6 Die Greenbone Enterprise Appliance auf die neueste Hauptversion upgraden#
GOS 21.04 unterstützt nahtlose Upgrades auf die neue Hauptversion GOS 22.04.
Alle Systemeinstellungen und Benutzerdaten werden beibehalten und automatisch in die neue Version migriert, es sei denn, eine Änderung des Standardverhaltens betrifft eine bestimmte Einstellung oder Daten. Eine Liste der Änderungen am Standardverhalten befindet sich in Kapitel 6.5.
6.1 Das Greenbone Operating System upgraden#
Bemerkung
Vor dem Upgrade auf GOS 22.04 müssen einige Voraussetzungen in GOS 21.04 erfüllt sein:
Die neueste Version von GOS 21.04 muss auf der Appliance installiert sein.
Ein Feed Import Owner muss wie hier beschrieben festgelegt werden.
Die Datenobjekte müssen installiert werden. Dazu ist ein Feed-Update nach dem Festlegen des Feed Import Owners erforderlich.
Es wird empfohlen, vor dem Upgrade auf GOS 22.04 zum Netzwerkmodus gnm zu wechseln (siehe Kapitel 7.2.2.1).
Das Upgrade auf GOS 22.04 kann wie folgt durchgeführt werden:
Maintenance wählen und Enter drücken.
Upgrade wählen und Enter drücken.
→ Eine Nachricht informiert darüber, dass ein neues GOS-Release verfügbar ist.
Enter drücken, um die Nachricht zu schließen.
Switch Release wählen und Enter drücken.
→ Eine Warnung informiert darüber, dass die Appliance auf eine grundlegende neue Version aktualisiert wird (siehe Abb. 6.1).
Abb. 6.1 Warnung beim Upgrade auf GOS 22.04#
Continue wählen und Enter drücken.
→ Eine Warnung informiert darüber, dass die Appliance während des Upgrades auf GOS 22.04 gesperrt ist (siehe Abb. 6.2).
Bemerkung
Während des Upgrades können keine Systemoperationen durchgeführt werden. Alle laufenden Systemoperationen müssen vor dem Upgrade abgeschlossen werden.
Abb. 6.2 Warnung, dass das System während des Upgrades gesperrt ist#
Yes wählen und Enter drücken.
→ Eine Nachricht informiert darüber, dass das Upgrade gestartet wurde.
Bemerkung
Wenn das Upgrade beendet ist, informiert eine Nachricht darüber, dass ein Reboot nötig ist, um alle Änderungen anzuwenden (siehe Abb. 6.3).
Abb. 6.3 Meldung nach dem erfolgreichen Upgrade#
Reboot wählen und Enter drücken.
→ Nachdem der Reboot abgeschlossen ist, wird geprüft, ob es offene Einrichtungsschritte gibt. Falls es offene Schritte gibt, wird gefragt, ob diese nun abgeschlossen werden sollen.
Bemerkung
Wenn beim Upgrade von GOS 21.04 auf GOS 22.04 noch der alte Legacy-Netzwerkmodus verwendet wurde, bietet eine Meldung an, auf den neuen Netzwerkmodus GOS Network Manager (gnm) umzuschalten. Wenn der Netzwerkmodus nicht direkt nach dem Upgrade umgestellt wird, kann dies auch zu einem späteren Zeitpunkt erfolgen (siehe Kapitel 7.2.2.1).
Nach dem Upgrade auf GOS 22.04 muss ein Feed-Update durchgeführt werden, um neue Funktionen wie den Notus-Scanner nutzen zu können (siehe Kapitel 6.5).
6.2 Die Flash-Partition auf die neueste GOS-Version upgraden#
Die interne Flash-Partition der Appliance enthält ein Backup von GOS und wird im Falle eines Factory-Resets verwendet.
Es wird empfohlen, die GOS-Version auf der Flash-Partition zu aktualisieren (siehe Kapitel 7.3.8).
6.4 Web-Oberfläche nach einem Upgrade neu laden#
Nach einem Upgrade von einer grundlegenden Version auf eine andere muss der Cache des Browsers, der für die Web-Oberfläche genutzt wird, geleert werden. Das Leeren des Browsercaches kann in den Einstellungen des genutzten Browsers vorgenommen werden.
Alternativ kann der Seitencache jeder Seite der Web-Oberfläche geleert werden, indem Strg und F5 gedrückt wird.
Bemerkung
Das Leeren des Seitencaches muss für jede einzelne Seite durchgeführt werden.
Das Leeren des Browsercaches ist global und für alle Seiten gültig.
6.5 Neue Features und Änderungen des Standardverhaltens#
Die folgende Liste zeigt die wichtigsten Erweiterungen und Änderungen des Standardverhaltens von GOS 21.04 zu GOS 22.04.
Abhängig von den aktuell verwendeten Funktionen können sich diese Änderungen auf das aktuell eingesetzte Setup auswirken. Eine vollständige Liste der Änderungen befindet sich auf der Seite Roadmap & Lifecycle.
