Есть ли смысл устанавливать антивирус на Ubuntu?

60

Я недавно начал использовать Ubuntu. Меня интересует вопрос установки антивирусных программ на Ubuntu. На SuperUser я нашел мнение, что он только обнаруживает "вирусы Windows" и удаляет их. Есть ли смысл устанавливать антивирус, если у меня нет другой ОС?

Насколько я знаю, вирусов для Linux нет. Как насчет вредоносных программ и любых других вредоносных программ? Безопасно ли не устанавливать какое-либо защитное программное обеспечение?

Петр Крысяк
источник
11
+1, потому что я думаю, что важно, чтобы все люди с Linux понимали, что не существует такой вещи, как «100% экономия» ОС.
Mixxiphoid
Это просто, потому что это нужно PCI level 2!
user150563
Я всегда говорю, что здравый смысл - лучший антивирус. Но даже вы сами не можете избежать всех вирусов. Если это не сильно влияет на производительность, всегда устанавливайте AV!
Саймон Вербеке
1
Здравый смысл @SimonVerbeke позволит вам избежать большинства вирусных инфекций; но это не очень помогает против атак с диска с легальных сайтов, которые были взломаны, если ваша система имеет уязвимую уязвимость, которую они используют.
Дэн Нили,
2
Напомним, что первым большим вредоносным программным обеспечением был червь Morris Worm
Rich Homolka,

Ответы:

50

Это просто неправда. Существует много типов вредоносного кода, который можно запустить на Nix.

Суть (и недоразумение) в том, что их значительно меньше по сравнению с Windows. По какой-то причине стало обычным делом использовать AV в Windows.

http://en.wikipedia.org/wiki/Linux_malware

Есть несколько программ AV для Linux .

Также есть больше информации о суперпользователе . Остальная часть «моего» ответа скопирована из ответа этого поста:

Ну, на самом деле это не так ... он просто менее подвержен хакерам, разрабатывающим вирусы для систем Linux. Компьютеры потребительского уровня обычно работают на Windows, и, таким образом, при выборе целевой аудитории Windows - это лучший способ.

Не поймите неправильно Linux и вирусы, безусловно, есть вирусы Linux.

В некоторых дистрибутивах есть дополнительные уровни защиты, например SELinux в Ubuntu. Тогда есть брандмауэр по умолчанию и тот факт, что чужие файлы не имеют разрешения на выполнение. Конкретное разрешение на выполнение должно быть предоставлено до того, как выполнение станет возможным .

Кроме того, есть несколько других факторов, которые делают Linux трудным местом для вирусов, которые обычно пользователи без полномочий root в системах Linux не имеют в своем распоряжении небольших исполняемых файлов, которые позволяют вирусам оставаться незамеченными при распространении. Некоторые программы просто требуют, чтобы вы вошли в систему как пользователь root (или с помощью sudo) перед запуском или для доступа / изменения каталогов, отличных от вашего дома. Просто намного сложнее разработать жизнеспособный вирус, который будет распространяться так же хорошо, как и в Windows.

ОБНОВИТЬ:

Как упомянуто ниже, большинство машин, работающих под Linux, являются серверами, на которых работают люди, которые знают кое-что о том, что они делают. Люди, которые используют Linux для настольных ПК, обычно выбирают, а также знают, что делают. Почти все неграмотные компьютеры работают под управлением Windows, поэтому заражать эти компьютеры намного проще. «Эй, эта машина сообщает мне, что у меня есть вирус, и я должен купить эту антивирусную программу под названием« FAKETrojanHunter », чтобы избавиться от нее ... Хорошо, давайте сделаем это!»

Поскольку ни один дистрибутив / установка Linux не является по сути равным, сложнее разработать вредоносное ПО, которое могло бы заразить их всех настолько эффективно, насколько это возможно. Кроме того, почти все программное обеспечение, работающее в Linux, имеет открытый исходный код, что значительно облегчает обнаружение вредоносного ПО, поскольку его исходный код открыт для общественности.

