Czy warto instalować program antywirusowy na Ubuntu?

60

Niedawno zacząłem używać Ubuntu. Zastanawiam się nad sensem instalowania programów antywirusowych na Ubuntu. Na SuperUser znalazłem opinię, że wykrywa on tylko „wirusy systemu Windows” i usuwa je. Czy warto instalować program antywirusowy, jeśli nie mam innego systemu operacyjnego?

O ile mi wiadomo, w systemie Linux nie ma wirusów. Co ze złośliwym oprogramowaniem i innymi szkodliwymi programami? Czy bezpiecznie jest nie instalować żadnego oprogramowania zabezpieczającego?

ubuntu security anti-virus malware Piotr Krysiak
źródło
11
+1, ponieważ uważam, że ważne jest, aby wszyscy ludzie z Linuksem zrozumieli, że nie ma czegoś takiego jak system „100% oszczędności”.
Mixxiphoid
Jest to proste, ponieważ wymaga go poziom PCI 2!
user150563,
Zawsze mówię, że zdrowy rozsądek to najlepszy program antywirusowy. Ale nawet ty sam nie możesz uniknąć wszystkich wirusów. O ile nie ma to dużego wpływu na wydajność, zawsze instaluj AV!
Simon Verbeke,
1
@SimonVerbeke zdrowy rozsądek pozwoli ci uniknąć większości infekcji wirusowych; ale niewiele pomaga w atakach typu „driveby” z legalnych witryn, które zostały zhakowane, jeśli Twój system ma luki w zabezpieczeniach, które wykorzystują.
Dan Neely,
2
Przypomnienie - pierwszym dużym złośliwym oprogramowaniem był Morris Worm
Rich Homolka,

Odpowiedzi:

50

To po prostu nieprawda. Istnieje wiele rodzajów złośliwego kodu, który można uruchomić na Nix.

Chodzi o to (i nieporozumienie), że jest znacznie mniej w porównaniu do Windows. Z jakiegokolwiek powodu powszechne jest używanie AV w systemie Windows.

http://en.wikipedia.org/wiki/Linux_malware

Istnieje kilka programów AV dla systemu Linux .

Istnieje również więcej informacji na temat superużytkownika . Reszta „mojej” odpowiedzi jest kopiowana z odpowiedzi tego postu:

Cóż, w rzeczywistości nie jest ... jest po prostu mniej podatny na hakerów tworzących wirusy atakujące systemy Linux. Komputery klasy konsumenckiej zwykle działają w systemie Windows, a zatem, kierując reklamy do szerokiego grona odbiorców, Windows jest właściwą drogą.

Nie zrozumcie źle Linuksa i wirusów, zdecydowanie są wirusy Linux.

Niektóre dystrybucje mają dodatkowe warstwy ochronne, takie jak na przykład SELinux w Ubuntu. Następnie jest domyślna zapora ogniowa i fakt, że pliki obcych nie mają automatycznie uprawnień do wykonania. Aby możliwe było wykonanie, należy udzielić określonego zezwolenia na wykonanie .

Jest jeszcze kilka innych czynników, które sprawiają, że Linux jest trudnym miejscem dla wirusów. Zwykle użytkownicy inni niż root w systemach Linux mają do dyspozycji niewiele plików wykonywalnych, które pozwoliłyby wirusom pozostać niewykrytym i rozprzestrzeniać się. Niektóre programy wymagają jedynie zalogowania się jako root (lub za pomocą sudo) przed ich uruchomieniem lub uzyskania dostępu / modyfikacji katalogów innych niż dom. Znacznie trudniej jest stworzyć żywotnego wirusa, który rozprzestrzenia się tak dobrze, jak w systemie Windows.

