پیش نیاز
تنظیمات ارائه شده در centos7 کاربرد دارد. حداقل سخت افزار مورد نیاز برای نصب centos7 مینیمال برای نصب openvas9 به شرح زیر می باشد:
Memory 4G
Hard 40G
Number of processors 2
کاربرد
openvas ابزار متن باز برای شناسایی آسیبپذیری های موجود در سیستمها می باشد که مخفف Open Vulnerability Assessment System است و ابزار مناسبی برای یادگیری و تست آسیبپذیری های موجود در سیستمها می باشد.
نصب openvas
در ادامه به توضیح نصب Centos و نصب OpenVas بر روی آن می پردازیم:
نصب Centos و نصب OpenVas بر روی آن
ابتدا Centos را نصب نمایید و قبل از نصب openvas بر روی آن باید یک سری پیش نیاز نصب شود که میتوانید از دستور زیر برای نصب آن استفاده کنید.
yum install wget bzip2 net-tools
برای نصب openvas نیاز به ریپوزیتوری atomic داریم که می توانید از مسیر زیر آن را دریافت کنید.
wget –O –q http://www.atomicorp.com/installers/atomic | sh
نکته
قبل از نصب openvas بهتر است selinux را غیرفعال کنید که برای نصب و اجرای openvas با مشکل دسترسی مواجه نشوید. از مسیر vim /etc/selinux/config متغییر SELINUX را disabled کنید.
SELINUX=disabled
openvas را با دستور زیر نصب کنید.
yum install openvas
بعد از نصب openvas فایل redis.conf را از مسیر vim /etc/redis.conf ویرایش کنید و در این فایل دو خط زیر را uncomment کنید.
unixsocket /tmp/redis.sock
unixsocketperm 700
سرویس redis را restart کنید.
Systemctl enable redis
Systemctl restart redis
بعد از نصب، openvas را با دستور زیر اجرا کنید که شامل 3 مرحله می باشد.
Openvas-setup
نکته
هنگام اجرای openvas-setup ممکن است با پیغام ERROR: certtool binary not found! مواجه شوید که می توانید پکیج آن را با دستور زیر نصب کرده و openvas-setup را دوباره اجرا کنید.
yum install gnutls-utils
بعد از اتمام نصب با دستور زیر یک certificate برای رابط مدیریت openvas نصب می کنیم.
openvas-manage-certs –af
نکته
بعد از نصب openvas سرویس های openvas-manager، openvas-scanner و gsad اجرا می شود. سرویس gsad روی پورت 9392، listen می باشد ولی در openvas9 سرویس openvas-manager روی پورت 9390، listen نمی باشد. برای ارتباط کورلاگ با openvas این سرویس باید روی این پورت listen باشد برای این کار مراحل زیر را باید انجام دهید.
از مسیر vim /etc/sysconfig/openvas-manager خط ذیل را اضافه کنید:
" OPTIONS= "--listen=0.0.0.0 --port=9390 --database=/var/lib/openvas/mgr/tasks.db
این خط سرویس OMP (openvas manager protocol) را روی پورت 9390 فعال می کند.
سپس از مسیر vim /etc/systemd/system/multi-user.target.wants/gsad.service در خط ExecStart، optionهای –mlisten 127.0.0.1 –mport 9390 را اضافه کنید . این تنظیمات برای سرویس gsad ( greenbone security assistant) که مربوط به webgui است ، آدرس و پورت Manager را مشخص میکند که در مرحله قبل برای سرویس manager تنظیم شده است
ExecStart=/usr/sbin/gsad --listen $GSA_ADDRESS --port $GSA_PORT $OPTIONS --mlisten 127.0.0.1 --mport 9390
سپس سرویس daemon که در واقع همان openvas-manager است را reload کنید.
systemctl daemon-reload
بعد از آن سرویس های openvas-manager، openvas-scanner و gsad را restart کنید.
systemctl restart openvas-manager
systemctl restart openvas-scanner
systemctl restart gsad
برای اینکه بتوانید با webgui به openvas وصل شوید پورت 9392 و برای ارتباط کورلاگ با openvas باید پورت 9390 را در فایروال باز کنید.
firewall-cmd --permanent --add-port=9390/tcp
firewall-cmd --permanent --add-port=9392/tcp
برای ساخت اکانت کاربری برای OpenVAS از دستورات زیر استفاده نمایید. خط اول مربوط به ساخت اکانت کاربری جدید می باشد و خط دوم مربوط به تنظیم پسورد حساب کاربری ساخته شده می باشد.
openvasmd --create-user=admin --role=Admin
openvasmd --user=admin --new-password=password
در مرحله آخر با توجه به IP تنظیم شده روی Centos در یک مرورگر می توانید به صفحه تنظیمات Openvas به روش ذیل وارد شوید و سپس با استفاده از نام کاربری و پسورد وارد شده در مرحله قبل لاگین نمایید.
https://Ip:9392
برای بروزرسانی آفلاین ابتدا باید از طریق لینک های ذیل اقدام به دانلود پلاگین های مربوطه نمایید.
http://lists.wald.intevation.org/pipermail/openvas-plugins/
http://dl.greenbone.net/community-nvt-feed-current.tar.bz2
سپس با استفاده از نرم افزار WinScp وارد دایرکتوری های لینوکس شده و فایل های دانلود شده را در مسیر ذیل کپی نمایید. دقت شود در صورتی که از لینک دوم و فرمت Tar استفاده می نمایید باید بسته در مسیر ذیل Unpack شود:
/var/lib/openvas/plugins
توصیه می شود نهایتا هفته ای یک بار برای گرفتن نتیجه بهتر اقدام به بروزرسانی OpenVas نمایید.
برای بررسی بیشتر سرویس های اجرا شده OpenVAS و چک کردن آنهامی توان از کامنت های ذیل بهره برد:
openvas-check-setup
systemctl status openvas-manager
systemctl status openvas-scanner
vi /etc/openvas/openvassd.conf
برای اجرا و یا خاموش کردن سرویس های OpenVAS یا همچنین مشاهده تغییرات آنلاین انجام شده می توان از دستورات ذیل بهره گرفت:
Service openvas-manager start
Service openvas-manager stop
Service openvas-scanner start
Service openvas-scanner stop
tail –f /var/log/openvas/openvasmd.log
پیکربندی سامانه کورلاگ
تنظیم vulnerability management
در ماژول Vulnerability برای اضافه کردن openvas روی New کلیک کنید. در پنجره باز شده نوع اسکنر،IP اسکنر ، username و passwordای که برای login به openvas از طریق webUI استفاده می کنید را وارد کنید و شماره port را نیز 9390 وارد نمایید و آن را save کنید.
بعد از آنکه openvas را اضافه کردید روی scan management کلیک کنید. در این مرحله اگر کورلاگ نتواند به سرور openvas، connectشود پیغام unable to connect to vulnerability server ظاهر می شود در غیر این صورت پیغامی ظاهر نمی شود.در پنجره باز شده در قسمت target می توانید ماشینی را که می خواهید اسکن کنید انتخاب کنید.
در انتها روی start کلیک کنید تا اسکن شروع شود. بعد از اتمام اسکن از قسمت view reports می توانید گزارش تولید شده را ببینید.