Дейв
источник
4
+1 за ссылку на возможные AV и объяснение, почему обычно в Linux нет вирусов. удалил мой комментарий.
Mixxiphoid
12
Furthermore, almost all software run on Linux is Open Source, making malware much more easily detectable since it's source is open to the public.Какая?! Существует множество примеров (особенно в корпоративном секторе), в которых программное обеспечение, работающее в системах * nix, не является FLOSS. И почему автор вредоносных программ должен сделать этот код открытым? Almost all computer illiterate run Windows and therefore it's much easier to get those computers infected.То, что вы описываете, называется «социальная инженерия», оно полностью отличается от основных векторов атак, таких как эксплойты браузера или плагина.
Бобби
3
Кроме того, Linux гораздо более разнообразен, чем Windows, что затрудняет использование ошибки во всех них одновременно.
вс
7
«Я предполагаю, что« ненавистников Microsoft »больше, чем других операционных систем» - нет, просто (больше пользователей windows == больше авторов вирусов, использующих windows + больше целей, использующих windows == больше оконных вирусов)
Адам Нейлор
3
@DanNeely Разнообразие - это не безопасность по неизвестности; ограничение доступа к исходному коду или другим деталям реализации в надежде на то, что это повышает безопасность, является безопасностью по незаметности. Это не означает, что либо обнародование исходного кода, либо ограничение доступа к нему автоматически делает программное обеспечение более безопасным (когда в последний раз даже среднестатистический разработчик просматривал, скажем, исходный код OpenOffice или LibreOffice на предмет возможных уязвимостей безопасности) не говоря уже о намеренно скрытом вредоносном ПО?), но давайте четко разделим две концепции.
CVn
16

Сначала спросите, почему Ubuntu-Gnu-Linux более безопасен?

  • Так как это САМОЕ (если вы не устанавливаете несвободное) Свободное ПО (Software libre): доступен исходный код (Freedom 1 - свобода изучать, как работает программа), затрудняя скрытие вредоносного кода.
  • Огромные репозитории и установщик: делают это, по большей части, ненужным для установки произвольного программного обеспечения.
  • Система лучше спроектирована: безопасна. Если написан вирус, который использует уязвимость, то исправьте уязвимость (против вируса и выясните, когда он попадет в систему).
  • Файлы не являются исполняемыми по умолчанию, независимо от того, какое там имя или расширение.
  • Разнообразие: различные дистрибутивы, адресация в ядре для усложнения эксплойтов и т. Д.

Кроме того, вы должны:

  • Резервное копирование регулярно.
  • Вы можете использовать многопользовательскую функцию, даже если вы используете только систему:
    • Есть пользователь песочницы для тестирования нового программного обеспечения.
    • Настройте Subversion (или Mercurial, или, если вы хорошо умеете использовать вещи, которые сложно использовать в git), систему контроля версий, поэтому, когда вы что-то нарушаете, вы можете отыграть это обратно. Затем имейте репозиторий, принадлежащий пользователю svn, без права на запись никому другому. Затем используйте туннелирование (ssh) для подключения. Таким образом, если ваша учетная запись скомпрометирована, злоумышленник может что-то сломать, но старое состояние будет в хранилище и не может быть удалено.
  • Посмотрите на управление конфигурацией, например, cfengine, Puppet, Chef (или, возможно, довольно новый Ansible).

Примечание: Gnu / Linux не идеален, проблем много. В настоящее время ведутся исследования новых способов повышения безопасности. Но это все же лучше, чем остальные (возможное исключение некоторых из BSD)

