6 Die Greenbone Enterprise Appliance auf die neueste Hauptversion upgraden

GOS 21.04 unterstützt nahtlose Upgrades auf die neue Hauptversion GOS 22.04.

Alle Systemeinstellungen und Benutzerdaten werden beibehalten und automatisch in die neue Version migriert, es sei denn, eine Änderung des Standardverhaltens betrifft eine bestimmte Einstellung oder Daten. Eine Liste der Änderungen am Standardverhalten befindet sich in Kapitel 6.5.

6.1 Das Greenbone Operating System upgraden

Bemerkung

Vor dem Upgrade auf GOS 22.04 müssen einige Voraussetzungen in GOS 21.04 erfüllt sein:

  • Die neueste Version von GOS 21.04 muss auf der Appliance installiert sein.
  • Ein Feed Import Owner muss wie hier beschrieben festgelegt werden.
  • Die Datenobjekte müssen installiert werden. Dazu ist ein Feed-Update nach dem Festlegen des Feed Import Owners erforderlich.

Es wird empfohlen, vor dem Upgrade auf GOS 22.04 zum Netzwerkmodus gnm zu wechseln (siehe Kapitel 7.2.2.1).

Das Upgrade auf GOS 22.04 kann wie folgt durchgeführt werden:

  1. Maintenance wählen und Enter drücken.

  2. Upgrade wählen und Enter drücken.

    → Eine Nachricht informiert darüber, dass ein neues GOS-Release verfügbar ist.

  3. Enter drücken, um die Nachricht zu schließen.

  1. Switch Release wählen und Enter drücken.

    → Eine Warnung informiert darüber, dass die Appliance auf eine grundlegende neue Version aktualisiert wird (siehe Abb. 6.1).

    _images/gos_menu_upgrade_gos_1.png

    Abb. 6.1 Warnung beim Upgrade auf GOS 22.04

  2. Continue wählen und Enter drücken.

    → Eine Warnung informiert darüber, dass die Appliance während des Upgrades auf GOS 22.04 gesperrt ist (siehe Abb. 6.2).

    Bemerkung

    Während des Upgrades können keine Systemoperationen durchgeführt werden. Alle laufenden Systemoperationen müssen vor dem Upgrade abgeschlossen werden.

    _images/gos_menu_upgrade_gos_2.png

    Abb. 6.2 Warnung, dass das System während des Upgrades gesperrt ist

  3. Yes wählen und Enter drücken.

    → Eine Nachricht informiert darüber, dass das Upgrade gestartet wurde.

    Bemerkung

    Wenn das Upgrade beendet ist, informiert eine Nachricht darüber, dass ein Reboot nötig ist, um alle Änderungen anzuwenden (siehe Abb. 6.3).

    _images/gos_menu_upgrade_gos_3.png

    Abb. 6.3 Meldung nach dem erfolgreichen Upgrade

  4. Reboot wählen und Enter drücken.

    → Nachdem der Reboot abgeschlossen ist, wird geprüft, ob es offene Einrichtungsschritte gibt. Falls es offene Schritte gibt, wird gefragt, ob diese nun abgeschlossen werden sollen.

    Bemerkung

    Wenn beim Upgrade von GOS 21.04 auf GOS 22.04 noch der alte Legacy-Netzwerkmodus verwendet wurde, bietet eine Meldung an, auf den neuen Netzwerkmodus GOS Network Manager (gnm) umzuschalten. Wenn der Netzwerkmodus nicht direkt nach dem Upgrade umgestellt wird, kann dies auch zu einem späteren Zeitpunkt erfolgen (siehe Kapitel 7.2.2.1).

    Nach dem Upgrade auf GOS 22.04 muss ein Feed-Update durchgeführt werden, um neue Funktionen wie den Notus-Scanner nutzen zu können (siehe Kapitel 6.5).

6.2 Die Flash-Partition auf die neueste GOS-Version upgraden

Die interne Flash-Partition der Appliance enthält ein Backup von GOS und wird im Falle eines Factory-Resets verwendet.

Es wird empfohlen, die GOS-Version auf der Flash-Partition zu aktualisieren (siehe Kapitel 7.3.8).

6.3 Nach einem Upgrade neu im GOS-Administationsmenü anmelden

Es ist möglich, dass ein GOS-Upgrade die über das GOS-Administrationsmenü verfügbaren Funktionen verändert. Diese geänderten Funktionen sind erst nach einem erneuten Laden des GOS-Administrationsmenüs verfügbar. Es wird daher empfohlen, sich nach dem GOS-Upgrade vom GOS-Administrationsmenü abzumelden und wieder neu anzumelden.

6.4 Web-Oberfläche nach einem Upgrade neu laden

Nach einem Upgrade von einer grundlegenden Version auf eine andere muss der Cache des Browsers, der für die Web-Oberfläche genutzt wird, geleert werden. Das Leeren des Browsercaches kann in den Einstellungen des genutzten Browsers vorgenommen werden.

Alternativ kann der Seitencache jeder Seite der Web-Oberfläche geleert werden, indem Strg und F5 gedrückt wird.

