6 Die Greenbone Enterprise Appliance auf die neueste Hauptversion upgraden¶
Bemerkung
Alle GOS-Versionen unterhalb von GOS 22.04 sind retired. Es ist nicht mehr möglich, diese Versionen auf GOS 22.04 zu aktualisieren.
Für weitere Unterstützung kann der Greenbone Enterprise Support kontaktiert werden.
6.1 Neue Features und Änderungen des Standardverhaltens¶
Die folgende Liste zeigt die wichtigsten Erweiterungen und Änderungen des Standardverhaltens von GOS 21.04 zu GOS 22.04.
Abhängig von den aktuell verwendeten Funktionen können sich diese Änderungen auf das aktuell eingesetzte Setup auswirken. Eine vollständige Liste der Änderungen befindet sich auf der Seite Roadmap & Lifecycle.
6.1.1 Notus-Scanner¶
Mit GOS 22.04 wird der neue Notus-Scanner eingeführt. Er scannt nach jedem regulären Scan, so dass keine Benutzerinteraktion erforderlich ist.
Der Notus-Scanner bietet eine bessere Leistung, da er weniger Systemressourcen verbraucht und somit schneller scannt.
Wenn eine Scan-Konfiguration manuell erstellt wird und der Notus-Scanner funktionieren soll, muss der VT Determine OS and list of installed packages via SSH login (OID: 1.3.6.1.4.1.25623.1.0.50282) aktiviert sein.
Der Notus-Scanner ersetzt die Logik potenziell aller NASL-basierten lokalen Sicherheitskontrollen (engl. local security checks, LSCs). Statt für jeden LSC ein VT-Skript auszuführen, wird ein Vergleich der auf einem Host installierten Software mit einer Liste bekannter anfälliger Software durchgeführt.
Der reguläre OpenVAS-Scanner lädt jeden NASL-LSC einzeln und führt ihn nacheinander für jeden Host aus. Eine einzelne bekannte Schwachstelle wird dann mit der installierten Software verglichen. Dies wird für alle LSCs wiederholt.
Mit dem Notus-Scanner wird die bei einem Scan ermittelte Liste der installierten Software direkt mit allen bekannten Schwachstellen verglichen. Dadurch entfällt die Notwendigkeit, die LSCs auszuführen, da die Informationen über die bekannte anfällige Software in einer einzigen Liste gesammelt und nicht in einzelnen NASL-Skripten verteilt werden.
Derzeit gibt es Notus-Daten für die folgenden LSC-VT-Familien:
AlmaLinux Local Security Checks
Amazon Linux Local Security Checks
Debian Local Security Checks
EulerOS Local Security Checks
Mageia Linux Local Security Checks
Oracle Linux Local Security Checks
Red Hat Linux Local Security Checks
Rocky Linux Local Security Checks
Slackware Local Security Checks
SuSE Local Security Checks
Ubuntu Local Security Checks
Die Einstellung Report vulnerabilities of inactive Linux kernel(s) separately im VT Options for Local Security Checks ist nicht mehr gültig. Die Einstellung ist zwar noch sichtbar, aber nicht mehr funktionsfähig.
6.1.2 Funktionsumfang der Appliance¶
Mit GOS 22.04 wird der Funktionsumfang für einige Appliances erweitert:
Der SNMP-Dienst (GOS-Menü Setup > Services > SNMP) wird für die Appliance-Modelle Greenbone Enterprise 150, Greenbone Enterprise 35, Greenbone Enterprise CENO und Greenbone Enterprise 25V verfügbar gemacht.
Die automatische Zeitsynchronisation über NTP (GOS-Menü Setup > Timesync) wird für die Appliance-Modelle Greenbone Enterprise CENO und Greenbone Enterprise 25V verfügbar gemacht.
Die Remote- und lokale Backup-Funktionalität (GOS-Menüs Setup > Backup, Maintenance > Backup > Incremental Backup und Maintenance > Backup > List) wird für das Appliance-Modell Greenbone Enterprise CENO verfügbar gemacht.
