3 OpenSight OS verwalten¶
3.1 Allgemeine Informationen¶
3.1.2 Zugang auf Systemebene¶
Voller Zugriff auf die Systemebene wird nur dem Benutzer root gewährt.
Das Passwort für den Root-Benutzer kann nicht zurückgesetzt werden, wenn es verloren geht.
3.1.3 Administrativer Zugang¶
Alle erforderlichen administrativen Aufgaben, um den Betrieb und die Instandhaltung von OpenSight OS sicherzustellen, werden über die OpenSight OS-CLI erledigt. Der Admin-Benutzer erhält alle erforderlichen Berechtigungen, um auf die CLI zugreifen und diese bedienen zu können.
Da der Admin-Benutzer keine Berechtigung zum Ändern des Root-Passworts hat, kann das Passwort für den Root-Benutzer nicht zurückgesetzt werden, wenn es verloren geht.
3.1.4 Tab-Autovervollständigung¶
Die OpenSight OS-CLI bietet eine praktische Tab-Autovervollständigung für alle Befehle. Teilweise eingegebene Befehle können durch Drücken der Tab-Taste vervollständigt werden. Dies vereinfacht und beschleunigt die Verwendung der OpenSight OS-CLI.
Beispiel:
Den Anfang eines Befehls eingeben:
opensight-os-cli up
Tab drücken.
→ Der Befehl wird automatisch wie folgt vervollständigt:
opensight-os-cli upgrade
Leertaste und noch einmal Tab drücken.
→ Die möglichen Optionen werden angezeigt:
opensight-os-cli upgrade check (Check if updates are available) show-all (Get installed packages) deploy (Deploy upgrade) show (Get information about specific package)
3.2 Die Netzwerkeinstellungen konfigurieren¶
Die virtuelle Maschine mit OpenSight OS ist so konfiguriert, dass sie einsatzbereit ist und die Netzwerkschnittstelle (eth0) über DHCP konfiguriert. Wenn es keine weiteren Anforderungen an die Netzwerkkonfiguration gibt, ist dieses Kapitel nicht relevant.
3.2.1 Die Netzwerkschnittstellen konfigurieren¶
3.2.1.1 Informationen über konfigurierte Schnittstellen abrufen¶
Folgenden Befehl ausführen, um Informationen zu allen konfigurierten Schnittstellen anzuzeigen:
opensight-os-cli network show-all-ethernets
→ Die Ausgabe zeigt alle in OpenSight OS konfigurierten Schnittstellen mit den entsprechenden Werten:
Bemerkung
Standardmäßig wird nur eth0 über DHCP konfiguriert.
HTTP/1.1 200 OK
Connection: keep-alive
Content-Length: 495
Content-Type: application/json
Date: Thu, 23 Jan 2025 15:42:15 GMT
Server: nginx
accept-ra: null
addresses: null
dhcp4: true
dhcp6: false
dynamic_addresses:
- 10.0.2.15/24 (dynamic, dhcp)
- fe80::a00:27ff:fe6f:faee/64 (link)
ipv6-mtu: null
mtu: null
nameservers: null
routes: []
system_state_differences: {}
3.2.1.2 Eine statische IP-Adresse einrichten¶
Folgenden Befehl ausführen, um eine Schnittstelle mit einer statischen IP-Adresse zu konfigurieren:
opensight-os-cli network add-ethernet-address <INTERFACE> <IP_ADDRESS>/<NET_MASK>
Beispiel:
opensight-os-cli network add-ethernet-address eth0 192.168.0.1/24
→ Die Ausgabe zeigt die konfigurierte IP-Adresse:
HTTP/1.1 200 OK
Connection: keep-alive
Content-Length: 224
Content-Type: application/json
Date: Thu, 23 Jan 2025 15:42:15 GMT
Server: nginx
accept-ra: null
addresses:
- 192.168.0.1/24
dhcp4: false
dhcp6: false
dynamic_addresses:
- fe80::a00:27ff:fe6f:faee/64 (link)
ipv6-mtu: null
mtu: null
nameservers: null
routes: []
system_state_differences: {}
3.2.1.3 Das globale Gateway konfigurieren¶
Folgenden Befehl ausführen, welcher eine entsprechende Route hinzufügt, um ein Standard-Gateway für eine Schnittstelle mit einer statischen IP-Adresse hinzuzufügen:
opensight-os-cli network add-ethernet-route eth0 via:<GATEWAY_IP>
Beispiel:
