Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Nessus Frage

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
DanielS
Newbie
Newbie
Beiträge: 24
Registriert: 1. Aug 2006, 14:24

Nessus Frage

Beitrag von DanielS » 31. Aug 2006, 09:43

Ich habe die Aufgabe SUSE SLES9 s390x auf Sicherheitslücken hin zu überprüfen und diese, sofern möglich zu schließen.

Ich hatte gedacht dass ich ganz gut mit dem Programm NESSUS anfangen könnte.

ich habe über yast folgende packages installiert:

libnasl - NESSUS Scripting Language Libary 2.0.10a-17.2
nessus-core - Powerful Security Scanner 2.0.10a-24.7
nessus-libaries - Powerful Security Scanner Libaries 2.0.10a-17.2

alle Abhängigkeiten die ich über yast überprüfen kann sind in ordnung. in der konsole gebe ich nessus ein und es startet der client. dort werden mir aber überhaupt keine plugins angezeigt, keine kategorien und nichts, das fenster ist leer.

daraufhin habe ich mal nmap separat installiert aber es änderte sich auch nichts, ich dachte er würde das automatisch erkennen. was habe ich falsch gemacht oder habe ich was vergessen? ich möchte die sonst üblichen nessus tests gerne durchführen, eine direkte i-net verbindung habe ich nicht.

wie groß wird der ganze spass mit den standardplugins? ich habe nur noch 240mb frei.
Zuletzt geändert von DanielS am 6. Sep 2006, 11:02, insgesamt 1-mal geändert.

Werbung:
Joerg_Nientiedt
Newbie
Newbie
Beiträge: 12
Registriert: 30. Jun 2006, 12:21

Beitrag von Joerg_Nientiedt » 31. Aug 2006, 10:40

Nessus benötigt einen "Server/Dämon" zu dem du dich verbindest. Starte also erstmal nessud und dann nessus :-) Darf ich mal fragen von wem du die Aufgabe bekommen hast?

DanielS
Newbie
Newbie
Beiträge: 24
Registriert: 1. Aug 2006, 14:24

Beitrag von DanielS » 31. Aug 2006, 11:21

ich mache meine ausbildung im bereich basissysteme und habe das als projektaufgabe übertragen bekommen. ich hab meine lpar mit z/VM zur verfügung gestellt bekommen und die aufgabe:

1. Sie installieren nach eigenen Vorgaben ein SUSE Linux System. Zusätzlich sollten weitere Serverdienste eingebunden werden, wie etwa ein WEB Server (hab apache installiert) sowie eine Benutzerstruktur die der des Unternehmens ähnelt.

2. Durch Tools und direkte Zugriffe härten sie dieses System. Finden sie Lücken in der Sicherheit des Systems. Das härten erfolgt Netz und Desktopseitig.

3. Erstellen sie eine aussagefähige technische Dokumentation.


ich bin halt was linux angeht recht unerfahren, dafür ist das praktikum in dem bereich da.

Joerg_Nientiedt
Newbie
Newbie
Beiträge: 12
Registriert: 30. Jun 2006, 12:21

Beitrag von Joerg_Nientiedt » 31. Aug 2006, 11:39

Dann ist es ja in Ordnung ;-)

Hast Du das mit nessusd probiert? Du musst vorher mit nessus-adduser einen Benutzer erstellen. Danach kannst du mit dem Client connecten.

DanielS
Newbie
Newbie
Beiträge: 24
Registriert: 1. Aug 2006, 14:24

Beitrag von DanielS » 31. Aug 2006, 12:45

Joerg_Nientiedt hat geschrieben:Dann ist es ja in Ordnung ;-)

Hast Du das mit nessusd probiert? Du musst vorher mit nessus-adduser einen Benutzer erstellen. Danach kannst du mit dem Client connecten.
ich probiers gleich mal aus, ich melde mich dann obs geklappt hat oder nicht.