6.1.3 HTTP-Zugriff auf die Web-Oberfläche¶
Mit GOS 22.04 wird der unverschlüsselte HTTP-Zugriff auf die Web-Oberfläche nicht mehr unterstützt. Stattdessen muss HTTPS verwendet werden.
Ein gültiges HTTPS-Zertifikat (entweder selbst signiert oder von einer Zertifizierungsstelle signiert) muss nun auf der Appliance konfiguriert werden, um die Web-Oberfläche zu nutzen (siehe Kapitel 7.2.4.1.7).
6.1.4 Backups¶
6.1.4.1 Passwort für Remote-Backup-Repository¶
Mit GOS 22.04 ist es möglich, das Passwort für das Remote-Backup-Repository zu ändern. Dazu wurde im GOS-Administrationsmenü der Menüpunkt Setup > Backup > Backup Password hinzugefügt. Der Menüpunkt ist nur sichtbar, wenn der Ort des Backups als remote konfiguriert ist.
Es wird empfohlen, das Backup-Passwort zu ändern.
Wenn mehrere Appliances dasselbe Remote-Backup-Repository verwenden, wird empfohlen, dass jede Appliance ihr eigenes, eindeutiges Backup-Passwort verwendet.
6.1.4.2 obnam¶
Mit GOS 20.08 wurde das Backend für die Verwaltung von Backups in GOS von obnam auf restic umgestellt. Allerdings war obnam in GOS 20.08 und 21.04 weiterhin verfügbar, ebenso wie die mit obnam in GOS 6 oder früher erstellten Backups.
Mit GOS 22.04 werden obnam und alle mit obnam erstellten Backups entfernt. Inkrementelle Backups, die mit GOS 6 und früher erstellt wurden, werden aufgrund von Inkompatibilität und zur Rückgewinnung von Speicherplatz entfernt.
Wenn diese alten Backups beibehalten werden sollen, muss vor dem Upgrade auf GOS 22.04 eine Kopie der Dateien erstellt werden. Falls Fragen auftreten, kann der Greenbone Enterprise Support kontaktiert werden.
6.1.5 Mailhub¶
Mit GOS 22.04 wird eine neue Option hinzugefügt, um die Verwendung von SMTPS für die von einer Greenbone Enterprise Appliance versendeten E-Mails zu erzwingen.
Dazu gibt es im GOS-Administrationsmenü das neue Menü Setup > Mail > SMTP Enforce TLS.
6.1.6 Erhöhter RAM, Festplattenspeicher und Größe der Feed-Partition¶
Mit GOS 22.04.23 wurden die Ressourcen für einige Appliance-Modelle erhöht.
Alle virtuellen Appliances: 500 GB virtuelle Festplattengröße
Greenbone Enterprise 5400 R2: 24 GB RAM
Greenbone Enterprise 35/25V: 8 GB RAM
Greenbone Enterprise DECA/TERA: 14 GB RAM
Greenbone Enterprise CENO: 12 GB RAM
Greenbone Enterprise 400 R1/450 R1/600 R1/650 R1/5400 R1/6500 R1: 24 GB Feed-Partition
Greenbone Enterprise CENO/DECA/EXA/ONE/PETA/TERA/25V: 24 GB Feed-Partition
Greenbone Enterprise 150/35: 55 GB Root-Partition
Bemerkung
Nach dem Upgrade ist ein Reboot erforderlich. Danach müssen die notwendigen Schritte für das verwendete Appliance-Modell im Self-Check beachtet werden.
Bei einer virtuellen Appliance zeigt der Self-Check nach dem GOS-Upgrade und dem Reboot an, welche Ressourcen in den Hypervisor-Einstellungen erhöht werden müssen. Vor der Änderung der Hypervisor-Einstellungen muss die Appliance heruntergefahren werden.
Für die erforderlichen Einstellungen im Hypervisor können die folgenden Anweisungen verwendet werden:
VMware
Hyper-V
VirtualBox
Bemerkung
Nach dem Ändern der Einstellungen im Hypervisor müssen die notwendigen Schritte für das verwendete Appliance-Modell im Self-Check beachtet werden.
