Последнее обновление 05.07.2017

Далее описывается установка OpenVAS 8. Если вас интересует установка OpenVAS 9 читайте статью “Installing OpenVAS 9 from the sources“

Если вы попробуете поискать статьи об OpenVAS, уверен, что большинство из них будет про его установку: установка в Кали (в 3-х команды) и различные bash-скрипты для установки из исходников.

Преимущества установки из исходников:

• Это самый быстрый способ наиболее свежую стабильную и бета-версию OpenVAS для ежедневного использования и тестирования.
• Так безопаснее. Официальных установочных пакетов OpenVAS не существует, по-этому при установке OpenVAS из пакетов приходится доверяться энтузиастам, которые их собирают. Иногда это не вариант.
• Все равно есть необходимость в скриптах для обновления и управления OpenVAS-ом. Даже запуск OpenVAS это тот еще квест: вам нужно проверить статус базы данных, запустить службы в правильном порядке (удостоверившись, что они полностью запустились).
• Это первый шаг на пути к полной автоматизации сканирования OpenVAS-ом.

Недостатки:

• Будет необходимо скачать и установить много дополнительных пакетов. Придется скачать около 2Gb файлов, а их установка на медленной машине может занять часы (особенно в случае пакетов TeX).
• Собрать OpenVAS из исходников тоже время занимает. Примерно столько же, сколько занимает обновления базы знаний.

Редакция OpenVAS Russia рекомендует использовать для установки и управления OpenVAS-ом скрипт – openvas_commander.sh. Он тестировался на Debian 8.5,  но должен также работать на Ubuntu и Kali. Оригинальная заметка про этот скрипт (eng).

В чем преимущества этого скрипта?

1. openvas_commander берет пакеты из http://openvas.org/install-source.html

Так что, когда Greenbones выпустит новую версию OpenVAS, то не надо будет ничего менять в cкрипте. Конечно, если структура страницы существенно не изменится (она оставалась неизменной в течение многих лет).

# ./openvas_commander.sh  --show-releases
OpenVAS-8
OpenVAS-9 BETA

# ./openvas_commander.sh  --show-sources "OpenVAS-8"
http://wald.intevation.org/frs/download.php/2291/openvas-libraries-8.0.7.tar.gz
http://wald.intevation.org/frs/download.php/2266/openvas-scanner-5.0.5.tar.gz
http://wald.intevation.org/frs/download.php/2295/openvas-manager-6.0.8.tar.gz
http://wald.intevation.org/frs/download.php/2299/greenbone-security-assistant-6.0.10.tar.gz
http://wald.intevation.org/frs/download.php/2332/openvas-cli-1.4.4.tar.gz
http://wald.intevation.org/frs/download.php/1975/openvas-smb-1.0.1.tar.gz
http://wald.intevation.org/frs/download.php/2177/ospd-1.0.2.tar.gz
http://wald.intevation.org/frs/download.php/2005/ospd-ancor-1.0.0.tar.gz
http://wald.intevation.org/frs/download.php/2097/ospd-debsecan-1.0.0.tar.gz
http://wald.intevation.org/frs/download.php/2003/ospd-ovaldi-1.0.0.tar.gz
http://wald.intevation.org/frs/download.php/2149/ospd-paloalto-1.0b1.tar.gz
http://wald.intevation.org/frs/download.php/2004/ospd-w3af-1.0.0.tar.gz
http://wald.intevation.org/frs/download.php/2181/ospd-acunetix-1.0b1.tar.gz
http://wald.intevation.org/frs/download.php/2185/ospd-ikescan-1.0b1.tar.gz
http://wald.intevation.org/frs/download.php/2204/ospd-ikeprobe-1.0b1.tar.gz
http://wald.intevation.org/frs/download.php/2213/ospd-ssh-keyscan-1.0b1.tar.gz
http://wald.intevation.org/frs/download.php/2219/ospd-netstat-1.0b1.tar.gz

2. Скрипт использует “checkinstall”, а не “make install”. Он создаст и установит пакеты для openvas-smb, openvas-libraries, openvas-scanner, openvas-manager, openvas-cli и greenbone-security-assistant. Эти пакеты можно будет легко удалить при помощи “dpkg -r”.

# dpkg --list | egrep "(openvas|green)"
ii  greenbone-security-assistant      6.0.10-1                             i386         Package created with checkinstall 1.6.2
ii  openvas-cli                       1.4.4-1                              i386         Package created with checkinstall 1.6.2
ii  openvas-libraries                 8.0.7-1                              i386         Package created with checkinstall 1.6.2
ii  openvas-manager                   6.0.8-1                              i386         Package created with checkinstall 1.6.2
ii  openvas-scanner                   5.0.5-1                              i386         Package created with checkinstall 1.6.2
ii  openvas-smb                       1.0.1-1                              i386         Package created with checkinstall 1.6.2

Полный процесс установки выглядит так (запустить от root):

./openvas_commander.sh  --install-dependencies

./openvas_commander.sh  --show-releases
OpenVAS-8
OpenVAS-9 BETA

./openvas_commander.sh --download-sources "OpenVAS-8" 
./openvas_commander.sh --create-folders
./openvas_commander.sh --install-all
./openvas_commander.sh --configure-all
./openvas_commander.sh --update-content
./openvas_commander.sh --rebuild-content
./openvas_commander.sh --start-all

Затем просто идем на https://<ip>/login/login.html

Если что-то пойдет не так “–check-status” (openvas-check-setup) покажет ошибки:

# ./openvas_commander.sh --check-status
openvas-check-setup 2.3.3
  Test completeness and readiness of OpenVAS-8
  (add '--v6' or '--v7' or '--v9'
   if you want to check for another OpenVAS version)

  Please report us any non-detected problems and
  help us to improve this check routine:
  http://lists.wald.intevation.org/mailman/listinfo/openvas-discuss

  Send us the log-file (/tmp/openvas-check-setup.log) to help analyze the problem.

Step 1: Checking OpenVAS Scanner ... 
        OK: OpenVAS Scanner is present in version 5.0.5.
        OK: OpenVAS Scanner CA Certificate is present as /usr/local/var/lib/openvas/CA/cacert.pem.
[...]