C'è un punto nell'installazione dell'antivirus su Ubuntu?

60

Di recente ho iniziato a utilizzare Ubuntu. Mi chiedo il punto di installare programmi antivirus su Ubuntu. Su SuperUser, ho trovato l'opinione che rileva solo i "virus di Windows" e li rimuove. C'è un punto nell'installazione dell'antivirus se non ho altri sistemi operativi?

Per quanto ne so, non ci sono virus per Linux. Che dire del malware e di altri programmi dannosi? È sicuro non installare alcun software di protezione?

ubuntu  security  anti-virus  malware 
Piotr Krysiak
fonte
11
+1 perché penso che sia importante che tutte le persone con Linux debbano capire che non esiste un sistema operativo con 'un risparmio del 100%'.
Mixxiphoid,
È semplice perché ne ha bisogno il livello 2 PCI!
user150563,
Dico sempre che il buon senso è il miglior antivirus. Ma anche tu stesso non puoi evitare tutti i viruss. A meno che non sia un grande impatto sulle prestazioni, installa sempre un AV!
Simon Verbeke,
1
Il buon senso di @SimonVerbeke ti consentirà di evitare la maggior parte delle infezioni virali; ma non è di grande aiuto contro gli attacchi driveby da siti legittimi che sono stati hackerati se il tuo sistema ha la vulnerabilità senza patch che sfruttano.
Dan Neely,
2
Un promemoria: il primo grosso pezzo di malware è stato Morris Worm
Rich Homolka,

Risposte:

50

Questo semplicemente non è vero. Esistono molti tipi di codice dannoso che possono essere eseguiti su 'Nix.

Il punto è (e l'incomprensione), è che c'è significativamente meno rispetto a Windows. Per qualsiasi motivo è diventato un luogo comune per utilizzare AV su Windows.

http://en.wikipedia.org/wiki/Linux_malware

Esistono alcuni programmi AV per Linux .

Ci sono anche ulteriori informazioni sul superutente . Il resto della "mia" risposta viene copiato dalla risposta di quel post:

Beh, in realtà non è ... è solo meno soggetto agli hacker che sviluppano virus che prendono di mira i sistemi Linux. I computer di livello consumer di solito funzionano su Windows e quindi, quando si rivolgono a un vasto pubblico, Windows è la strada da percorrere.

Non fraintendere Linux e virus, ci sono sicuramente i virus Linux.

Alcune distribuzioni hanno ad esempio livelli di protezione aggiuntivi come SELinux in Ubuntu. Quindi c'è il firewall predefinito e il fatto che i file alieni non abbiano automaticamente il permesso di essere eseguiti. È necessario concedere un'autorizzazione specifica per l' esecuzione prima che sia possibile eseguire .

Poi ci sono molti altri fattori che rendono Linux un posto difficile per i virus, in genere gli utenti non root sui sistemi Linux non hanno a disposizione pochi file eseguibili che consentirebbero ai virus di rimanere inosservati durante la propagazione. Alcuni programmi richiedono solo che tu sia loggato come root (o usando sudo) prima di eseguirlo o per accedere / modificare directory diverse da casa tua. È molto più difficile sviluppare un virus vitale che si diffonderebbe bene come in Windows.

AGGIORNARE:

Come menzionato di seguito, la maggior parte delle macchine che eseguono Linux sono server gestiti da persone che sanno qualcosa o due su ciò che stanno facendo. Le persone che usano Linux per uso desktop di solito scelgono e sanno anche cosa stanno facendo. Quasi tutti gli analfabeti di computer eseguono Windows e quindi è molto più facile infettare quei computer. "Ehi, questa macchina mi dice che ho un virus e devo acquistare questo programma antivirus chiamato 'FAKETrojanHunter' per liberarmene ... Va bene, facciamolo!"

Poiché nessuna distribuzione / installazione di Linux è uguale in sé, è più difficile sviluppare malware che li infetti nel modo più efficiente possibile. Inoltre, quasi tutto il software eseguito su Linux è Open Source, rendendo il malware molto più facilmente rilevabile poiché il suo sorgente è aperto al pubblico.