AKTUALIZACJA:

Jak wspomniano poniżej, większość komputerów z systemem Linux to albo serwery, które są obsługiwane przez ludzi, którzy wiedzą coś o tym, co robią. Ludzie, którzy używają Linuksa na komputerze, zwykle wybierają, a także wiedzą, co robią. Prawie wszyscy analfabeci używają systemu Windows, dlatego znacznie łatwiej jest zainfekować te komputery. „Hej, ta maszyna mówi mi, że mam wirusa i muszę kupić ten program antywirusowy o nazwie„ FAKETrojanHunter ”, aby się go pozbyć… Dobra, zróbmy to!”

Ponieważ żadna dystrybucja / instalacja systemu Linux nie jest równa per se, trudniej jest stworzyć złośliwe oprogramowanie, które zainfekowałoby je wszystkie tak skutecznie, jak to możliwe. Co więcej, prawie całe oprogramowanie działające w systemie Linux jest typu Open Source, dzięki czemu złośliwe oprogramowanie jest znacznie łatwiejsze do wykrycia, ponieważ jego źródło jest otwarte dla publiczności.

Dave
źródło
4
+1 za podanie linku do możliwych AV i wyjaśnienie, dlaczego ogólnie Linux nie ma wirusów. usunąłem mój komentarz.
Mixxiphoid
12
Furthermore, almost all software run on Linux is Open Source, making malware much more easily detectable since it's source is open to the public.Co?! Istnieje wiele przykładów (szczególnie w sektorze przedsiębiorstw), w których oprogramowanie działające w systemach * nix nie jest FLOSS. I dlaczego autor złośliwego oprogramowania powinien upubliczniać kod ?! Almost all computer illiterate run Windows and therefore it's much easier to get those computers infected.To, co opisujesz, nazywa się „inżynierią społeczną”, co całkowicie różni się od głównych wektorów ataku, takich jak exploity przeglądarki lub wtyczek.
Bobby
3
Również Linux ma znacznie większą różnorodność niż Windows, co utrudnia wykorzystanie błędu we wszystkich z nich jednocześnie.
vsz
7
„Zakładam, że jest więcej„ nienawiści Microsoftu ”niż innych systemów operacyjnych” - nie, to po prostu (więcej użytkowników systemu Windows == więcej autorów wirusów korzystających z systemu Windows + więcej celów korzystających z systemu Windows == więcej wirusów systemu Windows)
Adam Naylor
3
@DanNeely Odmiana nie jest bezpieczeństwem przez zaciemnienie; ograniczenie dostępu do kodu źródłowego lub innych szczegółów implementacyjnych w nadziei, że poprawi to bezpieczeństwo, jest zabezpieczeniem przez niejasność. Nie oznacza to, że albo upublicznienie kodu źródłowego, albo ograniczenie dostępu do niego, automatycznie zwiększa bezpieczeństwo oprogramowania (kiedy ostatni raz nawet przeciętny programista sprawdził, powiedzmy, kod źródłowy OpenOffice lub LibreOffice pod kątem możliwych luk w zabezpieczeniach , nie mówiąc już o celowo ukrytym złośliwym oprogramowaniu?), ale zachowajmy wyraźne oddzielenie tych dwóch pojęć.
CVn
16

Najpierw zapytaj, dlaczego Ubuntu-Gnu-Linux jest bezpieczniejszy.

  • Ponieważ jest NAJBARDZIEJ (chyba że instalujesz niewolne) Wolne Oprogramowanie (Libre Software): dostępny jest kod źródłowy (Freedom 1 - swoboda studiowania działania programu), co utrudnia ukrywanie złośliwego kodu.
  • Ogromne repozytoria i instalator: sprawiają, że instalowanie dowolnego oprogramowania jest w większości niepotrzebne.
  • System jest lepiej zaprojektowany: zaprojektowany tak, aby był bezpieczny. Jeśli zostanie napisany wirus, który wykorzystuje lukę, napraw ją, a następnie obwiniaj wirusa i wykryj, kiedy dostanie się do systemu.
  • Pliki nie są domyślnie wykonywalne, bez względu na nazwę lub rozszerzenie.
  • Różnorodność: różne dystrybucje, losowe rozwiązywanie problemów w jądrze, aby utrudnić wykorzystanie błędów, itp.