opensight-os-cli network add-ethernet-route eth0 via:192.168.0.123
→ Die Ausgabe zeigt die Schnittstellenkonfiguration mit der konfigurierten Route:
HTTP/1.1 200 OK
Connection: keep-alive
Content-Length: 567
Content-Type: application/json
Date: Mon, 28 Apr 2025 13:48:13 GMT
Server: nginx
eth0:
accept-ra: null
addresses: null
dhcp4: true
dhcp4-overrides: {}
dhcp6: false
dhcp6-overrides: {}
dynamic_addresses:
- 192.168.0.1 (dynamic, dhcp)
ipv6-mtu: null
match:
macaddress: 08:00:27:dd:30:5c
mtu: null
nameservers: null
routes:
- from: null
to: default
via: 192.168.0.123
system_state_differences: {}
3.2.1.4 Eine Netzwerkroute konfigurieren¶
Folgenden Befehl ausführen, um eine Netzwerkroute zu konfigurieren:
opensight-os-cli network add-ethernet-route eth0 via:<GATEWAY_IP>,to:<TARGET_IP/PREFIX>
Beispiel:
opensight-os-cli network add-ethernet-route eth0 via:192.168.0.123,to:192.168.100.0/24
→ Die Ausgabe zeigt die konfigurierte Route:
HTTP/1.1 200 OK
Connection: keep-alive
Content-Length: 591
Content-Type: application/json
Date: Wed, 30 Apr 2025 07:07:24 GMT
Server: nginx
accept-ra: null
addresses:
- 192.168.0.1/24
dhcp4: false
dhcp4-overrides: {}
dhcp6: false
dhcp6-overrides: {}
dynamic_addresses:
ipv6-mtu: null
match:
macaddress: 08:00:27:dd:30:5c
mtu: null
nameservers: null
search: []
routes:
- from: null
to: 192.168.100.0/24
via: 192.168.0.123
system_state_differences: {}
3.2.1.5 Eine Netzwerkschnittstelle für die Verwendung von DHCP konfigurieren¶
Folgenden Befehl ausführen, um eine Schnittstelle mit DHCP zu konfigurieren:
opensight-os-cli network update-ethernet <INTERFACE> dhcp4:true,dhcp6:false
Beispiel:
opensight-os-cli network update-ethernet eth1 dhcp4:true
→ Die Ausgabe zeigt die dynamische IP-Adresse, die über DHCP bezogen wurde:
HTTP/1.1 200 OK
Connection: keep-alive
Content-Length: 238
Content-Type: application/json
Date: Thu, 23 Jan 2025 15:42:15 GMT
Server: nginx
accept-ra: null
addresses: null
dhcp4: true
dhcp6: false
dynamic_addresses:
- 192.168.56.49/24 (dynamic)
- fe80::a00:27ff:fe60:96f1/64 (link)
ipv6-mtu: null
mtu: null
nameservers: null
routes: []
system_state_differences: {}
3.2.1.6 Die Maximum Transmission Unit (MTU) konfigurieren¶
Folgenden Befehl ausführen, um die MTU festzulegen:
opensight-os-cli network update-ethernet <INTERFACE> mtu:1280, ipv6-mtu:1280
Bemerkung
Für IPv4 mtu
und für IPv6 ipv6-mtu
nutzen.
Die MTU kann nur eine ganze Zahl zwischen 1280
und 64000
sein, oder null
, falls sie nicht gesetzt sein soll.
Beispiel:
opensight-os-cli network update-ethernet eth0 ipv6-mtu:1280
→ Die Ausgabe zeigt die aktualisierte Schnittstelle mit ihrem aktualisierten Wert für ipv6-mtu
:
HTTP/1.1 200 OK
Connection: keep-alive
Content-Length: 354
Content-Type: application/json
Date: Tue, 22 Apr 2025 13:46:53 GMT
Server: nginx
accept-ra: null
addresses: null
dhcp4: true
dhcp4-overrides:
use-mtu: false
dhcp6: false
dhcp6-overrides:
use-mtu: false
dynamic_addresses:
- 192.168.56.49/24 (dynamic)
- fe80::a00:27ff:fe60:96f1/64 (link)
ipv6-mtu: 1280
match:
macaddress: 08:00:27:33:8c:4b
mtu: null
nameservers: null
routes: []
system_state_differences: {}
3.2.1.7 Das Router-Advertisement für IPv6 konfigurieren¶
Das Router-Advertisement kann mit dem Parameter accept-ra
festgelegt werden, der je nach gewünschter Konfiguration verschiedene Werte annehmen kann:
true
: Router-Advertisements werden akzeptiert.false
: Router-Advertisements werden ignoriert.„null“: hier wird die Standardeinstellung des Kernels übernommen. Dies ist die Standardeinstellung.