Dave
fonte
4
+1 per il collegamento a possibili AV e spiegazione del perché generalmente Linux non ha virus. cancellato il mio commento.
Mixxiphoid,
12
Furthermore, almost all software run on Linux is Open Source, making malware much more easily detectable since it's source is open to the public.Che cosa?! Ci sono molti esempi (specialmente nel settore aziendale) in cui il software che gira nei sistemi * nix non è FLOSS. E perché uno scrittore di malware dovrebbe rendere pubblico il codice ?! Almost all computer illiterate run Windows and therefore it's much easier to get those computers infected.Quello che stai descrivendo si chiama "social engineering", completamente diverso dai principali vettori di attacco come exploit del browser o dei plug-in.
Bobby,
3
Inoltre Linux ha molta più varietà di Windows, il che rende difficile sfruttare un bug in tutti allo stesso tempo.
vsz,
7
"Suppongo che ci siano più" odiatori di Microsoft "rispetto a quelli di altri sistemi operativi" - nah, è semplicemente (più utenti di Windows == più autori di virus che usano Windows + più target che usano Windows == più virus di Windows)
Adam Naylor
3
@DanNeely Variety non è sicurezza per oscurità; limitare l'accesso al codice sorgente o ad altri dettagli di implementazione nella speranza che migliorare la sicurezza sia sicurezza dall'oscurità. Questo non vuol dire che sia rendere pubblico il codice sorgente, sia limitare l'accesso ad esso, rende automaticamente il software più sicuro (quando è stata l'ultima volta che anche lo sviluppatore medio ha esaminato, diciamo, il codice sorgente OpenOffice o LibreOffice per possibili vulnerabilità di sicurezza , figuriamoci malware intenzionalmente nascosto?), ma manteniamo chiaramente separati i due concetti.
un CVn
16

Per prima cosa chiedete perché Ubuntu-Gnu-Linux è più sicuro.

  • Poiché è MOLTO (a meno che non si installi non libero) Software libero (Software libre): il codice sorgente è disponibile (Freedom 1 - la libertà di studiare come funziona il programma), rendendo più difficile nascondere il codice dannoso.
  • Gli enormi repository e l'installer: rendono per lo più inutile installare software arbitrario.
  • Il sistema è meglio progettato: progettato per essere sicuro. Se viene scritto un virus, questo sfrutta una vulnerabilità, quindi corregge la vulnerabilità (vs incolpare il virus e rilevare quando entra nel sistema).
  • I file non sono eseguibili per impostazione predefinita, indipendentemente dal nome o dall'estensione.
  • Diversità: diverse distribuzioni, indirizzano la randomizzazione nel kernel per rendere più difficili gli exploit di bug, ecc.

Inoltre dovresti:

  • Eseguire il backup regolarmente.
  • Puoi utilizzare la funzione multiutente, anche se stai usando solo il sistema:
    • Avere un utente sandbox per testare nuovo software.
    • Imposta sovversione (o mercuriale, o se sei bravo a usare roba che è difficile usare git) un sistema di controllo di revisione, quindi quando rompi qualcosa puoi ricambiarlo. Quindi avere il repository di proprietà di un utente svn, senza permesso di scrittura per nessun altro. Quindi utilizzare il tunneling (ssh) per connettersi. In questo modo se il tuo account è compromesso, l'intruso può rompere le cose, ma il vecchio stato sarà nel repository e non può essere eliminato.
  • Esamina la gestione della configurazione, ad esempio cfengine, Puppet, Chef (o forse il nuovo Ansible).