Bemerkung

Das Leeren des Seitencaches muss für jede einzelne Seite durchgeführt werden.

Das Leeren des Browsercaches ist global und für alle Seiten gültig.

6.5 Neue Features und Änderungen des Standardverhaltens

Die folgende Liste zeigt die wichtigsten Erweiterungen und Änderungen des Standardverhaltens von GOS 21.04 zu GOS 22.04.

Abhängig von den aktuell verwendeten Funktionen können sich diese Änderungen auf das aktuell eingesetzte Setup auswirken. Eine vollständige Liste der Änderungen befindet sich auf der Seite Roadmap & Lifecycle.

6.5.1 Notus-Scanner

Mit GOS 22.04 wird der neue Notus-Scanner eingeführt. Er scannt nach jedem regulären Scan, so dass keine Benutzerinteraktion erforderlich ist.

Der Notus-Scanner bietet eine bessere Leistung, da er weniger Systemressourcen verbraucht und somit schneller scannt.

Wenn eine Scan-Konfiguration manuell erstellt wird und der Notus-Scanner funktionieren soll, muss der VT Determine OS and list of installed packages via SSH login (OID: 1.3.6.1.4.1.25623.1.0.50282) aktiviert sein.

Der Notus-Scanner ersetzt die Logik potenziell aller NASL-basierten lokalen Sicherheitskontrollen (engl. local security checks, LSCs). Statt für jeden LSC ein VT-Skript auszuführen, wird ein Vergleich der auf einem Host installierten Software mit einer Liste bekannter anfälliger Software durchgeführt.

Der reguläre OpenVAS-Scanner lädt jeden NASL-LSC einzeln und führt ihn nacheinander für jeden Host aus. Eine einzelne bekannte Schwachstelle wird dann mit der installierten Software verglichen. Dies wird für alle LSCs wiederholt.

Mit dem Notus-Scanner wird die bei einem Scan ermittelte Liste der installierten Software direkt mit allen bekannten Schwachstellen verglichen. Dadurch entfällt die Notwendigkeit, die LSCs auszuführen, da die Informationen über die bekannte anfällige Software in einer einzigen Liste gesammelt und nicht in einzelnen NASL-Skripten verteilt werden.

Derzeit gibt es Notus-Daten für die folgenden LSC-VT-Familien:

  • AlmaLinux Local Security Checks
  • Amazon Linux Local Security Checks
  • Debian Local Security Checks
  • EulerOS Local Security Checks
  • Mageia Linux Local Security Checks
  • Oracle Linux Local Security Checks
  • Rocky Linux Local Security Checks
  • Slackware Local Security Checks
  • SuSE Local Security Checks
  • Ubuntu Local Security Checks

Die Einstellung Report vulnerabilities of inactive Linux kernel(s) separately im VT Options for Local Security Checks ist nicht mehr gültig. Die Einstellung ist zwar noch sichtbar, aber nicht mehr funktionsfähig.

6.5.2 Funktionsumfang der Appliance

Mit GOS 22.04 wird der Funktionsumfang für einige Appliances erweitert:

  • Der SNMP-Dienst (GOS-Menü Setup > Services > SNMP) wird für die Appliance-Modelle Greenbone Enterprise 150, Greenbone Enterprise 35, Greenbone Enterprise CENO und Greenbone Enterprise 25V verfügbar gemacht.
  • Die automatische Zeitsynchronisation über NTP (GOS-Menü Setup > Timesync) wird für die Appliance-Modelle Greenbone Enterprise CENO und Greenbone Enterprise 25V verfügbar gemacht.
  • Die Remote- und lokale Backup-Funktionalität (GOS-Menüs Setup > Backup, Maintenance > Backup > Incremental Backup und Maintenance > Backup > List) wird für das Appliance-Modell Greenbone Enterprise CENO verfügbar gemacht.

6.5.3 Virtuelle Appliances

Mit GOS 22.04 wurden die Größen der virtuellen Festplatten für virtuelle Appliances geändert.

Die neuen Größen sind:

  • Greenbone Enterprise EXA: 225 GB
  • Greenbone Enterprise DECA/PETA/EXA: 220 GB
  • Greenbone Enterprise CENO: 135 GB
  • Greenbone Enterprise ONE: 130 GB
  • Greenbone Enterprise 25V: 70 GB

Die neuen Größen sind nur für neu installierte virtuelle Appliances relevant. Upgegradete Appliances behalten ihr Partitionslayout und damit ihre erforderliche Festplattengröße bei.

6.5.4 HTTP-Zugriff auf die Web-Oberfläche

Mit GOS 22.04 wird der unverschlüsselte HTTP-Zugriff auf die Web-Oberfläche nicht mehr unterstützt. Stattdessen muss HTTPS verwendet werden.

Ein gültiges HTTPS-Zertifikat (entweder selbst signiert oder von einer Zertifizierungsstelle signiert) muss nun auf der Appliance konfiguriert werden, um die Web-Oberfläche zu nutzen (siehe Kapitel 7.2.4.1.7).

