Zum Hauptinhalt springen

Greenbone OS (GOS) Administration

Worum geht's hier?

Diese Seite beschreibt, wie ein Systemadministrator das Greenbone-Betriebssystem (GOS) auf einer Greenbone Enterprise Appliance verwaltet: das Upgrade von GOS auf eine neue Hauptversion, das Autorisierungskonzept, das Zugriff auf Benutzer- und Systemebene trennt, sowie die drei obersten Zweige des GOS-Administrationsmenüs. Sie führt durch das Setup-Menü (Benutzer, Netzwerk, VPN, Dienste, Backups, Feed-Synchronisation, Airgap, Zeit, E-Mail, Logging), das Maintenance-Menü (Selbsttest, Backup/Wiederherstellung, Beaming, Upgrade, Feed-Update, Power) und das Advanced-Menü (Logs, Superuser, Support-Paket, Shell).

Quellenumfang

Basiert auf dem Handbuch der Greenbone Enterprise Appliance (GOS 22.04 / OPENVAS SCAN 22.04), Kapitel 6-7, geprüft im Juni 2026. Es handelt sich um appliance-spezifische Administration über das GOS-Administrationsmenü; sie gilt nicht für die kostenlose Community Edition / das Docker-Setup. Nicht alle Menüoptionen sind auf jedem Appliance-Modell verfügbar.

1. GOS auf eine neue Hauptversion upgraden

GOS 21.04 bietet ein nahtloses Upgrade auf die Hauptversion GOS 22.04. Alle Systemeinstellungen und Benutzerdaten bleiben erhalten und werden automatisch migriert, sofern nicht eine Änderung des Standardverhaltens eine bestimmte Einstellung oder Daten betrifft (§6, §6.5).

1.1 Voraussetzungen vor dem Upgrade

Vor dem Upgrade auf GOS 22.04 muss in GOS 21.04 Folgendes gegeben sein (§6.1):

  • Die aktuellste Version von GOS 21.04 ist installiert.
  • Ein Feed Import Owner ist festgelegt.
  • Die Datenobjekte sind installiert (nach dem Festlegen des Feed Import Owner ist ein Feed-Update erforderlich).

Es wird empfohlen, vor dem Upgrade in den Netzwerkmodus gnm zu wechseln (§7.2.2.1).

1.2 Das Upgrade durchführen

Das Upgrade wird über das Maintenance-Menü gestartet (§6.1):

Maintenance > Upgrade > Switch Release

Eine Warnung weist darauf hin, dass die Appliance auf eine neue Hauptversion aktualisiert wird, anschließend darauf, dass die Appliance während des Upgrades gesperrt ist. Während des Upgrades können keine Systemoperationen laufen, und alle laufenden Operationen müssen zuerst abgeschlossen werden. Nach der Bestätigung startet das Upgrade; ist es abgeschlossen, ist ein Neustart erforderlich, um alle Änderungen zu übernehmen (Reboot).

Nach dem Neustart prüft GOS auf unvollständige Setup-Schritte und bietet an, sie abzuschließen. War noch der alte Legacy-Netzwerkmodus in Verwendung, bietet GOS an, in den neuen Modus GOS Network Manager (gnm) zu wechseln; dies kann auch später erfolgen (§7.2.2.1). Nach dem Upgrade muss ein Feed-Update durchgeführt werden, um neue Funktionen wie den Notus Scanner nutzen zu können (§6.5).

Upgrades von Hauptversionen sind störend

Die Appliance ist für die Dauer des Upgrades gesperrt, und danach ist ein Neustart erforderlich. Schließe laufende Scans zuerst ab oder stoppe sie, um keine ungespeicherten Daten zu verlieren.

1.3 Nach dem Upgrade

  • Flash-Partition. Die interne Flash-Partition enthält eine Backup-Kopie von GOS, die für Werksrücksetzungen verwendet wird. Es wird empfohlen, die GOS-Version auf der Flash-Partition zu aktualisieren (§6.2, §7.3.8).
  • GOS-Administrationsmenü neu laden. Ein Upgrade kann die verfügbare Funktionalität verändern; melde dich vom Menü ab und wieder an, damit die Änderungen wirksam werden (§6.3).
  • Weboberfläche neu laden. Leere nach einem Upgrade auf eine neue Hauptversion den Browser-Cache. Alternativ kannst du den Cache jeder Seite mit Ctrl + F5 leeren (pro Seite); das Leeren des Browser-Caches gilt global (§6.4).

