OpenVAS環境構築

製品紹介

脆弱性スキャナ「OpenVAS(オープンバス)(Open Vulnerability Assessment System )」をご紹介します。
OpenVASは、脆弱性スキャナ製品「Nessus(ネサス)」から派生した製品です。
OpenVASの脆弱性データベースは日々更新が続けられており、合計で47,000件以上の定義情報を保有しています(2016年6月現在)。
現在はドイツの企業、Greenbone Networks社により、開発支援されています。

 

公式ホームページ

http://www.openvas.org/

コミュニティページ

http://forums.atomicorp.com/viewtopic.php?f=31&t=8047

 

検証内容

OpenVASを使用してインストールします。
何のセキュリティ対策をしていないサーバに対し、OpenVASを使用してスキャンを実行し、動作検証します。
スキャン結果に対し、推奨される対策を実施して、再度スキャンを実行し、結果を確認します。
定期スケジュールを作成して、定期的に実行できる設定をします。
スキャン結果をメールでレポートできるようにします。

 

検証環境

VMWare Workstation 12 Plyaer
仮想サーバ2台
OpenVASサーバ:CentOS Linux release 7.2.1511 (Core) minimal install PKG
スキャン対象サーバ:CentOS release 6.7 (Final)

 

構成

OpenVAS構成

構成情報が公式ホームページ記載されています。
http://www.openvas.com/software.html

configuration_info

脆弱性定義ファイルのUpdateイメージも掲載されています。
openvas-nvt-syncコマンド(rsync, wget or curlコマンド要素を内包したコマンド)によって定義ファイルをオンラインでダウンロードしています。
http://www.openvas.com/openvas-nvt-feed.html

 

構成要素

構成要素 説明
Client OpenVAS CLI OpenVASをコマンドラインで操作するインターフェース
Greenbone Security Assistant OpenVASをWebコンソールで操作するインターフェース
使用するポート:443 or 9392
Service OpenVAS Scanner スキャンを行うモジュール
使用するポート:9391
OpenVAS Manager Clientからのデータ処理、スキャン結果やNVT'sのデータの管理、アクセス管理などを制御
使用するポート:9390
Data NVT's Network Vulnerability Tests
脆弱性情報やそれをテストするための設定情報
Results, Config スキャン結果や設定情報が格納されるデータベース

 

関連用語集:
NVT
Network Vulnerability Tests
脆弱性情報やそれをテストするための設定情報

SCAP
Security Content Automation Protocol
脆弱性管理や評価、ポリシー評価を自動化するための標準化を行う技術仕様

CVE
Common Vulnerabilities and Exposures
様々なソフトウェアの保安上の脆弱性についての情報を収集・公開している、世界的に著名なデータベースの一つ

CPE
Common Platform Enumeration
製品を識別するための共通のプラットフォーム名の一覧

OVAL
Open Vulnerability and Assessment Language
コンピューターの脆弱性を確認するための言語を含む環境

 

事前作業

(事前作業を記載する)
SELinux一時無効化

# getenforce
Enforcing
# setenforce 0
# getenforce
Permissive

恒久的に無効化する場合は以下を修正して保存します。
vi /etc/selinux/config
~
SELINUX=disable

 

 

firewalldの停止

# systemctl stop firewalld
# systemctl status firewalld
● firewalld.service
Loaded: not-found (Reason: No such file or directory)
Active: inactive (dead)

 

導入手順

(インストール日時記載)2016/11/25現在の最新バージョン
最新バージョンは8.0(2015/4/2リリース)です。

 

ソースからインストールする方法とyumでインストールする方法があります。
今回は簡単に導入できるyumでインストールを行います。
※CentOS の標準リポジトリに、OpenVASのパッケージは存在しませんので、Atomicorp Repositoryというリポジトリを経由して、インストールを行います。

公式ホームページに掲載されているインストール手順を参照して実施しました。
インストール完了までの所要時間は約90分です。

 

目次

脆弱性検査の必要性

1.インストール

2.初期設定

3.Webコンソール接続確認

 