6.5.5 Backups

6.5.5.1 Passwort für Remote-Backup-Repository

Mit GOS 22.04 ist es möglich, das Passwort für das Remote-Backup-Repository zu ändern. Dazu wurde im GOS-Administrationsmenü der Menüpunkt Setup > Backup > Backup Password hinzugefügt. Der Menüpunkt ist nur sichtbar, wenn der Ort des Backups als remote konfiguriert ist.

Es wird empfohlen, das Backup-Passwort zu ändern.

Wenn mehrere Appliances dasselbe Remote-Backup-Repository verwenden, wird empfohlen, dass jede Appliance ihr eigenes, eindeutiges Backup-Passwort verwendet.

6.5.5.2 obnam

Mit GOS 20.08 wurde das Backend für die Verwaltung von Backups in GOS von obnam auf restic umgestellt. Allerdings war obnam in GOS 20.08 und 21.04 weiterhin verfügbar, ebenso wie die mit obnam in GOS 6 oder früher erstellten Backups.

Mit GOS 22.04 werden obnam und alle mit obnam erstellten Backups entfernt. Inkrementelle Backups, die mit GOS 6 und früher erstellt wurden, werden aufgrund von Inkompatibilität und zur Rückgewinnung von Speicherplatz entfernt.

Wenn diese alten Backups beibehalten werden sollen, muss vor dem Upgrade auf GOS 22.04 eine Kopie der Dateien erstellt werden. Falls Fragen auftreten, kann der Greenbone Enterprise Support kontaktiert werden.

6.5.6 Mailhub

Mit GOS 22.04 wird eine neue Option hinzugefügt, um die Verwendung von SMTPS für die von einer Greenbone Enterprise Appliance versendeten E-Mails zu erzwingen.

Dazu gibt es im GOS-Administrationsmenü das neue Menü Setup > Mail > SMTP Enforce TLS.

6.5.7 Web-Oberfläche

6.5.7.1 Geschäftsprozessanalyse

Mit GOS 22.04 wird die Geschäftsprozessanalyse-Funktionalität von der Web-Oberfläche entfernt. Vorhandene Geschäftsprozessanalysen werden gelöscht und können nicht wiederhergestellt werden. Wenn die in einer Geschäftsprozessanalyse enthaltenen Informationen gespeichert werden sollen, muss dies in GOS 21.04 erfolgen.

6.5.7.2 Aufgaben-/Auditeinstellung Netzwerk-Quell-Interface

Mit GOS 22.04 wird die Aufgaben-/Auditeinstellung Netzwerk-Quell-Interface entfernt. Wenn diese Einstellung zuvor für eine Aufgabe oder ein Audit konfiguriert war, wird sie ignoriert.

6.5.7.3 Benutzereinstellung Interface-Zugriff

Da die Aufgaben-/Auditeinstellung Netzwerk-Quell-Interface mit GOS 22.04 entfernt wird, wird auch die Benutzereinstellung Interface-Zugriff entfernt. Wenn diese Einstellung zuvor für einen Benutzer konfiguriert war, wird sie ignoriert.

6.5.7.4 OVAL-Definitionen

Mit GOS 22.04 werden die OVAL-Definitionen aus dem Sicherheitsinfo-Management auf der Web-Oberfläche entfernt. Die bisherigen OVAL-Definitionen waren veraltet und erfüllten keinen Zweck mehr.

6.5.7.5 OSP-Scanner

Mit GOS 22.04 wird der Scannertyp OSP-Scanner entfernt. Es ist nicht mehr möglich, OSP-Scanner zu erstellen und sie für die Ausführung von Scans auszuwählen.

Dies betrifft nur den Scannertyp OSP-Scanner, nicht das Protokoll OSP im Allgemeinen. Der Scannertyp Greenbone Sensor wird weiterhin OSP verwenden.

6.5.8 Qualität der Erkennung (QdE)

Mit GOS 22.04 wird die neue Stufe für die Qualität der Erkennung (QdE) package_unreliable mit einer QdE von 30 % eingeführt. Sie wird für authentifizierte paketbasierte Prüfungen, die nicht immer vollständig zuverlässig sind, für z. B. Linux(oide) Systeme.

6.5.9 Schwachstellen-Referenzen

Mit GOS 22.04 wird der Tag script_bugtraq_id();, der auf eine BID von Bugtraq verweist, nicht mehr unterstützt. Für VTs mit einem solchen Tag wurde die BID unter Verweise auf der Web-Oberfläche angezeigt. Da bugtraq.securityfocus.com nicht mehr gepflegt wird, hatte der Verweis zu Verwirrungen geführt.

Alle bestehenden BID-Referenzen wurden in Andere Referenzen migriert und erscheinen dort als URLs auf der Web-Oberfläche. Um auf den Inhalt der URLs zuzugreifen, können gängige Dienste wie archive.org genutzt werden.

6.5.10 Greenbone Management Protocol (GMP)

Das Greenbone Management Protocol (GMP) wurde auf Version 22.04 aktualisiert und die Programmierschnittstelle wurde leicht angepasst. Die Nutzung mancher Befehle wurde verändert und einige Befehle, Elemente und Attribute wurden überholt. Das gesamte Referenzhandbuch und die Liste aller Veränderungen ist hier verfügbar.