Installation und Verwendung von OpenVAS

Heute werden wir einen großen Nutzen sehen, dass wir Sicherheitsanalysen für unsere Infrastruktur durchführen können, was weniger als gelegentlich wissen, wie viele Schwachstellen etwas sicherer vor einem Virenangriff sein, Ramon ware Trojan oder Verschiebung. Dieses Dokument wird installieren OpenVAS 9 in einer Maschine Debian 9 Stretch und sehen grundlegende Verwendung einen Bericht zu erhalten, in folgendem Dokument integrieren wir mit… Nagios!

 

Wir beginnen das Herunterladen und die Installation der Voraussetzungen zusätzlich zu den Quellen von OpenVAS 9 und einige Extras:

apt-get install -y build-essential cmake bison flex libpcap-dev pkg-config libglib2.0-dev libgpgme11-dev uuid-dev sqlfairy xmltoman doxygen libssh-dev libksba-dev libldap2-dev libsqlite3-dev libmicrohttpd-dev libxml2-dev libxslt1-dev xsltproc clang rsync rpm nsis alien sqlite3 libhiredis-dev libgcrypt11-dev libgnutls28-dev redis-server texlive-latex-base texlive-latex-recommended linux-headers-$(uname -r) python python-pip mingw-w64 heimdal-multidev libpopt-dev libglib2.0-dev gnutls-bin certbot nmap ufw
wget http://wald.intevation.org/frs/download.php/2420/openvas-libraries-9.0.1.tar.gz
wget http://wald.intevation.org/frs/download.php/2423/openvas-scanner-5.1.1.tar.gz
wget http://wald.intevation.org/frs/download.php/2448/openvas-manager-7.0.2.tar.gz
wget http://wald.intevation.org/frs/download.php/2429/greenbone-security-assistant-7.0.2.tar.gz
wget http://wald.intevation.org/frs/download.php/2397/openvas-cli-1.4.5.tar.gz
wget http://wald.intevation.org/frs/download.php/2377/openvas-smb-1.0.2.tar.gz
wget http://wald.intevation.org/frs/download.php/2401/ospd-1.2.0.tar.gz
wget http://wald.intevation.org/frs/download.php/2405/ospd-debsecan-1.2b1.tar.gz
wget http://wald.intevation.org/frs/download.php/2218/ospd-nmap-1.0b1.tar.gz

Die dekomprimiert mit:

for i in $(ls *.tar.gz); do tar zxf $i; done

Die Kompilierung und installieren:

cd openvas-libraries-9.0.1
cmake . && make && make doc && make install
cd ../openvas-manager-7.0.2
cmake . && make && make doc && make install
cd ../openvas-scanner-5.1.1
cmake . && make && make doc && make install
cd ../openvas-cli-1.4.5
cmake . && make && make doc && make install
cd ../reenbone-security-assistant-7.0.2
cmake . && make && make doc && make install
cd ../ospd-1.2.0
python setup.py build && python setup.py install
cd ../ospd-debsecan-1.2b1
python setup.py build && python setup.py install
cd ../ospd-nmap-1.0b1
python setup.py build && python setup.py install

Editamos' /etc/redis/redis.conf’ Redis mit OpenVAS zu integrieren, Wir ändern den Hafen 0 und uncomment Datei für Unix-Socket & Berechtigungen, wohl~~POS=TRUNC:

port 0
unixsocket /tmp/redis.sock
unixsocketperm 700

Redis starten Sie den Dienst die Konfiguration neu zu laden:

service redis-server restart

 

Erstellen Sie einen symbolischen Link zu OpenVAS verwenden Redis Buchse, Wir haben bestätigt, dass die zuvor kompilierten Bibliotheken korrekt geladen werden, und starten Sie den Daemon OpenVAS:

ln -s /tmp/systemd-private-*-redis-server.service-*/tmp/redis.sock /tmp/redis.sock
ldconfig
openvassd

 

Es ist Zeit, die Datenbanken zu aktualisieren und den Cache neu erstellen:

greenbone-nvt-sync
greenbone-scapdata-sync
greenbone-certdata-sync
openvasmd --progress --rebuild

 

Wir werden weiterhin das selbst signiertes Zertifikat für die Verwendung erstellen https:

openvas-manage-certs -a

 

Wir beginnen den Scanner, gefolgt von OpenVAS-Manager und Assistenten Sicherheit Greenbone mit:

openvassd
openvasmd
gsad

Erstellen Sie einen Benutzer admin

openvasmd --create-user=admin --role=Admin

 

Wir erstellen eine Datei, die es uns ermöglichen, Datenbanken zu aktualisieren programmatisch vim / usr / local / sbin / openvas-db-Update’ und fügen Sie:

#!/bin/bash
echo "Updating OpenVAS Databases"
greenbone-nvt-sync
greenbone-scapdata-sync
greenbone-certdata-sync

 

Wir tun ausführbares 'chmod + x / usr / local / sbin / openvas-db-Update', und im chronologischen Zeitplan läuft täglich bei 0 bis:

crontab -e
     0 0 * * * /usr/local/sbin/openvas-db-update

 

Wir haben den OpenVAS Service Manager mit ‚vim /etc/systemd/system/openvas-manager.service’

[Unit]
Description=Open Vulnerability Assessment System Manager Daemon
Documentation=man:openvasmd(8) http://www.openvas.org/
Wants=openvas-scanner.service

[Service]
Type=forking
PIDFile=/usr/local/var/run/openvasmd.pid
ExecStart=/usr/local/sbin/openvasmd --database=/usr/local/var/lib/openvas/mgr/tasks.db

