OpenVAS 8.0 Ubuntu 14.04 LTS vom Quellcode installieren – Teil 2

Im ersten Teil diese Beitrages wurde gezeigt, wie man OpenVAS 8.0 vom Quellcode installieren kann. Außerdem habe wir diverse Feeds aus verschiedenen Quellen heruntergeladen, Zertifikate erstellt,  Datenbanken initialisiert und die notwendigen Benutzerkonten eingerichtet.

Nun wollen wir zunächst prüfen, ob die Installation erfolgreich war bzw. mögliche Fehlerquellen aufdecken. Hierzu stellt OpenVAS das Skript openvas-check-setup  zur Verfügung, das die notwendigen Tests vornimmt.  Mit den folgenden Befehlen laden wir das Skript herunter, vergeben die notwendige Rechte zur Ausführung und starten es. In unserem speziellen Fall soll geprüft werden, ob alle Einstellungen für die Version 8 richtig vorgenommen wurden.

wget https://svn.wald.intevation.org/svn/openvas/trunk/tools/openvas-check-setup --no-check-certificate
 
chmod 0755 openvas-check-setup
 
./openvas-check-setup --v8 --server
									

Hat man alles richtig installiert und eingestellt, so sollte dies mit der folgenden Ausgabe bestätigt werden:

openvas-check-setup 2.3.3
Test completeness and readiness of OpenVAS-8
(add '--v6' or '--v7' or '--v9'
if you want to check for another OpenVAS version)
Please report us any non-detected problems and
help us to improve this check routine:
http://lists.wald.intevation.org/mailman/listinfo/openvas-discuss
Send us the log-file (/tmp/openvas-check-setup.log) to help analyze the problem.
Step 1: Checking OpenVAS Scanner ... 
OK: OpenVAS Scanner is present in version 5.0.5.
OK: OpenVAS Scanner CA Certificate is present as /usr/local/var/lib/openvas/CA/cacert.pem.
OK: redis-server is present in version v=2.8.4.
OK: scanner (kb_location setting) is configured properly using the redis-server socket: /tmp/redis.sock
OK: redis-server is running and listening on socket: /tmp/redis.sock.
OK: redis-server configuration is OK and redis-server is running.
OK: NVT collection in /usr/local/var/lib/openvas/plugins contains 46681 NVTs.
WARNING: Signature checking of NVTs is not enabled in OpenVAS Scanner.
SUGGEST: Enable signature checking (see http://www.openvas.org/trusted-nvts.html).
OK: The NVT cache in /usr/local/var/cache/openvas contains 46681 files for 46681 NVTs.
Step 2: Checking OpenVAS Manager ... 
OK: OpenVAS Manager is present in version 6.0.8.
OK: OpenVAS Manager client certificate is present as /usr/local/var/lib/openvas/CA/clientcert.pem.
OK: OpenVAS Manager database found in /usr/local/var/lib/openvas/mgr/tasks.db.
OK: Access rights for the OpenVAS Manager database are correct.
OK: sqlite3 found, extended checks of the OpenVAS Manager installation enabled.
OK: OpenVAS Manager database is at revision 146.
OK: OpenVAS Manager expects database at revision 146.
OK: Database schema is up to date.
OK: OpenVAS Manager database contains information about 46681 NVTs.
OK: At least one user exists.
OK: OpenVAS SCAP database found in /usr/local/var/lib/openvas/scap-data/scap.db.
OK: OpenVAS CERT database found in /usr/local/var/lib/openvas/cert-data/cert.db.
OK: xsltproc found.
Step 3: Checking user configuration ... 
WARNING: Your password policy is empty.
SUGGEST: Edit the /usr/local/etc/openvas/pwpolicy.conf file to set a password policy.
Step 4: Checking Greenbone Security Assistant (GSA) ... 
OK: Greenbone Security Assistant is present in version 6.0.10.
Step 5: Checking OpenVAS CLI ... 
SKIP: Skipping check for OpenVAS CLI.
Step 6: Checking Greenbone Security Desktop (GSD) ... 
SKIP: Skipping check for Greenbone Security Desktop.
Step 7: Checking if OpenVAS services are up and running ... 
OK: netstat found, extended checks of the OpenVAS services enabled.
OK: OpenVAS Scanner is running and listening on all interfaces.
OK: OpenVAS Scanner is listening on port 9391, which is the default port.
OK: OpenVAS Manager is running and listening on all interfaces.
OK: OpenVAS Manager is listening on port 9390, which is the default port.
OK: Greenbone Security Assistant is running and listening on all interfaces.
OK: Greenbone Security Assistant is listening on port 80, which is the default port.
Step 8: Checking nmap installation ...
WARNING: Your version of nmap is not fully supported: 6.40
SUGGEST: You should install nmap 5.51 if you plan to use the nmap NSE NVTs.
Step 10: Checking presence of optional tools ...
WARNING: Could not find pdflatex binary, the PDF report format will not work.
SUGGEST: Install pdflatex.
OK: ssh-keygen found, LSC credential generation for GNU/Linux targets is likely to work.
WARNING: Could not find rpm binary, LSC credential package generation for RPM and DEB based targets will not work.
SUGGEST: Install rpm.
WARNING: Could not find makensis binary, LSC credential package generation for Microsoft Windows targets will not work.
SUGGEST: Install nsis.
It seems like your OpenVAS-8 installation is OK.
If you think it is not OK, please report your observation
and help us to improve this check routine:
http://lists.wald.intevation.org/mailman/listinfo/openvas-discuss
Please attach the log-file (/tmp/openvas-check-setup.log) to help us analyze the problem.

