OpenVAS noto come Open Vulnerability Assessment System è la suite di vulnerabilità open source per eseguire il test sui server per le vulnerabilità note utilizzando il database (Network Vulnerability Tests), OpenVAS è un software libero, i suoi componenti sono concessi in licenza sotto GNU General Public License (GNU GPL). Ecco la piccola guida per configurare OpenVAS su CentOS 6 / RHEL 6.
Repository di configurazione:
Emetti il seguente comando nel terminale per installare il repository atomico.
wget -q -O - http://www.atomicorp.com/installers/atomic |sh
Accetta il contratto di licenza.
ln:`/etc/system-release' e `/etc/redhat-release' sono lo stesso file
Programma di installazione di Atomic Free Unsupported Archive, versione 2.0.11
INSTALLANDO QUESTO SOFTWARE E UTILIZZANDO QUALSIASI E TUTTO IL SOFTWARE
FORNITO DA ATOMICORP LIMITED L'UTENTE RICONOSCE E ACCETTA:
QUESTO SOFTWARE E TUTTO IL SOFTWARE FORNITO IN QUESTO REPOSITORY È
FORNITO DA ATOMICORP LIMITED COSÌ COM'È, NON È SUPPORTATO E QUALSIASI
GARANZIA ESPRESSA O IMPLICITA, INCLUSE, MA NON LIMITATE A, LE
GARANZIE IMPLICITE DI COMMERCIABILITÀ E L'IDONEITÀ PER UNO SCOPO PARTICOLARE
SONO ESCLUSE. IN NESSUN CASO ATOMICORP LIMITED, IL
PROPRIETARIO DEL COPYRIGHT O QUALSIASI CONTRIBUTORE A QUALSIASI E TUTTO IL SOFTWARE FORNITO
DA O PUBBLICATO IN QUESTO REPOSITORY SARÀ RESPONSABILE PER QUALSIASI DIRETTO,
INDIRETTO, ACCIDENTALE, SPECIALE, ESEMPLARE O DANNI CONSEQUENZIALI
(INCLUSI, MA NON LIMITATI A, APPALTI DI BENI SOSTITUITI
O SERVIZI; PERDITA DI UTILIZZO, DATI O PROFITTI; O INTERRUZIONE DELL'ATTIVITÀ)
COMUNQUE CAUSA E SU QUALSIASI TEORIA DI RESPONSABILITÀ, SIA CONTRATTUALE,
RESPONSABILITÀ O ILLECITO (COMPRESO NEGLIGENZA O ALTRO)
DERIVANTE IN QUALSIASI MODO DALL'UTILIZZO DI QUESTO SOFTWARE, ANCHE SE AVVISATO
DELLA POSSIBILITÀ DI TALE DANNI.
==========================================================================================================================================================
QUESTO SOFTWARE NON È SUPPORTATO. SE RICHIEDE UN SOFTWARE SUPPORTATO
CONSULTA L'URL QUI SOTTO PER ACQUISTARE UNA LICENZA NUCLEUS E NON
PROCEDERE CON L'INSTALLAZIONE DI QUESTO PACCHETTO.
=========================================================================================================================================================
Per i pacchetti software supportati, acquistare una licenza Nucleus:
https://www.atomicorp.com/products/nucleus.html
Tutti gli rpm del repository atomico NON sono supportati.
Accetti questi termini ? (sì/no) [Predefinito:sì] sì
Configurazione dell'archivio [atomic] yum per questo sistema
Installazione della chiave Atomic GPG:OK
Download atomic-release-1.0-18.el6.art.noarch.rpm:OK
L'archivio Atomic Rocket Turtle è stato ora installato e configurato per il tuo sistema
Sono disponibili i seguenti canali:
atomic – [ACTIVATED] – contiene l'albero stabile dei pacchetti ART
atomic-testing – [ DISABLED] – contiene l'albero di test dei pacchetti ART
atomic-bleeding – [DISABLED] – contiene l'albero di sviluppo dei pacchetti ART
Repo di sistema (solo per RHEL):
L'installazione di OpenVAS richiede il download di pacchetti aggiuntivi da Internet, se il tuo sistema non ha l'abbonamento Redhat devi configurare il repository CentOS.
vi /etc/yum.repos.d/centos.repo
Aggiungi le seguenti righe.
###32 bit ###
[CentOS] name=centos baseurl=http://mirror.centos.org/centos/6/os/i386/ enabled=1 gpgcheck=0
### 64 bit ###
[CentOS] name=centos baseurl=http://mirror.centos.org/centos/6/os/x86_64/ enabled=1 gpgcheck=0
PS:le macchine CentOS non richiedono la configurazione del repository sopra, il sistema lo crea automaticamente durante l'installazione.