Ctrl-Alt-Делор
источник
2
Вы можете добавить, что стандартной политикой во многих Unix-подобных системах является «неисполняемый файл», поэтому многие простые «клики по этому .exe, который я послал вам» атаки не возможны. И бесплатно не означает, с открытым исходным кодом. Мне никогда не приходилось платить за вредоносное ПО;)
Ив
1
Примечание: я говорю «Свободное ПО», а не ПО, которое бесплатно. Большая часть свободного программного обеспечения является открытым исходным кодом, а большая часть свободного программного обеспечения - свободным Обратите внимание на заглавные буквы. И Свободное программное обеспечение (программное обеспечение, которое имеет 4 свободы: запускать, изучать, изменять, распространять, для любых целей, кем-либо, для ЛЮБОЙ ЦЕНЫ) и Открытое ПО (я не могу вспомнить определение, но это НЕ ПО где доступен исходный код) - это имена с определениями.
Ctrl-Alt-Delor
1
отметил :). Я француз, и мы используем два слова (libre для свободного программного обеспечения и бесплатный для бесплатного программного обеспечения), отсюда и путаница .... Думаю, сегодня вечером я прочитаю немного английского на веб-сайте FSF ...
Ив
Да, это проще по-французски. К сожалению, по-видимому, никто не придумал лучшего термина на английском языке, чем «Свободное программное обеспечение», и объяснение путаницы. Я часто использую французский термин, когда говорю лично, но это не всегда работает.
Ctrl-Alt-Delor
Очень хороший ответ, но я бы порекомендовал Git over Subversion, так как его репозитории защищены от несанкционированного доступа (а также лучше практически во всех других отношениях). И я бы порекомендовал Puppet или Chef (или, возможно, довольно новый Ansible ) вместо cfengine.
иконоборчество
11

Да, есть. Представьте, что у вас есть файл с вирусом только для Windows в составе полезной нагрузки, и он проходит через ваш Linux-компьютер. У вас есть возможность удалить его перед отправкой другу или по электронной почте или на USB-накопителе. Если это произойдет, вирус окажется на его компьютере с Windows.

Шимон Тода
источник
Это имеет смысл только потому, что для сканирования есть только одна архитектура. Если бы было несколько операционных систем и / или архитектур, которые сильно пострадали от вирусов, то мы бы сканировали все?
ctrl-alt-delor
3

Это зависит от того, что вы делаете.

Чистый продвинутый пользователь

Пользователь, который придерживается только предоставленного дистрибутива программного обеспечения , избегает подозрительных плагинов браузера, таких как Flash и Java, и всегда обновляет свою систему, ему не нужен антивирус.

Причина проста: антивирус может обнаруживать только известные вирусы. Если его система получает обновления безопасности вовремя, это так же хорошо . Потому что обновления безопасности обычно включаются так же быстро, как и антивирусные сигнатуры.

Оператор файлового сервера

Если вы используете файловый сервер для пользователей Windows, вы хотите, чтобы антивирус защищал пользователей Windows .

Игрок

Если вам нравится устанавливать программное обеспечение сторонних производителей из неофициальных репозиториев пакетов "PPA", то, чему вы не можете доверять, если вы устанавливаете вручную программное обеспечение , которое не будет получать автоматические обновления безопасности и просто всегда переходят на последние тенденции , возможно, даже попробуйте запустить Windows Если вы пользуетесь программным обеспечением для Linux , то вы так же уязвимы, как и обычный пользователь Windows, который загружает неподписанное программное обеспечение через Интернет . Получить антивирус.

Власть админ

Опытный администратор пишет свой собственный инструмент, который часто вычисляет контрольную сумму для ключевых частей своей системы и отправляет их за пределы объекта для сравнения. Поскольку большинство файлов поступают из официальных пакетов программного обеспечения, существует известная «истина» правильной контрольной суммы. Любая модификация системного файла быстро обнаруживается, но, поскольку его служба контрольных сумм является не готовым, а специальным решением, любой злоумышленник пропускает эту скрытую ловушку и выдает предупреждение. (Существуют готовые решения, такие как tripwire, но их довольно легко отключить.) Если вирус действительно зашел так далеко, и его ранее не останавливали песочницы и политики SELinux, созданные вручную администратором в мелочах -tuning. Антивирус здесь практически не дает никакой пользы.

