Estive verificando minha máquina com o Nessus e não fiquei muito satisfeito com os resultados, não pela segurança da máquina, mas pelo metodo utilizado para a checagem. O nessus verifica simplesmente a versão dos aplicativos? O que pude perceber foi isto, pois ele indica uma vunerabilidade no meu servidor ssh e justifica que o problema é a versão, mas acredito que a correção foi feita no Debian. Uso o woody e meu sistema esta 100% atualizado com apt-get update;apt-get update Segue o log do nessus:
. List of open ports : o discard (9/tcp) o ssh (22/tcp) (Security hole found) o smtp (25/tcp) (Security hole found) o time (37/tcp) o pop3 (110/tcp) (Security notes found) o sunrpc (111/tcp) o ipp (631/tcp) (Security warnings found) o unknown (848/tcp) o unknown (2049/tcp) (Security warnings found) o postgres (5432/tcp) o general/tcp (Security notes found) o general/udp (Security notes found) o unknown (2049/udp) (Security warnings found) . Vulnerability found on port ssh (22/tcp) : You are running a version of OpenSSH which is older than 3.0.2. Versions prior than 3.0.2 are vulnerable to an enviroment variables export that can allow a local user to execute command with root privileges. This problem affect only versions prior than 3.0.2, and when the UseLogin feature is enabled (usually disabled by default) Solution : Upgrade to OpenSSH 3.0.2 or apply the patch for prior versions. (Available at: ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH) Risk factor : High (If UseLogin is enabled, and locally) . Information found on port ssh (22/tcp) Remote SSH version : ssh-2.0-openssh_3.4p1 debian 1:3.4p1-1.woody.3 Kléber _________________________________________________________ Voce quer um iGMail protegido contra vírus e spams? Clique aqui: http://www.igmailseguro.ig.com.br