm ユーザーに Redis ソケットへのアクセスを許可します:
# usermod -aG redis gvm # echo "db_address = /run/redis/redis.sock" > /etc/openvas/openvas.conf # chown gvm:gvm /etc/openvas/openvas.conf
NVT を更新します:
# chown -R gvm:gvm /var/lib/openvas [gvm]$ greenbone-nvt-sync && openvas --update-vt-info
フィードを更新します:
[gvm]$ greenbone-feed-sync --type GVMD_DATA [gvm]$ greenbone-scapdata-sync --rsync [gvm]$ greenbone-certdata-sync --rsync
次のタイマーを 有効化 して、これらのデータを頻繁に更新できます: greenbone-nvt-sync.timer、greenbone-feed-sync.timer、greenbone-scapdata-sync.timer、greenbone-certdata-sync.timer
サーバーとクライアントの証明書を作成します。デフォルト値が使用されます:
[gvm]$ gvm-manage-certs -a
管理者ユーザーアカウントを追加します。必ずパスワードをコピーしてください:
[gvm]$ gvmd --create-user=admin --role=Admin
ユーザーのパスワードを後で変更することもできます
[gvm]$ gvmd --user=admin --new-password=<password>
使用方法
ospd-openvas.service, gvmd.service および gsad.service を 起動 します。
スキャナーを作成します:
[gvm]$ gvmd --get-scanners
OpenVAS デフォルトスキャナーの ID をコピーし、次を実行します:
[gvm]$ gvmd --modify-scanner=id-of-scanner --scanner-host=/run/gvm/ospd.sock [gvm]$ gvmd --verify-scanner=id-of-scanner
フィードインポートユーザーを設定します:
[gvm]$ gvmd --get-users --verbose
管理者ユーザーの ID をコピーして、次を実行します:
[gvm]$ gvmd --modify-setting 78eceaec-3385-11ea-b237-28d24461215b --value id-of-admin
Web ブラウザで http://127.0.0.1 を指定し、管理者の資格情報を使用してログインします。
ノート デフォルトでは、
gsad はポート 80 にバインドします。すでに Web サーバーを実行している場合、これは明らかに問題を引き起こします。/etc/default/gsad ファイル内のポートと待受アドレスを変更して下さい。参照
- Wikipedia:ja:OpenVAS
- OpenVAS - 公式 OpenVAS ウェブサイト。