O Linux realmente precisa do Antivírus (além da verificação de arquivos hospedados)

13

Uma grande empresa está revisando nosso software antes de usar o software da Web criado por nossa empresa iniciante. Estamos usando o Linux para hospedar, que está devidamente protegido e protegido.

A regulamentação do revisor de segurança é que todos os computadores e servidores devem ter um programa antivírus. Obviamente, dizer a eles que o Linux não pode ser infectado por um vírus não funcionará.

Existe um artigo ou recurso de segurança de terceiros que possa nos ajudar a convencê-los a abandonar o requisito ou precisaremos instalar o ClamAV e fazer com que ele grave alguma CPU uma vez por dia?

romaninsh
fonte
9
Sim, é certamente razoável. O dia em que você nega que sua infraestrutura está vulnerável a ameaças de vírus é o dia em que perdeu muita credibilidade. Novamente, quanto vale esse contrato para você e seu empregador?
EEAA
14
seu incorreto supor Linux não pode pegar vírus, eles fazem, é apenas excepcionalmente raro comparado a algo como o Windows
anthonysomerset
22
@ mailq - Sem ofensas, mas essa é uma das idéias mais estúpidas que já ouvi há bastante tempo. Se um regulamento diz que o antivírus deve ser instalado, a intenção é que ele esteja sendo executado também. Se você acha que seria capaz de passar por uma auditoria sem a execução, está se iludindo.
EEAA
9
Quem disse que o Linux não pode pegar um vírus? Isso é completamente falso e não é verdade. É como dizer que um computador Mac não pode pegar um vírus. Basta instalar o ClamAV, é bem leve e não deve nem perceber que está lá.
Matt
6
Estou dizendo que você é tão ingênuo que acha que o Linux não pode pegar um vírus. Você está lutando para não instalar antivírus e, como tal, não merece este (ou nenhum) contrato de clientes pagantes . Se você viesse me contar isso, eu também riria do seu prédio. Então eu iria procurar outra empresa que realmente se preocupa com a segurança de seus clientes.
Ben Pilbrow 01/10/11

Respostas:

30

Sim, é certamente um pedido razoável. O dia em que você nega que sua infraestrutura está vulnerável a ameaças de vírus é o dia em que perdeu muita credibilidade.

Você precisa pesar as ramificações (fator de aborrecimento, possíveis problemas de desempenho, sobrecarga de manutenção) da execução do AV com o valor deste contrato. Se uma empresa está listando o AV como um requisito, é provável que outras façam o mesmo no futuro. Se você já o está executando, estará bem posicionado para conquistar seus negócios.

EEAA
fonte
12
+1 - Há um argumento elegante a ser discutido sobre o software antivírus que causa MAIS PROBLEMAS nos sistemas unix e como os controles compensadores (que é um termo que faz os auditores gritarem de alegria) estão em vigor que tornam o AV desnecessário. Há um argumento igualmente elegante sobre por que os servidores de correio unix devem estar executando algum tipo de AV (varrendo o correio que passa por eles) para ajudar a proteger as estações de trabalho dos destinatários.
precisa saber é o seguinte
4
Certo - especialmente se seus "controles de compensação" consistem em algo como Tripwire e uma revisão vigorosa de seus resultados; auditorias de software em execução etc.
mfinni 30/09/11
Parece que me lembro de quando passamos pela questão do PCI que o AIDE realmente contava como software antivírus. Depende do que o servidor faz e de como você configura o AIDE para detectar ou não um vírus. De qualquer forma, essa frase "controles de compensação" é boa para usar.
Ladadadada 1/10/11
28

A probabilidade de um servidor Linux estar infectado por um vírus é muito baixa, não zero. Se isso for uma preocupação para o seu auditor / cliente / quem quer que seja, você deve entender isso e determinar se os negócios deles são importantes para você. Se os negócios deles valerem mais do que os ciclos de CPU e E / S de disco necessários para a digitalização, instale o AV. Caso contrário, explique isso ao seu cliente e peça que ele traga o contrato para outro lugar.

Não é uma reivindicação irracional, especialmente se este servidor estiver hospedando arquivos para clientes Windows. Ao instalar o ClamAV (ou o que seja), você protege os clientes Windows que são compatíveis com o servidor.