1.4 Bemerkenswerte Änderungen in GOS 22.04

Ausgewählte Ergänzungen und Änderungen des Standardverhaltens (§6.5):

  • Notus Scanner läuft ohne Benutzerinteraktion nach jedem regulären Scan und ersetzt für die unterstützten VT-Familien die Logik der NASL-basierten lokalen Sicherheitsprüfungen. Für eine manuell erstellte Scankonfiguration muss der VT Determine OS and list of installed packages via SSH login (OID 1.3.6.1.4.1.25623.1.0.50282) aktiv sein (§6.5.1).
  • Der HTTP-Zugriff auf die Weboberfläche wurde entfernt. Unverschlüsseltes HTTP wird nicht mehr unterstützt; ein gültiges HTTPS-Zertifikat (selbstsigniert oder CA-signiert) muss konfiguriert werden (§6.5.4, §7.2.4.1.7).
  • Backups: Das Passwort des entfernten Backup-Repositorys kann nun geändert werden (Setup > Backup > Backup Password); obnam und alle obnam-Backups wurden entfernt (§6.5.5).
  • Mailhub: Eine neue Option erzwingt SMTPS (Setup > Mail > SMTP Enforce TLS) (§6.5.6).
  • Entfernungen in der Weboberfläche: Business Process Map, die Task-/Audit-Einstellung Network Source Interface, die Benutzereinstellung Interface Access, OVAL-Definitionen und der Scanner-Typ OSP Scanner wurden entfernt (§6.5.7).
  • GMP wurde auf Version 22.04 aktualisiert; einige Befehle, Elemente und Attribute gelten als veraltet (§6.5.10).

2. Das GOS-Administrationsmenü und das Autorisierungskonzept

2.1 Zwei Zugriffsebenen

Die Appliance bietet zwei verschiedene Zugriffsebenen (§7.1.2):

EbeneZugriffswegZweck
BenutzerebeneWeboberfläche oder GMP-APIScanning und Schwachstellen-Management; Verwaltung von Benutzern, Gruppen und Berechtigungen
SystemebeneGOS-Administrationsmenü (Konsole oder SSH)Administration des Greenbone-Betriebssystems selbst

Zugriff auf Benutzerebene (§7.1.2.1): Standardmäßig existiert bei Auslieferung oder nach einer Werksrücksetzung kein Konto auf Benutzerebene. Mindestens ein Web-Administrator muss über das GOS-Administrationsmenü angelegt werden (§7.2.1.3). Über die Weboberfläche angelegte Webbenutzer haben einen Eigentümer; über das GOS-Administrationsmenü angelegte Webbenutzer haben stets die Rolle Admin, haben keinen Eigentümer und sind globale Objekte, die nur über das GOS-Administrationsmenü oder von einem Super-Administrator verwaltet werden können. Die Modelle Greenbone Enterprise 35 und Greenbone Enterprise 25V haben keinen Zugriff auf Benutzerebene und müssen von einer Master-Appliance verwaltet werden.

Zugriff auf Systemebene (§7.1.2.2): Es wird nur ein einziges Systemadministrator-Konto unterstützt. Der Administrator weist das System an, Konfigurationen zu ändern, anstatt Systemdateien direkt zu bearbeiten. Die Shell ist ausschließlich für Support und Fehlerbehebung vorgesehen. Bei Auslieferung oder nach einer Werksrücksetzung sind ein Standard-Systemadministrator-Konto und ein Passwort vorkonfiguriert; dieses Passwort sollte bei der Ersteinrichtung geändert werden (§7.2.1.1).

Feed-Subscription-Key

Ein eindeutiger Subscription-Key des Greenbone Enterprise Feed ist ausschließlich für die Feed-Autorisierung vorinstalliert (nicht für Abrechnung oder Verschlüsselung). Er ist pro Appliance individuell. Eine Werksrücksetzung löscht den Key; wende dich vorher an den Greenbone Enterprise Support, um eine Kopie zu erhalten (§7.1.1).

2.2 Am Menü anmelden

Das Menü wird über die Konsole (seriell, Hypervisor oder Monitor/Tastatur) oder über SSH erreicht. Die Standard-Konsolenanmeldung lautet Benutzer admin / Passwort admin, was bei der Ersteinrichtung geändert werden sollte. Ein Setup-Assistent unterstützt beim ersten Login bei der Grundkonfiguration (§7.1.2.2).

SSH ist standardmäßig deaktiviert und muss zuerst aktiviert werden, üblicherweise über die Konsole (§7.2.4.4). Zum Verbinden unter Linux, macOS oder Unix-ähnlichen Systemen:

ssh admin@<appliance>

Ersetze <appliance> durch die IP-Adresse oder den Domainnamen der Appliance. Unter Windows können PuTTY, smarTTY oder die Komponente OpenSSH Client verwendet werden. Der Fingerabdruck des Host-Keys kann über Setup > Services > SSH > Fingerprint verifiziert werden.

2.3 Im Menü navigieren

Das Menü wird über die Tastatur bedient (§7.1.3): Pfeiltasten wählen aus, Enter bestätigt, Space schaltet An/Aus-Schalter um, und Esc verlässt das aktuelle Menü. In den meisten Fällen werden Änderungen nicht sofort übernommen - unterhalb der anderen Optionen erscheint eine Save-Option, und das Verlassen ohne Speichern zeigt eine Warnung.

