Linux ha davvero bisogno di Anti-Virus (oltre alla scansione dei file ospitati)


13

Una grande azienda sta effettuando una revisione del nostro software prima di utilizzare il software Web creato dalla nostra società start-up. Stiamo usando Linux per ospitare, che è adeguatamente protetto e rafforzato.

Il regolamento del revisore della sicurezza prevede che tutti i computer e i server debbano disporre di un programma antivirus. Ovviamente, dire loro che Linux non può essere infettato da un virus non funzionerà.

Esiste un articolo o una risorsa di sicurezza di terze parti che potrebbe aiutarci a convincerli a eliminare i requisiti o dovremo installare ClamAV e farlo masterizzare una CPU al giorno?


9
Sì, è certamente ragionevole. Il giorno in cui neghi che la tua infrastruttura sia vulnerabile alle minacce dei virus è il giorno in cui hai perso molta credibilità. Ancora una volta, quanto vale questo contratto per te e il tuo datore di lavoro?
SEE

14
è errato supporre che Linux non riesca a ottenere virus, lo fanno, è eccezionalmente raro rispetto a qualcosa come Windows
anthonysomerset,

22
@mailq - Senza offesa, ma questa è una delle idee più stupide che ho sentito da un po 'di tempo. Se un regolamento afferma che deve essere installato un antivirus, l' intenzione è che funzioni anche. Se pensi di riuscire a sfuggire a un audit senza che sia in esecuzione, ti stai illudendo.
SEE

9
Chi ha detto che Linux non può ottenere un virus? È completamente falso e non vero. È come dire che un computer Mac non può ottenere un virus. Basta installare ClamAV, è abbastanza leggero e non si dovrebbe nemmeno notare che è lì.
Matt,

6
Ti sto dicendo per essere così ingenuo che pensi che Linux non possa catturare un virus. Stai lottando per non installare l'antivirus e come tale non meriti questo (o nessun) contratto dai clienti paganti . Se venissi e me lo dicessi, ti farei ridere anche il culo fuori dall'edificio. Poi andrei a cercare un'altra società che si preoccupi davvero della sicurezza dei loro clienti.
Ben Pilbrow,

Risposte:


30

Sì, è certamente una richiesta ragionevole. Il giorno in cui neghi che la tua infrastruttura sia vulnerabile alle minacce dei virus è il giorno in cui hai perso molta credibilità.

È necessario soppesare le implicazioni (fattore di disturbo, possibili problemi di prestazioni, spese generali di manutenzione) della gestione dell'AV con il valore di questo contratto. Se un'azienda sta elencando AV come requisito, è probabile che altre facciano lo stesso in futuro. Se lo stai già eseguendo, sarai ben posizionato per vincere la loro attività.


12
+1 - Esiste un'elegante discussione sul software antivirus che causa PIÙ PROBLEMI sui sistemi unix e su come siano in atto controlli compensativi (che è un termine che fa squittire i revisori con piacere) che rendono AV non necessaria. Esiste un argomento altrettanto elegante sul perché i server di posta unix dovrebbero eseguire un qualche tipo di AV (scansionando la posta che li attraversa) per aiutare a proteggere le stazioni di lavoro dei destinatari.
voretaq7,

4
Giusto - specialmente se i tuoi "controlli compensativi" consistono in qualcosa come Tripwire e una vigorosa revisione dei suoi risultati; audit del software in esecuzione, ecc.
mfinni

Mi sembra di ricordare quando abbiamo esaminato la cosa PCI che AIDE in realtà contava come un software antivirus. Dipende da cosa fa il tuo server e da come configuri AIDE se rileverà o meno un virus. In ogni caso, quella frase "controlli compensativi" è buona da usare.
Ladadadada,

28

La probabilità che un server Linux venga infettato da un virus è molto bassa, non zero. Se questo è un problema per il tuo revisore / cliente / chiunque, allora dovresti capirlo e determinare se la loro attività è importante per te. Se la loro attività vale più dei cicli della CPU e dell'I / O del disco necessari per la scansione, è necessario installare l'AV. In caso contrario, dovresti spiegarlo al tuo cliente e chiedere loro di portare il loro contratto altrove.

Non è un'affermazione irragionevole, soprattutto se questo server ospita file su client Windows. Installando ClamAV (o qualsiasi altra cosa) stai proteggendo quei client Windows che si collegano al tuo server.


