Cài đặt một phần mềm chống vi-rút trên một máy chủ web, đây có phải là một ý tưởng tốt?

14

Tôi vừa có một máy chủ chuyên dụng với Windows 2008 Standard Edition và đang cố gắng thực hiện cấu hình cần thiết để chạy ứng dụng web của mình trên đó.

Đã tự hỏi, nó là một ý tưởng tốt để cài đặt một phần mềm chống vi-rút trên máy chủ web? Trong ứng dụng, người dùng không thể tải lên bất kỳ tệp nào ngoại trừ hình ảnh (và họ đã kiểm tra xem có phải hình ảnh trong mã ứng dụng trước khi được lưu trên máy chủ không). Tôi được khuyến khích không cài đặt phần mềm chống vi-rút để không ảnh hưởng đến hiệu suất hoặc gây ra bất kỳ rắc rối nào với ứng dụng, tôi có bỏ lỡ điều gì khi thực hiện việc này không?

Cảm ơn

windows  web-server  anti-virus 
Mẹ ơi
nguồn
Bạn nói rằng các tệp được kiểm tra là hình ảnh trong mã ứng dụng trước khi được lưu - điều này có nghĩa với tôi rằng tệp đã tải lên nằm trong một thư mục tạm thời trước khi ứng dụng của bạn nhìn thấy nó? Trong trường hợp đó, nó đã có trên máy chủ trước khi bạn kiểm tra nó! Bạn đang sử dụng máy chủ web nào?
Steve Folly
Trên thực tế các hình ảnh được kiểm tra trong bộ nhớ, chúng không được lưu vào bất kỳ thư mục tạm thời nào. Chúng chỉ được lưu vào đĩa nếu chúng vượt qua kiểm tra trong ứng dụng. Tôi đang sử dụng IIS, đây là một ứng dụng ASP.NET
Mee
Ngoài ra, ngay cả khi bạn lưu một tệp trong một thư mục tạm thời nhưng không chạy nó, nó sẽ không gây ra vấn đề gì. Nhưng một lần nữa, đây không phải là trường hợp.
Mee

Câu trả lời:

18

Một máy chủ web chạy tốt nên IMHO không được cài đặt gói chống vi-rút thương mại (AV). Loại vi-rút macro Office và trojan thị trường đại chúng mà các gói AV được tối ưu hóa là không phù hợp với các vấn đề của máy chủ web.

Điều bạn nên làm là:

  1. Hoàn toàn ám ảnh về xác nhận đầu vào. Ví dụ: người dùng không thể tải nội dung độc hại lên trang web của bạn (virus, SQL tiêm, v.v.); rằng bạn không dễ bị tấn công kịch bản chéo trang, v.v.
  2. Giữ cho máy chủ của bạn được vá với các bản cập nhật bảo mật mới nhất và được định cấu hình theo thông lệ tốt nhất. Nhìn vào những thứ như bộ công cụ bảo mật microsofts .
  3. Có một tường lửa riêng. Không giúp bạn nhiều về các cuộc xâm nhập, nhưng nó bổ sung thêm một lớp bảo vệ chống lại các dịch vụ mạng được định cấu hình sai và giúp các cuộc tấn công DOS đơn giản. Nó cũng giúp rất nhiều với việc khóa các khả năng quản lý từ xa, v.v.
  4. Cài đặt hệ thống phát hiện xâm nhập máy chủ (H-IDS) trên máy chủ của bạn, dọc theo dòng của Tripwire đáng kính .

Có rất nhiều nhầm lẫn về các điều khoản, các từ thường được sử dụng theo nhiều cách khác nhau ở đây. Để rõ ràng, ý của tôi về một H-IDS ở đây là:

  • một dịch vụ trên máy tính
  • liên tục kiểm tra tổng hợp tất cả các tệp thực thi trên máy tính
  • đưa ra một cảnh báo bất cứ khi nào một tập tin thực thi đã được thêm hoặc sửa đổi (không có sự cho phép).

Trên thực tế, một H-IDS tốt sẽ làm được nhiều hơn thế, chẳng hạn như quyền giám sát tệp, quyền truy cập Registry, v.v., nhưng ở trên có ý chính của nó.

Một hệ thống phát hiện xâm nhập máy chủ có một số cấu hình, vì nó có thể đưa ra rất nhiều lỗi sai nếu không được thiết lập đúng. Nhưng một khi nó hoạt động, nó sẽ bắt được nhiều sự xâm nhập hơn các gói AV. Đặc biệt là H-IDS nên phát hiện một cửa hậu của hacker có một không hai, một gói AV thương mại có thể sẽ không phát hiện ra.