2.4 Die drei obersten Menüs

MenüZweck
Setup (§7.2)Benutzer, Netzwerk, VPN, Dienste, Backups, Upgrades, Feed, Airgap, Zeit, Tastatur, E-Mail, Logging und Wartungszeit konfigurieren
Maintenance (§7.3)Selbsttest, manuelles Backup/Wiederherstellung, Beaming, GOS-Upgrades, Feed-Updates, Flash-Partition, Neustart/Herunterfahren
Advanced (§7.4)Log-Dateien, Superuser-Konto, Support-Paket, Shell-Zugriff, Subscription-Key und Lizenzinformationen

3. Das Setup-Menü

3.1 Benutzer verwalten

  • Systemadministrator-Passwort (§7.2.1.1): Setup > User > Password. Triviale Passwörter (einschließlich admin) werden abgelehnt. Die Änderung erfolgt sofort und kann nicht rückgängig gemacht werden.
  • Webbenutzer auflisten (§7.2.1.2): Setup > User > Users > List Users.
  • Einen Web-Administrator anlegen (§7.2.1.3): Setup > User > Users > Admin User. Der erste Web-Administrator kann nur hier angelegt werden. Benutzernamen erlauben alphanumerische Zeichen, -, _ und .; Passwörter dürfen beliebige Zeichen bis zu 30 Zeichen verwenden.
  • Gastbenutzer (§7.2.1.4): Setup > User > Users > Guest User lässt einen bestehenden Webbenutzer ohne Passwort anmelden.
  • Super-Administrator (§7.2.1.5): Setup > User > Users > Super Admin erstellt die höchste Zugriffsebene; ein Super-Administrator kann nur vom Super-Administrator selbst bearbeitet werden.
  • Ein Konto löschen (§7.2.1.6): Setup > User > Users > Delete Account, optional unter Auswahl eines Erben. Super-Administratoren können nur hier gelöscht werden, nicht über die Weboberfläche. Der aktuelle Feed Import Owner kann nicht gelöscht werden.
  • Gleichzeitige Web-Sitzungen (§7.2.1.7): Setup > User > Users > User sessions; Wert 0 bis 25, Standard 0 (unbegrenzt).
  • Ein Benutzerpasswort ändern (§7.2.1.8): Setup > User > Users > Change Password.
  • Passwortrichtlinie (§7.2.1.9): Setup > User > Users > Password Policy legt die minimale Length (mindestens 10) fest, ob der Username dem Passwort entsprechen darf, und Complex (Buchstabe + Zahl + Symbol).
  • Datenobjekte / Feed Import Owner (§7.2.1.10): Setup > User > Users > Distributed Data legt den Import Owner (Eigentümer der per Feed verteilten Scankonfigurationen, Compliance-Richtlinien, Berichtsformate und Portlisten) und die Access Roles mit Lesezugriff fest (standardmäßig User, Admin, Super Admin).

3.2 Netzwerkeinstellungen

Netzwerkmodus (§7.2.2.1): Ist noch der Legacy-Modus aktiv, wechselt Setup > Network > Switch Networking Mode zum GOS Network Manager (gnm). Eine Konsolenverbindung wird zuvor empfohlen, und ein Zurückwechseln ist nicht möglich.

Namespaces (§7.2.2.2, §7.2.2.3): Auf einigen Modellen sind Schnittstellen in einen Management-Namespace (GOS-Menü, Weboberfläche, Feed-Server, Master-Sensor-Verkehr) und einen Scan-Namespace (nur Scan-Verkehr) gegliedert. Standardmäßig befinden sich alle Schnittstellen im Management-Namespace; die Trennung wird wirksam, sobald sich mindestens eine Schnittstelle im Scan-Namespace befindet. Schnittstellen werden über Setup > Network > Configure Namespaces verschoben (Schnittstellen im Scan-Namespace sind mit * markiert).

Die Appliance nicht isolieren

Nicht alle Schnittstellen dürfen in den Scan-Namespace verschoben werden, sonst ist die Appliance nicht mehr erreichbar. Es wird empfohlen, Namespaces so zu trennen, dass nur Scan-Schnittstellen zu aus dem Internet erreichbaren Netzen zeigen (§7.2.2.2, §7.2.2.3).

Schnittstellen (§7.2.2.4): Setup > Network > <namespace> > Interfaces > <interface>. Jede Schnittstelle unterstützt Static IP (IPv4/IPv6, mit Präfixlänge), DHCP, MTU (nur bei statischer IP), Router-advertisement für IPv6-SLAAC, VLAN-Subschnittstellen und Routen. Auf virtuellen Appliances ist die erste Schnittstelle mit IPv4 über DHCP vorkonfiguriert, und VLAN-Schnittstellen werden nicht unterstützt.

