管理安全控制台

尽管默认的Security Console设置应该适用于广泛的网络环境,但您可以更改设置以满足特定的扫描需求。

点击管理旁边安慰行政页面要启动安全控制台配置面板。

查看通用配置

一般页,您可以查看正在使用的安全控制台实例的版本和序列号。

更改安全控制台Web服务器默认设置

安全控制台运行其自己的Web服务器,可提供用户界面。

修改Security Console web服务器的默认设置。

  1. 行政页面。
  2. 点击管理设置安全控制台,在全局和控制台设置
  3. Web服务器页面。
  4. 输入Access Port的新号码。
  5. 输入新的会话超时时间。此值是允许的用户不活动的秒数,在此秒数之后安全控制台超时,需要进行新的登录。
  6. 如有必要,请输入初始请求和最大请求​​处理程序线程的新号码。建议您先咨询技术支持。在此上下文中,线程指的是安全控制台将允许的同时连接的数量。通常,单个浏览器会话占一个线程。如果同时用户需求很高,您可以提高线程计数以提高性能。如果需要,安全控制台将动态地增加线程计数,因此可能不需要手动增加。
  7. 如果需要,请输入失败登录阈值的新数字。这是安全控制台在锁定潜在用户之前允许的失败登录尝试的次数。
  8. 点击保存

使用restart命令应用更改

要应用更改,请重新启动安全控制台。可以使用'restart'命令命令控制台

管理HTTPS证书

该应用程序提供了一个自签名的X.509证书,该证书是在安装期间创建的。建议您使用受信任的证明颁发机构(CA)签名的证书替换它。

签名证书必须基于应用程序生成的CSR。应用程序不允许您导入生成的任意密钥对或证书。

管理证书并生成新的证书签名请求(CSR):

  1. 行政页面。
  2. 点击管理设置安全控制台。
  3. Web服务器页面。
  4. 点击管理证书.安全控制台显示一个标题为管理证书
  1. 点击创建新的证书.安全控制台显示一个用于显示新证书信息的框。
  2. 输入信息,单击创建

将出现一个对话框,指示创建了新的自签名证书。

  1. 点击创建CSR现在.你可以点击晚些时候回到这一步,并在另一个时间继续这个过程。
  2. 复制生成的CSR并将其发送到您的CA.
  3. 点击进口证书管理证书对话框在您的CA签名之后。
  4. 将其粘贴到文本框中,然后单击进口
  1. 点击保存保存新的安全控制台信息。新证书名称将出现在Web服务器页面。

设置主题可选名称字段

重要的

使用外部签名(CA/非CA)的控制台必须有一个SAN场。如果证书是自签名的,它不需要SAN字段。

这个过程可以通过以下步骤完成:

  1. 在安装目录中,检查密钥座文件夹中的文件称为nscweb.ks
         

          

           
          

         

          

           

            1

           < install-dir > / nsc /密钥库/ nscweb.ks

如果文件不存在,请浏览到位于的“管理证书”窗口中行政标签>“全局和控制台设置”窗口>管理员> Web服务器标签>管理证书按钮。选择创建新的证书

  1. 输入SAN信息并单击创建.将出现另一个对话框。
  1. 点击创建CSR现在

请注意

为了成功完成下一步,请确保您有权执行权限/ opt / rapid7 / Nexpose / _jvm1.8.0_232 / bin / keytool,并与网络管理员验证为该二进制文件分配执行权限是否可接受。

这可以通过在Windows上以管理员身份运行或发出chmod + x在Linux文件中执行命令。

  1. 选择您的操作系统。

要在Linux操作系统中设置主题替代名称字段,请遵循以下步骤:

  1. 以管理员身份在主机上打开命令提示符。
         

          

           
          

         

          

           

            1

           cd [install_dir] / rapid7 / nexpose / _jvm1.8.0_232 / bin
  1. 通过SSH登录安全控制台服务器,并以root方式运行以下内容:
         

          

           
          

         

          

           

            1

           ./keytool -certreq -alias nscweb -sigalg sha512WithRSA -keystore /opt/rapid7/ expose/nsc/keystore /nscweb. conf . confKs -storepass 'r@p1d7k3y$t0r3' -ext san='dns:samplehostname.com,ip:127.0.0.1' -file filename.csr

console.csr文件可以发送到CA进行签名。

这个目录需要超级用户提升:

< install-dir > / _jvm1.8.0_232 / bin / keytool -certreq \

要在Windows操作系统中设置主题替代名称字段,请遵循以下步骤:

  1. 以管理员身份在主机上打开命令提示符。
         

          

           
          

         

          

           

            1

           C:\Program Files\Rapid7\Nexpose\ _jvm1.8.0_232 \ bin
  1. 运行作为管理员。
         

          

           
          

         

          

           

            1

           1. \ keytool.exe -exe -certreq-alias nscweb -sigalg sha512withrsa -keystore“c:\ program files \ Rapid7 \ nexpose \ nsc \ keystores \ nscweb.ks”-storepass“r @ p1d7k3y $ t0r3”-ext san = dns:samplehostname.com,IP:127.0.0.1 -file filename.csr

一旦filename.csr.生成,将其发送到要签名的证书颁发机构(CA),然后加载到Nexpose。

请注意

CA应该获取CSR中的SAN数据,并在签名后将其添加到证书中。这不是通过CSR自动添加的,因此建议提前进行验证,以确保CA在签名过程中添加了SAN数据。

  1. 检查您的CA返回的签名证书,以确保SAN存在:
         

          

           
          

         

          

           

            1

           openssl x509 -text -noout -in SignedCert.crt

细节应包含类似以下内容:

         

          

           
          

         

          

           

            1

           X509v3扩展:
          

          

           

            2

           X509v3发行者备选名称:
          

          

           

            3.