Anony-Мус
источник
Для 3-го случая (игрок) вы также можете использовать песочницу. Настройте специального пользователя, чтобы установить и запустить программное обеспечение. Не давайте этому пользователю привилегии sudo (или любые другие опасные привилегии), не входите в систему как root от этого пользователя. Не разделяйте ту же сессию X11.
Ctrl-Alt-Delor
«Антивирус может обнаруживать только известные вирусы». Это неверно. Программное обеспечение для обнаружения и блокирования «подозрительной» или вирусоподобной активности существует уже давно, как часть антивирусного программного обеспечения. Я отчетливо помню, как во второй половине 1990-х годов приходилось настраивать AV-программное обеспечение, чтобы позволить программному компилятору записывать *.exeфайлы, поскольку при нормальном использовании запись в исполняемые файлы не должна выполняться (возможно, помимо установки программного обеспечения и т. Д.).
CVn
Ну, обычный пользователь в любом случае не может писать в системные исполняемые файлы на Linux. Если какой-то плеер плохо облажался, то есть и продолжает устанавливать программное обеспечение от имени пользователя. Тогда есть SELinux и AppArmor, чтобы укрепиться. Но весь этот «анализ поведения» программного обеспечения AV в основном не работает . Он существует, но в значительной степени не работает. То, что они могут обнаружить, - это новые варианты старых вирусов (в основном, сгенерированных в наборах вредоносных программ, то есть)
Anony-Mousse
2

Вирусы Linux, очевидно, встречаются реже и им труднее проникнуть на уровень, на котором они действительно могут нанести ущерб, но они существуют.

С системами Linux я больше беспокоюсь о проникновениях / атаках. Когда я запускал SSH-сервер через обычный SSH-порт, я ежедневно видел сотни попыток входа в систему из Китая, в основном случайные комбинации учетных записей и паролей, но это заставило меня нервничать, чтобы перенести порт выше.

Я думаю, вы бы получили гораздо больше пользы от такой системы, как tripwire, чем от антивируса в стиле Windows. Я считаю, что tripware сканирует ваши журналы на предмет определенных шаблонов, отслеживает повышенные привилегии и изменения разрешений в файлах.

Билл К
источник
@Anony Ты сказал неправильно тогда что-то, что не имело ничего общего с моим постом, а потом согласился со мной. Не могли бы вы прочитать более внимательно? Я сказал, что вирусы в Linux были более редкими, а не инсталляционными, и я также подразумевал именно то, что вы сказали (с китайским хакером).
Билл К
Извините, да, я неправильно прочитал ваш пост.
Anony-Mousse
Что касается tripwire. Я запускал его на сервере в течение нескольких лет, но в долгосрочной перспективе он оказался неприемлемым, по крайней мере, если вы постоянно обновляете свою систему. Это имело смысл, когда вы делали только ежегодные обновления, но если система постоянно развивается, вы в конечном итоге постоянно обновляете сигнатуры и, вероятно, не заметите изменений. Вместо этого такая система должна использовать, например, внешнюю базу данных debsums для автоматической синхронизации с обновлениями.
Anony-Mousse
@Anony Я согласен с Tripwire, я в основном использовал его в качестве примера, чтобы показать, почему я не думаю, что AV-программное обеспечение настолько полезно - как мы оба говорили выше, оно не будет обнаруживать действительно важные хаки, когда Tripwire-подобные вещи будет, поэтому AV менее полезен, чем на машине с Windows, где вирусы являются основным вектором атаки.
Билл К
0

Linux может быть заражен, как и любая другая ОС, однако в вашем случае обременять систему антивирусными службами бессмысленно . Это потому что:

  • вы, вероятно, будете использовать Ubuntu Software Center, который работает с абсолютно надежным и защищенным хранилищем ;
  • вам будет очень трудно выполнять уязвимые приложения , поскольку, например, Linux не поддерживает exe по умолчанию, а также не позволяет файлам запускаться так же легко, как в Windows;
  • даже выполнено - нужны права администратора для внесения каких-либо существенных изменений в вашу систему (это означает, что «вирус» должен запросить у вас пароль и подтверждение, чтобы вас обидеть;) ...

Я работаю над Linux годами, использую приложения из разных репозиториев, посещаю опасные зоны Интернета, и никаких проблем не возникало. Не переживай слишком много: D

Kurp
источник