Weitere Netzwerkoptionen:

  • DNS (§7.2.2.5): Setup > Network > Namespace: Management > DNS - bis zu drei Server; der zweite und dritte werden nur beim Ausfall des ersten verwendet.
  • Globales Gateway (§7.2.2.6): Global Gateway for IPv4 / Global Gateway (IPv6), kann von DHCP oder Router-Advertisement stammen.
  • Hostname / Domainname (§7.2.2.7): Setup > Network > Namespace: Management > Hostname / Domainname. Standardwerte sind Host gsm, Domain gbuser.net; zusammengesetzt bilden sie den FQDN.
  • Management-Zugriff einschränken (§7.2.2.8): Management IP (v4) / Management IP (v6) beschränkt SSH, HTTPS und GMP auf eine Schnittstelle im Management-Namespace. Dies überschneidet sich mit der Namespace-Trennung, die empfohlen wird.
  • MAC/IP/Routen anzeigen (§7.2.2.9): schreibgeschützte Übersicht pro Namespace.

3.3 VPN (Setup > VPN)

OpenVPN ist in GOS integriert. Die VPN-Funktion lässt die Appliance Ziele scannen, die über den Tunnel erreichbar sind; sie wirkt sich nicht auf andere Ziele, Netzwerkeinstellungen oder Master-Sensor-Verbindungen aus und ist nur auf den Modellen Greenbone Enterprise DECA/TERA/PETA/EXA verfügbar. Der Tunnel wird immer von der Appliance-Seite aus initiiert, und es kann immer nur eine VPN-Verbindung gleichzeitig bestehen (§7.2.3).

Die Authentifizierung verwendet eine PKCS#12-Datei mit Zertifikat und privatem Schlüssel (CA optional; passwortgeschützte private Schlüssel innerhalb der Datei werden nicht unterstützt). Beim Setup wird der PKCS#12-Container und optional eine separate CA-Datei über eine im Menü angezeigte temporäre HTTP-URL hochgeladen (§7.2.3.1). Beim Bearbeiten einer Verbindung (§7.2.3.2) werden Remote Address, Port (OpenVPN-Standard 1194), Cipher algorithm, Digest algorithm, PKCS#12, Routes (nur eine Route) und Delete angezeigt.

3.4 Dienste (Setup > Services)

Mehrere Schnittstellen für den Fernzugriff stehen zur Verfügung (§7.2.4):

DienstStandard-Port / -ProtokollHinweise
HTTPS (Weboberfläche)-Standardmäßig aktiviert und nicht deaktivierbar; erfordert ein HTTPS-Zertifikat (§7.2.4.1)
GMP-Greenbone Management Protocol; erfordert zuerst aktiviertes SSH (§7.2.4.2)
OSP-Open Scanner Protocol; erforderlich für die Master-Sensor-Kommunikation; erfordert zuerst aktiviertes SSH (§7.2.4.3)
SSH-Standardmäßig deaktiviert; sicherer Zugriff auf Menü und Shell; erforderlich für die Master-Sensor-Kommunikation (§7.2.4.4)
SNMP-SNMPv3 für Lesezugriff; SNMPv1 für Traps über Alerts (§7.2.4.5)
Temporäres HTTPstandardmäßig zufälligWird für Uploads/Downloads verwendet; ein fester Port kann gesetzt werden (§7.2.4.6)

Das Handbuch nennt keine festen Portnummern für HTTPS, GMP, OSP, SSH oder SNMP, daher werden hier keine wiedergegeben.

HTTPS (§7.2.4.1) - Optionen unter Setup > Services > HTTPS:

  • Timeout - automatische Abmeldung, 1 bis 1440 Minuten, Standard 15.
  • Protocols - TLSv1.2 und/oder TLSv1.3 (beide standardmäßig ausgewählt).
  • Ciphers - nur konfigurierbar, wenn TLSv1.2 in Verwendung ist; die aktuelle Einstellung erfordert mindestens 128-Bit-Schlüssel und verbietet SSLv3- und TLSv1.0-Suiten.
  • DH Parameters - Diffie-Hellman-Parameter neu generieren.
  • HTTP STS und HTTP STS max age - HSTS aktivieren (erfordert ein CA-signiertes Zertifikat) und seine maximale Gültigkeitsdauer in Sekunden festlegen.
  • OCSP Stapling - aktivieren/deaktivieren.
  • Certificate - anzeigen, ein selbstsigniertes Zertifikat Generate erzeugen, einen CSR erstellen und das signierte Zertifikat importieren oder eine bestehende PKCS#12-Datei importieren. Fingerprints zeigt SHA1, SHA256 und BB.
Zertifikatsoperationen überschreiben das aktive Zertifikat

Das Erzeugen eines selbstsignierten Zertifikats, das Erstellen eines CSR oder das Importieren einer PKCS#12-Datei überschreibt das aktuelle Zertifikat und den privaten Schlüssel. Solange ein CSR auf die Signierung wartet, kann die Weboberfläche nicht genutzt werden, bis das signierte Zertifikat importiert ist. Verifiziere vor dem Bestätigen stets den angezeigten Fingerabdruck (§7.2.4.1).