はじめに 脆弱性検査の必要性

ソフトウェアには必ずバグや欠陥が存在し、日々脆弱性が発見されています。
さらに、新たなサイバー攻撃パターンが常に作り出されており、脆弱性を100%なくすことは不可能です。
ビジネスにおけて、インターネットの利用は必要不可欠なものとなっている中、サイバー攻撃は日常的に行われており、企業の機密情報を狙った標的型攻撃やWebサイトの改ざんなど、年々増加しています。
攻撃を成立させないためには、脆弱性を作りこまないこと、新たに発見される脆弱性に適切な対応をすることが重要です。
定期的な脆弱性診断を実施し、結果に基づいて適切に対処することで、セキュリティホールを塞ぐことにより、侵入、改ざん、情報漏えいなどのインシデントによる被害を未然に防ぐことができます。

 

1.インストール

下記コマンドを実行して、Atomicorpからリポジトリを設定します。
CentOS7のMinimam install PKGにはwgetコマンドがデフォルトで入っていないため、事前にインストールしておきます。
# yum install -y wget

# wget -q -O - http://www.atomicorp.com/installers/atomic |sh
Atomic Free Unsupported Archive installer, version 3.0.1

BY INSTALLING THIS SOFTWARE AND BY USING ANY AND ALL SOFTWARE
PROVIDED BY ATOMICORP LIMITED YOU ACKNOWLEDGE AND AGREE:

THIS SOFTWARE AND ALL SOFTWARE PROVIDED IN THIS REPOSITORY IS
PROVIDED BY ATOMICORP LIMITED AS IS, IS UNSUPPORTED AND ANY
EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL ATOMICORP LIMITED, THE
COPYRIGHT OWNER OR ANY CONTRIBUTOR TO ANY AND ALL SOFTWARE PROVIDED
BY OR PUBLISHED IN THIS REPOSITORY BE LIABLE FOR ANY DIRECT,
INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES
(INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
OF THE POSSIBILITY OF SUCH DAMAGE.

For supported software packages please contact us at:

sales@atomicorp.com

Do you agree to these terms? (yes/no) [Default: yes] yes(←yesと入力

Configuring the [atomic] repo archive for this system

Installing the Atomic GPG keys: OK

Downloading atomic-release-1.0-21.el7.art.noarch.rpm: Preparing...
~省略~
Enable repo by default? (yes/no) [Default: yes]: yes(←yesと入力

The Atomic repo has now been installed and configured for your system
The following channels are available:
atomic - [ACTIVATED] - contains the stable tree of ART packages
atomic-testing - [DISABLED] - contains the testing tree of ART packages
atomic-bleeding - [DISABLED] - contains the development tree of ART packages

 

yum updateでシステムを最新化します。完了までに多少時間がかかります。
# yum -y upgrade
~省略~
トランザクションの要約
================================================================================
インストール 1 パッケージ
更新 83 パッケージ

総ダウンロード容量: 104 M
~省略~
完了しました!

 

openvasをインストールします。
インストール完了までに多少時間がかかります。
# yum -y install openvas
インストールされるパッケージは以下になります。

