CentOS7 OpenVAS(GVM)のインストール

スポンサーリンク

情報セキュリティは終わりのないエンドレスなテーマで、色々なツールが世の中に出回っています。あれもこれも確かに魅力的な製品ばかりなのですが、やりだすとキリがなくお金がいくらあっても足りないということになってしまいます。

なるべくお金をかけずにセキュリティ対策を、ということでお金をかけずに脆弱性診断を実施してみようと思いたち、良く耳にするOpenVASをテスト構築してみました。そのときの覚書です。

ちなみにOpenVASという名前は厳密には使われなくなっており、Greenbone-Vulnerability-Manager(GVM)という名称に変わっています。

以下の手順でインストール準備を行います。

# wget https://updates.atomicorp.com/installers/atomic
# sh atomic

Atomic Free Unsupported Archive installer, version 5.0

BY INSTALLING THIS SOFTWARE AND BY USING ANY AND ALL SOFTWARE
PROVIDED BY ATOMICORP LIMITED YOU ACKNOWLEDGE AND AGREE:

THIS SOFTWARE AND ALL SOFTWARE PROVIDED IN THIS REPOSITORY IS
PROVIDED BY ATOMICORP LIMITED AS IS, IS UNSUPPORTED AND ANY
EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL ATOMICORP LIMITED, THE
COPYRIGHT OWNER OR ANY CONTRIBUTOR TO ANY AND ALL SOFTWARE PROVIDED
BY OR PUBLISHED IN THIS REPOSITORY BE LIABLE FOR ANY DIRECT,
INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES
(INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
OF THE POSSIBILITY OF SUCH DAMAGE.

For supported software packages please contact us at:

sales@atomicorp.com

Do you agree to these terms? (yes/no) [Default: yes][Enterを入力]

Configuring the [atomic] repo archive for this system

Installing the Atomic GPG keys: OK

Downloading atomic-release-1.0-21.el8.art.noarch.rpm: Verifying... ################################# [100%]
Preparing... ################################# [100%]
Updating / installing...
1:atomic-release-1.0-21.el8.art ################################# [100%]
OK

Enable repo by default? (yes/no) [Default: yes]:[Enterを入力]

The Atomic repo has now been installed and configured for your system
The following channels are available:
atomic - [ACTIVATED] - contains the stable tree of ART packages
atomic-testing - [DISABLED] - contains the testing tree of ART packages
atomic-bleeding - [DISABLED] - contains the development tree of ART packages

これでインストールの準備が整ったので以下のコマンドでOpenVASをインストールします。コマンドではOpenVASと指定していますが、実際にインストールされるパッケージはgreenbone-vulnerability-manager(GVM)です。同時に関連パッケージが300個近く合わせてインストールされました。

# yum install openvas

続いて初期設定および定義ファイルのダウンロード等を行います。

# openvas-setup
Openvas Setup, Version: 1.0

Step 1: Update NVT, CERT, and SCAP data
Please note this step could take some time.
Once completed, this will be updated automatically every 24 hours

Select download method
* wget (NVT download only)
* curl (NVT download only)
* rsync

Note: If rsync requires a proxy, you should define that before this step.
Downloader [Default: rsync] [Enterを入力]

<省略>

/usr/sbin/greenbone-scapdata-sync success

Updating OpenVAS Manager certificates: Complete

Pausing while openvas-scanner loads NVTs...Done

Initalizing available sources

Initalizing entropy source Hardware RNG Device

Failed to init entropy source 2: Intel RDRAND Instruction RNG

Enabling JITTER rng support

Initalizing entropy source JITTER Entropy generator

Step 2: Choose the GSAD admin users password.
The admin user is used to configure accounts,
Update NVT's manually, and manage roles.

Enter administrator username [Default: admin] :[Enterを入力]
Enter Administrator Password:[パスワードを入力]
Verify Administrator Password:[パスワードを入力]

Setup complete, you can now access GSAD at:
https://<IP>:9392

Redirecting to /bin/systemctl restart gsad.service
Created symlink from /etc/systemd/system/multi-user.target.wants/openvas-scanner.service to /usr/lib/systemd/system/openvas-scanner.service.
Created symlink from /etc/systemd/system/openvas-manager.service to /usr/lib/systemd/system/gvmd.service.
Created symlink from /etc/systemd/system/multi-user.target.wants/gvmd.service to /usr/lib/systemd/system/gvmd.service.
Created symlink from /etc/systemd/system/multi-user.target.wants/gsad.service to /usr/lib/systemd/system/gsad.service.

途中出力されているようにWeb管理画面(GSAD:Greenbone Security Assistant Web)の https://<ip>:9392にアクセスしてください、とありますが、以下の追加設定が必要です。

# echo 'OPTIONS="--listen=0.0.0.0 --port=9392"' > /etc/sysconfig/gsad
# systemctl restart gsad

上位実行後、https://[ip-address]:9392で以下の画面が表示されます。

ログインID,PASSはインストール途中に入力したものです。ひとまずこれでインストールは完了です。


GVMでは脆弱性診断を行う元データとしてNVT(Network Vulnerability Tests)を用います。これはインストールのときにもアップデートされますが、その後は手動でアップデートを行う必要があります。またNVTだけでなくSCAP(Security Content Automation Protocol)やCERTも合わせて行うほうがベターです。以下がアップデートコマンドです。

# greenbone-nvt-sync
# greenbone-scapdata-sync
# greenbone-certdata-sync


GVMの最も簡単な使い方です。ログイン直後の上のメニュー「Scans」から「Tasks」を選択します。

上記の画面の左上の赤で囲ったアイコンから「Task Wizard」を選択すると以下の画面が表示されます。

IP addressのところに診断を行いたいIPを打ち込んで右下のStart Scanをクリックします。

上記のように診断が始まります。対象のサーバにもよりますが、時間がかなりかかる場合もありますし、場合によってはサーバがダウンを起こす場合もあります。経験上、Webサーバであればコンテンツがかなり多い場合に時間もかかるし、負荷もかかり、ダウンする可能性も高くなるようなので注意が必要です。終わったあとにはレポートが表示されますので危険度が高いものがあった場合は対応が必要です。


診断が終わったあとのレポートはPDFで出力する機能があるのですが、デフォルトだとこの機能は使えず生成しても0バイトになります。これを使えるようにするために以下の手順を行います。

# yum install texlive-collection-fontsrecommended texlive-collection-latexrecommended texlive-changepage texlive-titlesec
# mkdir -p /usr/share/texlive/texmf-local/tex/latex/comment
# cd /usr/share/texlive/texmf-local/tex/latex/comment
# wget http://mirrors.ctan.org/macros/latex/contrib/comment/comment.sty
# chmod 644 comment.sty
# texhash

参考URL:https://linuxincluded.com/installing-openvas-on-centos-7/

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする