• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Nessus Frage

DanielS

Newbie
Ich habe die Aufgabe SUSE SLES9 s390x auf Sicherheitslücken hin zu überprüfen und diese, sofern möglich zu schließen.

Ich hatte gedacht dass ich ganz gut mit dem Programm NESSUS anfangen könnte.

ich habe über yast folgende packages installiert:

libnasl - NESSUS Scripting Language Libary 2.0.10a-17.2
nessus-core - Powerful Security Scanner 2.0.10a-24.7
nessus-libaries - Powerful Security Scanner Libaries 2.0.10a-17.2

alle Abhängigkeiten die ich über yast überprüfen kann sind in ordnung. in der konsole gebe ich nessus ein und es startet der client. dort werden mir aber überhaupt keine plugins angezeigt, keine kategorien und nichts, das fenster ist leer.

daraufhin habe ich mal nmap separat installiert aber es änderte sich auch nichts, ich dachte er würde das automatisch erkennen. was habe ich falsch gemacht oder habe ich was vergessen? ich möchte die sonst üblichen nessus tests gerne durchführen, eine direkte i-net verbindung habe ich nicht.

wie groß wird der ganze spass mit den standardplugins? ich habe nur noch 240mb frei.
 
Nessus benötigt einen "Server/Dämon" zu dem du dich verbindest. Starte also erstmal nessud und dann nessus :) Darf ich mal fragen von wem du die Aufgabe bekommen hast?
 
OP
D

DanielS

Newbie
ich mache meine ausbildung im bereich basissysteme und habe das als projektaufgabe übertragen bekommen. ich hab meine lpar mit z/VM zur verfügung gestellt bekommen und die aufgabe:

1. Sie installieren nach eigenen Vorgaben ein SUSE Linux System. Zusätzlich sollten weitere Serverdienste eingebunden werden, wie etwa ein WEB Server (hab apache installiert) sowie eine Benutzerstruktur die der des Unternehmens ähnelt.

2. Durch Tools und direkte Zugriffe härten sie dieses System. Finden sie Lücken in der Sicherheit des Systems. Das härten erfolgt Netz und Desktopseitig.

3. Erstellen sie eine aussagefähige technische Dokumentation.


ich bin halt was linux angeht recht unerfahren, dafür ist das praktikum in dem bereich da.
 
Dann ist es ja in Ordnung ;-)

Hast Du das mit nessusd probiert? Du musst vorher mit nessus-adduser einen Benutzer erstellen. Danach kannst du mit dem Client connecten.
 
OP
D

DanielS

Newbie
Joerg_Nientiedt schrieb:
Dann ist es ja in Ordnung ;-)

Hast Du das mit nessusd probiert? Du musst vorher mit nessus-adduser einen Benutzer erstellen. Danach kannst du mit dem Client connecten.

ich probiers gleich mal aus, ich melde mich dann obs geklappt hat oder nicht.
 
OP
D

DanielS

Newbie
DanielS schrieb:
Joerg_Nientiedt schrieb:
Dann ist es ja in Ordnung ;-)

Hast Du das mit nessusd probiert? Du musst vorher mit nessus-adduser einen Benutzer erstellen. Danach kannst du mit dem Client connecten.

ich probiers gleich mal aus, ich melde mich dann obs geklappt hat oder nicht.

sry dass ich mich erst jetzt wieder melde. ich hatte ein paar probs mitm i-net ;)

um nochmal aufs thema zu sprechen zu kommen, ich hatte wohl bei der installation etwas falsch gemacht. ich habe nessus nochmal neu installiert , dann den daemon gestartet und anschließend den nessus client.


eine generelle Frage hätte ich aber noch, da ich jetzt mit dem eigentlichen "härten" angefangen habe. ich habe schon einige (nach ansicht von nessus) bedeutende sicherheitslücken geschlossen, bei 2 geschichten komme ich aber absolut nicht weiter, bin auch im forum nicht wirklich fündig geworden.

zum einen ist das der offene port

sunrpc 111 tcp
sunrpc 111 udp

nach etwas googlen habe ich herausgefunden das das wohl ein dienst ist der für das Ausführen einer Funktion auf entferntem System ist. die frage ist , kann man den dienst bedenkenlos ausschalten oder anders gefragt, welches programm bedient sich diesen dienstes?

die zweite geschichte bei der mich auch 2 stunden recherchieren nicht weitergeholfen haben ist

Port 445 /tpc.
ich nehme mal stark an dass das etwas mit dem samba dienst zu tun hat der auf meinem system läuft (und auch benötigt wird) auszug aus nessus


Code:
Microsoft-ds (445/tcp) security note & security hole

A CIFS server is running on this port

It was possible to log into the remote host using a NULL session. The concept of a Null session is to provide a null username and a null password, which grants the user the ‚guest‘ access

To prevent null sessions, se MS KB Article Q143474 (NT 4.0) an Q246261 (windows 2000)
Note that this won´t completely disable null sessions, but will prevent them from connecting to IPC$
Please see http://msgs.securepoint.com/cgi-bin/get/nessus-0204/50/1.html

