Hi,

ich habe mir openVAS aus der Suse 11.1 distri installiert, nun finde ich im Ordner /etc/openvas aber keine Dateien, auch das man ist nicht da, hm?

Ist jemandem bekannt warum?


Thx
Timm

Auch bei rpm gibt es, wie bei apt eine Funktion, um sich die Dateien auflisten
zu lassen. Manchmal landen Konfigurationen auch in /var/lib...

Welche Pakete hast du denn alle installiert? Unter openSUSE ist das RPM in einige Teile gesplittet.

Hi,


eigentlich alle bis auf "devel" betiltelte.
Unter /var/lib/openvas/ sind nur die services.


Grüße
Timm

Hi,

es gibt ein Update:
Damit man openvas installieren kann muß man per Hand die repositories einpflegen, d.h. ein weiteres anlegen. Die Info findet man hier: http://www.openvas.org/openvas-server.html

Aber ich stehe nun vor einem weiteren Problem, user und rechte habe ich angelegt,


linuxbuero:/usr/sbin # rcopenvas-server start
Starting openvasd
linuxbuero:/usr/sbin # [13816]() gpgme_new failed: User defined source 1/Not operational
pnscan.nasl could not be added to the cache and is likely to stay invisible to the client.
[13816]() gpgme_new failed: User defined source 1/Not operational
W32.Sasser.Worm.nasl could not be added to the cache and is likely to stay invisible to the client.
[13816]() gpgme_new failed: User defined source 1/Not operational
[13816]() gpgme_new failed: User defined source 1/Not operational
[13816]() gpgme_new failed: User defined source 1/Not operational

Update:
Der Server läuft auch mit diesen Fehlermeldungen man muß nur lang genug warten bis alle durchgelaufen sind.
Es hat sich natürlich nach einem Scan gleich die nächste Frage gestellt.
Nach welchen Kriterien definiert OpenVas die "Löcher"?
Nach erfolgreichen einbruch bzw. connect, oder nach der Version die er erkennt?
Das interessante dabei ist, das er an einem Rechner ein "Vuln" darstellt wo dieses Model welches er darstellt, gar nicht installiert ist.
Php 5.X einthält ein "mb..." Modul welches ein Sicherheitsloch darstellt, aber dieses Modul ist eben nicht installiert.


Grüße
Timm

gpgme_new failed: User defined source 1/Not operational


Das ist in der 3.x gefixt. Ich würde dir empfehlen auf die 3.x zu aktualisieren.

http://download.opensuse.org/repositories/security:/openvas:/UNSTABLE/



pnscan.nasl could not be added to the cache and is likely to stay invisible to the client.


pnscan (ist ein port scanner) ist nicht installiert oder nicht in $PATH. Das ist kein Fehler sondern ein Hinweis. Du brauchst pnscan nicht zwingend.



W32.Sasser.Worm.nasl could not be added to the cache and is likely to stay invisible to the client.


Dieses Plugin kannst du löschen. Das gibt es eigentlich nicht mehr. Du hast es noch, weil du openvas-plugins-1.x installiert hast. Ab der 3.x gibt es kein Paket openvas-plugins mehr. Du führst nach der Installation einfach openvas-nvt-sync aus und bekommst alle aktuellen Plugins.



Update:
Der Server läuft auch mit diesen Fehlermeldungen man muß nur lang genug warten bis alle durchgelaufen sind.


Ja, der erste Start dauert etwas. ;) Da wir der Cache erzeugt...



Es hat sich natürlich nach einem Scan gleich die nächste Frage gestellt.
Nach welchen Kriterien definiert OpenVas die "Löcher"?
Nach erfolgreichen einbruch bzw. connect, oder nach der Version die er erkennt?


Das kommt darauf an. Es gibt Plugins die "nur" eine Versionsprüfung vornehmen und welche, die versuchen eine Schwachstelle aktiv auszunutzen.



Das interessante dabei ist, das er an einem Rechner ein "Vuln" darstellt wo dieses Model welches er darstellt, gar nicht installiert ist.
Php 5.X einthält ein "mb..." Modul welches ein Sicherheitsloch darstellt, aber dieses Modul ist eben nicht installiert.


Lass mich raten...es reported "Heap-based buffer overflow in 'mbstring' extension for PHP".

Du kannst remote nicht ohne weiteres feststellen, ob "mbstring" aktiviert ist. Daher wird hier "nur" geprüft, welche php version installiert ist. Gilt diese Version als vulnerable, wird gewarnt.

