Greenbone Community Edition - Remote Scanners
Entweder gibt es keine so gute Dokumentation zu einem Master/Sensor-Setup mit der Greenbone Community Edition, oder ich konnte sie nicht ganz finden. Falls das folgende Diagramm das Ziel sein soll, so lies einfach weiter.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
+----------------------------+ +-------------------------+
|Remote ScanHost 10.40.10.6 | |Central Host 10.40.10.5 |
+----------------------------+ +-------------------------+
|+openvas_scanner (Sensor) | |+GVM (Master) |
| <---------------> |
| | |+GSA |
| | | |
| | |+Scanner |
| | | |
+----------------------------+ +-----------^-------------+
|
|
|
|
|
+-----------v----------------+
|Remote ScanHost 20.30.40.12 |
+----------------------------+
|+openvas_scanner (Sensor) |
| |
| |
| |
| |
| |
+----------------------------+
Da man (derzeit) keinen Remote-Scanner über die GUI hinzufügen kann, müssen wir ihn über das gvmd-Tool in der Datenbank einpflegen. Stelle sicher, dass:
- die Datenbank gestartet ist und,
- dass wir volle Schreibrechte darauf haben
Ich musste die Konfigurationsdatei pg_hba.conf dahingehend anpassen, dass die Verbindung lokal und ohne Passwort akzeptiert wurde. Die kann nach der erfolgreichen Konfiguration natrürlich zurück gebaut werden.
Im Grunde genommen kann man einen Scanner via der Kommandoziele, und gvmd hinzufügen:
1
2
3
4
5
6
root@central:~# gvmd --create-scanner="Project 2501 Scanner" --scanner-host=10.40.10.6 --scanner-port=9393 \
--database="gvmd" --db-user="_gvm" \
--scanner-ca-pub=/var/lib/gvm/CA/cacert.pem \
--scanner-key-pub=/var/lib/gvm/CA/clientcert.pem \
--scanner-key-priv=/var/lib/gvm/private/CA/clientkey.pem
Scanner created.
Wir sollten dabei sicher stellen, dass wir überall die gleichen Versionen im Einsatz haben. Das Mischen unterschiedlicher Releases sollte hierbei vermieden werden.
Zu bendenken ist, dass wir den Scanner auf einem Remote-Host verwenden und mit den Zertifikaten herumspielen müssen. Mit der aktuellen Version heißt das Tool gvm-manage-certs und ich empfehle, gvmd auch auf dem Remote-Scanner-Host zu installieren. Es hilft dabei, ein sauberes Setup in Bezug auf Zertifikate und alles andere aufrechtzuerhalten.
Wenn alle Komponenten betriebsbereit sind, müssen wir nur noch den Scanner über die GUI validieren: