Braucht Linux wirklich Anti-Virus (außer Hosted File Scanning)?

13

Ein großes Unternehmen führt eine Überprüfung unserer Software durch, bevor es die von unserem Start-up-Unternehmen entwickelte Web-Software verwendet. Wir verwenden Linux als Host, das ordnungsgemäß gesichert und gehärtet ist.

Die Vorschrift des Sicherheitsprüfers lautet, dass alle Computer und Server über ein Antivirenprogramm verfügen müssen. Offensichtlich funktioniert es nicht, wenn man ihnen sagt, dass Linux nicht von einem Virus infiziert werden kann.

Gibt es einen Sicherheitsartikel oder eine Sicherheitsressource von Drittanbietern, mit deren Hilfe wir sie davon überzeugen können, die Anforderung fallen zu lassen?

romanisch
quelle
9
Ja, das ist sicher vernünftig. Der Tag, an dem Sie bestreiten, dass Ihre Infrastruktur anfällig für Virenbedrohungen ist, ist der Tag, an dem Sie viel an Glaubwürdigkeit verloren haben. Was ist dieser Vertrag für Sie und Ihren Arbeitgeber wert?
EEAA
14
Es ist falsch anzunehmen, dass Linux keine Viren bekommen kann. Es ist einfach außergewöhnlich selten im Vergleich zu etwas wie Windows
Anthonysomerset
22
@mailq - Nichts für ungut, aber das ist eine der dümmsten Ideen, die ich seit einiger Zeit gehört habe. Wenn eine Vorschrift besagt, dass ein Virenschutzprogramm installiert werden muss, ist beabsichtigt, dass es ebenfalls ausgeführt wird. Wenn Sie glauben, Sie könnten eine Prüfung bestehen, ohne dass sie ausgeführt wird, täuschen Sie sich.
EEAA
9
Wer hat gesagt, Linux kann keinen Virus bekommen? Das ist völlig falsch und nicht wahr. Es ist, als würde man sagen, dass ein Mac-Computer keinen Virus bekommen kann. Installieren Sie einfach ClamAV, es ist ziemlich leicht und sollte nicht einmal bemerken, dass es da ist.
Matt
6
Ich finde, Sie sind so naiv, dass Sie glauben, Linux könne keinen Virus finden. Sie kämpfen darum, kein Virenschutzprogramm zu installieren, und verdienen daher diesen (oder einen anderen) Vertrag nicht , wenn Sie Kunden bezahlen . Wenn Sie kommen und mir das sagen würden, würde ich auch Ihren Arsch aus dem Gebäude lachen. Dann würde ich ein anderes Unternehmen suchen, das sich tatsächlich um die Sicherheit seiner Kunden kümmert.
Ben Pilbrow

Antworten:

30

Ja, es ist sicherlich eine vernünftige Bitte. Der Tag, an dem Sie bestreiten, dass Ihre Infrastruktur anfällig für Virenbedrohungen ist, ist der Tag, an dem Sie viel an Glaubwürdigkeit verloren haben.

Sie müssen die Auswirkungen (Störfaktor, mögliche Leistungsprobleme, Wartungsaufwand) der Ausführung von AV auf den Wert dieses Vertrags abwägen. Wenn ein Unternehmen AV als Anforderung auflistet, ist es wahrscheinlich, dass andere in Zukunft dasselbe tun. Wenn Sie es bereits betreiben, sind Sie gut positioniert, um ihr Geschäft zu gewinnen.

EEAA
quelle
12
+1 - Es gibt ein elegantes Argument dafür, dass Antivirus-Software auf Unix-Systemen MEHR PROBLEM verursacht und dass Kompensationskontrollen (ein Begriff, der Auditoren vor Freude quietschen lässt) vorhanden sind, die AV überflüssig machen. Es gibt ein ebenso elegantes Argument dafür, warum Unix-Mailserver eine Art AV ausführen sollten (Scannen der Mail, die sie durchläuft), um die Arbeitsstationen der Empfänger zu schützen.
Voretaq7
4
Richtig - vor allem, wenn Ihre "Ausgleichskontrollen" aus Tripwire und einer gründlichen Überprüfung der Ergebnisse bestehen. Audits von laufender Software usw.
mfinni
Ich scheine mich zu erinnern, als wir die PCI-Sache durchgingen , die AIDE tatsächlich als Antivirensoftware zählte. Es hängt davon ab, was Ihr Server tut und wie Sie AIDE konfigurieren, um festzustellen, ob es einen Virus erkennt oder nicht. In jedem Fall ist dieser Ausdruck "Ausgleichskontrollen" gut zu gebrauchen.
Ladadadada
28