HTH

Micha

Hi,

danke für die Info.
Habe jetzt die 3.0er installiert.
Bekomme jetzt beim rcopenvas-scanner start zwar keine Fhelermeldung aber in den messages steht folgendes:


Feb 26 16:52:28 linuxbuero kernel: [28165.753211] npviewer.bin[19018]: segfault at 0 ip (null) sp bf9958d0 error 4 in npviewer.bin[8048000+23000]Und rcopenvas-scanner status zeigt "dead" an.

Update: Solange der Client nicht gestartet bzw. einen connect aufbauen weill, läuft der Scanner.
Es ist aber die Version 3.0 Client.

Grüße
Timm

Habe jetzt die 3.0er installiert.
Bekomme jetzt beim rcopenvas-scanner start zwar keine Fhelermeldung aber in den messages steht folgendes:


Feb 26 16:52:28 linuxbuero kernel: [28165.753211] npviewer.bin[19018]: segfault at 0 ip (null) sp bf9958d0 error 4 in npviewer.bin[8048000+23000]


npviewer.bin hat irgendwas mit Adobe Flash zu tun (IIRC ein Wrapper so dass das 32-bit Flash auf einem 64-bit Linux laufen kann). Das hat nichts mit OpenVAS zu tun.



Und rcopenvas-scanner status zeigt "dead" an.


OpenVAS schreibt ein eigenes Logfile (openvassd.messages). Schaue in /var/log/ nach dieser Datei. Im Zweifel starte OpenVAS mal in einer Shell.

/sbin/openvassd

Bekommst du da irgendwelche Fehlermeldungen? Hast du das Cert erstellt (openvas-mkcert)?

HTH

Micha

Hi micha,


bie der Version 2 schon, da der user auch noch da ist, dachte ich das cert auch, werde es mal starten.

Update:
Er scheint jetzt zu laufen, allerdings wird ein connect vom Client anscheinend rejected, die users datei habe ich auch bearbeitet, oder muß ich da auch erst einen Befehl eingeben?


Thx
Timm

Er scheint jetzt zu laufen, allerdings wird ein connect vom Client anscheinend rejected, die users datei habe ich auch bearbeitet, oder muß ich da auch erst einen Befehl eingeben?


openvas-adduser

http://forum.ubuntuusers.de/topic/openvas-problem/

Edit: Ach so...je nachdem wie alt deine 2.x war. Port ist jetzt nicht mehr 1241 sondern 9390.

HTH

Micha

Hi micha,

ja port 9390 ist eingestellt, ich vermute eher das es irgendetwas mit dem user bzw., rechten zutun hat.
openvas-adduser habe ich mit "pass" ausgeführt, habe einen 2ten user jetzt angelegt, da ich nicht wusste ob die 3er mit der2er da identisch arbeitet.
Was mir aufgefallen ist, ist das im neuen config file kein eintrag mit user ist, lediglich rules ist zu definieren.

Thx
Timm

openvas-adduser habe ich mit "pass" ausgeführt, habe einen 2ten user jetzt angelegt, da ich nicht wusste ob die 3er mit der2er da identisch arbeitet.
Was mir aufgefallen ist, ist das im neuen config file kein eintrag mit user ist, lediglich rules ist zu definieren.


Die User liegen unter /var/lib/openvas/users/

Klappt es denn jetzt mit dem neuen User? Wenn nicht, was für eine Fehlermeldung bekommst du vom Client? Hast du openvas-nvt-sync ausgeführt?

Micha

Hi micha,

ja am Anfang habe ich openvas-nvt-sync ausgeführt um die Updates zu holen, muß ich das denn bei jeder Änderung ausführen?
Nee, mit dem neuen User klappt es ebenfalls nicht.
Muß ich denn im configfile den userordner anlegen, da er nicht definiert wird?
Außerdem ist ein userfile nicht vorhanden


[Fri Feb 26 18:22:05 2010] Fehler: Kann keine Verbindung mit localhost aufbauen

[Fri Feb 26 18:25:08 2010] Fehler: Kann keine Verbindung mit localhost aufbauen

[Fri Feb 26 18:26:43 2010] Fehler: Kann keine Verbindung mit localhost aufbauen

[Fri Feb 26 18:30:40 2010] Fehler: Kann keine Verbindung mit localhost aufbauen

[Fri Feb 26 18:31:46 2010] Fehler: Kann keine Verbindung mit localhost aufbauen

Grüße
Timm

ja am Anfang habe ich openvas-nvt-sync ausgeführt um die Updates zu holen, muß ich das denn bei jeder Änderung ausführen?


Nein. Aber regelmäßig um immer die neuesten Plugins zu bekommen. In der Regel gibt es täglich neue.



