Greenbone Vulnerability Management のインストール (オープンVAS)

この記事では、GVMのインストールについて説明します (Greenbone脆弱性管理) 以前はOpenVASとして知られていました (オープン脆弱性評価システム). 私たちのシステムが持っている脆弱性を知るのに役立つソリューション, そして、将来のドキュメントでは、Centreonと統合します.

私が言ったこと, このアイデアは、システムの脆弱性を分析して探すソリューションをデプロイすることです, 更新され、リストまたは CVE と比較されます (一般的な脆弱性とエクスポージャー). 長いインストールが一度, すでに簡単なWeb管理を使用できます (またはCLIも) スキャンタスクを作成すると、レポートにアクセスして、直面する可能性のあるセキュリティ問題を分析できるようになります. あ、まあ, 別のドキュメントでは、あなたが想像するものを見ていきます, Centreonから一元化して、マシンの脆弱性を制御できるようにする能力, したがって、機械が規制に準拠していない場合, 私たちは知るでしょう.

Ubuntuサーバーマシンから始めます 20.10, GVM-20.08 に必要な依存関係から始めます (オープンVAS 20.08):

sudo apt-get install build-essential cmake gnutls-bin pkg-config glib2.0 libgnutls28-dev libssh-dev libssl-dev redis-server libhiredis-dev libxml2-dev doxygen xsltproc libldap2-dev libgcrypt-dev libpcap-dev libgpgme-dev libradcli-dev graphviz bison libksba-dev libical-dev libpq-dev PostgreSQL postgresql-contrib postgresql-server-dev-all libopenvas-dev heimdal-dev libpopt-dev xmltoman gcc-mingw-w64 nmap libmicrohttpd-dev npm nodejs virtualenv python3-paramiko python3-lxmlpython3-defusedxml python3-pip python3-psutil

インスタラモス糸:

sudo npm install -g yarn --prefix /usr/

Creamos el perfil para el usuario de GVM:

echo 'export PATH="$パス:/opt/gvm/bin:/opt/gvm/sbin:/opt/gvm/.local/bin"' | sudo tee -a /etc/profile.d/gvm.sh sudo chmod 0755 /etc/profile.d/gvm.sh ソース /etc/profile.d/gvm.sh

Creamos el fichero /etc/ld.so.conf.d/gvm.conf con el siguiente contenido:

# gmv-libs の場所 /opt/gvm/lib

Creamos el usuario GVM, Corregimos permisos y nos logueamos como él:

sudo mkdir /opt/gvm
sudo adduser gvm --disabled-password --home /opt/gvm/ --no-create-home --gecos ''
sudo usermod -aG redis gvm
sudo chown gvm:gvm /opt/gvm/ sudo su - GVMの

Creamos el directorio src y establecemos la variable con el path correcto:

mkdir /opt/gvm/src cd /opt/gvm/src/ export PKG_CONFIG_PATH=/opt/gvm/lib/pkgconfig:$PKG_CONFIG_PATH

Descargamos y compilamos las librerías de GVM:

git clone -b gvm-libs-20.08 --single-branch https://github.com/greenbone/gvm-libs.git cd gvm-libs/ export PKG_CONFIG_PATH=/opt/gvm/lib/pkgconfig:$PKG_CONFIG_PATH mkdir build cd build cmake -DCMAKE_INSTALL_PREFIX=/opt/gvm ..
make make doc make install cd /opt/gvm/src/

Descargamos y compilamos el paquete de samba para OpenVAS:

git clone -b master --single-branch https://github.com/greenbone/openvas-smb.git cd openvas-smb/ export PKG_CONFIG_PATH=/opt/gvm/lib/pkgconfig:$PKG_CONFIG_PATH mkdir build cd build/ cmake -DCMAKE_INSTALL_PREFIX=/opt/gvm ..
make install cd /opt/gvm/src/ を実行します。

Descargamos y compilamos OpenVAS スキャナー:

git clone -b openvas-20.08 --シングルブランチHTTPS://github.com/greenbone/openvas.git cd openvas/ export PKG_CONFIG_PATH=/opt/gvm/lib/pkgconfig:$PKG_CONFIG_PATH mkdir build cd build/ cmake -DCMAKE_INSTALL_PREFIX=/opt/gvm ..
make make doc make install exit

Configuramos Redis(コンフィグラモス・レディス):

sudo suエクスポートLC_ALL="C"
ldconfig cp /etc/redis/redis.conf /etc/redis/redis.orig cp /opt/gvm/src/openvas/config/redis-openvas.conf /etc/redis/ chown redis:redis /etc/redis/redis-openvas.conf エコー "db_address = /run/redis-openvas/redis.sock" > /opt/gvm/etc/openvas/openvas.conf systemctl enable 再**********@op*****.servi西暦
systemctl start 再**********@op*****.servi西暦