Um das neue Partitionslayout zu verwenden, müssen die Festplattenvolumes erweitert werden. Dazu wurde im GOS-Administrationsmenü der Menüpunkt Maintenance > Extend disk volumes hinzugefügt. Nach der Erweiterung der Festplattenvolumes wird der Menüpunkt nicht mehr angezeigt.
6.1.7 Web-Oberfläche¶
6.1.7.1 Geschäftsprozessanalyse¶
Mit GOS 22.04 wird die Geschäftsprozessanalyse-Funktionalität von der Web-Oberfläche entfernt. Vorhandene Geschäftsprozessanalysen werden gelöscht und können nicht wiederhergestellt werden. Wenn die in einer Geschäftsprozessanalyse enthaltenen Informationen gespeichert werden sollen, muss dies in GOS 21.04 erfolgen.
6.1.7.2 Aufgaben-/Auditeinstellung Netzwerk-Quell-Interface¶
Mit GOS 22.04 wird die Aufgaben-/Auditeinstellung Netzwerk-Quell-Interface entfernt. Wenn diese Einstellung zuvor für eine Aufgabe oder ein Audit konfiguriert war, wird sie ignoriert.
6.1.7.3 Benutzereinstellung Interface-Zugriff¶
Da die Aufgaben-/Auditeinstellung Netzwerk-Quell-Interface mit GOS 22.04 entfernt wird, wird auch die Benutzereinstellung Interface-Zugriff entfernt. Wenn diese Einstellung zuvor für einen Benutzer konfiguriert war, wird sie ignoriert.
6.1.7.4 OVAL-Definitionen¶
Mit GOS 22.04 werden die OVAL-Definitionen aus dem Sicherheitsinfo-Management auf der Web-Oberfläche entfernt. Die bisherigen OVAL-Definitionen waren veraltet und erfüllten keinen Zweck mehr.
6.1.7.5 OSP-Scanner¶
Mit GOS 22.04 wird der Scannertyp OSP-Scanner entfernt. Es ist nicht mehr möglich, OSP-Scanner zu erstellen und sie für die Ausführung von Scans auszuwählen.
Dies betrifft nur den Scannertyp OSP-Scanner, nicht das Protokoll OSP im Allgemeinen. Der Scannertyp Greenbone Sensor wird weiterhin OSP verwenden.
Der Anmeldedatentyp Benutzerzertifikat, der für (benutzerdefinierte) OSP-Scanner verwendet wurde, wurde ebenfalls entfernt. Bestehende Anmeldedaten dieses Typs sind davon nicht betroffen und werden nicht entfernt. Es kann weiterhin auf sie zugegriffen werden, aber sie sind nicht mehr von Nutzen und können manuell gelöscht werden.
6.1.8 Qualität der Erkennung (QdE)¶
Mit GOS 22.04 wird die neue Stufe für die Qualität der Erkennung (QdE) package_unreliable mit einer QdE von 30 % eingeführt. Sie wird für authentifizierte paketbasierte Prüfungen verwendet, die z. B. bei Linux(oiden) Systemen nicht immer vollständig zuverlässig sind.
6.1.9 Schwachstellen-Referenzen¶
Mit GOS 22.04 wird der Tag script_bugtraq_id();, der auf eine BID von Bugtraq verweist, nicht mehr unterstützt. Für VTs mit einem solchen Tag wurde die BID unter Verweise auf der Web-Oberfläche angezeigt. Da bugtraq.securityfocus.com nicht mehr gepflegt wird, hatte der Verweis zu Verwirrungen geführt.
Alle bestehenden BID-Referenzen wurden in Andere Referenzen migriert und erscheinen dort als URLs auf der Web-Oberfläche. Um auf den Inhalt der URLs zuzugreifen, können gängige Dienste wie archive.org genutzt werden.
6.1.10 Greenbone Management Protocol (GMP)¶
Das Greenbone Management Protocol (GMP) wurde auf Version 22.04 aktualisiert und die Programmierschnittstelle wurde leicht angepasst. Die Nutzung mancher Befehle wurde verändert und einige Befehle, Elemente und Attribute wurden überholt. Das gesamte Referenzhandbuch und die Liste aller Veränderungen ist hier verfügbar.