Nota: Gnu / Linux non è perfetto, ci sono molti problemi. Attualmente sono in corso ricerche su nuovi modi per migliorare la sicurezza. Ma è ancora meglio del resto (possibile eccezione di alcuni dei BSD)

ctrl-alt-Delor
fonte
2
Si potrebbe aggiungere che la politica standard su molti sistemi simili a Unix è "nessun file eseguibile", quindi non sono possibili molti semplici "clic su questo .exe che ti ho inviato". E libero non significa open source. Non ho mai dovuto pagare per un malware;)
Yves,
1
Nota: dico Software libero, non software gratuito. La maggior parte del software libero è open source e la maggior parte dell'open source è software libero. Nota le lettere maiuscole. Sia software libero (software con le 4 libertà: eseguire, studiare, modificare, distribuire, per qualsiasi scopo, da / a chiunque, per QUALSIASI PREZZO) sia Open Source (non ricordo la definizione, ma NON è un software dove è disponibile il codice sorgente) sono nomi con definizioni.
ctrl-alt-delor,
1
notato :). Sono francese e usiamo due parole (libre per software libero e gratuità per software gratuito), quindi la confusione .... Penso che leggerò un po 'di inglese sul sito web di FSF stasera ...
Yves,
Sì, è più facile in francese. Sfortunatamente a quanto pare nessuno ha escogitato un termine migliore in inglese rispetto al software libero e spiegando la confusione. Uso spesso il termine francese quando parlo di persona, ma non sempre funziona.
ctrl-alt-delor,
Risposta molto bella, ma consiglierei Git su Subversion, in quanto i suoi repository sono a prova di manomissione (ed è anche meglio in tutti gli altri modi). E consiglierei Puppet o Chef (o forse il abbastanza nuovo Ansible ) su cfengine.
iconoclasta,
11

Si C'è. Immagina di avere un file con un virus solo Windows come parte del payload e che passa attraverso la tua macchina Linux. Hai la possibilità di rimuoverlo prima che venga inviato via e-mail o su una chiavetta USB ad un amico. Se ciò accade, il virus è ora sul suo computer Windows.

Szymon Toda
fonte
Questo ha senso solo perché c'è solo un'architettura da cercare. Se ci fossero più sistemi operativi e / o architetture, che soffrivano pesantemente di virus, allora potremmo cercare tutti?
ctrl-alt-delor,
3

Dipende da cosa fai.

L'utente puro potere

Un utente che si attacca solo alla distribuzione fornita dal software , evita i plugin del browser come Flash e Java e aggiorna sempre il suo sistema non ha bisogno di un antivirus.

Il motivo è semplice: un antivirus può rilevare solo virus noti . Se il suo sistema riceve aggiornamenti di sicurezza in tempo, questo è altrettanto buono . Perché gli aggiornamenti di sicurezza di solito arrivano rapidamente come le firme antivirus.

L'operatore del file server

Se si utilizza un file server per utenti Windows, si desidera che un antivirus protegga gli utenti Windows .

Il giocatore

Se ti piace installare software di terze parti da repository di pacchetti "PPA" non ufficiali, qualunque cosa non ti fidi, se installi manualmente software che non riceverà aggiornamenti di sicurezza automatici e salterà sempre le ultime tendenze , forse prova anche a eseguire Windows software su Linux , sei vulnerabile tanto quanto l'utente medio di Windows, che scarica software non firmato su Internet . Ottieni un antivirus.

L'amministratore di potere

L'amministratore di potere scrive il proprio strumento che calcola frequentemente il checksum per le parti chiave del suo sistema e le invia off-site per il confronto. Poiché la maggior parte dei file proviene da pacchetti software ufficiali, esiste una "verità" nota di checksum corretto. Qualsiasi modifica di un file di sistema viene rilevata rapidamente, ma poiché il suo servizio di checksum non è pronto all'uso ma una soluzione personalizzata, qualsiasi utente malintenzionato perde questa trappola nascosta e attiva l'avviso. (Esistono soluzioni standard come tripwire, ma sono abbastanza facili da disabilitare.) Se il virus arriva davvero così lontano, e non è precedentemente bloccato da sandbox e politiche SELinux elaborate a mano dall'amministratore in minuta multa -messa a punto. Un antivirus non offre praticamente alcun vantaggio qui.

