openvas_install [Shyrka System Web Station]

Cette page est en lecture seule. Vous pouvez afficher le texte source, mais ne pourrez pas le modifier. Contactez votre administrateur si vous pensez qu'il s'agit d'une erreur.
====== OpenVAS - Présentation et Installation ======
<label type="info">Création</label> --- //[[nekan@shyrkasystem.com|Nicolas THOREZ]] 2020/05/11 12:25//

''OpenVAS'', pour **Open** **V**ulnerability **A**ssessment **S**canner, est un logiciel de test de pénétration réseau. Il est utile pour vérifier l'existence de failles de sécurité sur un serveur ou un service réseau. Une fois ses tests terminés, il affiche son rapport avec des préconisations pour la résolution des failles détectées.

<callout type="info" title="Environnement" icon="true">Procédure testée et réalisée sur un VM Debian 10 hébergée sur un ESXi 6.</callout>

<callout type="danger" title="Droits" icon="true">Cette procédure nécessite des droits ''root''. Par conséquent, faîtes attention à ce que vous faîtes.</callout>

===== Installation de base =====

  * Comme toujours avant toute installation, on met à jour son serveur :
<sxh bash>apt-get update
apt-get upgrade -y</sxh>
  * On peut lancer l'installation des paquets ''OpenVAS'' :
<sxh bash>apt-get install -y openvas</sxh>
  * Une fois l'installation terminée, on peut lancer la configuration automatique de ''OpenVAS'' :
<callout type="warning" title="Patience" icon="true">Attention, cette étape peut être assez longue.</callout>
<sxh bash>openvas-setup</sxh>
  * A la fin de la configuration, ''OpenVAS'' crée automatiquement l'utilisateur ''admin'' avec un mot de passe aléatoire qu'il indique dans la console, par exemple :
<sxh bash>...
sent 43 bytes  received 114 bytes  314.00 bytes/sec
total size is 13  speedup is 0.08
Greenbone community feed server - http://feed.community.greenbone.net/
This service is hosted by Greenbone Networks - http://www.greenbone.net/

All transactions are logged.

If you have any questions, please use the Greenbone community portal. 
See https://community.greenbone.net for details.

By using this service you agree to our terms and conditions.

Only one sync per time, otherwise the source ip will be temporarily blocked.

receiving incremental file list
timestamp
             13 100%   12.70kB/s    0:00:00 (xfr#1, to-chk=0/1)

sent 43 bytes  received 114 bytes  104.67 bytes/sec
total size is 13  speedup is 0.08
User created with password '1dd2de57-3132-4061-8dfb-e41e74c74af7'.
</sxh>

<callout type="success" title="Installation" icon="true">A partir de là, ''OpenVAS'' est accessible à l'adresse : https://127.0.0.1:9392</callout>

===== Installation avancée =====

  * On peut vouloir accéder à ''OpenVAS'' depuis une adresse IP publique. Dans ce cas, on édite les fichiers ''/lib/systemd/system/greenbone-security-assistant.service'' et ''/lib/systemd/system/openvas-manager.service'' en y remplaçant chaque itération de ''127.0.0.1'' par l'adresse IP publique du serveur (dans notre exemple, on utilisera l'adresse 1.2.3.4) :
<sxh bash>cd /lib/systemd/system
sed -i 's/127.0.0.1/1.2.3.4/g' greenbone-security-assistant.service
sed -i 's/127.0.0.1/1.2.3.4/g' openvas-manager.service</sxh>
  * Les adresses modifiées, on n'oublie pas de recharger les services et de redémarrer ''OpenVAS'' :
<sxh bash>systemctl daemon-reload
openvas-stop
openvas-start</sxh>

<callout type="success" title="Installation" icon="true">Désormais, ''OpenVAS'' est disponible à l'adresse https://1.2.3.4:9392</callout>

  * Les définitions de menaces et failles de sécurité sont mis à jour une fois par semaine sur les sites de sécurité mais la mise à jour au niveau de ''OpenVAS'' est, elle, manuelle par défaut. Pour l'automatiser, on va créer un script ''bash'' à cet effet :
<sxh bash>nano /usr/local/batch/update-openvas-feeds.sh</sxh>
<sxh bash>#!/bin/bash

# Script de mise à jour des définitions de OpenVAS

/usr/sbin/greenbone-nvt-sync
/usr/sbin/greenbone-certdata-sync
/usr/sbin/greenbone-scapdata-sync
/usr/sbin/openvasmd -update -progress
/usr/bin/openvas-stop && /usr/bin/openvas-start
</sxh>
  * On donne les droits d'exéxution à ce nouveau script :
<sxh bash>chmod +x /usr/local/batch/update-openvas-feeds.sh</sxh>
  * Il ne nous reste plus qu'à mettre en place un ''cron'' pour lancer le script une fois par semaine, le samedi à 1h00 du matin par exemple :
<sxh bash>nano /etc/cron.d/update-openvas-feeds</sxh>
<sxh bash>0 1 * * 6 root /usr/local/batch/openvas-feeds-update.sh</sxh>

<callout type="success" title="Installation" icon="true">Voilà, ''OpenVAS'' peut désormais être correctement utilisé.</callout>
<callout type="danger" title="Sécurité" icon="true">N'oubliez pas de changer le mot de passe à votre première connexion, même si celui donné par défaut semble assez compliqué à cracker.</callout>

~~DISCUSSION~~