| | | Überprüfung von Signaturen |
Sie können die Überprüfung der Signaturen durch den OpenVAS Server aktivieren, indem Sie in der Konfigurationsdatei die Einstellung nasl_no_signature_check auf „no“ setzen (siehe auch Abschnitt *).
Beim Starten des OpenVAS-Dienstes (openvasd) werden alle Signaturen auf ihre Gültigkeit überprüft. Nur vertrauenswürdige Dateien werden vom Server berücksichtigt und an den Client übermittelt.
Für die Überprüfung wird eine vom OpenVAS Server verwaltete Liste von Zertifikaten genutzt. Diese Liste besteht aus einer Datei im „GnuPG Keyring“-Format und liegt in der Regel im Verzeichnis /etc/openvas/gnupg.
Wenn OpenVAS-Server die Signatur einer Datei überprüft, werden alle in der entsprechenden Signaturdatei vorhanden Signaturen überprüft; für einen erfolgreiche Überprüfung müssen alle Signaturen vollständig gültig sein. Dies bedeutet, dass alle der folgenden Bedingungen für allen Signaturen, die diese Datei signiert haben, erfüllt werden müssen:
Falls eine der Signaturen nicht alle Bedingungen erfüllt, wird die Datei als nicht vertrauenswürdig eingestuft und nicht ausgeführt. Falls alle Signaturen alle Bedingungen erfüllen, wird die Datei als vertrauenswürdig eingestuft und kann ausgeführt werden. Falls keine Signaturdatei vorhanden ist, wird die Datei nicht ausgeführt.
Bitte beachten Sie auch hier den Unterschied zu Nessus: Bei Nessus-Signaturen wurden drei Vertrauensgrade unterschieden: Keine Signatur, eine ungültige Signatur und ein gültige Signatur. NVTs ohne Signatur wurden in einem abgesicherten („restricted“) Modus ausgeführt und konnten keine als kritisch eingeschätzten Funktionen ausführen. Im Gegensatz dazu unterscheidet OpenVAS nur zwischen vertrauenswürdigen und nicht vertrauenswürdigen Dateien.
| | | Überprüfung von Signaturen |