OpenVAS

OpenVAS は Open Vulnerability Assessment System の略で、グラフィカルなユーザーフロントエンドなどのツールが付属しているネットワークセキュリティスキャナです。リモート環境やアプリケーションのセキュリティ問題を検出するネットワーク脆弱性テスト (NVT) が集められたサーバーがコアになります。

プリインストール

PostgreSQL

続行する前に PostgreSQL をセットアップしてください。

Redis

OpenVAS redis 設定の規定に従って Redis を構成します。要約すると、/etc/redis/redis.conf を次のように修正します:

port 0
unixsocket /run/redis/redis.sock
unixsocketperm 770
timeout 0
databases 128

ノート: databases の数を計算する方法については、前の OpenVAS redis 設定 ドキュメントを参照してください。

最後に redis.service を再起動します。

インストール

次のパッケージをインストールして、マネージャー、Web フロントエンド、スキャナーなどを含む完全な OpenVAS セットアップを取得します: openvas-scanner^AUR、ospd-openvas^AUR、gsa^AUR、gvmd^AUR。スキャナが適切な結果を提供するには nmap をインストールする必要があり、PDF レポート機能が動作するには texlive が必要です。

警告: パッケージ openvas-scanner^AUR、ospd-openvas^AUR、gsa^AUR、gvmd^AUR は現在壊れています。それらを修正するには、[1] を参照してください。

初期設定

gvm 用に PostgreSQL DB をセットアップします:

[postgres]$ createuser gvm
[postgres]$ createdb -O gvm gvmd

このユーザーに DBA ロールを付与します:

[postgres]$ psql gvmd
# create role dba with superuser noinherit;
# grant dba to gvm;
# create extension "uuid-ossp";
# \q

次の sysctl 設定があることを確認してください:

# echo "net.core.somaxconn = 1024" >> /etc/sysctl.d/90-openvas.conf
# echo "vm.overcommit_memory = 1" >> /etc/sysctl.d/90-openvas.conf
# sysctl -p /etc/sysctl.d/90-openvas.conf

これを行う前に、somaxconn の値を確認してください (Arch Linux では通常、これは 4096 であり、調整する必要はありません):

# sysctl -a | grep somaxconn

この場合は、最初のエコー行をスキップしてください。

gvm ユーザーに Redis ソケットへのアクセスを許可します:

# usermod -aG redis gvm
# echo "db_address = /run/redis/redis.sock" > /etc/openvas/openvas.conf
# chown gvm:gvm /etc/openvas/openvas.conf

NVT を更新します:

# chown -R gvm:gvm /var/lib/openvas
[gvm]$ greenbone-nvt-sync && openvas --update-vt-info

フィードを更新します:

[gvm]$ greenbone-feed-sync --type GVMD_DATA
[gvm]$ greenbone-scapdata-sync --rsync
[gvm]$ greenbone-certdata-sync --rsync

次のタイマーを有効化して、これらのデータを頻繁に更新できます: greenbone-nvt-sync.timer、greenbone-feed-sync.timer、greenbone-scapdata-sync.timer、greenbone-certdata-sync.timer

サーバーとクライアントの証明書を作成します。デフォルト値が使用されます:

[gvm]$ gvm-manage-certs -a

管理者ユーザーアカウントを追加します。必ずパスワードをコピーしてください:

[gvm]$ gvmd --create-user=admin --role=Admin

ユーザーのパスワードを後で変更することもできます

[gvm]$ gvmd --user=admin --new-password=<password>

インストール後の設定

OpenVAS redis configuration に書かれているように redis を設定してください。/etc/redis.conf で以下を編集します:

unixsocket /var/lib/redis/redis.sock
unixsocketperm 700
port 0
timeout 0

/etc/openvas/openvassd.conf を作成、以下を追加してください:

kb_location = /var/lib/redis/redis.sock

最後に redis を再起動してください:

# systemctl restart redis

使用方法

openvasmd デーモンを起動:

# openvasmd -p 9390 -a 127.0.0.1

Greenbone Security Assistant WebUI を起動 (任意):

# gsad -f --listen=127.0.0.1 --mlisten=127.0.0.1 --mport=9390

ウェブブラウザで http://127.0.0.1 を開いて管理者ユーザーでログインしてください。

ノート:

デフォルトでは gsad はポート 80 を使います。既に別のウェブサーバーを立ち上げている場合、問題が発生します。gsad に --port スイッチを指定することで別のポートが使えます。--http-only や --no-redirect など他のオプションについては gsad の man ページを参照してください。
Greenbone Security Assistant WebUI はレポートの PDF をダウンロードするために texlive-most パッケージを必要とします。

Systemd

openvas-systemd^AUR という名前の AUR パッケージに Redhat による systemd ユニットが入っています。より良い TLS 設定なども入っています。

メジャーバージョンのアップデート

新しいメジャーバージョンにするときはデータベースの移行が必要です:

# openvasmd --migrate --progress

参照

OpenVAS - 公式 OpenVAS ウェブサイト。