OpenVAS
OpenVAS steht für Open Vulnerability Assessment Scanner und ist ein Schwachstellenscanner mit dem es möglich ist einzelne Hosts oder sogar gleich ein ganzes Netzwerk voller Hosts nach Schwachstellen abzuscannen. Dazu setzt es verschiedene Tools ein. OpenVAS ist ein Werkzeug, welches der Administrator via WebUI nutzen kann.
Installation
Die Grundlage bietet eine einfache Debian 12 Installation mit SSH für eine bequemere Administration für die Installation. Ob eine GUI gewollt ist oder nicht ist an dieser Stelle nicht relevant. Ich habe es unterlassen und beschränke mich auf eine kleine Debian-Installation. Ich setze eine VM ein, um die Möglichkeit zu haben Snapshots nach Bedarf anzufertigen auf die ich zur Not immer zurückgehen kann. Die VM hat eine 50 Gb vDisk, 2 Kerne und 4 Gb Ram zugeordnet. Der Einfachheit halber verwende ich Putty/Kitty für ein bequemes Copy/Paste.
- Sobald das OS lauffähig ist, logt man sich als Root ein oder wird mittels su - zum Root.
- Im Home von Root führst du folgenden Befehl aus: wget https://raw.githubusercontent.com/Kastervo/OpenVAS-Installation/master/openvas_install.sh && chmod +x openvas_install.sh
- Danach startest du die Installation mit ./openvas_install.sh und wartest. Es kann eine ganze Weile dauern. Bei mir waren es gute 10 Minuten.
- Kurz vor Ende der Installation wird auch das Passwort angezeigt, welches du dir gleich notieren solltest. Es schaut ungefähr wie das folgende Beispiel aus: 32b53d7a-9c2d-3f2f-be61-8cd5e7b4d854
- Im nächsten Schritt löscht du mit rm -rf die Ordner ~/source, ~/build, ~/install und die Datei ~/1.
- Nun kannst du dich auf deinem OpenVAS via Browser anmelden unter http://<die-ip-des-servers>:9392
Troubleshooting
- Möglicherweise hast du verpasst das Passwort nach der Installation in dem Textgewusel abzugreifen. Du kannst es aber neu setzen, falls du nicht in Putty hochscrollen kannst.
gvmd --user=admin --new-password=new_password
- Du willst sicherlich gleich einen Scan starten. Das wird aber gleich fehlschlagen. Der Grund dafür ist, dass zunächst die Datenbank aktualisiert werden muss bevor OpenVAS arbeiten kann. Dies kannst du oben im Menü unter Administration > Feed Status einsehen. Bei mir dauert das circa 15 Minuten.
- Du startest einen Scan und nach kurzer Zeit ( < 2 Min ) bricht er ab. In den Fehlermeldungen steht "Task interrupted unexpectedly" und in den Logs steht sowas wie "gvm : a password is required ; PWD=/ ; USER=root ; COMMAND=openvas -s". Das hat damit zu tun, dass der User gvm in sudo noch die benötigten Sudo-Rechte bekommen muss. Siehe dazu folgenden Forenthread: https://forum.greenbone.net/t/set-socket-failed-to-open-icmpv4-socket-operation-not-permitted/13702
Hier muss für den User gvm und die Gruppe die Berechtigung gesetzt werden. Wichtig ist hier, dass auch der Secure-Path stimmen muss. Folgendes Beispiel für /etc/sudoers:
# Allow users of the gvm group to run openvas
%gvm ALL = NOPASSWD: /usr/local/sbin/openvas