Bei der oben gezeigten Ausgabe sollte man vor allem auf die Warnungen (WARNING) und Vorschläge (SUGGEST) achten. Hier findet man Anregungen, welche Veränderungen am System noch vorzunehmen sind.

Um  OpenVAS voll-umfänglich nutzen zu können, müssen optional weitere Pakete installiert werden. Hierbei handelt es vorrangig um Open-Source Produkte,  auf die OpenVAS zurückgreift um z.B. die Schwachstellen  von Webanwendungen beurteilen zu können. Bekannte Vertreter sind z.B. Nikto und Wapiti. Beginnen möchte ich aber mit einem Paket das benötigt wird, um OpenVAS-Berichte in PDF-Format zu erstellen. Die folgende Anweisung installiert die notwendigen Abhängigkeiten und das erforderliche Paket.

apt-get install texlive-full

Wapiti,  Nikto  und Arachni sind Schwachstellenscanner, die sich auf den Test von Webseiten und Webservern konzentrieren.  Die Installation der ersten beiden Scanner kann relativ unproblematisch mit folgenden Befehlen erfolgen:

# Wapiti installieren
sudo apt-get install wapiti
# Nikto installieren
cd /usr/local/src
wget https://github.com/sullo/nikto/archive/master.zip
unzip master.zip
ln -s /usr/local/src/nikto-master/program/nikto.pl /usr/local/bin/nikto.pl

Eine gute Anleitung zur Installation des Arachni-Scanners unter Ubuntu 14.4 findet man hier.

Abschließend muss noch der Ubuntu-Server für einen Neustart so vorbereitet werden, dass OpenVAS mit allen Komponenten automatisch gestartet werden. Auch hier leistet das Skript von dieser Webseite hervorragende Dienste. Mit den folgenden Anweisungen wird das entsprechende Skript mittels wget heruntergeladen und die notwendigen Einstellungen im System vorgenommen.

cd /usr/local/src ;
wget http://www.serenity-networks.com/files/openvas-startupscripts-v8.tar.gz ;
tar zxvfp openvas-startupscripts-v8.tar.gz ;
cd openvas-startupscripts-v8 ;
cp etc/* /etc/ -arvi ;
update-rc.d openvas-manager defaults ;
update-rc.d openvas-scanner defaults ;
update-rc.d greenbone-security-assistant defaults

 

Schreibe einen Kommentar