Ponadto powinieneś:

  • Regularnie twórz kopie zapasowe.
  • Możesz korzystać z funkcji wielu użytkowników, nawet jeśli używasz systemu:
    • Poproś użytkownika piaskownicy o przetestowanie nowego oprogramowania.
    • Skonfiguruj subversion (lub merkurial, lub jeśli jesteś dobry w używaniu rzeczy, które są trudne w użyciu git), system kontroli wersji, więc kiedy coś zepsujesz, możesz przywrócić go do poprzedniego stanu. Następnie posiadaj repozytorium będące własnością użytkownika svn, bez uprawnień do zapisu dla nikogo innego. Następnie użyj tunelowania (ssh), aby się połączyć. W ten sposób, jeśli twoje konto zostanie przejęte, intruz może zepsuć wszystko, ale stary stan będzie w repozytorium i nie będzie można go usunąć.
  • Zajrzyj do zarządzania konfiguracją, np. Cfengine, Puppet, Chef (a może całkiem nowy Ansible).

Uwaga: Gnu / Linux nie jest doskonały, istnieje wiele problemów. Obecnie trwają badania nad nowymi sposobami poprawy bezpieczeństwa. Ale wciąż jest lepszy niż reszta (możliwy wyjątek od niektórych BSD)

ctrl-alt-delor
źródło
2
Możesz dodać, że standardową polityką w wielu systemach uniksowych jest „brak pliku wykonywalnego”, więc wiele prostych ataków „.exe na ten plik .exe, który ci wysłałem” nie jest możliwe. A darmowy nie oznacza open source. Nigdy nie musiałem płacić za szkodliwe oprogramowanie;)
Yves
1
Uwaga: mówię, że wolne oprogramowanie, a nie oprogramowanie bezpłatne. Większość wolnego oprogramowania jest oprogramowaniem typu open source, a większość oprogramowania typu open source jest oprogramowaniem wolnym. Zwróć uwagę na duże litery. Zarówno wolne oprogramowanie (oprogramowanie, które ma 4 swobody: do uruchamiania, studiowania, modyfikowania, rozpowszechniania, w dowolnym celu, przez / do kogokolwiek, za DOWOLNĄ CENĘ) oraz Open Source (nie pamiętam definicji, ale NIE jest to oprogramowanie gdzie dostępny jest kod źródłowy) to nazwy z definicjami.
ctrl-alt-delor
1
zauważyć :). Jestem Francuzem i używamy dwóch słów (darmowy dla darmowego oprogramowania i darmowy dla darmowego oprogramowania), stąd zamieszanie ... Myślę, że dziś wieczorem przeczytam trochę angielskiego na stronie FSF ...
Yves
Tak, po francusku jest łatwiej. Niestety najwyraźniej nikt nie wymyślił lepszego terminu w języku angielskim niż Wolne Oprogramowanie i wyjaśnił zamieszanie. Często używam francuskiego terminu, kiedy rozmawiam osobiście, ale to nie zawsze działa.
ctrl-alt-delor
Bardzo ładna odpowiedź, ale poleciłbym Git zamiast Subversion, ponieważ jego repozytoria są odporne na manipulacje (i jest lepsze pod każdym innym względem). I poleciłbym Puppet lub Chef (a może całkiem nowy Ansible ) zamiast cfengine .
iconoclast
11

Tak jest. Wyobraź sobie, że masz plik zawierający wirusa tylko dla systemu Windows jako część ładunku i przechodzi on przez maszynę z systemem Linux. Masz możliwość usunięcia go, zanim zostanie wysłany e-mailem lub na dysku USB znajomemu. Jeśli tak się stanie, wirus jest teraz na swoim komputerze z systemem Windows.

