OpenVAS (Open Vulnerability Assessment Scanner) - Бесплатный сканер сканер уязвимостей, позволяющий обнаруживать узлы,, сервисы и уязвимости в сети.
Перед установкой нет необходимости устанавливать и настраивать компоненты redis, postgresql, их установка может вызвать проблемы в работе сканера, во время установки все установится и настроится автоматически.
Установка репозиториев
Для установки OpenVAS (gvm) требуется наличие определенных пакетов, необходимо подключить epel, powertools и atimic repo.
Установка epel:
1 | dnf install epel-release |
Установка powertools:
1 2 | dnf -y install dnf-plugins-core dnf config-manager --set-enabled powertools |
Установка atimic repo:
1 | wget -q -O - https://updates.atomicorp.com/installers/atomic | sudo sh |
По окончании установки, необходимо обновить список пакетов и принять, если это требуется, подписи репозиториев.
1 | dnf update |
Отключение selinux
В процессе установки сканер попросит отключить selinux, если это не сделано, что бы не прерывать процесс установки лучше это сделать заранее.
1 | sed -i 's/=enforcing/=disabled/' /etc/selinux/config |
После чего потребуется перезагрузка системы
1 | reboot |
Установка OpenVAS (gvm)
Для установки компонентов сканера выполняем команду ниже, будут установлены все необходимые пакеты и зависимости.
1 | dnf -y install gvm |
После чего выполняем команду
1 | gvm-setup |
которая настроит все компоненты и скачает базы уязвимостей.
Когда все процессы будут завершены, утилита запросит пароль для учетной записи admin.
Установка сканера gvm-setup может занять значительное время.
Для начала работы со сканеров, просто заходим на IP адрес сервера в браузере.
По окончанию установки, сканер еще не готов к работе, ему требуется время на перенос сигнатур в базу данных. При этом если зайти в список уязвимостей их статус будет "The SCAP database is required"
Необходимо дождаться пока изменится статус подписок (feed status)
Настройка межсетевого экрана
В процессе установки gvm откроет 443 (https) порт, дополнительно можно, но не обязательно, открыть 80 порт для перенаправления.
1 2 | firewall-cmd --permanent --add-service=http firewall-cmd --reload |