[Discussion] Auditer son système avec Nessus

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Discussion] Auditer son système avec Nessus

Hardware

Pour ce tuto : http://mondedie.fr/d/5860/1
Si vous avez une question, une remarque ou une suggestion, n'hésitez pas à poster un commentaire sur ce topic.

blio

Merci ! Question, tu conseilles de désactiver fail2ban, quid de l'execution automatique une fois par semaine, faut-il aussi prévoir de désactiver fail2ban ? De plus, l'IP étant celle du serveur, fail2ban réagit-il ?

Hardware

Quand l'IP est celle de la machine courante ça pose pas de soucis, mais dans le cas où tu as plusieurs serveurs et que tu audites à partir d'un seul serveur central alors la il faut indiquer à Failban, OSSEC...etc l'adresse de ce serveur pour ne pas qu'il soit exclus pendant l'audit.

http://www.fail2ban.org/wiki/index.php/Whitelist
http://ossec-docs.readthedocs.org/en/latest/syntax/head_ossec_config.global.html#element-white_list

Pour ceux qui ont OSSEC, vous pouvez ajouter ces deux règles dans le fichier /var/ossec/rules/local_rules.xml pour ignorer le serveur qui effectue des audits régulièrement :

<rule id="100030" level="0">
   <if_level>1</if_level>
   <srcip>IP DU SERVEUR</srcip>
   <description>Ignorer toutes les alertes décodées avec l'adresse ip au dessus</description>
</rule>

<rule id="100031" level="0">
   <if_level>1</if_level>
   <match>IP DU SERVEUR</match>
   <description>Ignorer toutes les alertes générées par l'adresse ip au dessus</description>
</rule>

N'oubliez pas d'ajouter aussi l'adresse IP à la WhiteList, dans le fichier /var/ossec/etc/ossec.conf :

<global>
    [...]
    <white_list>IP DU SERVEUR</white_list>
</global>

cocolabombe0

Bonsoir, je voulais savoir où obtenir la clé public et privé ainsi que le known host file

Hardware

Si tu te connectes à ton serveur par SSH avec un nom d'utilisateur/mot de passe, tu as pas besoin de spécifier la clé publique / clé privée, remplis seulement le champ compte et mot de passe. Moi j'ai désactivé la connexion par mot de passe par mesure de sécurité, je me connecte uniquement par authentification asymétrique, c'est pour ça que j'ai spécifié une paire de clé.

Ayenon

Comment on peut faire pour le désinstaller du serveur ?

Hardware

dpkg -r nessus

Tout simplement

Ayenon

Génial ! Merci Hardware

hackerman

@Hardware :

Bonsoir,

J'ai une erreur 500 (can't open socket on port 25) pour la configuration du serveur SMTP sur la dernière version actuelle.
J'ai suivi ce tuto de ex_rat pour l'envoi de mail: http://mondedie.fr/d/5318

Cela est la même sur le port 587. Pourtant mon système envoi bien des mails via postfix vu que je reçois bien les rapports de logwatch et fail2ban.

J'ai testé avec le smtp de google, tout passe sans l'authentification (Bien sur, google le bloque), nessus ne supportant pas toutes les methodes d'authentification proposées.

Il y a t-il une config spécifique postfix pour que celui-ci interragisse avec Nessus?

Une aide serai la bienvenue pour avoir les rapportsvia mail.

A pluche