Szymon Toda
źródło
Ma to tylko sens, ponieważ można skanować tylko jedną architekturę. Gdyby istniało wiele systemów operacyjnych i / lub architektur, które poważnie ucierpiały z powodu wirusów, to czy skanowalibyśmy wszyscy?
ctrl-alt-delor
3

To zależy od tego, co robisz.

Czysty użytkownik

Użytkownik, który trzyma się tylko oprogramowania dostarczonego z dystrybucją , unika podejrzanych wtyczek przeglądarki, takich jak Flash i Java, i zawsze aktualizuje swój system , nie potrzebuje antywirusa.

Powód jest prosty: program antywirusowy może wykrywać tylko znane wirusy. Jeśli jego system otrzyma aktualizacje zabezpieczeń na czas, jest to równie dobre . Ponieważ aktualizacje zabezpieczeń zwykle pojawiają się szybko jako sygnatury antywirusowe.

Operator serwera plików

Jeśli korzystasz z serwera plików dla użytkowników systemu Windows, chcesz, aby program antywirusowy chronił użytkowników systemu Windows .

Gracz

Jeśli lubisz instalować oprogramowanie innych firm z nieoficjalnych repozytoriów pakietów „PPA”, cokolwiek, czemu nie możesz zaufać, jeśli ręcznie zainstalujesz oprogramowanie , które nie otrzyma automatycznych aktualizacji zabezpieczeń i po prostu zawsze przeskoczyć najnowsze trendy , może nawet spróbujesz uruchomić Windows w przypadku oprogramowania Linux , jesteś tak samo narażony jak przeciętny użytkownik systemu Windows, który pobiera niepodpisane oprogramowanie przez Internet . Zdobądź program antywirusowy.

Administrator mocy

Power Administrator pisze własne narzędzie, które często oblicza sumę kontrolną dla kluczowych części swojego systemu i wysyła je do porównania w innym miejscu. Ponieważ większość plików pochodzi z oficjalnych pakietów oprogramowania, istnieje znana „prawda” prawidłowej sumy kontrolnej. Każda modyfikacja pliku systemowego jest szybko wykrywana, ale ponieważ jego usługa sumy kontrolnej nie jest gotowa, ale jest rozwiązaniem niestandardowym, każdy atakujący tęskni za ukrytą pułapką i uruchamia alert. (Istnieją gotowe rozwiązania, takie jak tripwire, ale można je dość łatwo wyłączyć). Jeśli wirus rzeczywiście zajdzie tak daleko i nie zostanie wcześniej zatrzymany przez piaskownice i polityki SELinuksa ręcznie wykonane przez administratora w drobnej grzywnie -strojenie. Antywirus nie zapewnia tutaj praktycznie żadnych korzyści.

Anony-Mus
źródło
W trzecim przypadku (odtwarzacz) możesz również użyć piaskownicy. Skonfiguruj specjalnego użytkownika, aby zainstalować i uruchomić oprogramowanie. Nie przyznawaj tym użytkownikom uprawnień sudo (ani żadnych innych niebezpiecznych uprawnień), nie loguj się jako użytkownik root. Nie udostępniaj tej samej sesji X11.
ctrl-alt-delor
„program antywirusowy może wykryć tylko znane wirusy” Jest to nieprawidłowe. Oprogramowanie do wykrywania i blokowania „podejrzanych” lub wirusopodobnych działań istnieje od dłuższego czasu jako część oprogramowania antywirusowego. Wyraźnie pamiętam, że w drugiej połowie lat 90. XX wieku musiałem skonfigurować oprogramowanie AV, aby kompilator programowy mógł zapisywać *.exepliki, ponieważ przy normalnym użytkowaniu nie powinno się pisać do plików wykonywalnych (być może oprócz instalacji oprogramowania itp.).
CVn
Cóż, zwykły użytkownik i tak nie może pisać do plików wykonywalnych systemu w systemie Linux. Chyba że jakiś odtwarzacz źle to zepsuje i będzie instalował oprogramowanie jako użytkownik. Następnie są SELinux i AppArmor do zahartowania. Ale cała ta „analiza zachowania” oprogramowania AV przeważnie nie działa . Istnieje, ale w dużej mierze nie działa. Co mogą wykryć to nowe odmiany starych wirusów (głównie wytwarzanych w zestawy narzędzi malware, że jest)
anony-Mousse
2

