Nmap, создание отчетов

nmap не ищет уязвимости, он сканирует сеть на предмет наличия ответов от других устройств

nmap не ищет уязвимости, он сканирует сеть на предмет наличия ответов от других устройств

лолшто: https://github.com/scipag/vulscan

Это какой-то сторонний модуль.

vulscan умеет генерировать вот такое:

    {id} - ID of the vulnerability
    {title} - Title of the vulnerability
    {matches} - Count of matches
    {product} - Matched product string(s)
    {version} - Matched version string(s)
    {link} - Link to the vulnerability database entry
    \n - Newline
    \t - Tab

дальше тебе нужен постпроцессинг, который вытащит из CVE баз данных нужные тебе результаты. Но мб уже есть что-то интегрированное, посмотри на альтернативы.

Это какой-то сторонний модуль.

Вся суть nmap в этих сторонних модулях.

Вот скрипт который сразу пишет severity: https://nmap.org/nsedoc/scripts/vulners.html

Расскажи нам всем зачем тебе понадобится nmap? Просто я не вижу в его использовании большого смысла. (Поиск CVE в бекдорах?)

Доступ к портам всегда ограничивается сетевым экраном до необходимого и достаточного минимума. Фильтруется весь входящий, исходящий и проходящий трафик. Проверять сетевой экран необходимо.

Для поиска уязвимостей и проблем безопасности, локально, под рутом, запускаются тесты. Только под рутом, локально, имея полный доступ к системе можно эффективно просканировать систему на предмет наличия уязвимостей и корректности всех настроек: На сайте ФСТЭК России опубликован Методический документ «Рекомендации по обеспечению безопасной настройки операционных систем Linux». (комментарий)

ЗЫ: В тесты lynis (https://cisofy.com/lynis/), кроме всего прочего, уже входит проверка CVE. CVE проверку имеет каждый, нормальный, дистрибутив GNU/Linux. Например в Gentoo:

glsa-check -tvc all

Особое внимание обратить на уязвимости с флагом remote.

ЗЫ: Наличие совпадения версии пакета в базе CVE дистрибутиве не еще означает наличие реальной, эксплуатируемой уязвимости. Это повод для дополнительных разбирательств и анализа необходимости обновления.

Работаю с SIEM, open source, на хостах стоят агенты (Win,Linux). На базе нее создаю отчеты по уязвимостям. Недавно произошел апгрейд системы и перестал нормально работать блок уязвимостей, вот сижу разбираюсь в чем причина. Попутно, решил поинтересоваться альтернативой, как можно проверить внутреннюю сеть (хосты которые меня интересуют) на наличие уязвимостей и на основе нее создавать отчеты. На хабре почитал, там есть статья по сканерам безопасности. Рекомендуют nmap. Вот решил попробовать его приспособить к моей задаче.

произошел апгрейд системы и перестал нормально работать блок уязвимостей,

Разбираться надо с SIEM, ее агентом к Linux и чинить в них CVE.

Взял ты nmap. Он тебе показал, что на компьютере забинден нефильтрованый порт с номером 23856.
Какими нитками можно пришить к этой информации «название уязвимости CVE, уровень критичности, CVSS3, и что нужно чтобы устранить уязвимость, например назавние патча KB 1234567»?
Может это кто-то лора начитался и ssh перевесил на нестандартный порт.