================================================================================
Package アーキテクチャー
バージョン リポジトリー
容量
================================================================================
インストール中:
openvas noarch 1.0-22.el7.art atomic 15 k
依存性関連でのインストールをします:
cairo x86_64 1.14.2-1.el7 base 711 k
dirb x86_64 221-2.el7.art atomic 46 k
doxygen x86_64 1:1.8.5-3.el7 base 3.6 M
fontconfig x86_64 2.10.95-7.el7 base 228 k
fontpackages-filesystem
noarch 1.44-8.el7 base 9.9 k
greenbone-security-assistant
x86_64 6.0.11-27.el7.art atomic 928 k
haveged x86_64 1.9.1-2.el7.art atomic 62 k
heimdal-libs x86_64 1.6.0-0.9.20140621gita5adc06.el7.art
atomic 1.1 M
hiredis x86_64 0.12.1-1.el7.art atomic 29 k
jbigkit-libs x86_64 2.0-11.el7 base 46 k
jemalloc x86_64 3.6.0-1.el7.art atomic 105 k
lcms2 x86_64 2.6-2.el7 base 150 k
libX11 x86_64 1.6.3-2.el7 base 605 k
libX11-common noarch 1.6.3-2.el7 base 162 k
libXau x86_64 1.0.8-2.1.el7 base 29 k
libXdamage x86_64 1.1.4-4.1.el7 base 20 k
libXext x86_64 1.3.3-3.el7 base 39 k
libXfixes x86_64 5.0.1-2.1.el7 base 18 k
libXrender x86_64 0.9.8-2.1.el7 base 25 k
libXxf86vm x86_64 1.1.3-2.1.el7 base 17 k
libjpeg-turbo x86_64 1.2.90-5.el7 base 134 k
libksba x86_64 1.3.0-5.el7 base 120 k
libmicrohttpd x86_64 0.9.33-2.el7 base 58 k
libpng x86_64 2:1.5.13-7.el7_2 updates 213 k
libssh x86_64 0.7.1-2.el7 extras 194 k
libtiff x86_64 4.0.3-25.el7_2 updates 169 k
libxcb x86_64 1.11-4.el7 base 189 k
libxshmfence x86_64 1.2-1.el7 base 7.2 k
libxslt x86_64 1.1.28-5.el7 base 242 k
mesa-libEGL x86_64 10.6.5-3.20150824.el7 base 74 k
mesa-libGL x86_64 10.6.5-3.20150824.el7 base 184 k
mesa-libgbm x86_64 10.6.5-3.20150824.el7 base 40 k
mesa-libglapi x86_64 10.6.5-3.20150824.el7 base 39 k
mingw32-nsis x86_64 2.46-12.el7.art atomic 1.1 M
ncrack x86_64 0.4-1.ALPHA.el7.art atomic 554 k
net-snmp-libs x86_64 1:5.7.2-24.el7_2.1 updates 747 k
net-snmp-utils x86_64 1:5.7.2-24.el7_2.1 updates 197 k
nikto noarch 1:2.1.6-12.el7.art atomic 360 k
nmap x86_64 2:6.47-8.el7.art atomic 4.1 M
nmap-ncat x86_64 2:6.47-8.el7.art atomic 200 k
openjpeg-libs x86_64 1.5.1-10.el7 base 85 k
openldap-clients x86_64 2.4.40-9.el7_2 updates 186 k
openvas-cli x86_64 1.4.4-10.el7.art atomic 16 k
openvas-libraries x86_64 8.0.8-25.el7.art atomic 268 k
openvas-manager x86_64 6.0.9-36.el7.art atomic 716 k
openvas-scanner x86_64 5.0.7-25.el7.art atomic 177 k
openvas-smb x86_64 1.0.1-0.2.el7.art atomic 3.4 M
perl x86_64 4:5.16.3-286.el7 base 8.0 M
perl-Carp noarch 1.26-244.el7 base 19 k
perl-Data-Dumper x86_64 2.145-3.el7 base 47 k
perl-Encode x86_64 2.51-7.el7 base 1.5 M
perl-Exporter noarch 5.68-3.el7 base 28 k
perl-File-Path noarch 2.09-2.el7 base 26 k
perl-File-Temp noarch 0.23.01-3.el7 base 56 k
perl-Filter x86_64 1.49-3.el7 base 76 k
perl-Getopt-Long noarch 2.40-2.el7 base 56 k
perl-HTTP-Tiny noarch 0.033-3.el7 base 38 k
perl-JSON-PP noarch 2.27202-2.el7 base 55 k
perl-PathTools x86_64 3.40-5.el7 base 82 k
perl-Pod-Escapes noarch 1:1.04-286.el7 base 50 k
perl-Pod-Perldoc noarch 3.20-4.el7 base 87 k
perl-Pod-Simple noarch 1:3.28-4.el7 base 216 k
perl-Pod-Usage noarch 1.63-3.el7 base 27 k
perl-Scalar-List-Utils
x86_64 1.27-248.el7 base 36 k
perl-Socket x86_64 2.010-3.el7 base 49 k
perl-Storable x86_64 2.45-3.el7 base 77 k
perl-Text-ParseWords noarch 3.29-4.el7 base 14 k