DanielS
Newbie
Newbie
Beiträge: 24
Registriert: 1. Aug 2006, 14:24

Beitrag von DanielS » 6. Sep 2006, 11:11

DanielS hat geschrieben:
Joerg_Nientiedt hat geschrieben:Dann ist es ja in Ordnung ;-)

Hast Du das mit nessusd probiert? Du musst vorher mit nessus-adduser einen Benutzer erstellen. Danach kannst du mit dem Client connecten.
ich probiers gleich mal aus, ich melde mich dann obs geklappt hat oder nicht.
sry dass ich mich erst jetzt wieder melde. ich hatte ein paar probs mitm i-net ;)

um nochmal aufs thema zu sprechen zu kommen, ich hatte wohl bei der installation etwas falsch gemacht. ich habe nessus nochmal neu installiert , dann den daemon gestartet und anschließend den nessus client.


eine generelle Frage hätte ich aber noch, da ich jetzt mit dem eigentlichen "härten" angefangen habe. ich habe schon einige (nach ansicht von nessus) bedeutende sicherheitslücken geschlossen, bei 2 geschichten komme ich aber absolut nicht weiter, bin auch im forum nicht wirklich fündig geworden.

zum einen ist das der offene port

sunrpc 111 tcp
sunrpc 111 udp

nach etwas googlen habe ich herausgefunden das das wohl ein dienst ist der für das Ausführen einer Funktion auf entferntem System ist. die frage ist , kann man den dienst bedenkenlos ausschalten oder anders gefragt, welches programm bedient sich diesen dienstes?

die zweite geschichte bei der mich auch 2 stunden recherchieren nicht weitergeholfen haben ist

Port 445 /tpc.
ich nehme mal stark an dass das etwas mit dem samba dienst zu tun hat der auf meinem system läuft (und auch benötigt wird) auszug aus nessus

Code: Alles auswählen

Microsoft-ds (445/tcp) security note & security hole

A CIFS server is running on this port

It was possible to log into the remote host using a NULL session. The concept of a Null session is to provide a null username and a null password, which grants the user the ‚guest‘ access

To prevent null sessions, se MS KB Article Q143474 (NT 4.0) an Q246261 (windows 2000)
Note that this won´t completely disable null sessions, but will prevent them from connecting to IPC$
Please see http://msgs.securepoint.com/cgi-bin/get/nessus-0204/50/1.html

The remote host defaults to guest when a user logs in using an invalid login. For instance, we could log in using the account ‚nessus/nessus‘

All the smb tests will be done as „/whatever‘ in domain TEST
CVE: CAN-1999-0504, CAN-1999-0506, CVE-2000-0222, CAN-1999-0505, CAN-2002-1117
leider helfen mir die windows tipps nicht wirklich weiter, weil ich ja suse einsetze. laut der beschreibung ist das auch scheinbar eine sicherheitslücke die nicht vollständig geschlossen werden kann, etwas stopfen möchte ich sie aber schon, kann mir einer nen tipp geben wie ich hier vorgehen soll?

stka
Moderator
Moderator
Beiträge: 3287
Registriert: 1. Jun 2004, 13:56
Wohnort: 51°58'34.91"N 7°38'37.47"E
Kontaktdaten:

Beitrag von stka » 6. Sep 2006, 11:43

Port 111 ist der Portmapper, der dynamisch Ports für Netzwerkdienste wie NFS und NIS zur Verfühgung stellt. Wenn du bei einem "rpcinfo -p localhost" auf dem Rechner nur den port 111 als Antwort bekommst,kannst du den Dienst im Runleveleditor getrost abschalten.
Der Port 445 wird von MS verwendet um die Dienste zu erreichen. Dazu werden heute zwei Ports angegeben 445 und 139. Wenn ein Dienst über den Port 445 nicht erreichbar ist wird dann der Port 139 verwendet. Du kannst den Port 445 über smb.conf deaktivieren, dann ist dein samba nurnoch über den Port 139 erreichbar.
Du hörst nicht auf zu laufen weil du alt wirst. Du wirst alt weil du aufhörst zu laufen.
Das neue Buch http://www.kania-online.de/fachbuecher

