| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente |
| openvas_install [2020/03/12 17:18] – nekan | openvas_install [2021/03/05 19:45] (Version actuelle) – nekan |
|---|
| ~~CLOSETOC~~ | |
| ====== OpenVAS - Présentation et Installation ====== | ====== OpenVAS - Présentation et Installation ====== |
| | <label type="info">Création</label> --- //[[nekan@shyrkasystem.com|Nicolas THOREZ]] 2020/05/11 12:25// |
| |
| ''OpenVAS'', pour **Open** **V**ulnerability **A**ssessment **S**canner, est un logiciel de test de pénétration réseau. Il est utile pour vérifier l'existence de failles de sécurité sur un serveur ou un service réseau. Une fois ses tests terminés, il affiche son rapport avec des préconisations pour la résolution des failles détectées. | ''OpenVAS'', pour **Open** **V**ulnerability **A**ssessment **S**canner, est un logiciel de test de pénétration réseau. Il est utile pour vérifier l'existence de failles de sécurité sur un serveur ou un service réseau. Une fois ses tests terminés, il affiche son rapport avec des préconisations pour la résolution des failles détectées. |
| |
| <note>Procédure testée et réalisée sur un VM Debian 9 hébergée sur un ESXi 6.</note> | <callout type="info" title="Environnement" icon="true">Procédure testée et réalisée sur un VM Debian 10 hébergée sur un ESXi 6.</callout> |
| |
| <note warning>Cette procédure nécessite des droits ''root''. Par conséquent, faîtes attention à ce que vous faîtes.</note> | <callout type="danger" title="Droits" icon="true">Cette procédure nécessite des droits ''root''. Par conséquent, faîtes attention à ce que vous faîtes.</callout> |
| |
| <note tip>Par défaut, ''OpenVAS'' utilise ''SQLite3'' comme base de données. Cependant, si cette base grossit un peu trop du fait des nombreuses tâches créées, le service peut devenir lent voire se planter et ne plus pouvoir être redémarrer. Pour éviter cela, on va l'installer avec ''PostgreSQL''.</note> | ===== Installation de base ===== |
| | |
| ===== Installation ===== | |
| | |
| ==== Prérequis ==== | |
| |
| * Comme toujours avant toute installation, on met à jour son serveur : | * Comme toujours avant toute installation, on met à jour son serveur : |
| <sxh bash>apt-get update | <sxh bash>apt-get update |
| apt-get upgrade -y</sxh> | apt-get upgrade -y</sxh> |
| * On installe ensuite les prérequis : | * On peut lancer l'installation des paquets ''OpenVAS'' : |
| <sxh bash>apt-get install -y dirmngr build-essential devscripts software-properties-common</sxh> | <sxh bash>apt-get install -y openvas</sxh> |
| | * Une fois l'installation terminée, on peut lancer la configuration automatique de ''OpenVAS'' : |
| | <callout type="warning" title="Patience" icon="true">Attention, cette étape peut être assez longue.</callout> |
| | <sxh bash>openvas-setup</sxh> |
| | * A la fin de la configuration, ''OpenVAS'' crée automatiquement l'utilisateur ''admin'' avec un mot de passe aléatoire qu'il indique dans la console, par exemple : |
| | <sxh bash>... |
| | sent 43 bytes received 114 bytes 314.00 bytes/sec |
| | total size is 13 speedup is 0.08 |
| | Greenbone community feed server - http://feed.community.greenbone.net/ |
| | This service is hosted by Greenbone Networks - http://www.greenbone.net/ |
| | |
| | All transactions are logged. |
| | |
| | If you have any questions, please use the Greenbone community portal. |
| | See https://community.greenbone.net for details. |
| | |
| | By using this service you agree to our terms and conditions. |
| | |
| | Only one sync per time, otherwise the source ip will be temporarily blocked. |
| | |
| | receiving incremental file list |
| | timestamp |
| | 13 100% 12.70kB/s 0:00:00 (xfr#1, to-chk=0/1) |
| | |
| | sent 43 bytes received 114 bytes 104.67 bytes/sec |
| | total size is 13 speedup is 0.08 |
| | User created with password '1dd2de57-3132-4061-8dfb-e41e74c74af7'. |
| | </sxh> |
| | |
| | <callout type="success" title="Installation" icon="true">A partir de là, ''OpenVAS'' est accessible à l'adresse : https://127.0.0.1:9392</callout> |
| |
| | ===== Installation avancée ===== |
| |