perl-Time-HiRes x86_64 4:1.9725-3.el7 base 45 k
perl-Time-Local noarch 1.2300-2.el7 base 24 k
perl-constant noarch 1.27-2.el7 base 19 k
perl-libs x86_64 4:5.16.3-286.el7 base 687 k
perl-macros x86_64 4:5.16.3-286.el7 base 43 k
perl-parent noarch 1:0.225-244.el7 base 12 k
perl-podlators noarch 2.5.1-3.el7 base 112 k
perl-threads x86_64 1.87-4.el7 base 49 k
perl-threads-shared x86_64 1.43-6.el7 base 39 k
pixman x86_64 0.32.6-3.el7 base 254 k
pnscan x86_64 1.11-1.el7.art atomic 18 k
poppler x86_64 0.26.5-5.el7 base 782 k
poppler-data noarch 0.4.6-3.el7 base 2.2 M
python-BeautifulSoup noarch 3.0.7a-3.el7.art atomic 41 k
python-SocksiPy noarch 1.00-4.el7.art atomic 15 k
python-httplib2 noarch 0.7.4-1.el7.art atomic 68 k
redis x86_64 3.0.7-4.el7.art atomic 462 k
rsync x86_64 3.0.9-17.el7 base 360 k
socat x86_64 1.7.2.2-5.el7 base 255 k
texlive-algorithms noarch 2:svn15878.0.1-38.el7 base 21 k
texlive-amsfonts noarch 2:svn29208.3.04-38.el7 base 3.6 M
texlive-amsmath noarch 2:svn29327.2.14-38.el7 base 49 k
texlive-attachfile noarch 2:svn21866.v1.5b-38.el7 base 21 k
texlive-babel noarch 2:svn24756.3.8m-38.el7 base 129 k
texlive-babelbib noarch 2:svn25245.1.31-38.el7 base 49 k
texlive-base noarch 2:2012-38.20130427_r30134.el7 base 325 k
texlive-bera noarch 2:svn20031.0-38.el7 base 347 k
texlive-booktabs noarch 2:svn15878.1.61803-38.el7 base 19 k
texlive-breakurl noarch 2:svn15878.1.30-38.el7 base 20 k
texlive-caption noarch 2:svn29026.3.3__2013_02_03_-38.el7 base 51 k
texlive-carlisle noarch 2:svn18258.0-38.el7 base 29 k
texlive-chngcntr noarch 2:svn17157.1.0a-38.el7 base 19 k
texlive-colortbl noarch 2:svn25394.v1.0a-38.el7 base 20 k
texlive-csquotes noarch 2:svn24393.5.1d-38.el7 base 36 k
texlive-currfile noarch 2:svn29012.0.7b-38.el7 base 21 k
texlive-enumitem noarch 2:svn24146.3.5.2-38.el7 base 29 k
texlive-eso-pic noarch 2:svn21515.2.0c-38.el7 base 21 k
texlive-etex-pkg noarch 2:svn15878.2.0-38.el7 base 22 k
texlive-etoolbox noarch 2:svn20922.2.1-38.el7 base 25 k
texlive-fancyvrb noarch 2:svn18492.2.8-38.el7 base 30 k
texlive-filecontents noarch 2:svn24250.1.3-38.el7 base 19 k
texlive-filehook noarch 2:svn24280.0.5d-38.el7 base 22 k
texlive-float noarch 2:svn15878.1.3d-38.el7 base 20 k
texlive-fontspec noarch 2:svn29412.v2.3a-38.el7 base 38 k
texlive-footmisc noarch 2:svn23330.5.5b-38.el7 base 23 k
texlive-fp noarch 2:svn15878.0-38.el7 base 39 k
texlive-geometry noarch 2:svn19716.5.6-38.el7 base 26 k
texlive-graphics noarch 2:svn25405.1.0o-38.el7 base 33 k
texlive-hyperref noarch 2:svn28213.6.83m-38.el7 base 139 k
texlive-hyphen-base noarch 2:svn29197.0-38.el7 base 39 k
texlive-ifetex noarch 2:svn24853.1.2-38.el7 base 18 k
texlive-ifxetex noarch 2:svn19685.0.5-38.el7 base 18 k
texlive-index noarch 2:svn24099.4.1beta-38.el7 base 29 k
texlive-kastrup noarch 2:svn15878.0-38.el7 base 18 k
texlive-koma-script noarch 2:svn27255.3.11b-38.el7 base 5.1 M
texlive-kpathsea noarch 2:svn28792.0-38.el7 base 140 k
texlive-kpathsea-bin x86_64 2:svn27347.0-38.20130427_r30134.el7 base 40 k
texlive-kpathsea-lib x86_64 2:2012-38.20130427_r30134.el7 base 78 k
texlive-l3kernel noarch 2:svn29409.SVN_4469-38.el7 base 107 k
texlive-l3packages noarch 2:svn29361.SVN_4467-38.el7 base 36 k
texlive-latex noarch 2:svn27907.0-38.el7 base 197 k
