Чи справді Linux потрібен антивірус (окрім сканування файлів, що розміщуються)

13

Велика компанія проводить огляд нашого програмного забезпечення, перш ніж вони будуть використовувати веб-програмне забезпечення, створене нашою початковою компанією. Ми використовуємо Linux для розміщення, який належним чином захищений та посилений.

Регламентом рецензента безпеки є те, що всі комп'ютери та сервери повинні мати антивірусну програму. Очевидно, сказати їм, що Linux не може бути заражений вірусом.

Чи є стороння стаття безпеки або ресурс, який може допомогти нам переконати їх відмовитись від вимоги, чи нам потрібно буде встановити ClamAV і змусити його записувати деякий процесор раз на день?

linux security anti-virus

— романинський
джерело

9

Так, це, безумовно, розумно. День, коли ви заперечуєте, що ваша інфраструктура вразлива для вірусних загроз, це день, коли ви втратили велику довіру. Знову ж таки, чого вартує цей контракт для вас і вашого роботодавця?

— EEAA

14

неправильно вважати, що Linux не може заразитися вірусами, вони це є виключно рідкісними порівняно з чимось на зразок Windows

— anthonysomerset

22

@mailq - Без образи, але це одна з найглупіших ідей, яку я чув досить довгий час. Якщо в регламенті сказано, що антивірус повинен бути встановлений, наміром є те, що він також працює. Якщо ви думаєте, що вам вдасться пройти аудит без його запуску, ви обманюєте себе.

— EEAA

9

Хто сказав, що Linux не може отримати вірус? Це абсолютно неправда і неправда. Це як сказати, що комп’ютер Mac не може отримати вірус. Просто встановіть ClamAV, він досить легкий і навіть не повинен помічати, що він є.

— Метт

6

Я тебе -1 за те, що ти такий наївний, ти думаєш, що Linux не може зловити вірус. Ви боретеся не встановлювати антивірус, і як такий ви не заслуговуєте цього (або будь-якого) договору від оплати клієнтів . Якби ти прийшов і сказав мені це, я також сміяв би твою дупу з будівлі. Тоді я б пішов і знайшов іншу компанію, яка насправді піклується про безпеку своїх клієнтів.

— Бен Пілбров

30

Так, це, безумовно, розумний запит. День, коли ви заперечуєте, що ваша інфраструктура вразлива для вірусних загроз, це день, коли ви втратили велику довіру.

Потрібно зважити наслідки (коефіцієнт роздратування, можливі проблеми з експлуатацією, експлуатаційні витрати) роботи АВ зі значенням цього контракту. Якщо одна компанія зазначає AV як вимогу, цілком ймовірно, що інші будуть робити те саме в майбутньому. Якщо ви вже керуєте нею, ви зможете виграти свій бізнес.

— EEAA
джерело

12

+1 - Слід висловити елегантний аргумент щодо антивірусного програмного забезпечення, яке спричиняє БІЛЬШЕ ПОЛОЖЕННЯ в системах unix, і того, як компенсуючі елементи керування (це термін, який змушує аудиторів скрипнути від захоплення), які роблять AV непотрібним. Існує не менш елегантний аргумент щодо того, чому на серверах поштових серверів Unix слід використовувати якийсь AV (сканування пошти, яка проходить через них), щоб захистити робочі станції одержувачів.

— voretaq7

4

Правильно - особливо якщо ваш "компенсуючий контроль" складається з чогось типу Tripwire та енергійного перегляду його результатів; аудит роботи програмного забезпечення тощо

— mfinni

Здається, я пам’ятаю, коли ми проходили PCI, що AIDE насправді вважали антивірусним програмним забезпеченням. Це залежить від того, що робить ваш сервер і як ви налаштовуєте AIDE щодо того, виявить він вірус чи ні. У будь-якому випадку, це словосполучення "компенсуючі елементи керування" корисне для використання.

— Ladadadada

28

Ймовірність зараження вірусом сервера Linux дуже низька, не нульова. Якщо це стосується вашого аудитора / клієнта / кого завгодно, то ви повинні це зрозуміти та визначити, чи важливий їхній бізнес для вас. Якщо їхня діяльність коштує більше, ніж цикли процесора та дискові введення / виведення, які знадобляться для сканування, тоді вам слід встановити AV. Якщо це не так, то слід пояснити це своєму клієнту і попросити його перенести договір в інше місце.

Це не необгрунтована претензія, особливо якщо цей сервер розміщує файли для клієнтів Windows. Встановлюючи ClamAV (або будь-яку іншу), ви захищаєте тих клієнтів Windows, які з'єднуються з вашим сервером.

— MDMarra
джерело

2

Ключовим моментом у вашій відповіді є те, що ми говоримо про середовище змішаного використання (unix, що діє як файловий сервер для Windows). Якщо ваш Windows AV не сканує мережеві файлові системи, у яких цей додатковий рівень стає критичним для захисту робочих станцій Windows .

— voretaq7

1

Навіть якщо це так, дві голови краще, ніж одна, якщо у вас є ресурси.

— MDMarra

1

Чи зменшує запуск сканування вірусів ризик зараження?

— johanvdw

7

Як хтось, хто був на спільних хостинг-серверах, де в дупках Wordpress або phpBB людей призводили до того, що мої власні непов’язані акаунти отримували компрометацію та подавали зловмисне програмне забезпечення та спам випадковим відвідувачам, я хотів би, щоб більшість людей насправді зрозуміли, що лише тому, що дизайн Linux робить його по суті більш безпечним. не робить це навіть віддалено близьким до імунітету до масових проблем.

— пухнастий

3

@curiousguy Я абсолютно погоджуюся з вами, що сканер вірусів - це додаткова поверхня, яка, хоч потенційно зменшує деякі ризики, створює нові ризики. Справа в тому, що ви, здається, робите, і виправляєте мене, якщо я помиляюся, - це те, що переваги для безпеки від запуску вірусного сканера не переважають за ризики. Деякі сканування вірусів настільки ж просто, як і криптографічний хеш-файл, - це не ризик. На щось на зразок SMTP-сервера, який здійснює фільтрацію спаму, вам не складе труднощів зробити твердження, що ризик для сервера, який працює з фільтром, переважає користь.

— Шейн Мадден

17

Я думаю, нам потрібно поставити термін "вірус" у контекст.

Якщо ви говорите про самовідтворювані бінарні файли, які плавають навколо мереж Windows, то впевнені, ймовірність отримання Linux одним із них дуже низька.

Якщо ми говоримо про більш широку тему шкідливого програмного забезпечення, то Linux - це все, але не захищений. Неперевершені та погано налаштовані сервери Linux весь час експлуатуються та перетворюються на ботів-скотарів або використовуються для інших недобрих цілей. Зробити вигляд, що цих загроз не існує, закопуйте голову в пісок.

Я ніколи не запускав антивірусне програмне забезпечення на сервері Linux, тому що мені подобається думати, що регулярна конфігурація виправлення та розумного захисту захистить мої сервери від 99,99% загроз. Однак я, безумовно, вважаю це в цьому випадку, за умови, що програмне забезпечення насправді змогло виявити вигляд шкідливого програмного забезпечення, яке впливає на Linux-сервери і не був простим портом пакета AV AV.

— Алекс Форбс
джерело

" поставити терміни" вірус "у контекст. " Дійсно. Якщо вони навіть не можуть прописати багато специфічних типів шкідливих програмних засобів (деякі розрізнення не завжди зрозумілі, така межа між вірусом та хробаком, але відмінність між самовідтворюваним і нерозповсюджуваним шкідливим програмним забезпеченням є важливим для IMO) ... для мене це означає, що вони повторюють чутні слова або фрази, які вони почули ("повинен бути встановлений AV").

— curiousguy

3

Не було б шкоди для встановлення AV-пакету, особливо, оскільки це може означати різницю між виграванням та втратою контракту.

Можливо, більше, ніж AV-пакет, вам потрібно розглянути набір виявлення руткітів і CRON-сканування, щоб виконуватись через рівні проміжки часу. Будьте готові і до помилкових позитивних результатів - деякі набори більш схильні до помилкових позитивних результатів, ніж інші, і поки ви не звикнете до цих аномалій, це може викликати занепокоєння.

— peterg22
джерело

1

Попросіть їх точно визначити поняття "антивірус" . Про які загрози вони хвилюються?

Якщо вони не можуть відповісти (можливо, тому, що вони насправді не мають уявлення про те, про що говорять, і просто заповнюють контрольний список), запитайте їх у списку затверджених антивірусних програм.

Якщо вимога просто:

У вас буде встановлена програма AV, період.

вони, мабуть, не мають поняття, про що говорять. Просто запитайте їх, що вони точно від вас очікують .

Якщо вимога:

Вам слід регулярно перевіряти всі встановлені програми (бінарні файли та скрипти) на наявність нових програм, змінених файлів чи будь-яких інших ознак патологічного вмісту файлів.

то це означає, що вам може не знадобитися поговорний "AV", і що скрипт для перевірки цілісності сервера буде адекватним, точнішим, надійнішим: немає помилкових позитивних даних, якщо ви знаєте, які файли змінені, коли ваш сервер працює нормально , і якщо ви можете прописати вимоги послідовності змінених файлів.

Створюючи сценарій, перевіряйте цілісність або навіть налаштовуючи якийсь існуючий інструмент, щоб він зрозумів специфіку вашого сервера, потребує додаткової роботи (AV-програми більше купувати, а потім встановлювати, а потім забувати , тому, ймовірно, вони такі популярні ). Але я думаю, що це зробить набагато більше для безпеки вашого сервера.

— допитливий хлопець
джерело