Bemerkung
Die Einstellung von accept-ra
allein reicht nicht aus, um die Schnittstelle zu aktivieren. Dazu muss dhcp6
aktiviert sein (siehe Kapitel 3.2.1.5).
Folgenden Befehl ausführen, um das Router-Advertisement einzurichten:
opensight-os-cli network update-ethernet <INTERFACE> accept-ra:true
Beispiel:
opensight-os-cli network update-ethernet eth1 accept-ra:true
→ Die Ausgabe zeigt die aktualisierte Schnittstelle mit ihrem aktualisierten Wert für accept-ra
:
HTTP/1.1 200 OK
Connection: keep-alive
Content-Length: 354
Content-Type: application/json
Date: Tue, 22 Apr 2025 13:46:53 GMT
Server: nginx
accept-ra: true
addresses: null
dhcp4: true
dhcp4-overrides:
use-mtu: false
dhcp6: false
dhcp6-overrides:
use-mtu: false
dynamic_addresses:
- 192.168.56.49/24 (dynamic)
- fe80::a00:27ff:fe60:96f1/64 (link)
ipv6-mtu: 1280
match:
macaddress: 08:00:27:33:8c:4b
mtu: null
nameservers: null
routes: []
system_state_differences: {}
3.2.1.8 Einen DNS-Server konfigurieren¶
Folgenden Befehl ausführen, um einen benutzerdefinierten DNS-Server zu konfigurieren:
opensight-os-cli network add-ethernet-nameservers-address <INTERFACE> <DNS_SERVER_IP>
Beispiel:
opensight-os-cli network add-ethernet-nameservers-address eth0 192.168.0.124
Bemerkung
Es muss eine gültige Route/Gateway (über DHCP oder durch Festlegen einer statischen IP-Adresse) vorhanden sein, um den DNS und die gewünschten Hosts zu erreichen.
→ Die Ausgabe zeigt den konfigurierten DNS:
HTTP/1.1 200 OK
Connection: keep-alive
Content-Length: 354
Content-Type: application/json
Date: Tue, 22 Apr 2025 13:46:53 GMT
Server: nginx
accept-ra: null
addresses:
- 192.168.0.1/24
dhcp4: false
dhcp6: false
dynamic_addresses:
- fe80::a00:27ff:fe6f:faee/64 (link)
ipv6-mtu: null
match:
macaddress: 08:00:27:33:8c:4b
mtu: null
nameservers:
addresses:
- 192.168.0.124
search: []
routes:
- from: null
to: default
via: 192.168.0.123
system_state_differences: {}
3.2.1.9 Einen DNS-Server entfernen¶
Folgenden Befehl ausführen, um einen benutzerdefinierten DNS-Server zu entfernen:
opensight-os-cli network delete-ethernet-nameservers-address <INTERFACE> <DNS_SERVER_IP>
Beispiel:
opensight-os-cli network delete-ethernet-nameservers-address eth0 192.168.0.124
3.2.1.10 Den Hostnamen und den Domainnamen festlegen¶
Folgenden Befehl ausführen, um einen neuen Hostnamen festzulegen:
opensight-os-cli network update-hostname hostname:<HOSTNAME>
Beispiel:
opensight-os-cli network update-hostname hostname:myhost123
→ Die Ausgabe zeigt den konfigurierten Hostnamen:
HTTP/1.1 200 OK
Connection: keep-alive
Content-Length: 354
Content-Type: application/json
Date: Tue, 22 Apr 2025 13:46:53 GMT
Server: nginx
myhost123
Bemerkung
Um den in der CLI angezeigten Hostnamen zu aktualisieren, ist es erforderlich, sich von OpenSight OS abzumelden und erneut anzumelden.
3.3 Den Proxy konfigurieren¶
Das OpenSight Proxy-Modul ermöglicht die Konfiguration eines Internet-Proxys, der für den Empfang von OpenSight OS-Paketen sowie für den Zugriff auf OPENVAS-Anwendungsressourcen (über packages.greenbone.net) verwendet wird.