texlive-latex-bin noarch 2:svn26689.0-38.el7 base 20 k
texlive-latex-bin-bin noarch 2:svn14050.0-38.20130427_r30134.el7 base 17 k
texlive-latex-fonts noarch 2:svn28888.0-38.el7 base 42 k
texlive-latexconfig noarch 2:svn28991.0-38.el7 base 26 k
texlive-listings noarch 2:svn15878.1.4-38.el7 base 138 k
texlive-lm noarch 2:svn28119.2.004-38.el7 base 13 M
texlive-lualatex-math noarch 2:svn29346.1.2-38.el7 base 21 k
texlive-luaotfload noarch 2:svn26718.1.26-38.el7 base 101 k
texlive-luaotfload-bin
noarch 2:svn18579.0-38.20130427_r30134.el7 base 17 k
texlive-luatex noarch 2:svn26689.0.70.1-38.el7 base 37 k
texlive-luatex-bin x86_64 2:svn26912.0-38.20130427_r30134.el7 base 1.7 M
texlive-luatexbase noarch 2:svn22560.0.31-38.el7 base 27 k
texlive-marginnote noarch 2:svn25880.v1.1i-38.el7 base 20 k
texlive-memoir noarch 2:svn21638.3.6j_patch_6.0g-38.el7 base 97 k
texlive-mparhack noarch 2:svn15878.1.4-38.el7 base 20 k
texlive-ms noarch 2:svn24467.0-38.el7 base 24 k
texlive-multido noarch 2:svn18302.1.42-38.el7 base 21 k
texlive-oberdiek noarch 2:svn26725.0-38.el7 base 307 k
texlive-paralist noarch 2:svn15878.2.3b-38.el7 base 21 k
texlive-parallel noarch 2:svn15878.0-38.el7 base 21 k
texlive-pdftex noarch 2:svn29585.1.40.11-38.el7 base 140 k
texlive-pdftex-bin x86_64 2:svn27321.0-38.20130427_r30134.el7 base 360 k
texlive-pgf noarch 2:svn22614.2.10-38.el7 base 468 k
texlive-psnfss noarch 2:svn23394.9.2a-38.el7 base 45 k
texlive-pst-3d noarch 2:svn17257.1.10-38.el7 base 21 k
texlive-pst-coil noarch 2:svn24020.1.06-38.el7 base 21 k
texlive-pst-eps noarch 2:svn15878.1.0-38.el7 base 20 k
texlive-pst-fill noarch 2:svn15878.1.01-38.el7 base 21 k
texlive-pst-grad noarch 2:svn15878.1.06-38.el7 base 21 k
texlive-pst-math noarch 2:svn20176.0.61-38.el7 base 22 k
texlive-pst-node noarch 2:svn27799.1.25-38.el7 base 40 k
texlive-pst-plot noarch 2:svn28729.1.44-38.el7 base 36 k
texlive-pst-text noarch 2:svn15878.1.00-38.el7 base 21 k
texlive-pst-tree noarch 2:svn24142.1.12-38.el7 base 24 k
texlive-pstricks noarch 2:svn29678.2.39-38.el7 base 97 k
texlive-pstricks-add noarch 2:svn28750.3.59-38.el7 base 41 k
texlive-qstest noarch 2:svn15878.0-38.el7 base 22 k
texlive-sauerj noarch 2:svn15878.0-38.el7 base 23 k
texlive-setspace noarch 2:svn24881.6.7a-38.el7 base 24 k
texlive-showexpl noarch 2:svn27790.v0.3j-38.el7 base 21 k
texlive-soul noarch 2:svn15878.2.4-38.el7 base 23 k
texlive-subfig noarch 2:svn15878.1.3-38.el7 base 24 k
texlive-tetex noarch 2:svn29585.3.0-38.el7 base 88 k
texlive-tetex-bin noarch 2:svn27344.0-38.20130427_r30134.el7 base 18 k
texlive-thumbpdf noarch 2:svn26689.3.15-38.el7 base 38 k
texlive-thumbpdf-bin noarch 2:svn6898.0-38.20130427_r30134.el7 base 17 k
texlive-tipa noarch 2:svn29349.1.3-38.el7 base 2.8 M
texlive-tools noarch 2:svn26263.0-38.el7 base 62 k
texlive-underscore noarch 2:svn18261.0-38.el7 base 22 k
texlive-unicode-math noarch 2:svn29413.0.7d-38.el7 base 61 k
texlive-url noarch 2:svn16864.3.2-38.el7 base 26 k
texlive-varwidth noarch 2:svn24104.0.92-38.el7 base 21 k
texlive-xcolor noarch 2:svn15878.2.11-38.el7 base 35 k
texlive-xkeyval noarch 2:svn27995.2.6a-38.el7 base 27 k
texlive-xunicode noarch 2:svn23897.0.981-38.el7 base 44 k
wapiti noarch 2.3.0-5.el7.art atomic 290 k
zziplib x86_64 0.13.62-5.el7 base 81 k