6.5.1 Notus-Scanner#
Mit GOS 22.04 wird der neue Notus-Scanner eingeführt. Er scannt nach jedem regulären Scan, so dass keine Benutzerinteraktion erforderlich ist.
Der Notus-Scanner bietet eine bessere Leistung, da er weniger Systemressourcen verbraucht und somit schneller scannt.
Wenn eine Scan-Konfiguration manuell erstellt wird und der Notus-Scanner funktionieren soll, muss der VT Determine OS and list of installed packages via SSH login (OID: 1.3.6.1.4.1.25623.1.0.50282) aktiviert sein.
Der Notus-Scanner ersetzt die Logik potenziell aller NASL-basierten lokalen Sicherheitskontrollen (engl. local security checks, LSCs). Statt für jeden LSC ein VT-Skript auszuführen, wird ein Vergleich der auf einem Host installierten Software mit einer Liste bekannter anfälliger Software durchgeführt.
Der reguläre OpenVAS-Scanner lädt jeden NASL-LSC einzeln und führt ihn nacheinander für jeden Host aus. Eine einzelne bekannte Schwachstelle wird dann mit der installierten Software verglichen. Dies wird für alle LSCs wiederholt.
Mit dem Notus-Scanner wird die bei einem Scan ermittelte Liste der installierten Software direkt mit allen bekannten Schwachstellen verglichen. Dadurch entfällt die Notwendigkeit, die LSCs auszuführen, da die Informationen über die bekannte anfällige Software in einer einzigen Liste gesammelt und nicht in einzelnen NASL-Skripten verteilt werden.
Derzeit gibt es Notus-Daten für die folgenden LSC-VT-Familien:
AlmaLinux Local Security Checks
Amazon Linux Local Security Checks
Debian Local Security Checks
EulerOS Local Security Checks
Mageia Linux Local Security Checks
Oracle Linux Local Security Checks
Rocky Linux Local Security Checks
Slackware Local Security Checks
SuSE Local Security Checks
Ubuntu Local Security Checks
Die Einstellung Report vulnerabilities of inactive Linux kernel(s) separately im VT Options for Local Security Checks ist nicht mehr gültig. Die Einstellung ist zwar noch sichtbar, aber nicht mehr funktionsfähig.
6.5.2 Funktionsumfang der Appliance#
Mit GOS 22.04 wird der Funktionsumfang für einige Appliances erweitert:
Der SNMP-Dienst (GOS-Menü Setup > Services > SNMP) wird für die Appliance-Modelle Greenbone Enterprise 150, Greenbone Enterprise 35, Greenbone Enterprise CENO und Greenbone Enterprise 25V verfügbar gemacht.
Die automatische Zeitsynchronisation über NTP (GOS-Menü Setup > Timesync) wird für die Appliance-Modelle Greenbone Enterprise CENO und Greenbone Enterprise 25V verfügbar gemacht.
Die Remote- und lokale Backup-Funktionalität (GOS-Menüs Setup > Backup, Maintenance > Backup > Incremental Backup und Maintenance > Backup > List) wird für das Appliance-Modell Greenbone Enterprise CENO verfügbar gemacht.
6.5.3 Virtuelle Appliances#
Mit GOS 22.04 wurden die Größen der virtuellen Festplatten für virtuelle Appliances geändert.
Die neuen Größen sind:
Greenbone Enterprise EXA: 225 GB
Greenbone Enterprise DECA/PETA/EXA: 220 GB
Greenbone Enterprise CENO: 135 GB
Greenbone Enterprise ONE: 130 GB
Greenbone Enterprise 25V: 70 GB
Die neuen Größen sind nur für neu installierte virtuelle Appliances relevant. Upgegradete Appliances behalten ihr Partitionslayout und damit ihre erforderliche Festplattengröße bei.
6.5.4 HTTP-Zugriff auf die Web-Oberfläche#
Mit GOS 22.04 wird der unverschlüsselte HTTP-Zugriff auf die Web-Oberfläche nicht mehr unterstützt. Stattdessen muss HTTPS verwendet werden.
Ein gültiges HTTPS-Zertifikat (entweder selbst signiert oder von einer Zertifizierungsstelle signiert) muss nun auf der Appliance konfiguriert werden, um die Web-Oberfläche zu nutzen (siehe Kapitel 7.2.4.1.7).
6.5.5 Backups#
6.5.5.1 Passwort für Remote-Backup-Repository#
Mit GOS 22.04 ist es möglich, das Passwort für das Remote-Backup-Repository zu ändern. Dazu wurde im GOS-Administrationsmenü der Menüpunkt Setup > Backup > Backup Password hinzugefügt. Der Menüpunkt ist nur sichtbar, wenn der Ort des Backups als remote konfiguriert ist.
Es wird empfohlen, das Backup-Passwort zu ändern.
Wenn mehrere Appliances dasselbe Remote-Backup-Repository verwenden, wird empfohlen, dass jede Appliance ihr eigenes, eindeutiges Backup-Passwort verwendet.
