OpenVAS (Greenbone Vulnerability Management)

🛡️ Greenbone Vulnerability Management (GVM) — промышленный инструмент для сканирования уязвимостей и автоматического аудита безопасности IT-инфраструктуры. Он помогает централизованно управлять уязвимостями, находить и устранять слабые места в серверах, сервисах и приложениях до того, как их обнаружат злоумышленники.

GVM подходит организациям, которым важно обеспечить высокий уровень защиты и управляемости IT-среды — от финансовых компаний и промышленных предприятий до государственных структур и провайдеров цифровых сервисов.

Представьте: в вашей облачной инфраструктуре появляется новый сервер. GVM автоматически его обнаруживает, проверяет на наличие критических уязвимостей и формирует отчёт для SIEM — ещё до того, как система выходит в продуктивную среду.

🌍 Специальная сборка для российского рынка

• 🇷🇺 Полностью локализованный интерфейс на русском языке.
• 🔗 Глубокая интеграция с системными компонентами NiceOS.
• 📦 Простая установка из Yandex Cloud Marketplace.
• 🛡 Поддержка эксплуатации в соответствии с отечественными стандартами и регуляторными требованиями.

🚀 Ключевые возможности

• 🔍 Анализ уязвимостей — автоматическое сканирование серверов, рабочих станций, сетевых сервисов и приложений на наличие CVE.
• 📊 Отчёты и аналитика — приоритезация рисков, рекомендации по устранению проблем, экспорт отчётов в HTML и PDF.
• 🔄 Актуальные базы знаний — регулярные обновления фидов NVT, SCAP, CERT и Notus, десятки тысяч тестов безопасности.
• ⚙️ Гибкая настройка — создание собственных политик сканирования, управление целями, расписаниями и пользователями.
• 🔗 Интеграция — API (GMP/OMP) для подключения к SOC, DevSecOps и CI/CD-конвейерам.
• 🛡 Комплаенс и аудит — автоматическая проверка систем на соответствие требованиям PCI DSS, HIPAA, GDPR и других отраслевых стандартов.

⭐ Преимущества сборки от «НАЙС СОФТ»

• ✅ Полная русификация веб-интерфейса Greenbone Security Assistant (GSA).
• ✅ Предустановленные сервисы и готовая структура каталогов.
• ✅ Автоматическая инициализация при первом запуске виртуальной машины.
• ✅ Удобное управление через единый systemd-таргет gvm-stack.target.

🛡 Полная видимость и контроль безопасности в облачной инфраструктуре

• Сканирование виртуальных машин, сетевых сервисов и приложений, развернутых в Yandex Cloud.
• Проверка корректности конфигураций и выявление потенциально уязвимых сервисов до их эксплуатации злоумышленниками.

🚀 Безопасность при динамическом масштабировании

• В облаке ресурсы создаются и удаляются быстро, и легко пропустить критическую «дыру» в защите.
• GVM автоматически отслеживает новые инстансы и сервисы и проводит их проверку без участия администратора.

🔗 Интеграция с DevSecOps и CI/CD

• Поддержка API (GMP/OMP) позволяет встроить сканирование уязвимостей прямо в конвейеры CI/CD.
• Возможна автоматизация, например: проверка контейнеров и образов перед их публикацией.

📊 Аудит и соответствие требованиям

• Генерация отчётов, пригодных для представления на сертификацию или внутренние проверки.
• Соответствие стандартам PCI DSS, GDPR и другим нормативам, критичным для компаний, работающих в облаке.

🧩 Гибридные сценарии использования

• Если часть инфраструктуры компании находится в облаке, а часть — on-premise, GVM позволяет управлять безопасностью обеих сред из единой системы.

🏢 Локализация и адаптация под российские реалии

• Продукт адаптирован для отечественного рынка: полностью русифицирован, интегрирован с NiceOS и готов к использованию в среде российских организаций.
• Это устраняет барьеры внедрения и упрощает эксплуатацию в облачных инфраструктурах.

📌 В итоге

Greenbone Vulnerability Management (GVM) в составе Yandex Cloud обеспечивает:

• централизованный контроль безопасности динамической облачной инфраструктуры;
• автоматизацию проверок при масштабировании и CI/CD;
• соблюдение требований регуляторов и отраслевых стандартов;
• единое управление уязвимостями в облаке и гибридной среде.

Это готовое корпоративное решение, которое превращает управление уязвимостями в прозрачный, автоматизированный и непрерывный процесс.

⚠️ Важно: при первом запуске автоматически стартует инициализация и загрузка фидов уязвимостей (NVT, SCAP, CERT, Notus). Это может занять 30–60 минут (зависит от размера ВМ и сети). В это время веб-интерфейс может показывать «Scanner is still starting» — это нормально.

1) Подготовка инфраструктуры

Требования (минимум/рекомендовано):

• vCPU: 2 / 4+
• RAM: 4 ГБ / 8–16 ГБ
• Диск: 40 ГБ / 80–150 ГБ (под фиды и отчёты)
• Доступ в интернет (исходящий трафик) для загрузки фидов

SSH-ключи: подготовьте пару ключей для доступа к ВМ.

Сеть и группа безопасности (Security Group):

• Входящие правила:

  • TCP 22 — SSH (временно можно 0.0.0.0/0, затем ограничить своим IP)
  • TCP 9392 — веб-интерфейс GSA (настройте доступ только с доверенных IP)

• Исходящие правила:

  • Разрешить любой трафик (0.0.0.0/0) для обновлений/фидов

Таблица правил для наглядности:

2) Создание виртуальной машины из Marketplace

1. Откройте Yandex Cloud → Marketplace, в поиске введите Greenbone Vulnerability Management и выберите образ.