ExecReload=/bin/kill -HUP $MAINPID
# Kill the main process with SIGTERM and after TimeoutStopSec (defaults to 1m30) kill remaining processes with SIGKILL
KillMode=mixed

[Install]
WantedBy=multi-user.target

Wir tun ausführbare: chmod + x /etc/systemd/system/openvas-manager.service schaffen die OpenVAS Scanner Service: ‚Vim /etc/systemd/system/openvas-scanner.service’

[Unit]
Description=Open Vulnerability Assessment System Manager Daemon
Documentation=man:openvasmd(8) http://www.openvas.org/
Wants=openvas-scanner.service

[Service]
Type=forking
PIDFile=/usr/local/var/run/openvasmd.pid
ExecStart=/usr/local/sbin/openvasmd --database=/usr/local/var/lib/openvas/mgr/tasks.db

ExecReload=/bin/kill -HUP $MAINPID
# Kill the main process with SIGTERM and after TimeoutStopSec (defaults to 1m30) kill remaining processes with SIGKILL
KillMode=mixed

[Install]
WantedBy=multi-user.target

Wir tun ausführbare:

chmod +x /etc/systemd/system/openvas-scanner.service

Wir haben den Service Greenbone Security Assistant: ‚Vim /etc/systemd/system/greenbone-security-assistant.service’

[Unit]
Description=Greenbone Security Assistant
Documentation=man:gsad(8) http://www.openvas.org/
Wants=openvas-manager.service

[Service]
Type=simple
PIDFile=/usr/local/var/run/gsad.pid
ExecStart=/usr/local/sbin/gsad --foreground

[Install]
WantedBy=multi-user.target

Wir tun ausführbare:

chmod +x /etc/systemd/system/greenbone-security-assistant.service

gut, Nun können wir die Installation testen, ob es richtig mit einem Skript ist und heruntergekommen:

cd ~
wget --no-check-certificate https://svn.wald.intevation.org/svn/openvas/trunk/tools/openvas-check-setup
chmod +x openvas-check-setup
./openvas-check-setup --v9

Wenn alles gut gegangen ist, Jetzt können wir die Dienste setzen das System automatisch zu booten:

systemctl enable openvas-manager.service
systemctl enable openvas-scanner.service
systemctl enable greenbone-security-assistant.service

 

Editamos /etc/systemd/system/redis.service, wir ändern Wert ‚PrivateTmp = no’ und unter ‚ReadWriteDirectories = - / var / run / redis’ Add 'ReadWriteDirectories = - / tmp'.

 

Erstellen Sie diese Datei: ‚Vim /root/arranca_openvasmd.sh’ und wir tun es ausführbare Datei mit folgendem Inhalt:

#!/bin/bash
/usr/local/sbin/openvasmd -a 127.0.0.1 -p 9391

Und wir es in der cron fertig stellen, das System zu booten, wenn ausführen, mit 'crontab -e', wir hinzufügen:

@reboot /root/arranca_openvasmd.sh


Und schließlich können wir einen Browser die IP-Adresse des Rechners öffnen https://openvas, Wir validieren Benutzer wir in den vorherigen Schritten erstellt!

 

Nach loguearnos sieht eine leere Tafel, denn wir haben noch keine Analyseaufgaben, jedoch können wir die Ergebnisse der BD mit Schwachstellen sehen müssen. Zunächst einmal wird es sein, die Maschinen zu registrieren, die beim Scannen. “Aufbau” > “Ziele”.

 

So erstellen Sie ein Ziel, Wir klicken auf das Symbol Estrellica,

 


Wir können verschiedene Ziele hinzufügen, gut Rangos IP, einzelne Teams, definieren verschiedene Portbereiche oder Nachweisverfahren, auch wenn wir Schecks Anmeldeinformationen für den SSH-Zugriff durchführen, SMB, ESXi o SNMP. gut, In diesem Fall werde ich diskutieren, nur ein Team, VMware ist eine ESXi-Host, Version 6 Aktualisieren 3, gibt die IP-Adresse & klicken Sie auf “Erstellen”,

 

 

Nachdem das Ziel definiert, was wir die Aufgabe erstellen, auszuführen, lassen Sie uns “Scans” > “Aufgaben”,

 

Und klicken Sie erneut auf den Stern, um eine neue Aufgabe zu erstellen mit “Neue Aufgabe”,

 

Wir angegebenen einen Namen für die Aufgabe, fügen Sie das Ziel, das wir nach Belieben analysieren und modifizieren Parameter wollen mehr oder weniger tiefe Tests durchzuführen, etc… “Erstellen” die Aufgabe zu erstellen.

 

Wir werden sehen, die erstellte Aufgabe, wenn wir jetzt laufen die grüne Play-Symbol klicken!

 

 

… und nichts, Wir warteten, während alle Prüfungen laufen wir auf dieser Maschine angegeben haben,…

 

Wenn die Aufgabenanalyse abgeschlossen, wir können am Tag des Berichts klicken, um die möglichen Risiken, die Maschine mit angezeigt werden,

 

 

Und wir werden die erkannten Schwachstellen zeigen, wir können das Problem und mögliche Lösungen analysieren, dies zu korrigieren und vermeiden Informationen und Maschinenservice zu beeinträchtigen.

 

 

Wie Sie sich vorstellen können, das Werkzeug gibt uns mehr Möglichkeiten, schauen Sie sich um und versuchen, verschiedene Arten von Scan. Ich empfehle Ihnen, mit allen Ausstattungsumfänge Hinzufügen von IPs einzelne Aufgaben oder generic gehen die Schaffung, nicht nur für uns aus Farben und wir setzten die Batterien mit dem richtigen Fehler Sicherheit, wenn nicht müssen die für einen späteren Artikel kommen…