在运行 nessus 扫描时,它报告了一些严重程度为“信息”的问题。我们是否应该将这些视为针对该产品/模块的安全漏洞。
Nessus 文档在这方面不是很清楚。想知道行业普遍的做法是什么。
INFO 并非旨在成为漏洞。它只是在陈述一个事实。例如:
Determined your operating system is <your os name>
这不是一个漏洞。它也可能告诉您一个发现,您需要确定它是否正常。例如:
Found port 22 is open
这也不是一个真正的漏洞,因为 SSH(对于 *nix)在端口 22 上运行。但是,如果您不希望端口 22 打开,则需要自行更正。
成功也报告为 INFO。例如:
Checking for users with no password. SUCCESS!
MEDIUM 表示 Nessus 运行了测试,但无法确定测试是否通过或失败。
例如,Nessus 无法扫描 sudoers 文件以查找 NOPASSWD,因为它不可读。这不是失败。这不是成功。因此它将显示为 MEDIUM。
HIGH 表示 Nessus 运行了测试,结果表明失败。例如:
Looking for mounts with nosuid set. Results:
Found /tmp/swap
Found /share
Add nosuid to /etc/fstab
希望这有助于未来的用户解释他们的 Nessus 结果。
一般来说,这些都不是漏洞。但是,这些信息可能会派上用场,作为您可能希望采取的利用系统中存在的漏洞的方法的附加组件。