3.3.1 Die aktuelle Proxy-Konfiguration anzeigen¶
Folgenden Befehl ausführen, um die aktuelle Proxy-Konfiguration anzuzeigen:
opensight-os-cli proxy show-all
3.3.2 Eine Proxy-Konfiguration hinzufügen¶
Folgenden Befehl ausführen, um eine Proxy-Konfiguration hinzuzufügen:
opensight-os-cli proxy set-proxy scheme: https, url: <PROTOCOL>://<USERNAME>:<PASSWORD>@<PROXY_HOST>:<PROXY_PORT>
Bemerkung
<PROTOCOL>
kann entweder http
oder https
sein.
Port 80 ist für HTTP und Port 443 ist für HTTPS reserviert. Die Verwendung anderer benutzerdefinierter Ports wird unterstützt, wenn der Proxy-Server entsprechend konfiguriert ist.
Beispiel für einen HTTP-Proxy ohne Authentifizierung:
opensight-os-cli proxy set-proxy scheme: https, url: https://192.168.150.200:8443
→ Die Ausgabe zeigt die aktuelle Proxy-Konfiguration:
HTTP/1.1 200 OK
Connection: keep-alive
Content-Length: 354
Content-Type: application/json
Date: Tue, 22 Apr 2025 13:46:53 GMT
Server: nginx
scheme: https
url: https://192.168.150.200:8443
3.3.3 Eine Proxy-Konfiguration entfernen¶
Folgenden Befehl ausführen, um eine Proxy-Konfiguration zu entfernen:
opensight-os-cli proxy remove-proxy --scheme <PROTOCOL>
Bemerkung
<PROTOCOL>
kann entweder http
oder https
sein.
Beispiel:
opensight-os-cli proxy remove-proxy --scheme https
→ Der Rückgabecode No Content
in der Ausgabe zeigt an, dass die Proxy-Konfiguration entfernt wurde:
HTTP/1.1 204 No Content
Connection: keep-alive
Content-Type: application/json
Date: Tue, 29 Apr 2025 11:52:15 GMT
Server: nginx
3.4 SSH konfigurieren¶
3.4.1 Den Zustand des SSH-Diensts prüfen¶
Standardmäßig ist SSH deaktiviert.
Folgenden Befehl ausführen, um den Zustand von sshd (SSH Daemon) zu prüfen:
opensight-os-cli service show sshd
→ Die Ausgabe zeigt den aktuellen Zustand des SSH-Diensts an:
HTTP/1.1 200 OK
Connection: keep-alive
Content-Length: 30
Content-Type: application/json
Date: Tue, 22 Apr 2025 13:23:26 GMT
Server: nginx
enabled: false
name: sshd
Tipp
Folgenden Befehl ausführen, um den Zustand aller verfügbaren Dienste anzuzeigen:
opensight-os-cli service show-all
3.4.2 SSH aktivieren¶
Folgenden Befehl ausführen, um SSH zu aktivieren:
opensight-os-cli service update sshd enabled:true
→ Die Ausgabe zeigt den Wert true
für den Zustand des SSH-Diensts:
HTTP/1.1 200 OK
Connection: keep-alive
Content-Length: 30
Content-Type: application/json
Date: Tue, 22 Apr 2025 13:32:49 GMT
Server: nginx
enabled: true
name: sshd
3.4.3 SSH deaktivieren¶
Folgenden Befehl ausführen, um SSH zu deaktivieren:
opensight-os-cli service update sshd enabled:false
→ Die Ausgabe zeigt den Wert false
für den Zustand des SSH-Diensts:
HTTP/1.1 200 OK
Connection: keep-alive
Content-Length: 30
Content-Type: application/json
Date: Tue, 22 Apr 2025 13:32:49 GMT
Server: nginx
enabled: false
name: sshd
3.5 OpenSight OS aktualisieren¶
Bemerkung
Um OpenSight OS auf dem neuesten Stand und sicher zu halten, sollten verfügbare Updates regelmäßig überprüft und installiert werden.
OpenSight OS kann wie folgt aktualisiert werden:
Als Admin-Benutzer über SSH auf OpenSight OS zugreifen (siehe Kapitel 3.4).