GMP / OSP (§7.2.4.2, §7.2.4.3): umschalten unter Setup > Services > GMP / OSP. Für beide muss zuerst SSH aktiviert sein.

SSH (§7.2.4.4) unter Setup > Services > SSH:

  • SSH State aktiviert den eingebetteten SSH-Server.
  • Login Protection sperrt den Benutzer nach einer konfigurierbaren Anzahl fehlgeschlagener Versuche (Login Attempts). Ein Selbst-Scan kann sie auslösen; sie blockiert den Login über den SSH-Admin-Key nicht.
  • Admin Key lädt einen öffentlichen SSH-Schlüssel (Ed25519 oder RSA) für die schlüsselbasierte Authentifizierung hoch.
  • Fingerprint zeigt die SHA256-Fingerabdrücke der Ed25519- und RSA-Host-Keys der Appliance an.

Ein gesperrtes System wird über die Konsole mit Setup > User > Unlock SSH entsperrt.

SNMP (§7.2.4.5): Setup > Services > SNMP aktiviert SNMP und stellt Location, Contact, Username, Authentication und Privacy bereit (die Appliance verwendet SHA-1 und AES128). Nach der Konfiguration eines Benutzers wird die Engine ID angezeigt. Der Lesezugriff kann mit snmpwalk getestet werden und liefert Uptime, Netzwerkschnittstellen, Speicher, Festplatte, Last und CPU.

3.5 Periodische Backups (Setup > Backup)

Die Appliance unterstützt automatische tägliche Backups, lokal oder entfernt gespeichert (§7.2.5):

  • Letzte 7 tägliche Backups
  • Letzte 5 wöchentliche Backups
  • Letzte 12 monatliche Backups
  • Backups, die älter als ein Jahr sind, werden automatisch gelöscht.

Periodic Backup aktiviert geplante Backups (§7.2.5.1). Standardmäßig werden Backups lokal gespeichert; Backup Location wechselt zu einem entfernten Server über SFTP (§7.2.5.2). Das Remote-Setup verwendet Server (username@hostname[:port]/directory; Port 22 kann weggelassen werden), Server key (den öffentlichen Schlüssel des Remote-Hosts im OpenSSH-Format), User key (den öffentlichen Schlüssel der Appliance für authorized_keys auf dem Remote-Host), Client (eine eindeutige Backup-Kennung, standardmäßig der Hostname), Test (verifiziert den Login) und Backup Password (eine Änderung wird empfohlen; jede Appliance sollte ein eigenes verwenden).

3.6 Upgrade-Einstellungen (Setup > Upgrade)

  • Upgrade-Key (§7.2.6.1, §7.2.6.2): nur für die Wiederherstellung und nur auf Anweisung von Greenbone. Hinzufügen über New Upgrade Key (Editor) oder New Upgrade Key (HTTP); Delete Upgrade Key entfernt ihn. Der Key wird nach einem erfolgreichen Upgrade automatisch entfernt.
  • Automatic Reboot (§7.2.6.3): standardmäßig deaktiviert. Wenn aktiviert, startet die Appliance sofort nach einem GOS-Upgrade, das dies erfordert, neu und beendet dabei laufende Scans. Diese Einstellung gilt nur für die Appliance, auf der sie konfiguriert ist, nicht für deren Sensoren.

3.7 Feed-Synchronisation (Setup > Feed)

Der Greenbone Enterprise Feed liefert VT-, SCAP- (CVE/CPE) und CERT-Bund-/DFN-CERT-Advisory-Updates, GOS-Upgrades sowie Updates für Scankonfigurationen, Compliance-Richtlinien, Portlisten und Berichtsformate. Ohne gültigen Subscription-Key wird stattdessen der öffentliche Greenbone Community Feed verwendet (§7.2.7).

  • Subscription-Key (§7.2.7.1): hinzufügen über Key(HTTP) oder Key(Editor); ein neuer Key überschreibt den bestehenden und setzt den Feed-Status zurück, was anschließend ein Feed-Update erfordert.
  • Synchronisation (§7.2.7.2): automatische Feed-Synchronisation aktivieren/deaktivieren; die Synchronisationszeit folgt der Wartungszeit.
  • Sync-Port (§7.2.7.3): Setup > Feed > Greenbone Server > Sync port wählt 24/tcp (Standard) oder 443/tcp. Der Verkehr ist SSH (rsync über SSH), nicht HTTPS, auch auf Port 443.
  • Sync-Proxy (§7.2.7.4): Greenbone Server > Sync proxy, Format http://proxy:port; der Proxy muss die CONNECT-Methode unterstützen und darf SSL/TLS nicht inspizieren.
  • Cleanup (§7.2.7.5): löscht den Subscription-Key (z. B. am Ende der Lebensdauer), woraufhin nur noch der Community Feed bezogen wird.

