Linux có thực sự cần Anti-Virus (ngoài quét tệp được lưu trữ)

13

Một công ty lớn đang thực hiện đánh giá phần mềm của chúng tôi trước khi họ sử dụng phần mềm web được xây dựng bởi công ty khởi nghiệp của chúng tôi. Chúng tôi đang sử dụng Linux để lưu trữ, được bảo mật và cứng hóa đúng cách.

Quy định của người đánh giá bảo mật là tất cả các máy tính và máy chủ phải có chương trình chống vi-rút. Rõ ràng, nói với họ rằng Linux không thể bị nhiễm vi-rút sẽ không hoạt động.

Có bài viết hoặc tài nguyên bảo mật của bên thứ 3 nào có thể giúp chúng tôi thuyết phục họ bỏ yêu cầu này không, hoặc chúng tôi sẽ cần cài đặt ClamAV và làm cho nó ghi một số CPU mỗi ngày một lần?

linux security anti-virus

— romaninsh
nguồn

9

Vâng, nó chắc chắn hợp lý. Ngày bạn phủ nhận rằng cơ sở hạ tầng của bạn dễ bị đe dọa bởi vi-rút là ngày bạn mất rất nhiều uy tín. Một lần nữa, hợp đồng này có giá trị gì với bạn và chủ nhân của bạn?

— EEAA

14

Họ cho rằng Linux không thể nhiễm virus, họ thực sự rất hiếm khi so với thứ gì đó như Windows

— anthonysomerset

22

@mailq - Không xúc phạm, nhưng đó là một trong những ý tưởng ngu ngốc nhất mà tôi đã nghe trong một thời gian dài. Nếu một quy định nói rằng phần mềm chống vi-rút phải được cài đặt, thì mục đích của nó là nó cũng đang chạy. Nếu bạn nghĩ rằng bạn có thể vượt qua cuộc kiểm toán mà không cần chạy, bạn đang tự lừa dối bản thân mình.

— EEAA

9

Ai nói linux không thể nhiễm virus? Điều đó hoàn toàn sai và không đúng. Nó giống như nói rằng một máy tính Mac không thể bị nhiễm virus. Chỉ cần cài đặt ClamAV, nó khá nhẹ và thậm chí không nhận thấy nó ở đó.

— Matt

6

Tôi -1 vì bạn ngây thơ đến mức bạn nghĩ rằng Linux không thể nhiễm virus. Bạn đang đấu tranh để không cài đặt phần mềm chống vi-rút và như vậy bạn không xứng đáng nhận được hợp đồng này (hoặc bất kỳ) nào từ khách hàng trả tiền . Nếu bạn đến và nói với tôi điều này, tôi cũng sẽ cười vào mông bạn. Sau đó, tôi sẽ đi và tìm một công ty khác thực sự quan tâm đến bảo mật khách hàng của họ.

— Ben Pilbrow

30

Vâng, đó chắc chắn là một yêu cầu hợp lý. Ngày bạn phủ nhận rằng cơ sở hạ tầng của bạn dễ bị đe dọa bởi vi-rút là ngày bạn mất rất nhiều uy tín.

Bạn cần cân nhắc các phân nhánh (yếu tố gây phiền nhiễu, các vấn đề về hiệu suất có thể xảy ra, chi phí bảo trì) của việc chạy AV với giá trị của hợp đồng này. Nếu một công ty liệt kê AV là một yêu cầu, có khả năng những người khác sẽ làm điều tương tự trong tương lai. Nếu bạn đang chạy nó, bạn sẽ có vị trí tốt để giành được doanh nghiệp của họ.

— EEAA
nguồn

12

+1 - Có một lập luận thú vị được đưa ra về phần mềm Antivirus gây ra NHIỀU HƠN NỮA trên các hệ thống unix và cách điều khiển bù (đó là thuật ngữ khiến kiểm toán viên ré lên thích thú) được đưa ra khiến AV không cần thiết. Có một lập luận không kém phần thú vị về lý do tại sao các máy chủ thư unix nên chạy một loại AV (quét thư đi qua chúng) để giúp bảo vệ máy trạm của người nhận.

