Czy Linux naprawdę potrzebuje programu antywirusowego (innego niż skanowanie plików hostowanych)

13

Duża firma dokonuje przeglądu naszego oprogramowania, zanim będzie mogło korzystać z oprogramowania internetowego zbudowanego przez naszą firmę rozpoczynającą działalność. Do hostowania używamy Linuksa, który jest odpowiednio zabezpieczony i zahartowany.

Reguła recenzenta bezpieczeństwa polega na tym, że wszystkie komputery i serwery muszą mieć program antywirusowy. Oczywiście powiedzenie im, że Linux nie może zostać zainfekowany wirusem, nie zadziała.

Czy istnieje artykuł lub zasób bezpieczeństwa strony trzeciej, który może nam pomóc przekonać go do rezygnacji z tego wymogu, czy też będziemy musieli zainstalować ClamAV i sprawić, że raz dziennie spali trochę procesora?

linux security anti-virus romaninsh
źródło
9
Tak, to z pewnością uzasadnione. Dzień, w którym zaprzeczasz, że Twoja infrastruktura jest podatna na zagrożenia wirusowe, to dzień, w którym straciłeś dużą wiarygodność. Znowu, ile warta jest ta umowa dla ciebie i twojego pracodawcy?
EEAA
14
nieprawdziwe jest założenie, że Linux nie może dostać wirusów, robią to, jest to wyjątkowo rzadkie w porównaniu do czegoś takiego jak Windows
anthonysomerset
22
@mailq - Bez obrazy, ale to jeden z najgłupszych pomysłów, jakie słyszałem od dłuższego czasu. Jeśli przepis mówi, musi być zainstalowany program antywirusowy, intencją nie jest to, że działa tak dobrze. Jeśli sądzisz, że będziesz w stanie prześlizgnąć się przez audyt bez jego uruchomienia, sam się oszukasz.
EEAA
9
Kto powiedział, że Linux nie może dostać wirusa? To całkowicie fałszywe i nieprawdziwe. To tak, jakby powiedzieć, że komputer Mac nie może dostać wirusa. Wystarczy zainstalować ClamAV, jest dość lekki i nawet nie powinien zauważyć, że tam jest.
Matt
6
Mówię ci za to, że jesteś tak naiwny, że myślisz, że Linux nie może złapać wirusa. Walczysz o to, aby nie instalować programu antywirusowego i jako taki nie zasługujesz na tę (lub inną) umowę od płacących klientów . Gdybyś przyszedł i powiedział mi to, wyśmiałbym również twoją dupę z budynku. Potem szukałem innej firmy, która faktycznie dba o bezpieczeństwo swoich klientów.
Ben Pilbrow

Odpowiedzi:

30

Tak, to z pewnością uzasadniona prośba. Dzień, w którym zaprzeczasz, że Twoja infrastruktura jest podatna na zagrożenia wirusowe, to dzień, w którym straciłeś dużą wiarygodność.

Musisz zważyć konsekwencje (czynnik rozdrażnienia, możliwe problemy z wydajnością, koszty utrzymania) uruchomionej AV z wartością tej umowy. Jeśli jedna firma wymienia AV jako wymóg, prawdopodobne jest, że inne zrobią to samo w przyszłości. Jeśli już go uruchomisz, będziesz mieć dobrą pozycję, aby wygrać swoją działalność.

EEAA
źródło
12
+1 - Należy wysunąć elegancki argument na temat oprogramowania antywirusowego powodującego WIĘCEJ AWARII w systemach uniksowych oraz tego, jak działają kontrole kompensacji (to termin, który sprawia, że ​​audytorzy piszczą z radości), które sprawiają, że AV nie jest konieczne. Równie elegancki jest argument dotyczący tego, dlaczego serwery pocztowe unix powinny uruchamiać jakiś system antywirusowy (skanowanie poczty, która przez nie przechodzi), aby pomóc chronić stacje robocze odbiorców.
voretaq7
4
Zgadza się - szczególnie, jeśli „kontrole kompensujące” składają się z czegoś takiego jak Tripwire i energicznej analizy jego wyników; audyty działającego oprogramowania itp.
mfinni 30.09.11
Wydaje mi się, że pamiętam, kiedy przeszliśmy przez proces PCI, który AIDE faktycznie liczył jako oprogramowanie antywirusowe. Zależy to od tego, co robi twój serwer i od tego, jak skonfigurujesz AIDE, czy wykryje wirusa, czy nie. W każdym razie dobrze jest użyć tego wyrażenia „kontrole kompensujące”.
Ladadadada,
28

Prawdopodobieństwo zainfekowania serwera Linux przez wirus jest bardzo niskie, a nie zerowe. Jeśli dotyczy to twojego audytora / klienta / kogokolwiek, powinieneś to zrozumieć i ustalić, czy ich działalność jest dla Ciebie ważna. Jeśli ich działalność jest warta więcej niż cykle procesora i operacje we / wy dysku, które zajmie skanowanie, należy zainstalować system AV. Jeśli tak nie jest, powinieneś wyjaśnić to swojemu klientowi i poprosić go o przeniesienie umowy w inne miejsce.

Nie jest to nieuzasadnione roszczenie, szczególnie jeśli ten serwer obsługuje pliki dla klientów Windows. Instalując ClamAV (lub cokolwiek innego), chronisz tych klientów Windows, którzy łączą się z twoim serwerem.