3.8 Airgap Master/Sensor (Setup > Feed > Airgap Master / Airgap Sensor)

Die Airgap-Funktion lässt eine nicht mit dem Internet verbundene Appliance Feed-Updates und GOS-Upgrades empfangen. Sie benötigt mindestens zwei Appliances - einen Airgap-Master (mit dem Internet verbunden) und einen Airgap-Sensor (in einem gesicherten Bereich); sie können verkettet werden (§7.2.8).

  • USB-Airgap (§7.2.8.1): Setup > Feed > Airgap Master > USB Master. Die Daten werden auf dem Master auf einen von Greenbone bereitgestellten Airgap-USB-Stick kopiert und dann automatisch übertragen, wenn der Stick mit dem Sensor verbunden wird. Die Konfiguration einer Appliance als USB-Master deaktiviert ihre Konfiguration als USB-Sensor.
  • FTP-Airgap (§7.2.8.2): Setup > Feed > Airgap Master > FTP Master stellt FTP Master Location (ftp://host[:port], Standard-Port 21), FTP Master User, FTP Master Password und FTP Master Test bereit. Der Sensor wird unter Airgap Sensor mit entsprechenden (leicht umbenannten) Optionen konfiguriert; der FTP-Server fungiert als unidirektionale Datendiode. Setze bei langsamen Verbindungen die Wartungszeit des Sensors mindestens drei Stunden hinter die des Masters.

3.9 Zeitsynchronisation (Setup > Timesync)

Time synchronisation aktiviert NTP mit bis zu vier Servern (IP oder DNS); die Appliance wählt den geeignetsten und führt automatisch ein Failover durch. Zeitzone und Sommerzeit werden nicht über NTP synchronisiert - die Appliance läuft immer auf UTC±00:00 (§7.2.9).

3.10 Tastaturlayout (Setup > Keyboard)

Wählt das Tastaturlayout der Appliance; das aktuelle Layout ist mit (selected) gekennzeichnet (§7.2.10).

3.11 E-Mail / Mailhub (Setup > Mail)

Um Scan- oder Audit-Berichte per E-Mail zuzustellen, leitet die Appliance sie über einen Mailhub (Mail-Relay / Smart Host) per SMTP weiter; sie implementiert den Postfix-MTA. Die Appliance speichert keine unzustellbaren E-Mails und versucht keine erneute Zustellung, und der Spam-Schutz des Mailhubs wie Greylisting muss für die Appliance deaktiviert werden (§7.2.11).

  • Mailhub (§7.2.11.1): Setup > Mail > Mail legt die Mailhub-URL fest; Mailhub Port ist optional (andernfalls werden die Standard-SMTP(S)-Ports verwendet).
  • SMTP-Authentifizierung (§7.2.11.2): SMTP Authentication Requirements aktiviert SMTP-Auth mit SMTP Username und Password (max. 128 Zeichen). SMTP Enforce TLS erzwingt SMTPS; ohne diese Option versucht GOS dennoch STARTTLS und greift nur dann auf unverschlüsselt zurück, wenn dem Mailhub STARTTLS fehlt.
  • Grenzen der Berichtsgröße (§7.2.11.3): Max. Email Attachment Size / Max. Email Include Size in Bytes; eine Änderung startet den Greenbone Vulnerability Manager neu und stoppt laufende Scans.

3.12 Log-Erfassung (Setup > Remote Syslog)

Ein zentraler Syslog-Server kann entweder nur sicherheitsrelevante Logs (auth, authpriv, security) oder alle Systemlogs erfassen; beides kann aktiviert werden. Logs werden zudem stets lokal aufbewahrt (§7.2.12).

  • Security Syslog / Full Syslog aktivieren den jeweiligen Log-Typ; Security Remote / Full Remote legen die Server-URL einschließlich Protokoll fest (§7.2.12.1). UDP (Standard), TCP und TLS werden unterstützt; ohne Port wird 514 verwendet; ohne Protokoll wird UDP verwendet. TLS unterstützt nur TLS 1.2 / 1.3 und ist nicht RFC-5425-konform.
  • Certificates verwaltet das für die TLS-Übertragung erforderliche HTTPS-Zertifikat (Generate, Download, Show, Fingerprints mit Anzeige von SHA1 und SHA256) (§7.2.12.2).