トランザクションの要約
================================================================================
インストール 1 パッケージ (+185 個の依存関係のパッケージ)

総ダウンロード容量: 69 M
インストール容量: 221 M

 

2.初期設定

OpenVAS のインストールが完了したら初期設定を行います。
設定にはbzip2が必要となりますので、下記コマンドで事前にインストールしておきます。
# yum install -y bzip2

以下コマンドを実行する事で、データベースの構築と定義ファイルのダウンロードが開始されます。
完了までに時間がかかります。
# openvas-setup

Openvas Setup, Version: 1.0

Step 1: Update NVT, CERT, and SCAP data
Please note this step could take some time.
Once completed, this will be updated automatically every 24 hours

Select download method
* wget (NVT download only)
* curl (NVT download only)
* rsync

Note: If rsync requires a proxy, you should define that before this step.
Downloader [Default: rsync] Updating NVTs....
~省略~
Updating OpenVAS Manager database....
Pausing while openvas-scanner loads NVTs...Done

Step 2: Configure GSAD
The Greenbone Security Assistant is a Web Based front end
for managing scans. By default it is configured to only allow
connections from localhost.

Allow connections from any IP? [Default: yes] Redirecting to /bin/systemctl restart gsad.service

Step 3: Choose the GSAD admin users password.
The admin user is used to configure accounts,
Update NVT's manually, and manage roles.

