OpenVAS na CentOS7 Redis nie chce się uruchomić


Staram się, aby OpenVAS działał zgodnie z poniższym artykułem.
https://www.atlantic.net/commu ... tos-7
https://www.atlantic.net/commu ... tos-7
Jednak to nie działa, kiedy uruchamiam openvas-check-setup, pojawia się ten błąd poniżej, a kiedy sprawdzam/var/log/redis/redis.log, pojawia się komunikat „Otwieranie gniazda Unix: bind: Odmowa uprawnień”
openvas-check-setup 2.3.7   Test completeness and readiness of OpenVAS-8   (add '--v6' or '--v7' or '--v9'    if you want to check for another OpenVAS version)    Please report us any non-detected problems and   help us to improve this check routine:   [url=http://lists.wald.intevation.org/mailman/listinfo/openvas-discuss]http://lists.wald.intevation.o ... scuss[/url]    Send us the log-file (/tmp/openvas-check-setup.log) to help analyze the problem.    Use the parameter --server to skip checks for client tools   like GSD and OpenVAS-CLI.Step 1: Checking OpenVAS Scanner ...
OK: OpenVAS Scanner is present in version 5.0.7.
OK: OpenVAS Scanner CA Certificate is present as/var/lib/openvas/CA/cacert.pem.
OK: redis-server is present in version v=3.0.7.
OK: scanner (kb_location setting) is configured properly using the redis-server socket:/tmp/redis.sock
ERROR: redis-server is not running or not listening on socket:/tmp/redis.sock
FIX: You should start the redis-server or configure it to listen on socket:/tmp/redis.sock ERROR: Your OpenVAS-8 installation is not yet complete!

Zaproszony:
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Gratulacje, znalazłeś zły samouczek online. Wygląda na to, że autor tego samouczka nigdy sam go nie testował, aby upewnić się, że działa, ponieważ nie działa tak, jak jest. Co gorsza, wygląda na to, że ten samouczek jest w rzeczywistości powiązany z oficjalną witryną OpenVAS, która będzie dezorientująca i denerwująca dla wielu ludzi.
Tak więc powodem, dla którego redis się nie uruchamia, jest to, że SELinux uniemożliwia serwerowi redis pisanie
/tmp
... Możesz to zobaczyć w swoich dziennikach kontrolnych:
type=AVC msg=audit(1482284806.464:112): avc:  denied  { write } for  pid=1275 comm="redis-server" name="tmp" dev="dm-0" ino=33574981 scontext=system_u:system_r:redis_t:s0 tcontext=system_u:object_r:tmp_t:s0 tclass=dir
type=SYSCALL msg=audit(1482284806.464:112): arch=c000003e syscall=49 success=no exit=-13 a0=5 a1=7ffe55938670 a2=6e a3=7ffe55938614 items=0 ppid=1 pid=1275 auid=4294967295 uid=997 gid=995 euid=997 suid=997 fsuid=997 egid=995 sgid=995 fsgid=995 tty=(none) ses=4294967295 comm="redis-server" exe="/usr/bin/redis-server" subj=system_u:system_r:redis_t:s0 key=(null)

Bardziej prawdopodobne niż
/tmp
, plik gniazda musi znajdować się w
/run/redis
np .:
unixsocket/run/redis/redis.sock

To pozwala mu działać w ramach ograniczeń SELinux.
Podczas edycji
/etc/redis.conf
, nie zapomnij sprawdzić dolnej części pliku

druga
         unixsocket
dyrektywa dodana
         openvas-setup
i usuń go jako zbędny.
Oczywiście, zwykle w systemach obsługujących SELinux, redis powinien być skonfigurowany tak, aby nasłuchiwał na porcie TCP na hoście lokalnym i nie używał gniazda, ponieważ inne demony mogą nie mieć możliwości komunikacji z redis przez gniazdo, ale tylko przez TCP. Nie stanowi to naprawdę problemu, ponieważ OpenVAS nie jest (jeszcze) ograniczony do SELinux, ale także nie obsługuje komunikacji z redis przez TCP. W rezultacie ta instalacja Redis nie może być współużytkowana ani ponownie używana z żadnymi innymi usługami poza lokalną kopią OpenVAS.
Ale w tym samouczku jest jeszcze coś nie tak!
Po drugie, nigdzie OpenVAS nie jest skonfigurowany do rzeczywistego korzystania z redis. Domyślnie opiera się na skompilowanym, który, jak widzieliśmy, nie jest poprawny. Aby to naprawić, trzeba

ustawienie dyrektywy konfiguracyjnej
https://fossies.org/linux/open ... g.txt
w
/etc/openvas/openvassd.conf
coś, o czym podręcznik nigdy nie wspomina:
kb_location =/run/redis/redis.sock

W

trzeci

Chodzi o to, że używa repozytorium strony trzeciej o nazwie atomic, które zapewnia pakiety kolidujące z pakietami w zwykłych repozytoriach, takich jak EPEL, które już zapewniają redis i OpenVAS! Nie jest jasne, dlaczego atomic to zrobił i dlaczego ten samouczek używa atomic na początek. Używanie repozytoriów z pakietami powodującymi konflikt jest potencjalnie niebezpieczne. Jeśli nadal używasz atomowych pakietów, musisz być absolutnie pewien, że ta (wirtualna) maszyna nigdy nie jest używana do

byle co

inaczej, z jakiegokolwiek powodu.
Wreszcie, po zainstalowaniu, interfejs sieciowy stanie się faktycznie niedostępny, ponieważ określony port nie jest otwarty w zaporze. Musisz to również zrobić sam.
firewall-cmd --add-port=9392/tcp    # though this opens it to the world
firewall-cmd --runtime-to-permanent

Kiedy skończysz,
         openvas-check-setup
Muszę powiedzieć między innymi ...
       OK: scanner (kb_location setting) is configured properly using the redis-server socket:/run/redis/redis.sock
OK: redis-server is running and listening on socket:/run/redis/redis.sock.
OK: redis-server configuration is OK and redis-server is running.

Ironia polega na tym, że wtedy powie też:
       ERROR: SELinux is enabled. For a working OpenVAS installation you need to disable it.
FIX: Please disable SELinux.

Co wydaje się całkowicie nieuzasadnione i niepotrzebne, ponieważ OpenVAS i tak nie działa z ograniczonym SELinux.
Anonimowy użytkownik

Anonimowy użytkownik

Potwierdzenie od:

Miałem ten sam problem. Problem polegał na tym, że w Kali Linux OpenVas nie ma domyślnie pliku:/etc/openvas/openvassd.conf.
Dlatego utworzyłem ten plik i wprowadziłem poniższą zawartość, aby nadpisać domyślne ustawienia serwera Redis. kb_location =/var/run/redis/redis.sock
To rozwiązało mój problem. Napisałem kompletny przewodnik na tej stronie:

https://waqasahmedkhan.com/ope ... -3-5/
https://waqasahmedkhan.com/ope ... -3-5/

Aby odpowiedzieć na pytania, Zaloguj się lub Zarejestruj się