           DNS:SampleHostname.com,IP地址:127.0.0.1
  1. 将签名的证书(一个PEM文件)导入到exposure UI中:

更改默认扫描引擎设置

安全控制台通过网络与分布式扫描引擎通信,以启动扫描并检索扫描结果。如果您希望更快地获取扫描状态信息,或者减少安全控制台与扫描引擎通信所需的带宽或资源消耗,您可以在安全控制台配置面板的扫描引擎页面上调整各种设置。

使用分布式扫描引擎配置安全控制台连接

安全控制台与分布式扫描引擎建立连接,以启动扫描并检索扫描结果。这种通信可能会被低网络带宽、高延迟或Scan Engines同时执行大量扫描的情况中断。如果您的环境中存在这些条件中的任何一个,您可能需要考虑增加扫描引擎配置页面:

建议您在调优这些设置之前咨询技术支持。

  • 连接超时设置控制安全控制台等待使用分布式扫描引擎创建连接的时间。
  • 响应超时设置控制安全控制台等待它已联系的扫描引擎的响应多长时间。

要配置这些设置,请执行以下步骤:

  1. 扫描引擎安全控制台配置面板。
  2. 点击行政标签。
  3. 行政页面,点击管理安全控制台。
  4. 点击扫描引擎安全控制台配置面板。
  5. 调整连接设置。
  6. 编辑连接超时字段中的值,以更改连接超时发生前经过的毫秒数。
  7. 编辑响应超时字段中的值,以更改安全控制台不再等待扫描引擎响应之前所经过的毫秒数。
  8. 点击保存在面板顶部栏中以保存更改。
  9. 重新启动安全控制台,使配置更改生效。

因为毫秒值可能很难读取,所以在每个值字段的右边会出现一个更容易读取的时间值。当您更改任何一个超时值时,请注意等价值的变化情况。

分配用于监视扫描的线程

安全控制台分配一个线程池来检索扫描状态信息。您可以调整线程的数量,这与安全控制台可以同时检索的扫描状态消息的数量相对应。例如,如果增加分布式Scan Engines的数量和同时运行的扫描的数量,则可以增加池中的线程,以便Security Console可以同时检索更多的状态消息。

建议您在调优这些设置之前咨询技术支持。

请记住,检索时间取决于网络条件,如带宽和延迟。每当正在使用的活动线程数量超过池中的线程总数时,Security Console将在特定的时间间隔后删除未使用的扫描状态线程。如果您注意到扫描状态消息的频率总体上有所下降,那么您可能需要考虑增加超时值。

调整扫描状态线程的池设置,请执行以下步骤:

  1. 扫描引擎安全控制台配置面板。
  2. 点击行政标签。
  3. 点击管理的安全控制台行政页面。
  4. 点击扫描引擎安全控制台配置面板。
  5. 调整扫描状态设置。
  6. 的值编辑线程空闲超时字段更改安全控制台删除未使用的扫描线程之前所经过的毫秒数。
  7. 的值编辑线程池的大小字段更改池中用于监视扫描状态的线程数。
  8. 点击保存在面板顶部栏中以保存更改。
  9. 重新启动安全控制台,使配置更改生效。

因为毫秒值可能很难读取,所以在每个值字段的右边会出现一个更容易读取的时间值。当您更改任何一个超时值时,请注意等价值的变化情况。

从分布式扫描引擎检索增量扫描结果

安全控制台通过网络与扫描引擎通信以检索扫描结果。默认情况下,Security Console从分布式scan Engines以递增方式检索扫描结果,在集成数据时在Web界面中显示结果,而不是在每次扫描完成后检索完整的结果集。这允许您在扫描过程中查看可用的扫描结果。

增量检索调节整个扫描的带宽使用。它还使得安全控制台不需要在扫描结束时检索所有数据,这可能会导致带宽占用的显著、临时增加,特别是对于大型数据集。

扫描引擎页面的安全控制台配置面板显示用于增量检索扫描结果的复选框。默认选中。不要禁用此选项,除非由技术支持指示这样做。

在维护模式下运行

只允许全局管理员在维护模式下运行应用程序。

维护模式是指应用程序执行一般维护任务并从一个或多个子系统的重大故障中恢复的启动模式。在维护模式下,不能运行扫描或报告。可用的功能包括日志、数据库和安全控制台Web界面。

当发生严重内部错误时,应用程序在维护模式中自动运行。

当应用程序在维护模式下运行时,您将看到该页面/管理/维护/ index . html在登录。此页面显示所有可用的维护任务,并指示正在执行的任务的当前状态。在当前任务完成之前,不能选择新任务。之后,您可以切换任务或单击重新启动返回到正常的工作模式。

维护模式:

  1. 点击行政标签。
  2. 行政页面,点击维护

安全控制台显示维护模式页面。