Security 我们是否应该考虑NESSUS报告的信息级别问题？

在运行nessus扫描时，它报告了几个严重性为“信息”的问题。我们应该把这些看作是针对产品/模块的安全漏洞吗？

---

Nessus的文档在这方面不是很清楚。想知道什么是常见的行业惯例。

一般来说，这些都不是漏洞。但是，这些信息可能会很方便，因为它们是您可能希望利用系统中存在的漏洞的方法的附加组件。

信息不是一个漏洞。这只是陈述一个事实。例如：

确定您的操作系统是

这不是一个漏洞。它也可能告诉你一个发现，你需要决定它是否正常。例如：

发现端口22已打开

这也不是一个真正的漏洞，因为SSH（用于*nix）在端口22上运行。但是，如果您不想打开端口22，则需要自行更正。
成功也作为信息报告。例如：

检查没有密码的用户。成功



中等表示Nessus运行了测试，但无法确定测试是否通过或失败。

一个例子是Nessus无法扫描sudoers文件中的NOPASSWD，因为它不可读。这不是失败。这不是一个成功。因此，它将作为一种媒介出现。



高表示Nessus运行了测试，结果表明失败。例如：

正在查找设置为nosuid的装载。结果：
Found/tmp/swap


找到/共享


将nosuid添加到/etc/fstab




希望这能帮助未来的用户解释Nessus的结果
 这感觉不在这里的主题上-也许在？（不了解产品，仅凭常识，我猜“信息”条目并不指向漏洞。或者“信息”一词是错误的选择）是否有办法将其移动到security.stackexchange.com？不，您必须在此处删除，然后在此处询问（但请先查看他们的faq/问题指南，我对该主题的内容和内容没有任何经验）您可以标记该主题并要求mod进行迁移。