3.13 Wartungszeit (Setup > Time)

Legt die Uhrzeit der täglichen Feed-Synchronisation fest. Es kann jede Tageszeit gewählt werden außer 10:00-13:00 UTC (wenn Greenbone den Feed aktualisiert und die Synchronisation deaktiviert). Standard ist eine zufällige Zeit zwischen 03:00 und 05:00 UTC±00:00; Werte müssen in UTC eingegeben werden (§7.2.13).

4. Das Maintenance-Menü

4.1 Selbsttest (Maintenance > Selfcheck)

Prüft die Appliance-Einrichtung und meldet falsche oder fehlende Konfiguration: Netzwerkverbindung, DNS-Auflösung, Feed-Erreichbarkeit, verfügbare Updates und Benutzerkonfiguration (§7.3.1).

4.2 Backup und Wiederherstellung (Maintenance > Backup)

Über geplante Backups hinaus (im Setup konfiguriert, §7.2.5) können Backups manuell ausgeführt werden. Es gibt zwei Arten (§7.3.2):

Backup-ArtSpeicherortVerhalten
InkrementellEntfernt oder lokal (gemäß Backup Location)Speichert nur seit dem letzten Backup geänderte Daten; existiert keines, läuft ein vollständiges Backup. Enthält Benutzerdaten und Systemeinstellungen. Aufbewahrung: 7 täglich / 5 wöchentlich / 12 monatlich, älter als ein Jahr wird automatisch gelöscht (§7.3.2.1)
USBUSB-Flash-LaufwerkErstellt ein temporäres vollständiges Backup auf der Appliance, kopiert es auf das USB-Laufwerk und löscht dann die temporäre Kopie (§7.3.2.2)

Incremental Backup führt ein inkrementelles Backup aus; List wählt ein gespeichertes Backup zur Wiederherstellung aus; USB Backup führt ein USB-Backup aus oder stellt es wieder her (bei Bedarf wird das Laufwerk zuvor formatiert).

Bei der Wiederherstellung wählst du, ob sowohl Benutzerdaten als auch Systemeinstellungen (Yes) oder nur Benutzerdaten (No) hochgeladen werden. Systemeinstellungen umfassen die gesamte GOS-Konfiguration (z. B. Netzwerkeinstellungen); Benutzerdaten umfassen alle Scan- und Verwaltungsinformationen.

Wiederherstellung überschreibt lokale Einstellungen

Beim Wiederherstellen eines Backups gehen alle lokalen Einstellungen verloren. Es können nur Backups der aktuellen oder der vorherigen GOS-Version (für GOS 22.04: GOS 21.04 oder 22.04) und desselben Appliance-Modells wiederhergestellt werden. Unterscheiden sich die Subscription-Keys von Backup und Appliance, musst du das Überschreiben des Keys auf der Appliance bestätigen (§7.3.2.1, §7.3.2.2).

4.3 Beaming (Maintenance > Beaming)

Beaming kopiert den aktuellen Zustand einer Appliance - Benutzerdaten und Systemeinstellungen - auf eine andere Appliance. Die empfangende Appliance entscheidet, ob sie nur Benutzerdaten oder beides importiert (§7.3.3).

  • Direkt zwischen Appliances (§7.3.3.1): Auf der sendenden Appliance (A) erstellt Download das Image und zeigt ein Einmalpasswort und eine URL an; auf der empfangenden Appliance (B) übernimmt Upload from Greenbone Enterprise Appliance A diese URL, die Auswahl der Daten/Einstellungen und das Passwort.
  • Über ein entferntes Dateisystem (§7.3.3.2): Das Download von A erzeugt eine GSMB-Datei (samt Passwort), die über die temporäre HTTP-URL heruntergeladen wird; das Upload via remote file system von B lädt die Datei hoch und verwendet das Passwort.
Versions- und Klassenbeschränkungen beim Beaming

Es können nur Beaming-Images der aktuellen oder vorherigen GOS-Version importiert werden, und nur auf eine Appliance derselben oder einer höheren Klasse (nicht auf eine Greenbone Enterprise TRIAL). Die Release-Informationen des Ziels müssen aktuell sein - lade zuvor einen aktuellen Feed herunter. Nicht übereinstimmende Subscription-Keys müssen vor dem Überschreiben bestätigt werden (§7.3.3).

4.4 GOS-Upgrade (Maintenance > Upgrade)

GOS-Upgrades werden zur Wartungszeit automatisch heruntergeladen, aber nicht automatisch installiert (§7.3.4):

  • Upgrade installiert ein verfügbares Upgrade; Switch Release wechselt zu einem neuen Release.
  • Sensors installiert ein Upgrade auf ausgewählten verbundenen Sensoren (Mehrfachauswahl mit Space); Sensoren, die nicht für ein Upgrade bereit sind, werden entsprechend gekennzeichnet (§7.3.5).