| ==== Préparation de la base de données ==== | * On peut vouloir accéder à ''OpenVAS'' depuis une adresse IP publique. Dans ce cas, on édite les fichiers ''/lib/systemd/system/greenbone-security-assistant.service'' et ''/lib/systemd/system/openvas-manager.service'' en y remplaçant chaque itération de ''127.0.0.1'' par l'adresse IP publique du serveur (dans notre exemple, on utilisera l'adresse 1.2.3.4) : |
| | <sxh bash>cd /lib/systemd/system |
| | sed -i 's/127.0.0.1/1.2.3.4/g' greenbone-security-assistant.service |
| | sed -i 's/127.0.0.1/1.2.3.4/g' openvas-manager.service</sxh> |
| | * Les adresses modifiées, on n'oublie pas de recharger les services et de redémarrer ''OpenVAS'' : |
| | <sxh bash>systemctl daemon-reload |
| | openvas-stop |
| | openvas-start</sxh> |
| |
| * On installe le moteur de base de donnée : | <callout type="success" title="Installation" icon="true">Désormais, ''OpenVAS'' est disponible à l'adresse https://1.2.3.4:9392</callout> |
| <sxh bash>apt-get install -y postgresql postgresql-contrib postgresql-server-dev-9.6</sxh> | |
| * Une fois le moteur de base de données installé et opérationnel, on se connecte en tant qu'utilisateur ''postgres'' : | |
| <sxh bash>sudo -Hiu postgres</sxh> | |
| * On crée le compte d'utilisateur pour la base de données : | |
| <sxh bash>createuser root</sxh> | |
| * On crée la base de données : | |
| <sxh bash>createdb -O root tasks</sxh> | |
| * On se connecte alors à la base : | |
| <sxh bash>psql tasks</sxh> | |
| * On crée le rôle d'administrateur de base de données (dba) : | |
| <sxh sql>create role dba with superuser noinherit;</sxh> | |
| * On donne les droits ''dba'' à l'utilisateur créé : | |
| <sxh sql>grant dba to root;</sxh> | |
| * On ajoute les extensions : | |
| <sxh sql>create extension "uuid-ossp";</sxh> | |
| * On sort de la base : | |
| <sxh sql>\q</sxh> | |
| * Puis on quitte le compte ''postgres'' : | |
| <sxh bash>exit</sxh> | |
| * A ce niveau, la base de données est prête. On passe donc à l'installation d'OpenVAS. | |
| |
| ==== Installation d'OpenVAS ==== | * Les définitions de menaces et failles de sécurité sont mis à jour une fois par semaine sur les sites de sécurité mais la mise à jour au niveau de ''OpenVAS'' est, elle, manuelle par défaut. Pour l'automatiser, on va créer un script ''bash'' à cet effet : |
| | <sxh bash>nano /usr/local/batch/update-openvas-feeds.sh</sxh> |
| | <sxh bash>#!/bin/bash |
| |
| * Source : [[https://launchpad.net/~mrazavi/+archive/ubuntu/openvas|Mohammad Razavi]] | # Script de mise à jour des définitions de OpenVAS |
| |
| * Vu qu'il va falloir modifier OpenVAS pour qu'il utilise PostgreSQL plutôt que SQLite, on va faire une installation à partir des sources. On commence donc par créer un répertoire qui va accueillir ces dernières : | /usr/sbin/greenbone-nvt-sync |
| <sxh bash>mkdir -p /usr/local/src/openvas</sxh> | /usr/sbin/greenbone-certdata-sync |
| * On ajoute le dépôt des sources dans ''APT'' : | /usr/sbin/greenbone-scapdata-sync |
| <sxh bash>echo "deb-src http://ppa.launchpad.net/mrazavi/openvas/ubuntu bionic main" > /etc/apt/sources.list.d/openvas.list</sxh> | /usr/sbin/openvasmd -update -progress |
| * On importe la clé du dépôt : | /usr/bin/openvas-stop && /usr/bin/openvas-start |
| <sxh bash>apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys CF38C8D889ADEAC0265E36983C453D244AA450E0</sxh> | </sxh> |
| * On remet à jour notre dépôt ''APT'' | * On donne les droits d'exéxution à ce nouveau script : |
| <sxh bash>apt-get update</sxh> | <sxh bash>chmod +x /usr/local/batch/update-openvas-feeds.sh</sxh> |
| * On installe les paquets nécessaires : | * Il ne nous reste plus qu'à mettre en place un ''cron'' pour lancer le script une fois par semaine, le samedi à 1h00 du matin par exemple : |
| <sxh bash>apt-get install -y dpkg-dev debhelper cmake pkg-config libglib2.0-dev libgnutls28-dev build-essential libgcrypt11-dev libsqlite3-dev libgpgme-dev rats libopenvas9-dev</sxh> | <sxh bash>nano /etc/cron.d/update-openvas-feeds</sxh> |
| | <sxh bash>0 1 * * 6 root /usr/local/batch/openvas-feeds-update.sh</sxh> |
| |
| {{ :underconstruction-copy-300x150.jpg |}} | <callout type="success" title="Installation" icon="true">Voilà, ''OpenVAS'' peut désormais être correctement utilisé.</callout> |
| | <callout type="danger" title="Sécurité" icon="true">N'oubliez pas de changer le mot de passe à votre première connexion, même si celui donné par défaut semble assez compliqué à cracker.</callout> |
| |
| | ~~DISCUSSION~~ |