Enter administrator username [Default: admin] :(←管理者アカウント名を設定します
Enter Administrator Password:(←管理者アカウントのパスワードを設定します
Verify Administrator Password:(←再度パスワードを入力します

Redirecting to /bin/systemctl start redis.service

Setup complete, you can now access GSAD at:
https://:9392

Created symlink from /etc/systemd/system/multi-user.target.wants/openvas-scanner.service to /usr/lib/systemd/system/openvas-scanner.service.
Created symlink from /etc/systemd/system/multi-user.target.wants/openvas-manager.service to /usr/lib/systemd/system/openvas-manager.service.
Created symlink from /etc/systemd/system/multi-user.target.wants/gsad.service to /usr/lib/systemd/system/gsad.service.

初期設定が完了しました。
Step1では、Update NVT, CERT, and SCAP dataが実行されます。

Step2では、Configure GSADとして、Webコンソールの設定が実行されます。

ここで、コマンドや設定ファイルを一通り確認しておきます。
systemctlに格納されているopenVAS関連のサービスを確認します。
/etc/systemd/system/multi-user.target.wants

gsad.service
openvas-manager.service
openvas-scanner.service

gsad.service GSA(Greebone Security Assistant)の設定変更と起動停止
openvas-manager.service OpenVAS Managerの起動停止
openvas-scanner.service スキャナの起動停止

 

コマンドは/usr/sbinに格納されています。
# ls -l /usr/sbin/ | grep openvas
-rwxr-xr-x. 1 root root 18066 8月 31 23:08 openvas-certdata-sync
-rwxr-xr-x. 1 root root 37993 8月 31 23:08 openvas-migrate-to-postgres
-rwxr-xr-x. 1 root root 11998 9月 13 23:10 openvas-mkcert
-rwxr-xr-x. 1 root root 10976 9月 13 23:10 openvas-nvt-sync
-rwxr-xr-x. 1 root root 973 1月 17 2013 openvas-nvt-sync-cron
-rwxr-xr-x. 1 root root 2555 8月 31 23:08 openvas-portnames-update
-rwxr-xr-x. 1 root root 38378 8月 31 23:08 openvas-scapdata-sync
-rwxr-xr-x. 1 root root 2182488 8月 31 23:08 openvasmd
-rwxr-xr-x. 1 root root 86648 9月 13 23:10 openvassd

openvas-certdata-sync CERTデーターベース取得
openvas-migrate-to-postgres OpenVASのデータベースをPostgreSQLへ移行
openvas-mkcert scanner certificate作成
openvas-nvt-sync NVTの取得
openvas-nvt-sync-cron NVTの取得をcrontabへ登録
openvas-portnames-update IANA(Internet Assigned Numbers Authority)が提供しているサービスネームをImport/Update
openvas-scapdata-sync SCAPデーターベース取得
openvasmd OpenVASマネージャーデーモン
--helpでコマンドの詳細が確認可能
(主な使用例)
バージョン表示
# openvasmd --version
Rebuild the NVT cache
# openvasmd --rebuild
OpenVAS Managerにユーザーとパスワード追加
openvasmd --create-user=<username>
/usr/sbin/openvasmd --user=<username>
openvassd スキャンの実行
--helpでコマンドの詳細が確認可能
(主な使用例)
バージョン表示
# openvassd --version
スキャン対象サーバに対してスキャン実行
# openvassd -a <スキャン対象address>

 

OpenVAS関連ディレクトリを確認します。

# find / -name openvas
/etc/openvas
/var/lib/openvas
/var/log/openvas
/var/cache/openvas
/usr/share/openvas
/usr/include/openvas

 

ログファイルはこちらに格納されています。
/var/log/openvas/
# ls -l /var/log/openvas
合計 2188
-rw-r--r-- 1 root root 0 12月 2 12:31 gsad.log(←Webコンソールログ)
-rw-r--r-- 1 root root 7919 11月 30 12:07 gsad.log-20161130.gz
-rw-r--r-- 1 root root 450 12月 1 11:01 gsad.log-20161201.gz
-rw-r--r-- 1 root root 375 12月 2 11:22 gsad.log-20161202.gz
-rw------- 1 root root 6288 12月 2 11:17 openvasmd.log(←OpenVASマネージャーログ)
-rw-------. 1 root root 2171931 11月 30 15:58 openvasmd.log-20161130
-rw-------. 1 root root 306 12月 1 10:39 openvassd.dump
-rw-r--r-- 1 root root 340 12月 2 11:18 openvassd.log(←スキャンログ)
-rw-r--r--. 1 root root 26932 11月 30 15:58 openvassd.log-20161130