H-IDS cũng nhẹ hơn khi tải máy chủ, nhưng đó là lợi ích thứ cấp - lợi ích chính là tỷ lệ phát hiện tốt hơn.

Bây giờ, nếu nguồn lực có hạn; nếu sự lựa chọn nằm giữa gói AV thương mại và không làm gì thì tôi sẽ cài đặt AV . Nhưng biết rằng nó không lý tưởng.

Dòng Tên
nguồn
Cảm ơn. Tôi thực sự không cảm thấy được khuyến khích cài đặt AV nhưng đây là lần đầu tiên quản lý máy chủ web, tôi đã lo lắng rằng có thể thiếu thứ gì đó. Tôi nghĩ rằng tôi sẽ tốt hơn nếu không có AV. Tôi sẽ cố gắng cẩn thận hơn với những gì tôi chạy trên máy chủ.
Mee
1

Nó phụ thuộc. Nếu bạn không thực thi bất kỳ mã không xác định nào, thì nó có thể không cần thiết.

Nếu bạn có tệp bị nhiễm vi-rút, bản thân tệp đó sẽ vô hại trong khi trên ổ cứng. Nó chỉ có hại khi bạn thực hiện nó. Bạn có kiểm soát mọi thứ được thực thi trên máy chủ không?

Một biến thể nhỏ là tải lên các tập tin. Chúng vô hại đối với máy chủ của bạn - nếu tôi tải lên hình ảnh bị thao túng hoặc .exe bị nhiễm trojan, sẽ không có gì xảy ra (trừ khi bạn thực thi nó). Tuy nhiên, nếu những người khác tải xuống các tệp bị nhiễm đó (hoặc nếu hình ảnh bị thao túng được sử dụng trên trang), thì PC của họ có thể bị nhiễm.

Nếu trang web của bạn cho phép người dùng tải lên bất cứ thứ gì hiển thị hoặc có thể tải xuống cho người dùng khác, thì bạn có thể muốn cài đặt Trình quét vi-rút trên Máy chủ Web hoặc có một loại "Máy chủ quét vi-rút" nào đó trong Mạng của bạn quét mọi tệp.

Tùy chọn thứ ba sẽ là cài đặt Anti-Virus nhưng vô hiệu hóa chức năng quét On-Access để quét theo lịch trong thời gian thấp điểm.

Và để hoàn toàn xoay câu trả lời này 180 °: Thường thì an toàn hơn là xin lỗi. Nếu bạn làm việc trên máy chủ web, thật dễ dàng để nhấp vào một tệp xấu và phá hỏng. Chắc chắn, bạn có thể kết nối với nó hàng ngàn lần để thực hiện điều gì đó qua RDP mà không cần chạm vào bất kỳ tệp nào, nhưng lần thứ 1001 bạn sẽ vô tình thực thi exe đó và hối tiếc, vì bạn thậm chí không thể biết chắc chắn virus là gì (hiện tại họ tải xuống mới mã từ internet là tốt) và sẽ phải thực hiện một số pháp y chuyên sâu trên toàn bộ mạng của bạn.

Michael Stum
nguồn
Cảm ơn rất nhiều, một câu trả lời tuyệt vời khác xác nhận tôi có thể làm mà không cần AV.
Mee
1

Nếu nó dựa trên Windows, như bạn đã nói, tôi sẽ làm thế. Tôi cũng sẽ thử tìm một số hình thức phát hiện xâm nhập máy chủ (một chương trình theo dõi / kiểm tra các tệp đang thay đổi trên máy chủ và thông báo cho bạn về các thay đổi).

Chỉ vì bạn không thay đổi tệp trên máy chủ không có nghĩa là không có lỗi tràn bộ đệm hoặc lỗ hổng sẽ cho phép người khác thay đổi tệp trên máy chủ từ xa.

Khi có một lỗ hổng, thực tế là có một khai thác thường được biết đến trong một cửa sổ thời gian giữa phát hiện và sửa lỗi được phân phối, sau đó sẽ có một cửa sổ thời gian cho đến khi bạn có được bản sửa lỗi và áp dụng nó. Trong thời gian đó thường có một số hình thức khai thác tự động có sẵn và các kiddies script đang chạy nó để mở rộng mạng bot của họ.

Lưu ý rằng điều này cũng ảnh hưởng đến AV vì: phần mềm độc hại mới được tạo, phần mềm độc hại được phân phối, mẫu đến công ty AV của bạn, công ty AV phân tích, công ty AV phát hành chữ ký mới, bạn cập nhật chữ ký, được cho là "an toàn", lặp lại chu kỳ. Vẫn còn một cửa sổ nơi nó tự động lan rộng trước khi bạn "vô tội".