Establecemos los permisos para GVM. Ejecutando 'visudo’ Y añadimos lo siguiente para darle permisos de sudoers:

デフォルト env_reset デフォルト mail_badpass デフォルト secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/SBINの:/ごみ箱:/スナップ/ビン:/opt/gvm/sbin"
...
# グループ sudo のメンバーに任意のコマンドの実行を許可する %sudo ALL=(すべての:すべての) すべての

### gvm ユーザーが ospd-openvas を実行し、root 権限で OpenVAS を起動できるようにする gvm ALL = NOPASSWD: /opt/gvm/sbin/openvas gvm ALL = NOPASSWD: /opt/gvm/sbin/gsad
...

Ahora que ya tenemos los permsiso correctos, vamos a actualizar los tests de vulnerabilidades NVT (ネットワーク脆弱性テスト) desde el feed de la comunidad de Greenbone, このプロセスには長い時間がかかることに注意してください:

sudo su を終了します - gvm greenbone-nvt-sync

Greenbone Vulnerability Managerをダウンロードして構築します (GVMの):

cd /opt/gvm/src/ git clone -b gvmd-20.08 --single-branch https://github.com/greenbone/gvmd.git cd gvmd/ export PKG_CONFIG_PATH=/opt/gvm/lib/pkgconfig:$PKG_CONFIG_PATH mkdir build cd build/ cmake -DCMAKE_INSTALL_PREFIX=/opt/gvm ..
make make doc make install exit

PostgreSQLデータベースをセットアップします, ユーザーとデータベースを作成します:

sudo -u postgres bash export LC_ALL="C"
createuser -DRS gvm createdb -O gvm gvmd

権限を修正し、DB拡張機能を作成します:

psql gvmd スーパーユーザ noinherit でロール DBA を作成;
GVM への DBA の付与;
拡張機能を作成 "UUID-OSSP";
拡張機能を作成 "pgcryptoの";
出口
出口

GVMの証明書を生成します:

スド・スー - gvm gvm-manage-certs -a

「admin」アカウントを作成します’ GVMの管理, パスワードに特殊文字を使用しないでください:

/opt/gvm/sbin/gvmd --create-user=admin --password=パスワード

Sacamos y anotamos el UUID de la cuenta que acabamos de crear:

gvmd --get-users --verbose

Utilizando el UUID del usuario admin modificamos la configuración de gvmd:

gvmd --modify-setting 78eceaec-3385-11ea-b237-28d24461215b --value XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

Actualizamos la sincronización de los feeds de Greenbone, Ojo que esto tardará:

greenbone-feed-sync --type GVMD_DATA greenbone-feed-sync --type SCAP greenbone-feed-sync --type CERT

Descargamos y compilamos Greenbone Security Assistant (GSAの):

cd src/ git clone -b gsa-20.08 --single-branch https://github.com/greenbone/gsa.git cd gsa/ export PKG_CONFIG_PATH=/opt/gvm/lib/pkgconfig:$PKG_CONFIG_PATH mkdir build cd build/ cmake -DCMAKE_INSTALL_PREFIX=/opt/gvm ..
make make doc make install touch /opt/gvm/var/log/gvm/gsad.log

Configuramos el entorno virtual de python:

python3 --version sudo add-apt-repository ppa を終了します。:deadsnakes / ppa sudo apt-get update sudo apt-get python3.7をインストールする python3.7-dev -y

Instalamos el entorno virtual:

スド・スー - gvm cd /opt/gvm/src export PKG_CONFIG_PATH=/opt/gvm/lib/pkgconfig:$PKG_CONFIG_PATH virtualenv --python python3.7 /opt/gvm/bin/ospd-scanner/ source /opt/gvm/bin/ospd-scanner/bin/activate

Descargamos e instalamos ospd:

git clone -b ospd-20.08 --シングルブランチHTTPS://github.com/greenbone/ospd.git mkdir /opt/gvm/var/run/ospd/ cd ospd/pip3 install .
cd /opt/gvm/src

Descargamos e instalamos ospd-openvas:

git clone -b ospd-openvas-20.08 --シングルブランチHTTPS://github.com/greenbone/ospd-openvas.git cd ospd-openvas/ pip3 install .