スキャンのログ出力例:
# tail -f /var/log/openvas/openvassd.log
[Sat Dec 3 10:20:11 2016][3241] Testing localhost (127.0.0.1) [3263] [Sat Dec 3 10:28:09 2016][3263] Finished testing 127.0.0.1. Time : 477.90 secs
[Sat Dec 3 10:28:09 2016][3241] Test complete
[Sat Dec 3 10:28:09 2016][3241] Total time to scan all hosts : 495 seconds
[Sat Dec 3 10:50:37 2016][12410] Starts a new scan. Target(s) : 192.168.136.132, with max_hosts = 30 and max_checks = 10
[Sat Dec 3 10:50:37 2016][12410] exclude_hosts: Skipped 0 host(s).
[Sat Dec 3 10:50:39 2016][12410] Testing 192.168.136.132 (192.168.136.132) [12416] [Sat Dec 3 11:07:06 2016][12416] Finished testing 192.168.136.132. Time : 986.54 secs
[Sat Dec 3 11:07:06 2016][12410] Test complete
[Sat Dec 3 11:07:06 2016][12410] Total time to scan all hosts : 1010 seconds

設定ファイルはこちらに格納されています。
/etc/openvas/
# ls -l /etc/openvas
合計 16
drwxr-xr-x. 2 root root 6 9月 13 23:10 gnupg
-rw-r--r--. 1 root root 593 8月 31 23:20 gsad_log.conf(←Webコンソールログの設定ファイル
-rw-r--r--. 1 root root 1183 8月 31 23:08 openvasmd_log.conf(←OpenVASマネージャーログの設定ファイル)
-rw-r--r--. 1 root root 3315 9月 13 23:10 openvassd.conf(←スキャナの設定ファイル
-rw-r--r--. 1 root root 3230 8月 3 2015 pwpolicy.conf(←パスワードポリシーの設定ファイル

cronに登録された定期実行されるタスク
# ls -l /etc/cron.d
合計 16
-rw-r--r--. 1 root root 128 4月 1 2016 0hourly
-rw-r--r--. 1 root root 84 9月 17 2013 openvas-sync-cert
-rw-r--r--. 1 root root 85 6月 28 2010 openvas-sync-plugins
-rw-r--r--. 1 root root 81 11月 23 2012 openvas-sync-scap
# cat ./*
# Run the hourly jobs
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
01 * * * * root run-parts /etc/cron.hourly
# start plugin sync daily at 130am
30 1 * * * root /usr/sbin/openvas-certdata-sync(←毎日13:30にcertdataが更新されます
# start plugin sync daily at midnight
0 0 * * * root /usr/sbin/openvas-nvt-sync-cron(←毎日24:00にnvtが更新されます
# start plugin sync daily at 1am
0 1 * * * root /usr/sbin/openvas-scapdata-sync(←毎日13:00にscapdataが更新されます

https://インストールサーバIP or Hostname:9392にアクセスして、Webコンソール画面にログインします。

 

3.Webコンソール接続確認

Webコンソール画面にログインします。
URLには、以下を入力します。

https://インストールサーバIP or Hostname:9392

login-SS

Username: openvas-setup時に設定した管理者アカウント(デフォルトではadmin)

Password: openvas-setup時に設定したパスワード

※Microsoft edgeでブラウズする場合、表示できない場合があります。
Internet Explorer、Google Chromeでは正常動作確認済みです。

 

まず、時刻設定をUTCからAsia/Tokyoへ変更します。
Extra >> My Settings >> Edit My Settingsをクリックし、Timezoneを変更してください。
画面右上に時刻が表示されていますので、変更されていることを確認できます。

timezone

timezone3

tomezone

それでは、対象サーバにスキャンを実行していきます。
OpenVAS検証ページへ