Standardmäßig startet ein erfolgreiches Upgrade auf dem Master auch ein Upgrade auf den verbundenen Sensoren. Leere nach dem Upgrade den Browser-/Seiten-Cache, falls die Weboberfläche Fehler zeigt, lade das GOS-Administrationsmenü neu und starte neu, wenn der Selbsttest dies verlangt.

Upgrades unterbrechen Scans

Da Upgrades laufende Scan-Tasks unterbrechen können, plane sie sorgfältig (§7.3.4).

4.5 Feed-Update (Maintenance > Feed)

  • Update löst ein manuelles Feed-Update aus (andernfalls läuft es täglich zur Wartungszeit) (§7.3.6).
  • Sensors schiebt ein Feed-Update an einen ausgewählten Sensor (§7.3.7). Standardmäßig aktualisiert ein erfolgreiches Feed-Update auf dem Master auch die verbundenen Sensoren.

4.6 Flash-Partition (Maintenance > Flash)

Die Flash-Partition wird für Werksrücksetzungen verwendet und sollte auf der neuesten GOS-Version gehalten werden. Nach dem Upgrade der Appliance selbst holt Download das neueste Flash-Image und Write schreibt es auf die Flash-Partition (dies kann bis zu 20 Minuten dauern). Die Flash-Partition von Sensoren kann nicht über den Master aktualisiert werden (§7.3.8).

4.7 Power (Maintenance > Power)

Die Appliance sollte nicht über den Netzschalter ausgeschaltet werden; nutze das Menü, damit Aufräumprozesse laufen (§7.3.9). Reboot startet die Appliance neu und Shutdown fährt sie herunter, jeweils nach Bestätigung; beides kann mehrere Minuten dauern.

5. Das Advanced-Menü

5.1 Log-Dateien (Advanced > Logs)

Zeigt die Log-Dateien der Appliance in einem Viewer an (q oder Ctrl + C zum Beenden). Der Download-Status z. B. eines Flash-Images kann in den Live-Logs unter Advanced > Logs > Live beobachtet werden (§7.4.1).

5.2 Superuser-Konto (Advanced > Support > Superuser)

Die Shell läuft normalerweise als unprivilegierter Benutzer admin. Superuser State aktiviert das privilegierte Konto root und Password legt dessen Passwort fest; su - wechselt dann zu root. Die Verwendung von su - ist standardmäßig deaktiviert (§7.4.2.1).

Root-Zugriff lässt den Support-Anspruch verfallen, sofern nicht abgestimmt

Der root-Superuser sollte nur in Absprache mit dem Greenbone Enterprise Support verwendet werden. Werden ohne Absprache Änderungen vorgenommen, erlischt der Anspruch auf Support (§7.4.2.1).

5.3 Support-Paket (Advanced > Support > Support Package)

Fasst alle Konfigurationsdaten der Appliance in einem Support-Paket für den Greenbone Enterprise Support zusammen, optional verschlüsselt mit dem öffentlichen GPG-Schlüssel von Greenbone. Ein verschlüsseltes Paket wird als GPG-Datei über eine temporäre HTTP-URL heruntergeladen; ein unverschlüsseltes Paket muss über SCP heruntergeladen werden (SSH muss aktiviert sein) - unter Windows über pscp oder smarTTY (§7.4.2.2).

5.4 Shell-Zugriff (Advanced > Support > Shell)

Öffnet eine Linux-Shell als unprivilegierter Benutzer admin. Beenden mit exit oder Ctrl + D. Root-Zugriff erfordert die Aktivierung des Superusers und ein Passwort (§5.2), dann su - (§7.4.2.3).

Die Shell ist nur für den Support

Shell-Zugriff ist für keinerlei administrative Arbeit erforderlich; die Shell-Ebene ist nicht dokumentiert und sollte nicht für administrative Einstellungen genutzt werden. Sie ist für die Diagnose durch den Greenbone Enterprise Support vorgesehen (§7.4.2.3).

5.5 Subscription-Key und Lizenzen

  • Advanced > Subscription zeigt den Subscription-Key des Greenbone Enterprise Feed in einem Viewer an (q zum Beenden) (§7.4.3).
  • Advanced > Copyright and Licenses zeigt die Copyright-Datei an (§7.4.4).

6. Appliance-Informationen anzeigen

Die Auswahl von About und das Drücken von Enter zeigt Appliance-Informationen an (§7.5):

  • Appliance-Modell
  • GOS-Version
  • Feed-Version
  • Name des Subscription-Keys
  • IP-Adresse der Weboberfläche
  • Konfigurierte Sensoren
  • Aktuell laufende Systemoperationen

Hier können auch im Hintergrund laufende Operationen beobachtet werden, die an anderer Stelle im Menü gestartet wurden (Backups, Beaming, Upgrades, Feed-Updates, Generierung der DH-Parameter).

Verwandt