DanielS
Newbie
Newbie
Beiträge: 24
Registriert: 1. Aug 2006, 14:24

Beitrag von DanielS » 6. Sep 2006, 14:21

stka hat geschrieben:Port 111 ist der Portmapper, der dynamisch Ports für Netzwerkdienste wie NFS und NIS zur Verfühgung stellt. Wenn du bei einem "rpcinfo -p localhost" auf dem Rechner nur den port 111 als Antwort bekommst,kannst du den Dienst im Runleveleditor getrost abschalten.
Der Port 445 wird von MS verwendet um die Dienste zu erreichen. Dazu werden heute zwei Ports angegeben 445 und 139. Wenn ein Dienst über den Port 445 nicht erreichbar ist wird dann der Port 139 verwendet. Du kannst den Port 445 über smb.conf deaktivieren, dann ist dein samba nurnoch über den Port 139 erreichbar.
besten dank schonmal für die exakte zuordnung der dienste. ich bekomme beim besagten rpcinfo aufruf lediglich 2 meldungen mit dem port 111. jetzt war ich grad im runlevel editor und wollte den besagten dienst rauswerfen was auch gleichzeitig zur folge hat dass ich nfs und nfs boot mit rauswerfen muss. nun habe ich auf meinem system (s390x unter z/VM) aber kein cd-dvd-laufwerk und mounte wenn ich etwas installieren will iso images über nen nfs://pfad . versperre ich mir dann durch das abschalten des portmappers auch direkt dann die möglichkeit auf nfs verzeichnisse zuzugreifen oder ist nfsboot und nfs ein serverdienst der dann bei mir läuft aber keine auswirkungen auf externe nfs quellen hat.

stka
Moderator
Moderator
Beiträge: 3287
Registriert: 1. Jun 2004, 13:56
Wohnort: 51°58'34.91"N 7°38'37.47"E
Kontaktdaten:

Beitrag von stka » 6. Sep 2006, 15:25

Normaler weise dient der Portmapper nur für den Server nicht fürden Client. Teste es doch einfach, den mutigen gehört die Welt ;-)
Jetzt noch mal was anderes, du arbeitest mit einer S/390? Ich brauche unbedingt Informationen wie so eine OSA-Adapter arbeit, ich finde aber nichts im Netz, hast du da eine Quelle für mich?
Du hörst nicht auf zu laufen weil du alt wirst. Du wirst alt weil du aufhörst zu laufen.
Das neue Buch http://www.kania-online.de/fachbuecher

DanielS
Newbie
Newbie
Beiträge: 24
Registriert: 1. Aug 2006, 14:24

Beitrag von DanielS » 7. Sep 2006, 08:58

stka hat geschrieben:Normaler weise dient der Portmapper nur für den Server nicht fürden Client. Teste es doch einfach, den mutigen gehört die Welt ;-)
du bist gut :wink:
das problem ist das mein ausbilder zur zeit noch im urlaub ist und ich in der zeit kein backup auf ne andere dasd machen kann weil mir die berechtigungen fehlen. deswegen behandel ich grad mein linux wie ein rohes ei . du meinst aber dass ich durch das abschalten des portmappers mir nicht die funktion verbaue über eine nfs quelle weiterhin auf daten zuzugreifen. dann werde ichs mal versuchen.

Jetzt noch mal was anderes, du arbeitest mit einer S/390? Ich brauche unbedingt Informationen wie so eine OSA-Adapter arbeit, ich finde aber nichts im Netz, hast du da eine Quelle für mich
puh das wird glaube ich recht schwer dort an informationen heranzukommen. wenn dann wird man vernünftige dokumentation wohl wahrscheinlich nur auf der ibm page finden. ich muss mal schauen, vielleicht habe ich hier noch dokumentation in ordnern vorliegen.

stka
Moderator
Moderator
Beiträge: 3287
Registriert: 1. Jun 2004, 13:56
Wohnort: 51°58'34.91"N 7°38'37.47"E
Kontaktdaten:

Beitrag von stka » 7. Sep 2006, 10:16

Wenn du auf dem Rechner den Portmapper über den Runleveldeitor stoppst und dann der Zugriff auf deinen NFS-Server noch klappt ist alle OK. Wenn der zugrif dann von dem Rechner nicht mehr klappt, dann kannst du den Portmapper wieder starten und alles ist wie vorher.
Aber normaler weise ist der Portmapper nur für den NFS-Server relevant, aber bei suse kann man das nie 100%ig wissen.
Du hörst nicht auf zu laufen weil du alt wirst. Du wirst alt weil du aufhörst zu laufen.
Das neue Buch http://www.kania-online.de/fachbuecher

Antworten