Views Read View source View history. Ca ressemble à un truc dans la droite ligne des troyens que les jeunes windowsiens s’envoyent en pensant être sur les pas de mitnick. En cas de réutilisation des textes de cette page, voyez comment citer les auteurs et mentionner la licence. Dans cet article de LinuxSecurity, on y décrit les bases de l’installation et de l’utilisation de Nessus. Mises à jour Il est important de tenir la liste des plugins à jour afin que Nessus soit capable de détecter les dernières failles.
| Nom: | nessus linux |
| Format: | Fichier D’archive |
| Système d’exploitation: | Windows, Mac, Android, iOS |
| Licence: | Usage Personnel Seulement |
| Taille: | 66.38 MBytes |
Ca ressemble à un truc dans la droite ligne des troyens que les jeunes windowsiens s’envoyent en pensant être sur les pas de mitnick. Un article de Wikipédia, l’encyclopédie libre. Pour le reste, voir les explications sur nessus. Mises à jour Il est important de tenir la liste des plugins à jour afin que Nessus soit capable de détecter les dernières failles. Target permet de choisir quoi tester: Nessus vous avertir d’ailleurs de cela par une petite fenêtre popup.
Posté par Thomas S. Suivre le flux des commentaires. Nous n’en sommes pas responsables. Aller au contenu Aller au menu. Nessus est un neesus de vulnérabilités qui recherche sur une cible les failles dans le réseau tels les bogues des logiciels, les portes neseus etc Ce programme est developpé par Renaud Deraison.
Dans cet article de LinuxSecurity, on y décrit les bases de l’installation et de l’utilisation de Nessus. Nessus a deux composantes, un client et un serveur.
Le serveur peut tourner sur des plateformes UNIX, dont Linux et OpenBSD et bien d’autrestandis que le client peut fonctionner sur des systèmes d’exploitation variés dont Dans cet article, Banchong Harangsri nous décrit l’installation et l’utilisation du serveur mais aussi du client.
Les captures d’écran sont pratiques et simplifient la compréhension. Cette nouvelle est une libre adaptation du début de l’article de LinuxSecurity.
Aller plus loin L’article en question sur LinuxSecurity 31 clics Le site de Nessus miroir français nsesus clics. J’avoue n’avoir jamais vraiment compris l’intérêt d’un tel outil.
Ca ressemble à un truc dans la droite ligne des troyens que les jeunes windowsiens liux en pensant être sur les pas de mitnick. Nessus teste des dizaines et des dizaines de trous, sans faire aucune optimisation si la machine est sous windows, pourquoi tester si bind ou openssh sont vulnérables? Il est très lent forcément, vu le nombre de testset est pas très discret dans les logs de la linnux testée.
Installation et utilisation de Nessus sur Kali Linux
Bien sûr, on peut le configurer pour le limiter aux failles qui nous intéressent, mais c’est très fastidieux. En plus, il me semble que les mises à jour pour détecter les nessuw trous sont très lentes à venir.
Du coup, c’est aussi inutile pour vérifier ses machines linhx le trou du jour de bugtraq D’abord les djeun’z ne s’envoient pas des troyens mais des chevaux de Troie trojan en anglais. D’autre part, openssh existe sous Windows dans Cygwin et aussi nessue part, cf openssh.
Concernant les mises à jour, c’est un logiciel libre, qui dépend de la bonne volonté des gens. Le problème est à mon avis plus dans les boîtes de sécu qui gardent leurs nouvelles failles sous le coude, plutôt que de les fournir.
Pour le reste, voir les explications sur nessus.
Installer Nessus sur Kali-linux
C’est un peu réducteur. Pourquoi certains jeunes ne s’enverraient-ils pas des Troyens? Non, c’est un cheval. Pas a être utiliser par des rebelz ou alors des rebelz trés con. D’ailleur il paraitrait qu’il puisse faire tomber un service sur certaines configurations ce qui est encore moins discret un peu agressif les tests des fois.
On peut se servir d’un marteau pour démolir, voire tuer.
Mais on peut aussi s’en servir pour fabriquer et construire. Nessus, un script-kiddy pourra s’en servir pour ennuyer ses voisins de réseau au bahut, pour scanner une plage IP sur le net.
Mais un administrateur pourra tout aussi bien utiliser Nessus pour vérifier que ses serveurs sont bien protégés. Je n’aime pas répondre aux trolls, mais là c’est plus du FUD, donc nessu me sens obligé d’intervenir. Je me permet de reformuler tes affirmations: Si on fait face à un unix qui fait un nat inverse sur le port 80 vers un IIS, on a pas envie de le rater juste parceque la pile IP de la machine ressemble à du linux. De plus, certaines failles sont génériques ex: De plus, Nessus 1.
Nessus (logiciel) — Wikipédia
Celles-ci permettent de faire des tests plus malins failles apache testées seulement contre neswus apachemais c’est une approche plus risquée pour un ensemble de raisons cf les archives de la liste Nessus pour explications plus détaillées.
En gros, tu augment es les risques de rater une vulnérabilité.
Il y a encore des choses à améliorer, mais c’est pas « très lent ». Mon objectif n’est pas d’aider une nouvelle génération de Jean-Kevin. Même les techniques d’évasion d’IDS rendent Nessus bruyant car il envoye plus de paquets, donc plus de logs dans le firewall, et contre un bon IDS il génère encore plus de messages d’alerte. Si tu fais des scans réguliers, il y a des options permettant d’éviter de relancer toute la batterie de tests contre la machine distante juste les nouveauxce qui limite le bruit dans le cas d’un réseau d’entreprise.
Le moteur n’est pas mis à jour, mais l’utilitaire nessus-update-plugins va chercher les derniers tests pour toi sur www. Ca fait pas mal de temps que je n’ai plus essayé Nessus. Je suis dans le cas que tu décris « une seule machine sensible, et bugtraq tous les matins ».
Donc il est vrai que Nessus a peu d’utilité pour moi, ce qui a peut-être rendu mes commentaires un peu excessifs. Il ne linu semble pas que le client que j’avais essayé à llnux le permettait, et il linuux permettait pas non plus de sauvegarder les listes de tests pour ne pas avoir à tout re de sélectionner à chaque fois.
Il me semble que c’était le cas à l’époque. As-tu une idée sur l’utilisation de Nessus par M. D’après les questions posées sur les mailing list.
D’après ma petite expérience personnelle, j’ai l’impression que: Désolé si je t’ai vexé: Souvent les gens ne se rendent pas compte qu’il y a un développeur derrière totalement bénévole qui prend sur son temps libre derrière. Et c’est ptet un peu ce qui m’est arrivé nexsus mon dernier post: Si tu scannes une machine, et qu’au premier test sur le port 80 du serveur web, la connexion est refusée, Nessus va-t-il essayer les autres attaques concernant un serveur web, et donc réessayer de se connecter?
Non, ça n’a jamais été le cas. J’ai juste reçu 5 plaintes en quatre ans parceque « nessus » apparaissait dans les logs.
On m’a dit qu’il était utilisé plus que je ne le pensait, mais je n’ai aucun moyen de vérifier. Pour ce qui est de l’évolution de l’utilisation de Nessus, je ne suis pas d’accord avec toi. En termes de sécurité, d’abord il n’y a rien eut, puis il y a eut les firewalls, puis les IDS pour voir si les firewalls servent à quelque chose.
Maintenant, les entreprises commencent à dire « bon, voyons quel est l’état du réseau interne ».
Ce n’est pas le cas partout et encore moins en francemais c’est une approche que je vois se développer de plus en plus et qui, je pense, prendra une très grande importance d’ici deux ou trois ans.