NVT Feeds konfigurierenOpenVAS-Server konfigurierenNeue Benutzer hinzufügenFortgeschrittene Konfiguration

Fortgeschrittene Konfiguration

Falls Sie die voreingestellte Konfiguration von OpenVAS-Server ändern möchten, können Sie dies in der Konfigurationsdatei tun, die Sie im Normalfall unter /etc/openvas/openvasd.conf finden.

Die folgenden Einstellungen können in der openvasd.conf vorgenommen werden. Bitte beachten Sie, dass die Voreinstellungen für Ihre Distribution von den hier beschriebenen Werten abweichen können.

plugins_folder
Der Pfad, indem die NVT Skripte gefunden werden können. (Voreinstellung: /lib/openvas/plugins)
max_hosts
Die maximale Anzahl von Zielrechnern, die auf einmal getestet werden können. (Voreinstellung: 30)
max_checks
Die maximale Anzahl von Tests, die gleichzeitig gegen einen Zielrechner durchgeführt werden. (Voreinstellung: 10)
be_nice
Priorität der Serverprozesses („Niceness“). Wenn diese Einstellung auf dem Wert „yes“ steht, wird openvasd seine Prozesspriorität auf 10 herabsetzen. (Voreinstellung: no)
logfile
Die Datei, in die der OpenVAS-Server Meldungen schreiben soll. Wenn dieser Wert auf syslogd gesetzt wird, wird OpenVAS-Server den syslogd-Dienst benutzen. (Voreinstellung: /var/log/openvas/openvasd.messages)
log_whole_attack
Diese Einstellung bestimmt, wie detailliert der Scanablauf protokolliert werden soll. Wenn diese Einstellung auf „no“ gesetzt ist, wird lediglich der Start- und Endzeitpunkt des Scans protokolliert. Falls diese Einstellung auf „yes“ gesetzt wird, protokolliert OpenVAS-Server den Ablauf detaillierter und protokolliert beispielsweise die Zeit, die die einzelnen NVTs zur Ausführung benötigt haben. Bitte beachten Sie, dass OpenVAS-Server dadurch mehr Festplattenkapazität in Anspruch nehmen wird und während des Scanvorgangs öfter auf die Festplatte zugreifen wird. (Voreinstellung: no)
log_plugins_name_at_load
Diese Einstellung bestimmt, ob die Namen der NVTs, die vom Server geladen werden, protokolliert werde sollen. (Voreinstellung: no)
dumpfile
Diese Einstellung konfiguriert den Name der Datei, die für Debug-Ausgaben genutzt werden soll. Wenn diese Einstellung auf „-“ gesetzt wird, werden Debug-Ausgaben in Standardausgabe (stdout) geschrieben. (Voreinstellung: /var/log/openvas/openvasd.dump)
rules
Der Dateiname für die Zugriffsregeln. (Voreinstellung: /etc/openvas/openvasd.rules)
users
Der Dateiname für die Benutzerdatenbank. (Voreinstellung: /etc/openvas/openvasd.users)
cgi_path
Der voreingestellte Pfad für zu überprüfende CGI-Skripte; mehrere Werte werden durch Doppelpunkte („:“) getrennt. (Voreinstellung: /cgi-bin:/scripts)
port_range
Der Bereich der Ports, die von den Portscannern gescannt werden sollen. Wenn diese Einstellung auf „default“ gesetzt ist, wird OpenVAS-Server die in der Datei /var/lib/openvas/openvas-services aufgelisteten Ports überprüfen. (Voreinstellung: default)
optimize_test
Manche Sicherheitstests geben an, dass sie nur gestartet werden sollen, wenn bestimmte Werte bereits in der Wissensbasis vorhanden sind oder wenn ein bestimmter Port offen ist. Wenn diese Option aus „yes“ gesetzt wird, beschleunigt dies den Scan, kann aber dazu führen, dass einige Sicherheitslücken nicht gefunden werden. (Voreinstellung: yes)
language
Die Sprache, die in den NVT-Beschreibungen verwendet werden soll. Zur Zeit werden die Werte „english“ und „french“ unterstützt. (Voreinstellung: english)
checks_read_timeout
Die Zeitbeschränkung (in Sekunden) für Lesevorgänge auf Sockets während des Scanvorgangs. (Voreinstellung: 5)
non_simult_ports
Mit dieser Option kann eine Liste von Ports angegeben werden, gegen die NVTs nicht gleichzeitig laufen sollen. (Voreinstellung: 139, 445)
plugins_timeout
Die maximale Ausführungszeit für ein NVT (in Sekunden). (Voreinstellung: 320)
safe_checks