MDMarra
źródło
2
Kluczową kwestią w Twojej odpowiedzi jest to, że mówimy o środowisku o mieszanym użyciu (Unix działający jako serwer plików dla Windows) - Jeśli Windows AV nie skanuje sieciowych systemów plików posiadających tę dodatkową warstwę, staje się krytyczny dla ochrony twoich stacji roboczych Windows .
voretaq7
1
Nawet jeśli tak, dwie głowy są lepsze niż jedna, jeśli masz zasoby.
MDMarra,
1
Czy uruchomienie skanowania antywirusowego zmniejsza ryzyko zarażenia?
johanvdw
7
Jako ktoś, kto był na współdzielonych serwerach hostingowych, gdzie dziury w Wordpressie lub phpBB ludzi doprowadziły do ​​włamania na moje niepowiązane konta i serwowanie złośliwego oprogramowania i spamu przypadkowym użytkownikom, chciałbym, aby więcej osób zdało sobie z tego sprawę, ponieważ projekt Linuksa sprawia, że ​​jest on z natury bardziej bezpieczny nie sprawia, że ​​jest nawet blisko odporny na ogromne problemy.
puszysty
3
@curiousguy Absolutnie zgadzam się z tobą, że skaner antywirusowy to dodatkowa powierzchnia, która potencjalnie ograniczając pewne ryzyko, stwarza nowe zagrożenia. Chodzi mi o to, że poprawiasz mnie, jeśli się mylę, że korzyści bezpieczeństwa wynikające z uruchomienia skanera antywirusowego nie przeważają nad ryzykiem. Niektóre skany wirusów są tak proste, jak kryptograficzny skrót do pliku - nie ma tam dużego ryzyka. Na czymś takim jak serwer SMTP wykonujący filtrowanie spamu trudno byłoby stwierdzić, że ryzyko dla serwera z uruchomionym filtrem przeważa nad korzyścią.
Shane Madden
17

Myślę, że musimy umieścić termin „wirus” w kontekście.

Jeśli mówisz o samoreplikujących się plikach binarnych, które krążą wokół sieci Windows, to na pewno prawdopodobieństwo uzyskania jednego z nich przez Linuksa jest bardzo niskie.

Jeśli mówimy o szerszym temacie złośliwego oprogramowania, Linux nie jest odporny. Niepoprawne i źle skonfigurowane serwery Linuxa są cały czas wykorzystywane i przekształcane w herderów botów lub wykorzystywane do innych niecnych celów. Udawanie, że te zagrożenia nie istnieją, to zakopywanie przysłowiowej głowy w piasku.

Nigdy nie uruchomiłem oprogramowania antywirusowego na serwerze Linux, ponieważ lubię myśleć, że regularne łatanie i rozsądna konfiguracja ochroni moje serwery przed 99,99% zagrożeń. Jednak na pewno bym to rozważył w tym przypadku, pod warunkiem, że oprogramowanie faktycznie wykrywa rodzaj złośliwego oprogramowania, które wpływa na serwery Linux i nie jest zwykłym portem pakietu AV systemu Windows.

Alex Forbes
źródło
umieść terminy„ wirus ”w kontekście. ” Rzeczywiście. Jeśli nie potrafią nawet przeliterować wielu konkretnych rodzajów złośliwego oprogramowania (niektóre rozróżnienia nie zawsze są jasne, takie jak granica między wirusem a robakiem, ale rozróżnienie między samoreplikującym się i nierozprzestrzeniającym się złośliwym oprogramowaniem jest dla mnie niezbędne) ... oznacza to, że powtarzają modne słowa lub frazy, które słyszeli („musi mieć zainstalowany program AV”).
ciekawy
3

Zainstalowanie pakietu AV nie zaszkodzi, zwłaszcza że może to oznaczać różnicę między zdobyciem a utratą kontraktu.

Może więcej niż pakiet AV musisz rozważyć pakiet wykrywający rootkity i CRON skanować, aby uruchamiał się w regularnych odstępach czasu. Przygotuj się również na fałszywie dodatnie - niektóre apartamenty są bardziej podatne na fałszywie dodatnie niż inne, i dopóki nie przyzwyczaisz się do tych anomalii, może to być niepokojące.

peterg22
źródło
1

Poproś, aby dokładnie zdefiniowali pojęcie „antywirusa” . Jakie zagrożenia się martwią?

Jeśli nie mogą odpowiedzieć (być może dlatego, że tak naprawdę nie mają pojęcia, o czym mówią) i wypełniają tylko listę kontrolną), poproś o listę zatwierdzonych programów antywirusowych.

Jeśli wymaganie jest tylko:

Musisz mieć zainstalowany program AV, kropka.

prawdopodobnie nie mają pojęcia o czym mówią. Zapytaj ich, co dokładnie oczekują od Ciebie .

Jeśli wymaganiem jest:

Powinieneś regularnie sprawdzać wszystkie zainstalowane programy (pliki binarne i skrypty) pod kątem nowych programów, zmienionych plików lub innych oznak patologicznej zawartości pliku.

oznacza to, że możesz nie potrzebować przysłowiowego „AV”, a skrypt sprawdzający integralność serwera będzie odpowiedni, dokładniejszy, bardziej niezawodny: bez fałszywych alarmów, jeśli wiesz, które pliki są modyfikowane, gdy serwer działa normalnie , a jeśli potrafisz określić wymagania dotyczące spójności zmodyfikowanych plików.

Projektowanie skryptu sprawdź integralność, a nawet skonfiguruj istniejące narzędzie, aby zrozumiało specyfikę twojego serwera, będzie wymagało dodatkowej pracy (programy AV są bardziej typu „ kup, a potem zainstaluj, a potem zapomnij” , prawdopodobnie dlatego są tak popularne ). Ale myślę, że to zrobi znacznie więcej dla bezpieczeństwa twojego serwera.

ciekawy
źródło