Lo siguiente será hacer que inicie Greenbone Manager con la máquina, mediante un servicio:

sudo su nano /etc/systemd/system/gvmd.serviceを終了します。

E introducimos la siguiente configuración:

[単位]
説明=オープン脆弱性評価システムマネージャーデーモン documentation=man:gvmdの(8) httpsの://www.greenbone.net wants=postgresql.service ospd-openvas.service After=postgresql.service ospd-openvas.service

[サービス]
Type=forking User=gvm Group=gvm PIDFile=/opt/gvm/var/run/gvmd.pid WorkingDirectory=/opt/gvm ExecStart=/opt/gvm/sbin/gvmd --osp-vt-update=/opt/gvm/var/run/ospd.sock ExecReload=/bin/kill -HUP $MAINPID KillMode=mixed Restart=on-failure RestartSec=2min KillMode=process KillSignal=SIGINT GuessMainPID=no PrivateTmp=true

[取り付ける]
WantedBy=マルチユーザー.ターゲット

Creamos ahora el servicio para iniciar Greenbone Security Assistant (GSAの) で:

nano /etc/systemd/system/gsad.service

Y pegamos esta configuración al fichero:

[単位]
Description=Greenbone Security Assistant (GSADの)
ドキュメンテーション=マン:GSADの(8) httpsの://www.greenbone.net after=network.target wants=gvmd.service

[サービス]
Type=forking PIDFile=/opt/gvm/var/run/gsad.pid WorkingDirectory=/opt/gvm ExecStart=/opt/gvm/sbin/gsad --drop-privileges=gvm Restart=on-failure RestartSec=2min KillMode=process KillSignal=SIGINT GuessMainPID=no PrivateTmp=true

[取り付ける]
WantedBy=マルチユーザー.ターゲット

Creamos en esta ocasión el servicio que levantará ospd-openvas con:

nano /etc/systemd/system/ospd-openvas.service

Y lo mismo, pegamos la siguiente configuración:

[単位]
Description=ospd-openvas デーモンを実行するジョブ Documentation=man:gvm after=network.target 再**********@op*****.servi西暦
ウォンツ=再**********@op*****.servi西暦

[サービス]
環境=PATH=/opt/gvm/bin/ospd-scanner/bin:/opt/gvm/bin:/opt/gvm/sbin:/opt/gvm/.local/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/SBINの:/bin type=forking user=gvm group=gvm workingDirectory=/opt/gvm PIDFile=/opt/gvm/var/run/ospd-openvas.pid ExecStart=/opt/gvm/bin/ospd-scanner/bin/python /opt/gvm/bin/ospd-scanner/bin/ospd-openvas --pid-file /opt/gvm/var/run/ospd-openvas.pid --unix-socket=/opt/gvm/var/run/ospd.sock --log-file /opt/gvm/var/log/gvm/ospd-scanner.log --lock-file-dir /opt/gvm/var/run/ospd/ Restart=on-failure RestartSec=2min KillMode=process KillSignal=SIGINT GuessMainPID=no PrivateTmp=true

[取り付ける]
WantedBy=マルチユーザー.ターゲット

Una vez generados los 3 servicios para levantar los demonios, レカルガモス, Habilitamos los servicios para que arranquen con el sistema y los levantamos:

systemctl daemon-reload systemctl gvmd systemctl を有効にする gsad systemctl を有効にする ospd-openvas を有効にする systemctl gvmd systemctl を開始する gsad systemctl ospd-openvas を開始する

サービスが稼働しており、順調に進んでいることを確認します:

systemctl status gvmd systemctl status gsad systemctl status ospd-openvas

Greenbone Security Assistantのアドレスをブラウザで開くことができます: httpsの://以前に生成されたユーザーとのDIRECCIÓN_IP. 私たちはそれを認識します “行政” > “フィードステータス”, 遺言 “更新が進行中です…”, このプロセスにはかなりの時間がかかります, 更新が完了するのを待つ必要があります.

悪くありません, タスクを使用してスキャンする前に, デフォルトのOpenVASスキャナーを変更する必要があります, シェルから gvm ユーザーとしてログインします:

スド・スー - GVMの

OpenVASのデフォルトスキャンから現在のUUIDをリストしてコピーします:

cd /opt/gvm/src/ gvmd --get-scanners gvmd --modify-scanner=08b69003-5fc2-4037-a479-93b440211c73 --scanner-host=/opt/gvm/var/run/ospd.sock

さて、ついに, 定期的に更新する場合は、次のファイルを作成します:

nano /opt/gvm/bin/openvas-update

以下の内容を掲載しています:

/opt/gvm/bin/greenbone-nvt-sync /opt/gvm/sbin/greenbone-feed-sync --type GVMD_DATA /opt/gvm/sbin/greenbone-feed-sync --type SCAP /opt/gvm/sbin/greenbone-feed-sync --type CERT

実行可能にします: