root@localhost\u00a0:~# gpg --homedir=\/usr\/local\/etc\/openvas\/gnupg --gen-key<\/code><\/pre>\n\n\n\nR\u00e9pondez aux questions requises pour cr\u00e9er votre trousseau de cl\u00e9s et votre cl\u00e9. Ensuite, r\u00e9cup\u00e9rez la cl\u00e9 officielle OpenVAS Transfer.<\/p>\n\n\n\n
root@localhost:~# wget https:\/\/www.openvas.org\/OpenVAS_TI.asc\nroot@localhost:~# gpg --homedir=\/usr\/local\/etc\/openvas\/gnupg --import OpenVAS_TI.asc<\/code><\/pre>\n\n\n\nLa derni\u00e8re \u00e9tape consiste \u00e0 faire signer les choses.<\/p>\n\n\n\n
root@localhost\u00a0:~# gpg --homedir=\/usr\/local\/etc\/openvas\/gnupg --lsign-key 48DB4530\n\npub 1024D\/48DB4530 cr\u00e9\u00e9\u00a0: 2007-11-05 expire\u00a0: jamais utilisation\u00a0: SC\n confiance : inconnue validit\u00e9 : inconnue\nsous 2048g\/70610CFB cr\u00e9\u00e9\u00a0: 2007-11-05 expire\u00a0: jamais utilisation\u00a0: E\n[inconnu] (1). Int\u00e9grit\u00e9 de transfert OpenVAS\n\npub 1024D\/48DB4530 cr\u00e9\u00e9\u00a0: 2007-11-05 expire\u00a0: jamais utilisation\u00a0: SC\n confiance : inconnue validit\u00e9 : inconnue\n Empreinte de la cl\u00e9 primaire : C3B4 XXXX 288C XXXXX D526 XXXX 4847 XXXXX 48DB 4530\n\n Int\u00e9grit\u00e9 de transfert OpenVAS\n\n\u00cates-vous s\u00fbr de vouloir signer cette cl\u00e9 avec votre\ntouche \"Test OpenVAS\" (***)\n\nLa signature sera marqu\u00e9e comme non exportable.\n\nSigner vraiment ? (o\/N) o<\/code><\/pre>\n\n\n\nMaintenant que nous avons tri\u00e9 toutes les signatures GPG, r\u00e9essayons notre test.<\/p>\n\n\n\n
root@localhost\u00a0:~# openvas-nasl -p \/usr\/local\/var\/lib\/openvas\/plugins\/http_version.nasl\nbase gpgme-Message\u00a0: d\u00e9finition de GnuPG homedir sur '\/usr\/local\/var\/lib\/openvas\/gnupg'\nbase gpgme-Message : Utilisation du moteur OpenPGP version '1.4.16'\nbase gpgme-Message\u00a0: d\u00e9finition de GnuPG sysconf homedir sur '\/usr\/local\/etc\/openvas\/gnupg'<\/code><\/pre>\n\n\n\n\u00c7a a l’air beaucoup mieux. Maintenant, nous pouvons tester contre une cible. Gardez \u00e0 l’esprit que nous ex\u00e9cutons ces plugins de mani\u00e8re autonome \u00e0 partir du gestionnaire OpenVAS, de sorte que les ID cibles de la section de ligne de commande ne sont pas pertinents. Notre cible est simplement l’h\u00f4te cible ou l’adresse IP.<\/p>\n\n\n\n
root@localhost\u00a0:~# openvas-nasl -p \/usr\/local\/var\/lib\/openvas\/plugins\/pre2008\/http_methods.nasl\nbase gpgme-Message\u00a0: d\u00e9finition de GnuPG homedir sur '\/usr\/local\/var\/lib\/openvas\/gnupg'\nbase gpgme-Message : Utilisation du moteur OpenPGP version '1.4.16'\nbase gpgme-Message\u00a0: d\u00e9finition de GnuPG sysconf homedir sur '\/usr\/local\/etc\/openvas\/gnupg'\nhttp_func.inc\u00a0: Impossible de l'ouvrir ni de le localiser dans les chemins d'inclusion\n\/usr\/local\/var\/lib\/openvas\/plugins\/pre2008\/http_methods.nasl : erreur d'analyse \u00e0 ou pr\u00e8s de la ligne 80<\/code><\/pre>\n\n\n\nOh\u00a0! Presque l\u00e0. Cette erreur indique que le plugin n\u00e9cessite http_func.inc<\/code> et qu’il est introuvable. Nous devons indiquer l’emplacement du r\u00e9pertoire du plugin \u00e0 la commande openvas-nasl.<\/p>\n\n\n\nroot@localhost:\/# openvas-nasl -i \/usr\/local\/var\/lib\/openvas\/plugins\/ -t hackertarget.com \/usr\/local\/var\/lib\/openvas\/plugins\/http_version.nasl\nbase gpgme-Message\u00a0: d\u00e9finition de GnuPG homedir sur '\/usr\/local\/var\/lib\/openvas\/gnupg'\nbase gpgme-Message : Utilisation du moteur OpenPGP version '1.4.16'\nbase gpgme-Message\u00a0: d\u00e9finition de GnuPG sysconf homedir sur '\/usr\/local\/etc\/openvas\/gnupg'\nLe type de serveur Web distant est\u00a0:\n\nnginx\/1.10.3 (Ubuntu)<\/code><\/pre>\n\n\n\nDe plus, nous pouvons utiliser -d<\/code>, l’option de d\u00e9bogage pour obtenir plus d’informations.<\/p>\n\n\n\nMise \u00e0 jour des certificats client et serveur<\/h2>\n\n\n\n
Apr\u00e8s avoir ex\u00e9cut\u00e9 OpenVAS plusieurs ann\u00e9es, c’est un probl\u00e8me que j’ai rencontr\u00e9 plus d’une fois. Les diff\u00e9rents composants OpenVAS disposent de certificats pour chiffrer la communication entre les composants (y compris les clients). Ces certificats expirent et lorsque cela se produit, les choses se cassent. Le Manager ne peut pas parler au Scanner par exemple.<\/p>\n\n\n\n
La premi\u00e8re erreur que vous pouvez voir est quelque chose comme \u00a0\u00bb 503 service temporaire indisponible \/ indisponible<\/strong> \u00ab\u00a0. La v\u00e9rification du fichier journal OpenVAS Manager r\u00e9v\u00e9lera.<\/p>\n\n\n\ndepuis \/var\/log\/openvas\/openvasmd.log\n\nlib serv:WARNING:2017-06-21 05h32.56 UTC\u00a0: openvas_server_verify\u00a0: le certificat n'est pas approuv\u00e9\nlib serv:WARNING:2017-06-21 05h32.56 UTC\u00a0: openvas_server_verify\u00a0: le certificat a expir\u00e9<\/code>\n\n<\/pre>\n\n\n\nCr\u00e9ons donc de nouveaux certificats pour le serveur et les clients.<\/p>\n\n\n\n
root@localhost\u00a0: ~# openvas-mkcert -f\n\n-------------------------------------------------- -----------------------------\n Cr\u00e9ation du certificat SSL OpenVAS\n-------------------------------------------------- -----------------------------\n\nToutes nos f\u00e9licitations. Votre certificat de serveur a \u00e9t\u00e9 correctement cr\u00e9\u00e9.\n\nLes fichiers suivants ont \u00e9t\u00e9 cr\u00e9\u00e9s\u00a0:\n\n. Autorit\u00e9 de certification:\n Certificat = \/usr\/local\/var\/lib\/openvas\/CA\/cacert.pem\n Cl\u00e9 priv\u00e9e = \/usr\/local\/var\/lib\/openvas\/private\/CA\/cakey.pem\n\n. Serveur OpenVAS\u00a0:\n Certificat = \/usr\/local\/var\/lib\/openvas\/CA\/servercert.pem\n Cl\u00e9 priv\u00e9e = \/usr\/local\/var\/lib\/openvas\/private\/CA\/serverkey.pem\n\nAppuyez sur [ENTER] pour quitter\n<\/code><\/pre>\n\n\n\nEt maintenant pour les certificats clients.<\/p>\n\n\n\n
root@localhost\u00a0: ~# openvas-mkcert-client -n -i\n\nG\u00e9n\u00e9ration de cl\u00e9 priv\u00e9e RSA, module long de 4096 bits\n.................................................. .................................................. ++\n................................++\ne est 65537 (0x10001)\nVous \u00eates sur le point d'\u00eatre invit\u00e9 \u00e0 saisir des informations qui seront incorpor\u00e9es\ndans votre demande de certificat.\nCe que vous \u00eates sur le point d'entrer est ce qu'on appelle un nom distinctif ou un DN.\nIl y a pas mal de champs mais vous pouvez en laisser des vides\nPour certains champs, il y aura une valeur par d\u00e9faut,\nSi vous entrez '.', le champ sera laiss\u00e9 vide.\n-----\nNom du pays (code \u00e0 2 lettres) [DE]\u00a0:\nNom de l'\u00c9tat ou de la province (nom complet) [Some-State]\u00a0:\nNom de la localit\u00e9 (par exemple, ville) []\u00a0:\nNom de l'organisation (par exemple, soci\u00e9t\u00e9) [Internet Widgits Pty Ltd]\u00a0:\nNom de l'unit\u00e9 organisationnelle (par exemple, section) []\u00a0:\nNom commun (par exemple, votre nom ou le nom d'h\u00f4te de votre serveur) []\u00a0:\nAdresse e-mail []:\nUtilisation de la configuration de \/tmp\/openvas-mkcert-client.445\/stdC.cnf\nV\u00e9rifier que la demande correspond \u00e0 la signature\nSignature d'accord\nLe nom distinctif du sujet est le suivant\ncountryName :IMPRIMABLE:'AU'\nnom de la localit\u00e9 :IMPRIMABLE:'Sydney'\ncommonName :PRINTABLE:'om'\nLe certificat doit \u00eatre certifi\u00e9 jusqu'au 10 novembre 22:28:26 2018 GMT (365 jours)\n\nEcrire la base de donn\u00e9es avec 1 nouvelles entr\u00e9es\nBase de donn\u00e9es mise \u00e0 jour\n<\/code><\/pre>\n\n\n\nCela provient du fichier INSTALL du gestionnaire OpenVAS, mais apr\u00e8s cela, la base de donn\u00e9es n’a pas pu \u00eatre reconstruite et le journal a affich\u00e9 une erreur d’authentification :<\/p>\n\n\n\n