6.5.5.2 obnam#
Mit GOS 20.08 wurde das Backend für die Verwaltung von Backups in GOS von obnam auf restic umgestellt. Allerdings war obnam in GOS 20.08 und 21.04 weiterhin verfügbar, ebenso wie die mit obnam in GOS 6 oder früher erstellten Backups.
Mit GOS 22.04 werden obnam und alle mit obnam erstellten Backups entfernt. Inkrementelle Backups, die mit GOS 6 und früher erstellt wurden, werden aufgrund von Inkompatibilität und zur Rückgewinnung von Speicherplatz entfernt.
Wenn diese alten Backups beibehalten werden sollen, muss vor dem Upgrade auf GOS 22.04 eine Kopie der Dateien erstellt werden. Falls Fragen auftreten, kann der Greenbone Enterprise Support kontaktiert werden.
6.5.6 Mailhub#
Mit GOS 22.04 wird eine neue Option hinzugefügt, um die Verwendung von SMTPS für die von einer Greenbone Enterprise Appliance versendeten E-Mails zu erzwingen.
Dazu gibt es im GOS-Administrationsmenü das neue Menü Setup > Mail > SMTP Enforce TLS.
6.5.7 Web-Oberfläche#
6.5.7.1 Geschäftsprozessanalyse#
Mit GOS 22.04 wird die Geschäftsprozessanalyse-Funktionalität von der Web-Oberfläche entfernt. Vorhandene Geschäftsprozessanalysen werden gelöscht und können nicht wiederhergestellt werden. Wenn die in einer Geschäftsprozessanalyse enthaltenen Informationen gespeichert werden sollen, muss dies in GOS 21.04 erfolgen.
6.5.7.2 Aufgaben-/Auditeinstellung Netzwerk-Quell-Interface#
Mit GOS 22.04 wird die Aufgaben-/Auditeinstellung Netzwerk-Quell-Interface entfernt. Wenn diese Einstellung zuvor für eine Aufgabe oder ein Audit konfiguriert war, wird sie ignoriert.
6.5.7.3 Benutzereinstellung Interface-Zugriff#
Da die Aufgaben-/Auditeinstellung Netzwerk-Quell-Interface mit GOS 22.04 entfernt wird, wird auch die Benutzereinstellung Interface-Zugriff entfernt. Wenn diese Einstellung zuvor für einen Benutzer konfiguriert war, wird sie ignoriert.
6.5.7.4 OVAL-Definitionen#
Mit GOS 22.04 werden die OVAL-Definitionen aus dem Sicherheitsinfo-Management auf der Web-Oberfläche entfernt. Die bisherigen OVAL-Definitionen waren veraltet und erfüllten keinen Zweck mehr.
6.5.7.5 OSP-Scanner#
Mit GOS 22.04 wird der Scannertyp OSP-Scanner entfernt. Es ist nicht mehr möglich, OSP-Scanner zu erstellen und sie für die Ausführung von Scans auszuwählen.
Dies betrifft nur den Scannertyp OSP-Scanner, nicht das Protokoll OSP im Allgemeinen. Der Scannertyp Greenbone Sensor wird weiterhin OSP verwenden.
Der Anmeldedatentyp Benutzerzertifikat, der für (benutzerdefinierte) OSP-Scanner verwendet wurde, wurde ebenfalls entfernt. Bestehende Anmeldedaten dieses Typs sind davon nicht betroffen und werden nicht entfernt. Es kann weiterhin auf sie zugegriffen werden, aber sie sind nicht mehr von Nutzen und können manuell gelöscht werden.
6.5.8 Qualität der Erkennung (QdE)#
Mit GOS 22.04 wird die neue Stufe für die Qualität der Erkennung (QdE) package_unreliable mit einer QdE von 30 % eingeführt. Sie wird für authentifizierte paketbasierte Prüfungen, die nicht immer vollständig zuverlässig sind, für z. B. Linux(oide) Systeme.
6.5.9 Schwachstellen-Referenzen#
Mit GOS 22.04 wird der Tag script_bugtraq_id();, der auf eine BID von Bugtraq verweist, nicht mehr unterstützt. Für VTs mit einem solchen Tag wurde die BID unter Verweise auf der Web-Oberfläche angezeigt. Da bugtraq.securityfocus.com nicht mehr gepflegt wird, hatte der Verweis zu Verwirrungen geführt.
Alle bestehenden BID-Referenzen wurden in Andere Referenzen migriert und erscheinen dort als URLs auf der Web-Oberfläche. Um auf den Inhalt der URLs zuzugreifen, können gängige Dienste wie archive.org genutzt werden.
6.5.10 Greenbone Management Protocol (GMP)#
Das Greenbone Management Protocol (GMP) wurde auf Version 22.04 aktualisiert und die Programmierschnittstelle wurde leicht angepasst. Die Nutzung mancher Befehle wurde verändert und einige Befehle, Elemente und Attribute wurden überholt. Das gesamte Referenzhandbuch und die Liste aller Veränderungen ist hier verfügbar.