Нужен ли Linux антивирус (кроме сканирования файлов на хосте)

13

Крупная компания проводит обзор нашего программного обеспечения, прежде чем использовать веб-программное обеспечение, созданное нашей начинающей компанией. Мы используем Linux для хостинга, который должным образом защищен и защищен.

Регламент проверки безопасности заключается в том, что на всех компьютерах и серверах должна быть установлена ​​антивирусная программа. Очевидно, что сказать им, что Linux не может быть заражен вирусом, не получится.

Существуют ли статьи или ресурсы по безопасности от сторонних производителей, которые могут помочь нам убедить их отказаться от требования, или нам нужно будет установить ClamAV и заставить его сжигать некоторые процессоры один раз в день?

linux security anti-virus romaninsh
источник
9
Да, это конечно разумно. День, когда вы отрицаете, что ваша инфраструктура уязвима для вирусных угроз, - это день, когда вы потеряли значительную часть доверия. Опять же, что этот контракт стоит для вас и вашего работодателя?
EEAA
14
неверно предполагать, что Linux не может получить вирусы, они это делают, это исключительно редко по сравнению с чем-то вроде Windows
anthonysomerset
22
@ mailq - Без обид, но это одна из самых глупых идей, которые я слышал довольно давно. Если регулирование говорит антивирус должен быть установлен, цель есть то , что он работает , как хорошо. Если вы думаете, что сможете пройти проверку без ее запуска, вы обманываете себя.
EEAA
9
Кто сказал, что Linux не может заразиться вирусом? Это совершенно неверно и не соответствует действительности. Это все равно что сказать, что компьютер Mac не может заразиться вирусом. Просто установите ClamAV, он довольно легкий и даже не должен замечать его.
Мэтт
6
Я хочу сказать, что вы настолько наивны, что вы думаете, что Linux не может поймать вирус. Вы боретесь за то, чтобы не устанавливать антивирус, и поэтому не заслуживаете этот (или любой) контракт с платящими клиентами . Если бы вы пришли и сказали мне это, я бы тоже посмеялся над вашей задницей из здания. Тогда я пойду и найду другую компанию, которая действительно заботится о безопасности своих клиентов.
Бен Пилброу

Ответы:

30

Да, это разумный запрос. День, когда вы отрицаете, что ваша инфраструктура уязвима для вирусных угроз, - это день, когда вы потеряли значительную часть доверия.

Вам необходимо взвесить последствия (фактор раздражения, возможные проблемы с производительностью, накладные расходы на обслуживание) работы AV и стоимость этого контракта. Если одна компания перечисляет AV как требование, вполне вероятно, что другие сделают то же самое в будущем. Если вы уже используете его, вы сможете выиграть свой бизнес.

EEAA
источник
12
+1 - Есть элегантный аргумент о том, что антивирусное программное обеспечение вызывает БОЛЬШЕ ПРОБЛЕМЫ в Unix-системах, и о том, как существуют компенсирующие средства управления (это термин, который заставляет аудиторов визжать от восторга), которые делают AV ненужным. Существует не менее элегантный аргумент о том, почему на почтовых серверах Unix должно работать какое-то AV (сканирование почты, проходящей через них), чтобы помочь защитить рабочие станции получателей.
voretaq7
4
Правильно - особенно если ваши «компенсирующие средства контроля» состоят из чего-то вроде Tripwire и энергичного анализа его результатов; аудит работающего программного обеспечения и т. д.
mfinni
Кажется, я помню, когда мы проходили через PCI, который AIDE фактически считал антивирусным программным обеспечением. Это зависит от того, что делает ваш сервер и как вы настраиваете AIDE, будет ли он обнаруживать вирус или нет. В любом случае, эта фраза "компенсирующие средства управления" является хорошей для использования.
Ладададада
28

Вероятность заражения вирусом сервера Linux очень и очень мала, а не равна нулю. Если это беспокоит вашего аудитора / клиента / кого бы то ни было, вы должны это понять и определить, важен ли для вас их бизнес. Если их бизнес стоит больше, чем циклы ЦП и дисковый ввод / вывод, которые потребуются для сканирования, то вам следует установить AV. Если это не так, то вы должны объяснить это своим клиентам и попросить их принести свой контракт в другом месте.

Это не является необоснованным требованием, особенно если этот сервер размещает файлы для клиентов Windows. Устанавливая ClamAV (или любой другой), вы защищаете тех клиентов Windows, которые подключаются к вашему серверу.