Installa e configura OpenVAS:
Emetti il seguente comando per installare OpenVAS.
yum -y install openvas
Farà l'installazione del pacchetto.
texlive-texmf noarch 2007-38.el6 rhel 2.8 M texlive-texmf-dvips noarch 2007-38.el6 rhel 237 k texlive-texmf-errata noarch 2007-7.1.el6 rhel 5.2 k texlive-texmf-errata-dvips noarch 2007-7.1.el6 rhel 5.2 k texlive-texmf-errata-fonts noarch 2007-7.1.el6 rhel 5.4 k texlive-texmf-errata-latex noarch 2007-7.1.el6 rhel 5.3 k texlive-texmf-fonts noarch 2007-38.el6 rhel 48 M texlive-texmf-latex noarch 2007-38.el6 rhel 5.3 M texlive-utils x86_64 2007-57.el6_2 rhel 253 k tix x86_64 1:8.4.3-5.el6 rhel 252 k tkinter x86_64 2.6.6-29.el6_2.2 rhel 252 k w3af x86_64 1.1-2.2.el6.art atomic 14 M wapiti noarch 2.3.0-5.el6.art atomic 294 k wmi x86_64 1.3.14-4.el6.art atomic 7.7 M Transaction Summary ======================================================================================================================================================================== Install 65 Package(s) Total download size: 112 M Installed size: 368 M Downloading Packages: (1/65): PyYAML-3.10-7.el6.art.x86_64.rpm | 157 kB 00:09 (5/65): dirb-221-2.el6.art.x86_64.rpm | 42 kB 00:04 (7/65): greenbone-security-assistant-4.0.2-6.el6.art.x86_64.rpm | 530 kB 00:25 (8/65): haveged-1.3-2.el6.art.x86_64.rpm | 50 kB 00:00 (10/65): libmicrohttpd-0.9.7-1.el6.art.x86_64.rpm | 45 kB 00:00 (11/65): libyaml-0.1.3-2.el6.art.x86_64.rpm | 50 kB 00:00 (12/65): mingw32-nsis-2.46-2.el6.x86_64.rpm (6%) 56% [================================ ] 33 kB/s | 651 kB 00:15 ETA texlive-dvips.x86_64 0:2007-57.el6_2 texlive-latex.x86_64 0:2007-57.el6_2 texlive-texmf.noarch 0:2007-38.el6 texlive-texmf-dvips.noarch 0:2007-38.el6 texlive-texmf-errata.noarch 0:2007-7.1.el6 texlive-texmf-errata-dvips.noarch 0:2007-7.1.el6 texlive-texmf-errata-fonts.noarch 0:2007-7.1.el6 texlive-texmf-errata-latex.noarch 0:2007-7.1.el6 texlive-texmf-fonts.noarch 0:2007-38.el6 texlive-texmf-latex.noarch 0:2007-38.el6 texlive-utils.x86_64 0:2007-57.el6_2 tix.x86_64 1:8.4.3-5.el6 tkinter.x86_64 0:2.6.6-29.el6_2.2 w3af.x86_64 0:1.1-2.2.el6.art wapiti.noarch 0:2.3.0-5.el6.art wmi.x86_64 0:1.3.14-4.el6.art Complete!
Una volta completata l'installazione, avvia la configurazione di OpenVAS.
openvas-setup
Il programma di installazione inizierà a scaricare il database più recente da Internet.
Configurazione di Openvas, versione:0.3Passaggio 1:aggiornamento dei dati NVT e SCAPSi prega di notare che questo passaggio potrebbe richiedere del tempo.
Una volta completato, i dati NVT e SCAP verranno aggiornati automaticamente ogni 24 oreAggiornamento NVT in corso….
[i] Questo script sincronizza una raccolta NVT con "OpenVAS NVT Feed".
[i] Il "OpenVAS NVT Feed" è fornito da "The OpenVAS Project".
[i] Informazioni online su questo feed:'http://www.openvas.org/openvas-nvt-feed.html'.
[i] NVT dir:/var/lib/openvas/plugins
[i] rsync non è consigliato per la sincronizzazione iniziale. Ripiegare su http.
[i] Userà wget
[i] Usando GNU wget:/usr/bin/wget
[i] Feed http NVT configurato:http://www. openvas.org/openvas-nvt-feed-current.tar.bz2
[i] Download in:/tmp/openvas-nvt-sync.bGs0D1AtF0/openvas-feed-2014-04-15-5804.tar. bz2
–2014-04-15 13:08:09– http://www.openvas.org/openvas-nvt-feed-current.tar.bz2
Risoluzione di www.openvas.org… 5.9 .98.186
Connessione a www.openvas.org|5.9.98.186|:80… connesso.