— voretaq7

4

Phải - đặc biệt là nếu "điều khiển bù" của bạn bao gồm một cái gì đó như Tripwire và đánh giá mạnh mẽ về kết quả của nó; kiểm toán phần mềm đang chạy, v.v.

— mfinni

Tôi dường như nhớ khi chúng tôi trải qua điều PCI mà AIDE thực sự được coi là phần mềm chống vi-rút. Nó phụ thuộc vào những gì máy chủ của bạn làm và cách bạn định cấu hình AIDE xem liệu nó có phát hiện được vi-rút hay không. Trong mọi trường hợp, cụm từ "điều khiển bù" là một từ tốt để sử dụng.

— Ladadadada

28

Khả năng máy chủ Linux bị nhiễm virus là rất thấp, không phải vậy không. Nếu đó là mối quan tâm đối với kiểm toán viên / khách hàng / bất cứ ai, thì bạn nên hiểu điều đó và xác định xem việc kinh doanh của họ có quan trọng với bạn không. Nếu doanh nghiệp của họ có giá trị cao hơn chu kỳ CPU và I / O đĩa mà nó sẽ mất để quét, thì bạn nên cài đặt AV. Nếu không, thì bạn nên giải thích điều này với khách hàng của mình và yêu cầu họ mang hợp đồng của họ đi nơi khác.

Đó không phải là một yêu cầu vô lý, đặc biệt nếu máy chủ này đang lưu trữ các tệp cho máy khách Windows. Bằng cách cài đặt ClamAV (hoặc bất cứ điều gì), bạn đang bảo vệ những máy khách Windows đó kết nối với máy chủ của bạn.

— MDMarra
nguồn

2

Một điểm mấu chốt trong câu trả lời của bạn là chúng ta đang nói về một môi trường sử dụng hỗn hợp (unix đóng vai trò là máy chủ tệp cho Windows) - Nếu Windows AV của bạn không quét các hệ thống tệp mạng có lớp bổ sung này trở nên quan trọng để bảo vệ máy trạm Windows của bạn .

— voretaq7

1

Ngay cả nếu có, hai cái đầu vẫn tốt hơn một nếu bạn có tài nguyên.

— MDMarra

1

Chạy quét virus có làm giảm nguy cơ bị nhiễm bệnh không?

— johanvdw

7

Là một người đã sử dụng các máy chủ lưu trữ được chia sẻ nơi các lỗ Wordpress hoặc phpBB của mọi người dẫn đến các tài khoản không liên quan của tôi bị xâm nhập và phục vụ phần mềm độc hại và spam cho khách truy cập ngẫu nhiên, tôi ước nhiều người thực sự nhận ra rằng chỉ vì thiết kế của Linux khiến nó an toàn hơn không làm cho nó thậm chí từ xa gần với miễn dịch với các vấn đề lớn.

— lông mịn

3

@cquilguy Tôi hoàn toàn đồng ý với bạn rằng máy quét vi-rút là diện tích bề mặt bổ sung, trong khi có khả năng giảm thiểu một số rủi ro, tạo ra rủi ro mới. Điểm mà bạn dường như đang thực hiện và sửa lỗi cho tôi nếu tôi sai, là lợi ích bảo mật từ việc chạy trình quét vi-rút không vượt quá rủi ro. Một số quét vi-rút đơn giản như băm mật mã đối với một tệp - không phải là một tấn rủi ro ở đó. Trên một cái gì đó giống như một máy chủ SMTP thực hiện lọc thư rác, bạn sẽ gặp khó khăn khi đưa ra khẳng định rằng rủi ro đối với máy chủ đang chạy bộ lọc lớn hơn lợi ích.

— Shane Madden

17

Tôi nghĩ rằng chúng ta cần đặt thuật ngữ "virus" trong bối cảnh.

Nếu bạn đang nói về các nhị phân tự sao chép nổi trên các mạng Windows thì chắc chắn, xác suất Linux nhận được một trong số này là rất thấp.