MDMarra
fonte
2
Um ponto importante na sua resposta é que estamos falando de um ambiente de uso misto (unix atuando como um servidor de arquivos para Windows) - Se o Windows AV não varrer sistemas de arquivos de rede com essa camada extra, será fundamental para proteger suas estações de trabalho Windows .
precisa saber é o seguinte
1
Mesmo que isso aconteça, duas cabeças são melhores que uma se você tiver os recursos.
precisa saber é o seguinte
1
A execução de uma verificação de vírus reduz o risco de ser infectado?
johanvdw
7
Como alguém que esteve em servidores de hospedagem compartilhada, onde os buracos Wordpress ou phpBB das pessoas levaram minhas contas não relacionadas a serem comprometidas e a fornecer malware e spam a visitantes aleatórios, eu gostaria que mais pessoas percebessem que apenas porque o design do Linux o torna inerentemente mais seguro não o torna nem remotamente próximo de imune a problemas maciços.
fofo
3
@curiousguy Concordo absolutamente com você que um antivírus é uma área de superfície extra que, apesar de potencialmente atenuar alguns riscos, cria novos riscos. O ponto que você parece estar fazendo, e me corrija se eu estiver errado, é que os benefícios de segurança da execução de um antivírus não superam os riscos. Algumas verificações de vírus são tão simples quanto um hash criptográfico em um arquivo - sem muito risco. Em algo como um servidor SMTP que faz a filtragem de spam, é difícil afirmar que o risco para o servidor que executa o filtro supera o benefício.
Shane Madden
17

Eu acho que precisamos colocar o termo "vírus" em contexto.

Se você está falando sobre os binários auto-replicantes que flutuam nas redes Windows, com certeza, a probabilidade de o Linux obter um desses é muito, muito baixa.

Se estamos falando sobre o assunto mais amplo de software malicioso, o Linux é tudo menos imune. Servidores Linux sem patch e mal configurados são explorados o tempo todo e transformados em criadores de bots, ou usados ​​para outros fins nefastos. Fingir que essas ameaças não existem é enterrar a cabeça proverbial na areia.

Nunca executei software antivírus em um servidor Linux, pois gosto de pensar que patches regulares e configuração sã protegerão meus servidores contra 99,99% das ameaças. No entanto, eu certamente o consideraria nesse caso, desde que o software fosse capaz de detectar o tipo de software mal-intencionado que afeta os servidores Linux e não era uma porta simples de um conjunto de antivírus do Windows.

Alex Forbes
fonte
" coloque os termos" vírus "em contexto . Se eles não conseguem nem explicar os muitos tipos específicos de softwares maliciosos (algumas distinções nem sempre são claras, como a fronteira entre vírus e worm, mas a distinção entre malware auto-replicante e não propagador é essencial para a IMO) ... para mim significa que eles estão repetindo palavras-chave ou frases que ouviram ("deve ter o AV instalado").
curiousguy
3

Não faria mal nenhum instalar um pacote AV, especialmente porque isso poderia significar a diferença entre ganhar e perder um contrato.

Talvez seja mais do que um pacote AV, você precisa considerar um conjunto de detecção de rootkit e fazer o CRON uma varredura para executar em intervalos regulares. Esteja preparado para falsos positivos também - alguns pacotes são mais propensos a falsos positivos do que outros, e até você se acostumar com essas anomalias, pode ser desconcertante.

peterg22
fonte
1

Peça-lhes para definir exatamente o conceito de "antivírus" . Com que tipo de ameaças eles estão preocupados?

Se eles não puderem responder (talvez porque realmente não tenham idéia do que estão falando e estejam apenas preenchendo uma lista de verificação), pergunte a eles uma lista de programas antivírus aprovados.

Se o requisito for justo:

Você deve ter um programa AV instalado, ponto final.

eles provavelmente não têm idéia do que estão falando. Basta perguntar a eles o que eles esperam que você faça exatamente .

Se o requisito for:

Você deve verificar regularmente todos os programas instalados (binários e scripts) em busca de novos programas, arquivos alterados ou qualquer outro sinal de conteúdo patológico.

significa que você pode não precisar do proverbial "AV" e que um script para verificar a integridade do servidor será adequado, mais preciso e mais confiável: não há falsos positivos se você souber quais arquivos são modificados quando o servidor está executando normalmente e se você puder especificar os requisitos de consistência dos arquivos modificados.

Projetar um script para verificar a integridade ou até mesmo configurar algumas ferramentas existentes para entender as especificidades do seu servidor exigirão trabalho adicional (os programas AV são mais comprar, instalar e esquecer , provavelmente por isso são tão populares. ) Mas acho que isso fará muito mais pela segurança do servidor.

curiousguy
fonte