Manche Sicherheitstests können den Zielrechner schädigen, etwa durch einen Störung eines bestimmten Dienst bis zu einem Neustart des Dienstes oder des Zielrechners. Wenn diese Einstellung auf „yes“ steht, wird sich OpenVAS-Server auf die Banner der entsprechenden Dienste verlassen anstatt den Test wirklich durchzuführen. Dies führt zu einem weniger zuverlässigen Bericht, macht aber eine Einschränkung der Funktionalität des Zielrechners während des Scanvorgangs weniger wahrscheinlich. (Voreinstellung: yes)
auto_enable_dependencies
Wenn dieses Einstellung auf „yes“ gesetzt ist, wird OpenVAS-Server automatisch NVTs aktivieren, von denen die vom Benutzer ausgewählten NVTs abhängig sind. (Voreinstellung: yes)
silent_dependencies
Wenn diese Einstellung auf „yes“ gesetzt ist, wird die Ausgabe von automatisch aktivierten NVTs nicht an den Client gesendet. (Voreinstellung: yes)
use_mac_addr
Verwendet MAC-Adressen und nicht IP-Adressen, um Rechner zu identifizieren; dies kann etwa in DHCP-Netzwerken nützlich sein. (Voreinstellung: no)
save_knowledge_base
Diese Einstellung steuert, ob die während des Scanvorgangs erstellte Wissensbasis nach dem Scan auf dem Server gespeichert werden soll. (Voreinstellung: no)
kb_restore
Diese Einstellung steuert, ob die Wissensbasis für einen erneuten Test wieder geladen werden soll. (Voreinstellung: no)
only_test_hosts_whose_kb_we_dont_have
Wenn diese Einstellung aktiviert ist, scannt OpenVAS nur die Rechner, die noch nicht in der Wissensbasis vorhanden sind. Diese Einstellung kann beispielsweise eingesetzt werden, um Rechner einmal zu scannen, wenn Sie das erste Mal im Subnetz erscheinen. (Voreinstellung: no)
only_test_hosts_whose_kb_we_have
Wenn diese Einstellung aktiviert ist, wird OpenVAS nur die Rechner scannen, die bereits in der Wissensbasis vorhanden sind. Dies kann nützlich sein, wenn eine bestimmte Menge von Zielrechnern regelmäßig überprüft werden soll. (Voreinstellung: no)
kb_dont_replay_scanners
Wenn sowohl diese Einstellung als auch die Einstellung kb_restore aktiviert ist, werden Scanner-NVTs nicht erneut gestartet falls sie bereits in der Vergangenheit gestartet wurden. (Voreinstellung: no)
kb_dont_replay_info_gathering
Wenn sowohl diese Einstellung als auch die Einstellung kb_restore aktiviert ist, werden NVTs zur Informationssammlung nicht erneut gestartet falls sie bereits in der Vergangenheit gestartet wurden. (Voreinstellung: no)
kb_dont_replay_attacks
Wenn sowohl diese Einstellung als auch die Einstellung kb_restore aktiviert ist, werden Angriffs-NVTs nicht erneut gestartet falls sie bereits in der Vergangenheit gestartet wurden. (Voreinstellung: no)
kb_dont_replay_denials
Wenn sowohl diese Einstellung als auch die Einstellung kb_restore aktiviert ist, werden „Denial of Service“-NVTs nicht erneut gestartet falls sie bereits in der Vergangenheit gestartet wurden. (Voreinstellung: no)
kb_max_age
Diese Option steuert das maximale Alter (in Sekunden) der Wissensbasis. (Voreinstellung: 864000)
slice_network_addresses
Wenn diese Einstellung auf „yes“ gesetzt ist, wird OpenVAS das Netzwerk nicht der Reihe nach scannen (10.0.0.1, 10.0.0.2, 10.0.0.3), sondern wird versuchen, den Scan gleichmäßig über das Netzwerk zu verteilen (etwa: 10.0.0.1, 10.0.0.127, 10.0.0.2, 10.0.0.128). (Voreinstellung: no)
nasl_no_signature_check
Wenn dieses Einstellung auf „yes“ gesetzt ist, wird OpenVAS-Server die kryptografischen Signaturen der NVTs nicht überprüfen und wird NVTs ausführen, auch wenn diese über keine oder keine gültige Signatur verfügen. Berücksichtigen Sie bitte, dass dies eventuell ein Sicherheitsrisiko darstellen kann. Da das Modul openvas-plugins im derzeitigen Entwicklungsstand keine Signaturen enthält, werden Sie nur eine sehr begrenzte Anzahl von Plugins benutzen können, wenn Sie diese Option auf „no“ setzen und Ihre Plugin-Sammlung noch nicht mit eine NVT Feed Service synchronisiert haben, der Signaturen enthält. Aus diesem Grund ist die Voreinstellung für diese Option „yes“, bis Signaturen mit allen Plugins ausgeliefert werden. (Voreinstellung: yes)
NVT Feeds konfigurierenOpenVAS-Server konfigurierenNeue Benutzer hinzufügenFortgeschrittene Konfiguration