Nếu chúng ta đang nói về chủ đề rộng hơn của phần mềm độc hại, thì Linux là bất cứ thứ gì ngoại trừ miễn dịch. Các máy chủ Linux chưa được cấu hình và cấu hình kém được khai thác mọi lúc và biến thành những người chăn nuôi bot, hoặc được sử dụng cho các mục đích bất chính khác. Giả vờ rằng những mối đe dọa này không tồn tại là chôn vùi những người hoạt ngôn trên cát.

Tôi chưa bao giờ chạy phần mềm chống vi-rút trên máy chủ Linux vì tôi muốn nghĩ rằng cấu hình vá lỗi và lành mạnh sẽ bảo vệ máy chủ của tôi khỏi 99,99% các mối đe dọa. Tuy nhiên, tôi chắc chắn sẽ xem xét nó trong trường hợp này, với điều kiện phần mềm thực sự có thể phát hiện loại phần mềm độc hại ảnh hưởng đến máy chủ Linux và không phải là một cổng đơn giản của bộ Windows AV.

— Alex Forbes
nguồn

" Đặt thuật ngữ" virus "trong ngữ cảnh. " Thật vậy. Nếu họ thậm chí không thể đánh vần được nhiều loại phần mềm độc hại cụ thể (một số điểm khác biệt không phải lúc nào cũng rõ ràng, thì ranh giới giữa virus và sâu, nhưng sự khác biệt giữa phần mềm độc hại tự sao chép và không lan truyền là điều cần thiết cho IMO) ... điều đó có nghĩa là họ đang lặp lại buzzwords hoặc cụm từ họ đã nghe ("phải cài đặt AV").

— tò mò

3

Sẽ không có hại gì khi cài đặt gói AV, đặc biệt là nó có thể có nghĩa là sự khác biệt giữa việc đạt được và mất hợp đồng.

Có thể nhiều hơn một gói AV bạn cần xem xét bộ phát hiện rootkit và CRON quét để chạy theo định kỳ. Hãy chuẩn bị cho các kết quả dương tính giả - một số bộ có xu hướng dương tính giả hơn các bộ khác, và cho đến khi bạn quen với những bất thường này, nó có thể gây bối rối.

— peterg22
nguồn

1

Yêu cầu họ xác định chính xác khái niệm "chống vi-rút" . Họ lo lắng về những mối đe dọa nào?

Nếu họ không thể trả lời (có thể vì họ thực sự không biết họ đang nói về cái gì và chỉ điền vào danh sách kiểm tra), hãy hỏi họ một danh sách các chương trình chống vi-rút được phê duyệt.

Nếu yêu cầu chỉ là:

Bạn sẽ có một chương trình AV được cài đặt, định kỳ.

có lẽ họ không biết họ đang nói về cái gì Chỉ cần hỏi họ những gì họ mong đợi bạn làm chính xác .

Nếu yêu cầu là:

Bạn nên thường xuyên kiểm tra tất cả các chương trình đã cài đặt (nhị phân và tập lệnh) để tìm chương trình mới, tệp đã thay đổi hoặc bất kỳ dấu hiệu nào khác của nội dung tệp bệnh lý.

thì điều đó có nghĩa là bạn có thể không cần câu "AV" tục ngữ và tập lệnh kiểm tra tính toàn vẹn của máy chủ sẽ đầy đủ, chính xác hơn, đáng tin cậy hơn: không có thông báo sai nếu bạn biết tệp nào được sửa đổi khi máy chủ của bạn chạy bình thường và nếu bạn có thể đánh vần các yêu cầu về tính nhất quán của các tệp đã sửa đổi.

Thiết kế tập lệnh kiểm tra tính toàn vẹn hoặc thậm chí thiết lập một số công cụ hiện có để nó hiểu cụ thể máy chủ của bạn sẽ cần thêm công việc (các chương trình AV được mua nhiều hơn sau đó cài đặt-sau đó quên , đó có thể là lý do tại sao chúng rất phổ biến ). Nhưng tôi nghĩ rằng sẽ làm nhiều hơn cho bảo mật máy chủ của bạn.

— tò mò
nguồn