MDMarra
источник
2
Ключевым моментом в вашем ответе является то, что мы говорим о смешанной среде (Unix выступает в роли файлового сервера для Windows). Если ваш Windows AV не сканирует сетевые файловые системы, наличие этого дополнительного слоя становится критически важным для защиты ваших рабочих станций Windows. ,
voretaq7
1
Даже если это так, две головы лучше, чем одна, если у вас есть ресурсы.
MDMarra
1
Снижает ли сканирование вирусов риск заражения?
johanvdw
7
Как человек, который находился на серверах общего хостинга, где дыры в Wordpress или phpBB людей привели к тому, что мои собственные несвязанные учетные записи были скомпрометированы и обслуживали вредоносное ПО и спам случайным посетителям, я хочу, чтобы больше людей осознало, что именно потому, что дизайн Linux делает его по своей природе более безопасным не делает его даже отдаленно близким к невосприимчивому к массовым проблемам.
пушистый
3
@curiousguy Я абсолютно согласен с вами, что вирусный сканер - это дополнительная поверхность, которая, потенциально снижая некоторые риски, создает новые риски. То, что вы, похоже, делаете, и, если я ошибаюсь, поправьте меня, заключается в том, что преимущества безопасности при использовании антивирусного сканера не перевешивают риски. Некоторые проверки на вирусы так же просты, как криптографический хэш для файла - здесь нет ни малейшего риска. На чем-то вроде SMTP-сервера, выполняющего фильтрацию спама, вам трудно будет утверждать, что риск для сервера, на котором работает фильтр, перевешивает выгоду.
Шейн Мэдден
17

Я думаю, что мы должны поместить термин «вирус» в контекст.

Если вы говорите о самореплицирующихся двоичных файлах, которые распространяются по сетям Windows, то, конечно, вероятность того, что Linux получит один из них, очень мала.

Если мы говорим о более широкой теме вредоносного программного обеспечения, то Linux не имеет ничего общего с иммунитетом. Непатентованные и плохо настроенные серверы Linux постоянно эксплуатируются и превращаются в бот-пастухов или используются в других гнусных целях. Притворяться, что этих угроз не существует - хоронить пресловутую голову в песке.

Я никогда не запускал антивирусное программное обеспечение на сервере Linux, так как мне нравится думать, что регулярные исправления и правильная конфигурация защитят мои серверы от 99,99% угроз. Тем не менее, я бы, конечно, учел это в этом случае, при условии, что программное обеспечение действительно могло обнаруживать вредоносные программы, которые влияют на серверы Linux, и не было простым портом пакета Windows AV.

Алекс Форбс
источник
« поставить термин« вирус »в контексте . Если они не могут даже описать многие конкретные типы вредоносного программного обеспечения (некоторые различия не всегда ясны, такая граница между вирусом и червем, но различие между самовоспроизводящимся и нераспространяющимся вредоносным ПО важно для ИМО) ... для меня это означает, что они повторяют громкие слова или фразы, которые они слышали («должен быть установлен AV»).
любопытный парень
3

Установка пакета AV не принесет никакого вреда, тем более что это может означать разницу между выгодой и потерей контракта.

Может быть, больше, чем AV-пакет, вам нужно рассмотреть набор обнаружения руткитов и CRON сканирование для запуска через регулярные промежутки времени. Также будьте готовы к ложным срабатываниям - некоторые люксы более склонны к ложным срабатываниям, чем другие, и пока вы не привыкнете к этим аномалиям, это может сбивать с толку.

peterg22
источник
1

Попросите их точно определить понятие «антивирус» . О каких угрозах они беспокоятся?

Если они не могут ответить (возможно, потому что они действительно не понимают, о чем они говорят и просто заполняют контрольный список), спросите их список утвержденных антивирусных программ.

Если требование просто:

У вас должна быть установлена ​​AV-программа, точка.

они, вероятно, понятия не имеют, о чем они говорят. Просто спросите их, что они ожидают от вас .

Если требование:

Вы должны регулярно проверять все установленные программы (двоичные файлы и скрипты) на наличие новых программ, измененных файлов или любых других признаков патологического содержимого файлов.

тогда это означает, что вам может не понадобиться пресловутое «AV», и что скрипт для проверки целостности сервера будет адекватным, более точным, более надежным: никаких ложных срабатываний, если вы знаете, какие файлы изменяются при нормальной работе вашего сервера и если вы можете изложить требования согласованности измененных файлов.

Разработка сценария, проверка целостности или даже настройка какого-либо существующего инструмента, чтобы он понимал специфику вашего сервера, потребует дополнительной работы (AV-программы чаще покупают, а потом устанавливают, а потом забывают , поэтому, вероятно, они так популярны ). Но я думаю, что это сделает гораздо больше для безопасности вашего сервера.

curiousguy
источник