Open Vulnerability Assessment System(OpenVAS)は、脆弱性スキャンと脆弱性管理のための最も重要で有用なオープンソースソリューションの1つです。脆弱性スキャンは、侵入テストの重要なフェーズの1つであり、深刻な故障の原因となる可能性のある脆弱なアイテムを発見するのに役立ちます。そのため、OpenVASは、既知の脅威に対して脆弱でないことを確認するための侵入テストのための効果的なツールを提供します。
OpenVASは、セキュリティの専門家や一般ユーザーを含む世界中の多くの人々によって広く使用されており、既知の弱点と悪用の独自のデータベースを使用してクライアントコンピューターに対してテストを実行するために連携して動作する1つのツールスイートでこれをすべて使用しました。
>そのため、本日の記事では、Linux CentOS 7でのインストールと構成のセットアップを示し、サーバーが攻撃からどの程度保護されているかを確認します。
関連記事:Ubuntu20.04にGVM脆弱性スキャナーをインストールする方法
ベースシステム
CentOS Linux 7(Core)を使用して、システムパッケージの基本的なインストールでOpenVASをセットアップします。このVMのハードウェアリソースは2GBのRAMと2つのCPUです。
CentOS7を搭載したLinuxVMの準備ができたら、rootクレデンシャルでログインして、以下のコマンドを使用してシステムを更新しましょう。
# yum updateAtomicorpリポジトリのセットアップ
次に、最もよく知られているAtomic Secured for Linuxから無料で入手できるAtomicorpリポジトリをセットアップします。これにより、何千ものリスクと脆弱性から自動的に保護されます。
次のコマンドを発行して、centosサーバーにインストールします。
~]# wget -q -O - http://www.atomicorp.com/installers/atomic |shこれにより、Atomic FreeUnsupportedArchiveインストーラーバージョン2.0.14がインストールされます。
先に進むには、デフォルトオプションを「はい」として選択し、Atomicorpの条件に同意します。次に、システムはオペレーティングシステムの「アトミック」yumアーカイブを構成します。これに同意するには、もう一度「はい」と入力してリポジトリを有効にします。その後、スナップショットに表示されているように、AtomicRocketTurtleアーカイブがシステムにインストールおよび構成されます。
OpenVASのインストール
次に、単純なyumコマンドを実行して、事前構成されたアトミックリポジトリを使用してOpenVASをインストールします。
~]# yum install openvas
システムは依存関係をチェックして解決するために処理し、インストールされるすべての依存関係パッケージのリストとともにトランザクションの要約を表示します。インストールを続行するには、「Y」と入力して続行します。
Transaction Summary
===============================================
Install 1 Package (+157 Dependent packages)
Upgrade ( 1 Dependent package)
Total download size: 57 M
Is this ok [y/d/N]: yこのプロセスは、OpenVASとその依存パッケージをインストールした後に終了します。
OpenVASのセットアップ
OpenVASのインストールが成功したら、セットアップを実行してさまざまなパラメーターを構成し、インターネットから最新のデータベースのダウンロードを開始します。
したがって、まず、図のようにターミナルでセットアップコマンドを実行します。
~]# openvas-setupステップ1:NVT、CERT、ScapDBを更新する
OpenVASセットアップの最初のステップは、下の画像に示すように、NVT、CERT、およびSCAPデータを更新します。
ここでは、デフォルトのオプションを選択します。これは、データのダウンロードとデータベースの構築に数分かかります。したがって、待機して、中断することなくプロセスを完了することをお勧めします。
ステップ2:GSADを構成する
このステップでは、スキャンを管理するためのWebベースのフロントエンドであるGreenboneSecurityAssistantであるGSADのIPアドレス設定を構成します。そのため、ここではデフォルト設定を選択して、任意のIPからの接続を許可します。
ステップ3:GSAD管理者ユーザーのパスワードを選択します
これはOpenVASセットアップの最後のステップであり、アカウントの構成に使用されるGSADのユーザー名とパスワードをセットアップします。
GreenboneSecurityAssistantにログイン
GSADのセットアップが完了したら、デフォルトのポートに加えてサーバーのIPまたはFQDNを指定することにより、任意のWebブラウザーからGUIにアクセスします。
https://your_servers_ip:9392/ログインページに移動します。前の手順で構成した資格情報を入力しましょう。
GreenboneSecurityAssistantへようこそ
おめでとう!このダッシュボードを使用することで、OpenVASをGreenbone Security Assistanceで正常にセットアップできました。基本的なガイドラインは、スキャンIPアドレスからすでに提供されていますが、トップバーから選択して利用可能なさまざまな機能を使用するように構成できます。
最初のスキャンを開始する
ここで、ホストまたはIPをスキャンするために、右上にIPまたはホスト名を入力し、[スキャンの開始]ボタンをクリックします。ただし、以下に示すように、レポートでこのエラーが発生するため、スキャンを実行することはできません。
この問題を解決するには、redis構成ファイルにいくつかの変更を加える必要があります。これは、次のコマンドを発行することで実行できます。
# echo "unixsocket /tmp/redis.sock" >> /etc/redis.conf
# sed -i 's/enforcing/disabled/g' /etc/selinux/config /etc/selinux/config
# systemctl enable redis.service
ln -s '/usr/lib/systemd/system/redis.service' '/etc/systemd/system/multi-user.target.wants/redis.service'
# shutdown -r 0再起動後にサーバーが復旧したら、最初にログインの詳細を入力して、GreenboneSecurityAssistantダッシュボードからホストまたはIPを再スキャンします。
これでプログレスバーが表示されます。スキャンが完了するまでに数分かかる場合があります。ホスト/IPスキャンが完了したら、スキャン完了日をクリックして、以下に示すレポートを表示します。
結論
これで、ホストをスキャンして脆弱性を特定し、サーバーを強化するときに重点を置く領域を強調表示するために、完全に機能するOpenVASサーバーをセットアップできます。
セットアップやスキャンの実行中にまだ問題が発生する場合は、喜んでサポートさせていただきますので、お気軽にご連絡ください。