Folgenden Befehl ausführen, um nach verfügbaren Updates zu suchen:
opensight-os-cli upgrade check
→ Die Ausgabe zeigt eine Liste aller installierten Pakete, für die ein Update verfügbar ist, mit ihrer aktuellen und verfügbaren Version:
HTTP/1.1 200 OK Connection: keep-alive Content-Length: 2450 Content-Type: application/json Date: Wed, 23 Apr 2025 08:24:56 GMT Server: nginx - available_version: 9.7-1 installed_version: 9.6-4 name: coreutils - available_version: 8.13.0-2 installed_version: 8.12.1-1 name: curl - available_version: 1:28.0.4-2 installed_version: 1:28.0.4-1 name: docker - available_version: 2.35.0-1 installed_version: 2.33.1-1 name: docker-compose ...
Folgenden Befehl ausführen, um alle verfügbaren Updates zu installieren:
opensight-os-cli upgrade deploy
Tipp
Folgenden Befehl ausführen, um eine Liste aller installierten Pakete anzuzeigen:
opensight-os-cli upgrade show-all
Folgenden Befehl ausführen, um Informationen über ein bestimmtes Paket anzuzeigen:
opensight-os-cli upgrade show <PACKAGE_NAME>
3.6 Ein Backup erstellen und wiederherstellen¶
Das OpenSight Backup-Modul dient zum Speichern und Wiederherstellen des entsprechenden OPENVAS-Produkts, bestehend aus Container, OCI-Images, Volumes und Konfigurationen.
Die OpenSight Backup-API gewährt dem Admin-Benutzer alle erforderlichen Berechtigungen zum Erstellen, Wiederherstellen und Löschen von Backups. Ähnlich wie bei den Produktartefakten (d. h. dem direktem Zugriff auf den Docker-Container) hat der Admin-Benutzer aus Sicherheitsgründen keinen direkten Zugriff auf die Backup-Dateien selbst.
3.6.1 Ein Backup erstellen¶
Folgenden Befehl ausführen, um ein Backup eines deployten Produkts zu erstellen:
opensight-os-cli backup create
→ Sobald das Backup erstellt wurde, zeigt die Ausgabe die Erstellungszeit und die ID des generierten Backups:
HTTP/1.1 201 Created
Connection: keep-alive
Content-Length: 122
Content-Type: application/json
Date: Tue, 29 Apr 2025 13:52:29 GMT
Server: nginx
creation_time: "2025-04-29T13:50:38.278784514Z"
id: 09fb580c8156f680a544fac2e1c52ff8d51baae082dd54ed01d5fa7e6914d5c3
3.6.2 Alle vorhandenen Backups auflisten¶
Folgenden Befehl ausführen, um eine Liste aller vorhandenen Backups anzuzeigen:
opensight-os-cli backup show-all
→ Die Ausgabe zeigt alle vorhandenen Backups (in diesem Beispiel gibt es nur ein Backup) mit Erstellungszeit und ID:
HTTP/1.1 201 Created
Connection: keep-alive
Content-Length: 122
Content-Type: application/json
Date: Tue, 29 Apr 2025 13:52:29 GMT
Server: nginx
- creation_time: "2025-04-29T13:50:38.278784514Z"
id: 09fb580c8156f680a544fac2e1c52ff8d51baae082dd54ed01d5fa7e6914d5c3
3.6.3 Ein Backup wiederherstellen¶
Folgenden Befehl ausführen, um ein ausgewähltes Backup wiederherzustellen:
opensight-os-cli backup restore <BACKUP_ID>
Beispiel:
opensight-os-cli backup restore 09fb580c8156f680a544fac2e1c52ff8d51baae082dd54ed01d5fa7e6914d5c3
→ Die Ausgabe zeigt die für die Wiederherstellung des Backups benötigte Zeit:
HTTP/1.1 201 Created
Connection: keep-alive
Content-Length: 122
Content-Type: application/json
Date: Tue, 29 Apr 2025 13:52:29 GMT
Server: nginx
seconds_elapsed: 22
3.6.4 Ein Backup löschen¶
Folgenden Befehl ausführen, um ein bestimmtes Backup zu löschen:
opensight-os-cli backup delete <BACKUP_ID>
Beispiel:
opensight-os-cli backup delete 09fb580c8156f680a544fac2e1c52ff8d51baae082dd54ed01d5fa7e6914d5c3
3.7 OpenSight OS neu starten und herunterfahren¶
3.7.1 OpenSight OS neu starten¶
Folgenden Befehl ausführen, um OpenSight OS neu zu starten:
opensight-os-cli power reboot
3.7.2 OpenSight OS herunterfahren¶
Folgenden Befehl ausführen, um OpenSight OS herunterzufahren:
opensight-os-cli power shutdown