2
Un punto chiave nella tua risposta è che stiamo parlando di un ambiente a uso misto (unix che funge da file server per Windows) - Se il tuo AV Windows non esegue la scansione di file system di rete con questo livello aggiuntivo diventa fondamentale per proteggere le tue workstation Windows .
voretaq7,

1
Anche se lo fa, due teste sono meglio di una se hai le risorse.
MDMarra,

1
L'esecuzione di una scansione antivirus riduce il rischio di infezione?
johanvdw,

7
Come qualcuno che è stato su server di hosting condiviso in cui i buchi di Wordpress o phpBB delle persone hanno portato alla compromissione dei miei account indipendenti e alla fornitura di malware e spam a visitatori casuali, vorrei che più persone si rendessero conto che solo perché il design di Linux lo rende intrinsecamente più sicuro non lo rende nemmeno lontanamente vicino a immuni da enormi problemi.
soffice

3
@curiousguy Sono assolutamente d'accordo con te sul fatto che uno scanner antivirus sia una superficie extra che, pur potenzialmente mitigando alcuni rischi, crea nuovi rischi. Il punto che sembra voler chiarire e correggermi se sbaglio è che i vantaggi di sicurezza derivanti dall'esecuzione di uno scanner antivirus non superano i rischi. Alcune scansioni di virus sono semplici come un hash crittografico su un file - non un sacco di rischi lì. Su qualcosa come un server SMTP che esegue il filtro antispam, faresti fatica ad affermare che il rischio per il server che esegue il filtro supera il vantaggio.
Shane Madden

17

Penso che dobbiamo inserire il termine "virus" nel contesto.

Se stai parlando dei binari autoreplicanti che fluttuano attorno alle reti Windows, sicuramente, la probabilità che Linux ottenga uno di questi è molto bassa.

Se stiamo parlando dell'argomento più ampio del software dannoso, allora Linux è tutt'altro che immune. I server Linux senza patch e mal configurati vengono sfruttati continuamente e trasformati in pastori di bot o utilizzati per altri scopi nefasti. Fingere che queste minacce non esistano è seppellire quelle proverbiali teste nella sabbia.

Non ho mai eseguito software antivirus su un server Linux in quanto mi piace pensare che il patching regolare e la configurazione sana proteggano i miei server dal 99,99% delle minacce. Tuttavia, in questo caso lo prenderei sicuramente in considerazione, a condizione che il software fosse effettivamente in grado di rilevare il tipo di software dannoso che colpisce i server Linux e non era una semplice porta di una suite AV di Windows.


" metti i termini" virus "nel contesto. " In effetti. Se non riescono nemmeno a precisare i molti tipi specifici di software dannosi (alcune distinzioni non sono sempre chiare, come il confine tra virus e worm, ma la distinzione tra malware autoreplicante e non propagante è essenziale per l'IMO) ... per me significa che stanno ripetendo parole d'ordine o frasi che hanno sentito ("deve avere installato AV").
curiousguy,

3

Installare un pacchetto AV non danneggerebbe, soprattutto perché potrebbe significare la differenza tra guadagnare e perdere un contratto.

Forse più di un pacchetto AV è necessario considerare una suite di rilevamento rootkit e CRON una scansione da eseguire a intervalli regolari. Preparati anche ai falsi positivi: alcune suite sono più inclini ai falsi positivi di altre e finché non ti abitui a queste anomalie può essere sconcertante.


1

Chiedi loro di definire esattamente il concetto di "antivirus" . Di che tipo di minacce sono preoccupati?

Se non sono in grado di rispondere (forse perché non hanno davvero idea di cosa stiano parlando e stiano solo compilando un elenco di controllo), chiedi loro un elenco di programmi antivirus approvati.

Se il requisito è solo:

Dovrai avere un programma AV installato, punto.

probabilmente non hanno idea di cosa stiano parlando. Basta chiedere loro cosa si aspettano che tu faccia esattamente .

Se il requisito è:

È necessario controllare regolarmente tutti i programmi installati (binari e script) per nuovi programmi, file modificati o qualsiasi altro segno di contenuto di file patologici.

allora significa che potresti non aver bisogno del proverbiale "AV" e che uno script per verificare l'integrità del server sarà adeguato, più preciso, più affidabile: nessun falso positivo se sai quali file vengono modificati quando il tuo server funziona normalmente e se è possibile precisare i requisiti di coerenza dei file modificati.

La progettazione di uno script controlla l'integrità o addirittura la configurazione di alcuni strumenti esistenti in modo che comprenda le specifiche del tuo server necessiterà di ulteriore lavoro (i programmi AV sono più compra-poi-installa-poi-dimentica , probabilmente è per questo che sono così popolari ). Ma penso che farà molto di più per la sicurezza del tuo server.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.