Nee, mit dem neuen User klappt es ebenfalls nicht.


Fehlermeldung vom Client?
Irgendwas im Logfile von OpenVAS. Wo genau das zu finden ist, siehst du in der openvassd.conf.

"logfile = "



Muß ich denn im configfile den userordner anlegen, da er nicht definiert wird?


Nein.



Außerdem ist ein userfile nicht vorhanden




find / -iname der_username_den_du_vergeben_hast


Bist du denn sicher das der openvassd läuft?



netstat -tlnp | grep 9390




[Fri Feb 26 18:22:05 2010] Fehler: Kann keine Verbindung mit localhost aufbauen


Hmm...sieht nicht so aus. Mach mal 'ne Shell/Console auf und führe als root "/usr/sbin/openvassd" aus. Bekommst du da irgendwelche Fehler?

Micha

Hi micha,


nee Fehlermeldung kommt keine, nur das alle plugins(16245) geladen wurden.
Wie genau muß der rules-pfad aussehen?


rules = /var/lib/openvas/users/openvas/auth/rules
openvas heisst bei mir der user
linuxbuero:/etc/openvas # openvas-adduser
Using /var/tmp as a temporary file holder.

Add a new openvassd user
---------------------------------


Login : openvas
Authentication (pass/cert) [pass] :
Login password :
Login password (again) :

User rules
---------------
openvassd has a rules system which allows you to restrict the hosts that openvas has the right to test.
For instance, you may want him to be able to scan his own host only.

Please see the openvas-adduser(8) man page for the rules syntax.

Enter the rules for this user, and hit ctrl-D once you are done:
(the user can have an empty rules set)
accept 91.118.53.0/24
accept 83.218.188.65/32
accept 192.168.3.0/24
default deny


Login : openvas
Password : ***********

Rules :
accept 91.118.53.0/24
accept 83.218.188.65/32
accept 192.168.3.0/24
default deny


Is that ok? (y/n) [y]
user added.
linuxbuero:/etc/openvas # netstat -tlnp | grep 9390
tcp 0 0 0.0.0.0:9390 0.0.0.0:* LISTEN 4674/openvassd: wai





Thx
Timm

Wie genau muß der rules-pfad aussehen?


Default ist /etc/openvas/openvassd.rules.

Eigentlich sieht das alles gut aus.

Probier doch mal folgendes:



mime@kira:~ % telnet localhost 9390
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.


Wenn das klappt dann bitte auch noch:



mime@kira:~ % openssl s_client -host localhost -port 9390
[...]
---
< OTP/1.0 > <- Eingeben
< OTP/1.0 > <- Das ist dann die Antwort vom Server
User : openvas <- Server fragt nach Username
Password : <dein paswort> <- Server fragt nach Passwort
SERVER <|> PLUGINS_MD5 <|> 01a09b35446275fb2b115a2c79838bb8 <|> SERVER <- Wieder die Antort vom Server.


Wenn das soweit klappt brauchen wir das Problem nicht weiter bei Server suchen. Eventuell dann mal - als der User, unter dem du den OpenVAS-Client ausführst - ein "rm -rf ~/.openvas*" versuchen.

Micha

Hi micha,

bin jetzt nimma im Büro, erst am Montag wieder viell. auch Sonntag, dann werde ich berichten, danke Dir erstmal. Mal sehen vielleicht läuft es ja nach einem einfachen reboot.


Thx und schönes WE.
Timm

Morgen micha,

hier die Antwort vom Server:

linuxbuero:/home/timm # telnet localhost 9390
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
openssl s-client -host localhost -port 9390
Connection closed by foreign host.
Es war ja vorher die 2er drauf, kann das damit zutun haben, das es z.B. mit dem Zertifikat Probleme gibt?

Thx
Timm

Moin,



hier die Antwort vom Server:


openssl s-client -host localhost -port 9390
Connection closed by foreign host.
Es war ja vorher die 2er drauf, kann das damit zutun haben, das es z.B. mit dem Zertifikat Probleme gibt?

Vielleicht. Ich weiss es nicht. Eventuell deinstallierst du mal alles was mit openvas zu tun hat, löscht danach alle eventuell verbliebenen Reste (/etc/openvas, ~/.openvas, ...) und installierst nochmal neu. Wenn das dann auch nicht klappt, solltest du vielleicht OpenVAS vielleicht selber aus den Sourcen bauen.

Micha

Hi micha,

vielleicht liegt es auch daran das diese Version Unstable ist.
Ich werde mal auf die nächste warten.

Thx
Timm