Wirusy Linuksa są oczywiście rzadsze i mają większe trudności z przeniknięciem do poziomu, na którym naprawdę mogą wyrządzić szkody, ale istnieją.

W systemach Linux martwię się o penetracje / ataki. Kiedy uruchomiłem serwer SSH na normalnym porcie SSH, widziałem setki prób logowania dziennie z Chin, głównie losowe kombinacje konta / hasła, ale denerwowało mnie to, że mogłem przenieść port wyżej.

Myślę, że można uzyskać znacznie więcej korzyści z systemu takiego jak tripwire niż z programu antywirusowego w stylu Windows. Uważam, że tripware skanuje twoje dzienniki w poszukiwaniu określonych wzorów, obserwuje podwyższone uprawnienia i zmiany uprawnień do plików.

Bill K.
źródło
@Anony Powiedziałeś niepoprawnie, a następnie coś, co nie miało nic wspólnego z moim postem, zgodziło się ze mną. Czy mógłbyś przeczytać uważniej? Powiedziałem, że Linux WIRUSY są rzadsze, nie instalują się, a także sugerowałem dokładnie to, co powiedziałeś (z chińskim hakerem).
Bill K
Przepraszam, tak, źle odczytałem twój post.
Anony-Mousse,
Co do tripwire. Pracowałem przez kilka lat na serwerze, ale na dłuższą metę okazało się, że nie da się go utrzymać, przynajmniej jeśli ciągle aktualizujesz swój system. To miało sens, gdy robiłeś tylko coroczne aktualizacje, ale jeśli system stale się rozwija, w końcu ciągle aktualizujesz podpisy i prawdopodobnie nie zauważysz modyfikacji. Zamiast tego taki system powinien wykorzystywać np. Zewnętrzną bazę danych debsums, aby automatycznie synchronizować aktualizacje.
Anony-Mousse,
@Anony Zgadzam się z Tripwire, używałem go głównie jako przykładu, aby pokazać, dlaczego nie sądzę, że oprogramowanie AV jest tak przydatne - jak powiedzieliśmy powyżej, nie wykryje naprawdę ważnych włamań, w których rzeczy podobne do tripwire tak, więc AV jest mniej przydatny niż na komputerze z systemem Windows, w którym wirusy są głównym wektorem ataku.
Bill K
0

Linux może być zainfekowany, jak każdy inny system operacyjny, jednak w twoim przypadku obciążanie systemu usługami antywirusowymi jest bezcelowe . To dlatego, że:

  • prawdopodobnie będziesz używać Centrum Oprogramowania Ubuntu, które działa z absolutnie godnym zaufania i bezpiecznym repozytorium ;
  • wykonanie aplikacji , których dotyczy problem , będzie bardzo trudne , ponieważ np. Linux domyślnie nie obsługuje exe, a także nie pozwala na uruchamianie plików tak łatwo, jak Windows;
  • nawet wykonane - potrzebujesz uprawnień administratora, aby wprowadzić znaczące zmiany w systemie (oznacza to, że „wirus” powinien poprosić Cię o hasło i potwierdzenie, które mogą Cię zranić;) ...

Pracuję na Linuksie od lat, używam aplikacji z różnych repozytoriów, odwiedzam niebezpieczne obszary internetowe i nie wystąpił żaden problem. Nie martw się za bardzo: D

kurp
źródło