Richiesta HTTP inviata, in attesa di risposta… 200 OK
Lunghezza:14741386 (14 M) [applicazione/x -bzip2]
Salvataggio in:“/tmp/openvas-nvt-sync.bGs0D1AtF0/openvas-feed-2014-04-15-5804.tar.bz2”12% [===============>[i] Aggiornamento /var/lib/openvas/scap-data/oval/5.10/org.mitre.oval/v/family/pixos.xml
[i] Aggiornamento /var/ lib/openvas/scap-data/oval/5.10/org.mitre.oval/v/family/unix.xml
[i] Aggiornamento /var/lib/openvas/scap-data/oval/5.10/org. mitre.oval/v/family/windows.xml
[i] Nessuna directory dei dati utente '/var/lib/openvas/scap-data/private' trovata.
Upda database di OpenVAS Manager….
Al termine, l'installazione ti chiederà di configurare l'indirizzo IP di ascolto.
Step 2: Configure GSAD The Greenbone Security Assistant is a Web Based front end for managing scans. By default it is configured to only allow connections from localhost.Allow connections from any IP? [Default: yes] yes Stopping greenbone-security-assistant: [ OK ] Starting greenbone-security-assistant: [ OK ]
Configura utente amministratore.
Step 3: Choose the GSAD admin users password. The admin user is used to configure accounts, Update NVT's manually, and manage roles. Enter administrator username [Default: admin] : admin Enter Administrator Password: Verify Administrator Password: main:MESSAGE:19950:2014-04-21 23h12.39 PDT: No rules file provided, the new user will have no restrictions. main:MESSAGE:19950:2014-04-21 23h12.39 PDT: User admin has been successfully created.
Crea un nuovo utente, dopo aver inserito la password, basta premere Ctrl+D.
Step 4: Create a user Using /var/tmp as a temporary file holder. Add a new openvassd user --------------------------------- Login : openvas Authentication (pass/cert) [pass] : Login password : Login password (again) : User rules --------------- openvassd has a rules system which allows you to restrict the hosts that openvas has the right to test. For instance, you may want him to be able to scan his own host only. Please see the openvas-adduser(8) man page for the rules syntax. Enter the rules for this user, and hit ctrl-D once you are done: (the user can have an empty rules set) Login : openvas Password : *********** Rules : Is that ok? (y/n) [y] y user added. Starting openvas-administrator... Starting openvas-administrator: [ OK ]
Una volta completato, vedrai il seguente messaggio.
Configurazione completata, ora puoi accedere a GSAD all'indirizzo:https://
Disabilita Iptables:
iptables -F /etc/init.d/iptables save
Crea certificato per gestore OpenVAS.
openvas-mkcert-client -n om -i
Non è necessario inserire alcuna informazione, verrà creata automaticamente per te.
Generazione della chiave privata RSA, modulo lungo 1024 bit………………………….++++++
……++++++
e is 65537 ( 0x10001)
Stai per essere chiesto di inserire le informazioni che verranno incorporate
nella tua richiesta di certificato.
Quello che stai per inserire è quello che viene chiamato Distinguished Name o DN.
Ci sono alcuni campi ma puoi lasciarne alcuni vuoti
Per alcuni campi ci sarà un valore predefinito,
Se inserisci '.', il campo verrà lasciato vuoto.
—–
Nome del Paese (codice di 2 lettere) [DE]:Nome dello Stato o della Provincia (nome completo) [Stato-Stato]:Nome della località (es. città) []:Nome dell'organizzazione (es. azienda) [ Internet Widgits Pty Ltd]:Nome dell'unità organizzativa (ad esempio, sezione) []:Nome comune (ad esempio, il tuo nome o il nome host del tuo server) []:Indirizzo e-mail []:Utilizzo della configurazione da /tmp/openvas-mkcert-client.20470 /stdC.cnf
Verifica che la richiesta corrisponda alla firma
Firma ok
Il nome distinto del soggetto è il seguente
countryName :PRINTABLE:'DE'
localityName :PRI NTABLE:'Berlin'
commonName :PRINTABLE:'om'
Il certificato deve essere certificato fino al 22 aprile 06:28:04 2015 GMT (365 giorni)Scrivi il database con 1 nuova voce
Database aggiornato
Utente om aggiunto a OpenVAS.
Avvia lo scanner OpenVAS, caricherà tutti i plugin scaricati.
openvassd
Ora ricostruisci il database OpenVAS.
openvasmd – ricostruireUna volta completato, avvia il gestore OpenVAS.
openvasmd
Apri il browser e punta a https://your-ip-address:9392 . Accedi con username e password creati da te.
Puoi avviare la scansione rapida inserendo l'indirizzo IP nel campo di scansione rapida.
Dopodiché vedresti un'attività immediata come di seguito.
Fare clic sull'attività per visualizzare i dettagli della scansione, i dettagli saranno come di seguito; attualmente la scansione del 60% è stata completata e puoi anche vedere i dettagli della vulnerabilità nell'area del rapporto. Puoi fare clic sui dettagli per il rapporto.
Nella pagina del rapporto hai la possibilità di scaricare il rapporto in più formati come pdf, html,xml, ecc.
Il rapporto effettivo apparirà come di seguito.
Questo è tutto, inserisci i tuoi preziosi commenti qui sotto.