Lý tưởng nhất là bạn có thể chạy thứ gì đó để kiểm tra thay đổi tệp và cảnh báo cho bạn, như TripWire hoặc chức năng tương tự, và giữ nhật ký trên một máy khác tách biệt với việc sử dụng để nếu hệ thống bị xâm phạm thì nhật ký không bị thay đổi. Vấn đề là một khi tệp được phát hiện là mới hoặc bị thay đổi, bạn đã bị nhiễm và một khi bạn bị nhiễm hoặc kẻ xâm nhập thì quá muộn để tin rằng máy không có thay đổi khác. Nếu ai đó đã bẻ khóa hệ thống, họ có thể đã thay đổi các nhị phân khác.

Sau đó, nó trở thành một câu hỏi về việc bạn có tin tưởng vào tổng kiểm tra và lưu trữ nhật ký xâm nhập và các kỹ năng của riêng bạn mà bạn đã dọn sạch mọi thứ, bao gồm các tập tin rootkit và Alternate Data Stream có thể có trong đó không? Hoặc bạn có thực hiện "các thực tiễn tốt nhất" và xóa và khôi phục từ bản sao lưu, vì nhật ký xâm nhập ít nhất sẽ cho bạn biết khi nào nó xảy ra?

Bất kỳ hệ thống nào được kết nối với Internet đang chạy một dịch vụ đều có thể được khai thác. Nếu bạn có một hệ thống được kết nối với Internet nhưng không thực sự chạy với bất kỳ dịch vụ nào, tôi có thể nói rằng bạn rất có thể an toàn. Máy chủ web không thuộc danh mục này :-)

Bart Silverstrim
nguồn
0

Vâng, luôn luôn. Trích dẫn câu trả lời của tôi từ superuser :

Nếu nó được kết nối với bất kỳ máy nào có thể được kết nối với Internet, thì hoàn toàn có.

Có nhiều lựa chọn có sẵn. Trong khi cá nhân tôi không thích McAfee hay Norton, họ ở ngoài đó. Ngoài ra còn có AVG , F-Secure , ClamAV (mặc dù cổng win32 không còn hoạt động nữa) và tôi chắc chắn hàng trăm người nữa :)

Microsoft thậm chí đã làm việc trên một - tôi không biết nếu nó có sẵn ngoài phiên bản beta, nhưng nó vẫn tồn tại.

ClamWin , được đề cập bởi @ J Pablo .

warren
nguồn
2
Cảm ơn câu trả lời của bạn nhưng .. đây không phải là bất kỳ máy chủ Windows nào, đây là máy chủ web, vì vậy, hiệu suất là vô cùng quan trọng ở đây. Lưu ý rằng phần mềm chống vi-rút sẽ quét mọi tệp được truy cập, tức là. bất kỳ tập tin được yêu cầu bởi một khách truy cập. Tôi cần một lý do chính đáng để cài đặt một phần mềm chống vi-rút và có nguy cơ gặp vấn đề với hiệu suất, ngoài các hướng dẫn bảo mật cho máy tính nói chung.
Mee
nó sẽ không quét mọi tệp được truy cập nếu được định cấu hình đúng - và không có lý do gì để quét tệp khi truy cập khi chúng được phục vụ - chỉ để tấn công, v.v.
warren
1
@ unknown - Hiệu suất là vô cùng quan trọng trên máy chủ web? Với sự tôn trọng, tôi sẽ đề nghị rằng nếu bạn quá thấp về chi phí khả dụng mà việc ép một vài chu kỳ CPU để quét tệp sẽ ảnh hưởng đến trải nghiệm của người dùng cuối qua mạng, bạn có thể gặp vấn đề khác với cách đặt ứng dụng lên.
Bart Silverstrim
@warren, tôi biết bạn có thể loại trừ bất kỳ thư mục nào bạn muốn khỏi quá trình quét truy cập, nhưng trong trường hợp này, điểm quan trọng trong việc cài đặt AV ở vị trí đầu tiên là gì? Ý tôi là nếu người dùng vẫn có thể tải lên các tệp mà không bị quét, thì không có lý do gì để AV chạy trên máy chủ trong trường hợp đó.
Mee
2
@Bart, với phần mềm chống vi-rút tôn trọng mất hơn một vài chu kỳ CPU để quét tệp, chúng làm chậm máy tính cá nhân của bạn mà bạn chỉ sử dụng, vậy bạn mong đợi gì cho một máy chủ web được hàng trăm hoặc hàng nghìn người truy cập?
Mee
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.