2. Укажите сеть/подсеть и привяжите подготовленную группу безопасности.

3. В блоке Доступ укажите:

   • Логин (пользователь для SSH)
   • Открытый SSH-ключ

4. Создайте ВМ и дождитесь её запуска.

3) Первое подключение и базовые проверки

Подключитесь по SSH:

ssh <логин>@<публичный_IP>

Повысьте права:

sudo su

Проверьте, что сервисы запущены:

systemctl status gvm-stack.target
systemctl status redis-openvas ospd-openvas gvmd gsad --no-pager

Отслеживание прогресса загрузки фидов:

journalctl -u ospd-openvas -b -f
# ищем строки про "Loading/Reloaded VTs" и затем "VTs loaded / ready"

Примечание: в нашей сборке веб-интерфейс по умолчанию без TLS (HTTP). Это упростит первый доступ; после первичной настройки включите TLS (см. раздел «Защита доступа» ниже).

4) Получение пароля администратора

Пароль администратора создаётся автоматически при первом запуске и сохраняется в файл:

cat /var/lib/gvm/.admin-password

Скопируйте пароль — он нужен для входа в веб-интерфейс.

5) Доступ к веб-интерфейсу

Откройте в браузере:

http://<публичный_IP>:9392

Авторизуйтесь:

• Username: admin
• Password: (из /var/lib/gvm/.admin-password)

Пока фиды загружаются и кэшируются, интерфейс может показывать «Scanner is still starting». Дождитесь завершения.

6) После входа: базовые шаги

1. Смените пароль администратора:

   • В интерфейсе GSA или

   • Командой:

     sudo -u gvm gvmd --user=admin --new-password='НовыйСильныйПароль'
     

2. Обновите доступ к веб-интерфейсу:

   • Ограничьте порт 9392 до доверенных IP в группе безопасности.

3. Проверьте состояние фидов/сканера:

   sudo -u gvm gvmd --get-scanners
   journalctl -u ospd-openvas -b --no-pager | tail -n 200
   

4. Обновите систему и фиды:

   sudo dnf update -y
   greenbone-feed-sync
   

5. Для автоматического обновления фидов включите таймер:

   systemctl enable --now greenbone-feed-sync.timer
   

7) Настройка TLS (рекомендуется)

По умолчанию GSA запущен с --http-only. Чтобы включить HTTPS:

1. Подготовьте сертификат (.crt) и ключ (.key) на ВМ.

2. Отредактируйте параметры запуска gsad (через /etc/sysconfig/gsad или drop-in для unit):

   • уберите --http-only

   • добавьте:

     --ssl-certificate=/путь/к/cert.crt
     --ssl-private-key=/путь/к/key.key
     

3. Примените изменения:

   systemctl daemon-reload
   systemctl restart gsad
   

8) Типичные вопросы

• Долго висит «Scanner is still starting»
  Это означает, что ospd-openvas ещё загружает и кэширует VT/фиды. Проверьте логи:

  journalctl -u ospd-openvas -b -f
  

  Дождитесь строк о завершении загрузки (VTs loaded / ready).

• Нет доступа к веб-интерфейсу
  Проверьте, что порт 9392/TCP открыт в группе безопасности и слушается сервисом gsad:

  ss -ltnp | grep 9392
  systemctl status gsad --no-pager
  

9) Рекомендации по ресурсам и хранению

• При активном использовании увеличьте RAM до 16 ГБ+ и CPU до 4–8 vCPU.
• Диск лучше вынести на отдельный том 100 ГБ+ для фидов и отчётов.
• Регулярно делайте снапшоты/бэкапы БД и отчётов.

10) Краткая памятка команд

# Статус всего стека
systemctl status gvm-stack.target

# Отдельные сервисы
systemctl status redis-openvas ospd-openvas gvmd gsad --no-pager

# Мониторинг загрузки VT/фидов
journalctl -u ospd-openvas -b -f

# Пароль администратора
cat /var/lib/gvm/.admin-password

# Смена пароля администратора
sudo -u gvm gvmd --user=admin --new-password='НовыйСильныйПароль'

# Проверка сканера
sudo -u gvm gvmd --get-scanners

Готово! После выполнения этих шагов система Greenbone в вашей ВМ будет установлена и готова к работе.

✅ Результат: после выполнения этих шагов вы получаете полностью готовую систему анализа уязвимостей, работающую в облаке, с актуальными базами и удобным интерфейсом. Вся инфраструктура запускается автоматически — администратору не требуется собирать, компилировать или настраивать компоненты вручную.

• 🏢 Организации — автоматический аудит защищённости инфраструктуры.
• 🔐 Службы ИБ и SOC — регулярные проверки, анализ инцидентов, поиск угроз.
• 👨‍💻 IT-администраторы — выявление и устранение уязвимостей до их эксплуатации злоумышленниками.
• 🛠 Интеграторы и DevSecOps-команды — внедрение безопасных процессов разработки и эксплуатации.

Бесплатная поддержка сообщества в официальном Telegram-канале.

• Официальный Telegram-канал сообщества НАЙС.ОС.
• Помощь от разработчиков и пользователей: настройка окружения, best practices, советы.
• Возможность делиться опытом и участвовать в развитии проекта.

Рекомендуется при обращении указывать версию образа, окружение (облако или bare-metal), описание проблемы.

📨 Если необходима расширенная помощь, разработчик дистрибутива оказывает платную техническую поддержку операционной системы NiceOS и компонентов GVM. Поддержка включает настройку, сопровождение и администрирование системы на ваших серверах или в облаке (в том числе Yandex Cloud).

✉️ По вопросам платной поддержки можно написать на: support@niceos.ru.
Мы предложим оптимальный формат сопровождения — от разовых консультаций до полного администрирования.