lib serv:WARNING:2017-11-10 22h07.27 utc:12817\u00a0: openvas_server_connect\u00a0: \u00e9chec de la connexion au serveur\u00a0: connexion refus\u00e9e\nlib auth\u00a0: INFO:2017-11-10 22h07.31 utc:12819\u00a0: configuration d'authentification introuvable.<\/code><\/pre>\n\n\n\nCe qu’il fallait, c’\u00e9tait enregistrer les nouveaux certificats aupr\u00e8s du gestionnaire OpenVAS. Pour ce faire, j’ai ex\u00e9cut\u00e9 les commandes suivantes :<\/p>\n\n\n\n
root@localhost\u00a0: ~# openvasmd --get-scanners\n* uuid est affich\u00e9 ici *\n\nroot@localhost\u00a0: ~# openvasmd --modify-scanner\n --scanner-ca-pub \/usr\/local\/var\/lib\/openvas\/CA\/cacert.pem --scanner-key-pub \/usr\/local\/var\/lib\/openvas\/CA\/clientcert.pem --scanner- cl\u00e9-priv \/usr\/local\/var\/lib\/openvas\/private\/CA\/clientkey.pem\n\nroot@localhost\u00a0: ~# openvasmd --rebuild --progress\nReconstruction du cache NVT... termin\u00e9.\n <\/code><\/pre>\n\n\n\nSuite \u00e0 cela, tout est remis sur les rails.<\/p>\n\n\n\n
Surveillance de l’instance OpenVAS Redis<\/h2>\n\n\n\n
Redis contient des donn\u00e9es appel\u00e9es KB. Il s’agit d’un magasin d’informations relatives aux t\u00e2ches d’analyse en cours. Le serveur Redis est accessible par OpenVAS \u00e0 l’aide d’un socket unix \/tmp\/redis.sock<\/code>.<\/p>\n\n\n\nIl est possible de surveiller les donn\u00e9es entrant dans la base de connaissances Redis \u00e0 l’aide de la commande de surveillance Redis standard.<\/p>\n\n\n\n
redis-cli -s \/tmp\/redis.sock<\/code><\/pre>\n\n\n\nConclusion<\/h2>\n\n\n\n
OpenVAS est une solution de test de vuln\u00e9rabilit\u00e9 hautement performante et puissante. Esp\u00e9rons que ce didacticiel et les conseils inclus s’av\u00e9reront utiles aux utilisateurs. L’\u00e9quipe de Greenbone Networks<\/a> , ainsi que la communaut\u00e9 et d’autres supporters, ont fait un travail fantastique en construisant OpenVAS. La derni\u00e8re version propose une gamme d’excellentes nouvelles fonctionnalit\u00e9s et optimisations qui ont constitu\u00e9 un grand pas en avant.<\/p>\n\n\n\nPour certains de ces articles, je n’ai fait qu’effleurer la surface. Utilisez les informations ici comme pointeurs pour vous permettre d’approfondir le syst\u00e8me OpenVAS.<\/p>\n\n\n\n
Il y a beaucoup de bonnes informations disponibles sur le site OpenVAS et dans les archives de la liste de diffusion<\/a> . Un autre emplacement souvent n\u00e9glig\u00e9 pour plus d’informations est les man<\/code>pages des serveurs openvassd et openvasmd.<\/p>\n","protected":false},"excerpt":{"rendered":"Suivez ce didacticiel OpenVAS pour obtenir un aper\u00e7u de la gestion et de l’administration d’OpenVAS . L’accent mis sur les services backend vous permettra de mettre en place et de faire fonctionner le cadre complet d’analyse des vuln\u00e9rabilit\u00e9s OpenVAS. Des conseils suppl\u00e9mentaires pour le d\u00e9pannage et le test de v\u00e9rifications individuelles compl\u00e8tent le didacticiel. Premiers […]<\/p>\n","protected":false},"author":1,"featured_media":1501,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[43],"tags":[77,33],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts\/1500"}],"collection":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/comments?post=1500"}],"version-history":[{"count":4,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts\/1500\/revisions"}],"predecessor-version":[{"id":1510,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts\/1500\/revisions\/1510"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/media\/1501"}],"wp:attachment":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/media?parent=1500"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/categories?post=1500"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/tags?post=1500"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}