Anony-Mousse
fonte
Per il terzo caso (Il giocatore) puoi anche usare il sandboxing. Configurare un utente speciale, per installare ed eseguire il software. Non concedere a questo utente i privilegi di sudo (o altri privilegi pericolosi), non accedere come root da questo utente. Non condividere la stessa sessione X11.
ctrl-alt-delor,
"un antivirus può rilevare solo virus noti" Questo non è corretto. Il software per rilevare e bloccare attività "sospette" o simili a virus esiste da molto tempo, come parte del software antivirus. Ricordo chiaramente nella seconda metà degli anni '90 la necessità di configurare il software AV per consentire al compilatore di software di scrivere su *.exefile, poiché in normali condizioni d'uso non si suppone che avvenga la scrittura su file eseguibili (probabilmente a parte l'installazione del software, ecc.).
un CVn
Bene, un utente normale non può comunque scrivere agli eseguibili di sistema su Linux. A meno che qualche lettore non abbia rovinato tutto ciò che è e continua a installare il software come utente. Quindi ci sono SELinux e AppArmor da rafforzare. Ma tutta quella "analisi del comportamento" del software AV per lo più non funziona . Esiste, ma in gran parte non funziona. Ciò che riescono a rilevare sono le nuove varianti di vecchi virus (generati principalmente in toolkit di malware, ovvero)
Anony-Mousse,
2

I virus Linux sono ovviamente più rari e hanno più difficoltà a penetrare a un livello in cui possono davvero fare danni, ma esistono.

Con i sistemi Linux mi preoccupo molto di più di penetrazioni / attacchi. Quando gestivo un server SSH sulla normale porta SSH vedevo centinaia di tentativi di accesso al giorno dalla Cina, principalmente combinazioni di account / password casuali, ma mi rendeva abbastanza nervoso da spostare la porta più in alto.

Penso che otterresti molto più benefici da un sistema come tripwire che da un antivirus in stile Windows. Credo che il tripware scansiona i tuoi registri alla ricerca di schemi particolari, osserva i privilegi elevati e le modifiche ai permessi sui file.

Bill K
fonte
@Anony Hai detto che non era corretto, quindi qualcosa che non aveva nulla a che fare con il mio post e poi d'accordo con me. Considereresti di leggere più da vicino. Ho detto che i Linux VIRUSES erano più rari, non le installazioni, e ho anche insinuato esattamente quello che hai detto (con l'hacker cinese).
Bill K,
Scusa, sì, ho letto male il tuo post.
Anony-Mousse,
Per quanto riguarda il tripwire. Lo stavo eseguendo da alcuni anni su un server, ma l'ho trovato non mantenibile a lungo termine, almeno se tenete costantemente aggiornato il vostro sistema. Aveva senso quando facevi solo aggiornamenti annuali, ma se il sistema si evolve costantemente, finisci per aggiornare costantemente le firme e probabilmente non noterai una modifica. Invece, un tale sistema dovrebbe usare, ad esempio, un database di debsum off-site per rimanere automaticamente sincronizzato con gli aggiornamenti.
Anony-Mousse,
@Anony Sono d'accordo su Tripwire, lo usavo principalmente come esempio per mostrare perché non penso che il software AV sia così utile - come abbiamo detto sopra entrambi, non rileverà gli hack davvero importanti in cui cose simili a tripwire lo farà, quindi l'AV è meno utile che su una macchina Windows in cui i virus sono il vettore di attacco primario.
Bill K,
0

Linux può essere infetto, come qualsiasi altro sistema operativo, tuttavia nel tuo caso il sistema di carico con servizi antivirus è inutile . È perchè:

  • probabilmente userete Ubuntu Software Center, che funziona con un repository assolutamente affidabile e sicuro ;
  • sarà davvero difficile eseguire app interessate , poiché ad esempio Linux non supporta exe per impostazione predefinita e inoltre non consente l'esecuzione dei file con la stessa facilità di Windows;
  • anche eseguito: hai bisogno dei privilegi di amministratore per apportare modifiche significative al tuo sistema (significa che "virus" dovrebbe chiederti password e conferma per farti del male;) ...

Sto lavorando su Linux da anni, usando app di diversi repository, visitando aree Internet pericolose e non si sono verificati problemi. Non preoccuparti troppo: D

Kurp
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.