The remote host defaults to guest when a user logs in using an invalid login. For instance, we could log in using the account ‚nessus/nessus‘

All the smb tests will be done as „/whatever‘ in domain TEST
CVE: CAN-1999-0504, CAN-1999-0506, CVE-2000-0222, CAN-1999-0505, CAN-2002-1117
leider helfen mir die windows tipps nicht wirklich weiter, weil ich ja suse einsetze. laut der beschreibung ist das auch scheinbar eine sicherheitslücke die nicht vollständig geschlossen werden kann, etwas stopfen möchte ich sie aber schon, kann mir einer nen tipp geben wie ich hier vorgehen soll?
 

stka

Guru
Port 111 ist der Portmapper, der dynamisch Ports für Netzwerkdienste wie NFS und NIS zur Verfühgung stellt. Wenn du bei einem "rpcinfo -p localhost" auf dem Rechner nur den port 111 als Antwort bekommst,kannst du den Dienst im Runleveleditor getrost abschalten.
Der Port 445 wird von MS verwendet um die Dienste zu erreichen. Dazu werden heute zwei Ports angegeben 445 und 139. Wenn ein Dienst über den Port 445 nicht erreichbar ist wird dann der Port 139 verwendet. Du kannst den Port 445 über smb.conf deaktivieren, dann ist dein samba nurnoch über den Port 139 erreichbar.
 
OP
D

DanielS

Newbie
stka schrieb:
Port 111 ist der Portmapper, der dynamisch Ports für Netzwerkdienste wie NFS und NIS zur Verfühgung stellt. Wenn du bei einem "rpcinfo -p localhost" auf dem Rechner nur den port 111 als Antwort bekommst,kannst du den Dienst im Runleveleditor getrost abschalten.
Der Port 445 wird von MS verwendet um die Dienste zu erreichen. Dazu werden heute zwei Ports angegeben 445 und 139. Wenn ein Dienst über den Port 445 nicht erreichbar ist wird dann der Port 139 verwendet. Du kannst den Port 445 über smb.conf deaktivieren, dann ist dein samba nurnoch über den Port 139 erreichbar.

besten dank schonmal für die exakte zuordnung der dienste. ich bekomme beim besagten rpcinfo aufruf lediglich 2 meldungen mit dem port 111. jetzt war ich grad im runlevel editor und wollte den besagten dienst rauswerfen was auch gleichzeitig zur folge hat dass ich nfs und nfs boot mit rauswerfen muss. nun habe ich auf meinem system (s390x unter z/VM) aber kein cd-dvd-laufwerk und mounte wenn ich etwas installieren will iso images über nen nfs://pfad . versperre ich mir dann durch das abschalten des portmappers auch direkt dann die möglichkeit auf nfs verzeichnisse zuzugreifen oder ist nfsboot und nfs ein serverdienst der dann bei mir läuft aber keine auswirkungen auf externe nfs quellen hat.
 

stka

Guru
Normaler weise dient der Portmapper nur für den Server nicht fürden Client. Teste es doch einfach, den mutigen gehört die Welt ;-)
Jetzt noch mal was anderes, du arbeitest mit einer S/390? Ich brauche unbedingt Informationen wie so eine OSA-Adapter arbeit, ich finde aber nichts im Netz, hast du da eine Quelle für mich?
 
OP
D

DanielS

Newbie
stka schrieb:
Normaler weise dient der Portmapper nur für den Server nicht fürden Client. Teste es doch einfach, den mutigen gehört die Welt ;-)

du bist gut :wink:
das problem ist das mein ausbilder zur zeit noch im urlaub ist und ich in der zeit kein backup auf ne andere dasd machen kann weil mir die berechtigungen fehlen. deswegen behandel ich grad mein linux wie ein rohes ei . du meinst aber dass ich durch das abschalten des portmappers mir nicht die funktion verbaue über eine nfs quelle weiterhin auf daten zuzugreifen. dann werde ichs mal versuchen.


Jetzt noch mal was anderes, du arbeitest mit einer S/390? Ich brauche unbedingt Informationen wie so eine OSA-Adapter arbeit, ich finde aber nichts im Netz, hast du da eine Quelle für mich
puh das wird glaube ich recht schwer dort an informationen heranzukommen. wenn dann wird man vernünftige dokumentation wohl wahrscheinlich nur auf der ibm page finden. ich muss mal schauen, vielleicht habe ich hier noch dokumentation in ordnern vorliegen.
 

stka

Guru
Wenn du auf dem Rechner den Portmapper über den Runleveldeitor stoppst und dann der Zugriff auf deinen NFS-Server noch klappt ist alle OK. Wenn der zugrif dann von dem Rechner nicht mehr klappt, dann kannst du den Portmapper wieder starten und alles ist wie vorher.
Aber normaler weise ist der Portmapper nur für den NFS-Server relevant, aber bei suse kann man das nie 100%ig wissen.
 
Oben