Die Wahrscheinlichkeit, dass ein Linux-Server von einem Virus infiziert wird, ist sehr gering und nicht gleich Null. Wenn dies für Ihren Prüfer / Kunden / wen auch immer von Belang ist, sollten Sie dies verstehen und feststellen, ob sein Geschäft für Sie wichtig ist. Wenn ihr Geschäft mehr wert ist als die CPU-Zyklen und die Festplatten-E / A, die zum Scannen erforderlich sind, sollten Sie den AV installieren. Wenn dies nicht der Fall ist, sollten Sie dies Ihrem Kunden erklären und ihn bitten, seinen Vertrag an eine andere Stelle zu bringen.

Dies ist keine unzumutbare Behauptung, insbesondere wenn dieser Server Dateien für Windows-Clients hostet. Durch die Installation von ClamAV (oder was auch immer) schützen Sie die Windows-Clients, die mit Ihrem Server verbunden sind.

MDMarra
quelle
2
Ein wesentlicher Punkt in Ihrer Antwort ist, dass es sich um eine Umgebung mit gemischter Verwendung handelt (Unix fungiert als Dateiserver für Windows). Wenn Ihr Windows AV keine Netzwerkdateisysteme scannt, die diese zusätzliche Ebene aufweisen, ist dies für den Schutz Ihrer Windows-Workstations von entscheidender Bedeutung .
Voretaq7
1
Selbst wenn dies der Fall ist, sind zwei Köpfe besser als einer, wenn Sie über die Ressourcen verfügen.
MDMarra
1
Reduziert das Ausführen eines Virenscans das Risiko einer Infektion?
Johanvdw
7
Als jemand, der auf gemeinsam genutzten Hosting-Servern gearbeitet hat, auf denen Wordpress- oder phpBB-Lücken von Leuten dazu geführt haben, dass meine eigenen nicht verwandten Konten kompromittiert wurden und Malware und Spam für zufällige Besucher bereitgestellt wurden, hätte ich mir gewünscht, dass mehr Leute realisiert werden, nur weil Linux durch sein Design von Natur aus sicherer wird macht es nicht einmal annähernd immun gegen massive Probleme.
flauschiger
3
@curiousguy Ich stimme Ihnen voll und ganz zu, dass ein Virenscanner eine zusätzliche Oberfläche darstellt, die zwar einige Risiken mindert, aber neue Risiken schafft. Der Punkt, den Sie anscheinend anstreben und der mich korrigiert, wenn ich mich irre, ist, dass die Sicherheitsvorteile eines Virenscanners die Risiken nicht überwiegen. Einige Virenscans sind so einfach wie ein kryptografischer Hash gegen eine Datei - kein großes Risiko. Auf so etwas wie einem SMTP-Server, der Spam-Filter ausführt, fällt es Ihnen schwer, die Behauptung aufzustellen, dass das Risiko für den Server, auf dem der Filter ausgeführt wird, den Vorteil überwiegt.
Shane Madden
17

Ich denke, wir müssen den Begriff "Virus" in einen Zusammenhang bringen.

Wenn Sie über die sich selbst replizierenden Binärdateien sprechen, die in Windows-Netzwerken schweben, ist die Wahrscheinlichkeit, dass Linux eine davon erhält, sehr gering.

Wenn wir über das umfassendere Thema Schadsoftware sprechen, ist Linux alles andere als immun. Nicht gepatchte und schlecht konfigurierte Linux-Server werden ständig ausgenutzt und in Bot-Herder verwandelt oder für andere ruchlose Zwecke verwendet. Zu behaupten, dass diese Bedrohungen nicht existieren, steckt den sprichwörtlichen Kopf in den Sand.

Ich habe noch nie eine Antivirensoftware auf einem Linux-Server ausgeführt, da ich der Meinung bin, dass regelmäßige Patches und eine vernünftige Konfiguration meine Server vor 99,99% aller Bedrohungen schützen. Allerdings würde ich dies in diesem Fall mit Sicherheit in Betracht ziehen, vorausgesetzt, die Software konnte tatsächlich die Art von schädlicher Software erkennen, die Linux-Server betrifft, und war kein einfacher Port einer Windows AV-Suite.

Alex Forbes
quelle
" Setzen Sie die Begriffe" Virus "in Zusammenhang. " In der Tat. Wenn sie nicht einmal die vielen spezifischen Arten bösartiger Software ausdrücken können (einige Unterschiede sind nicht immer klar, wie die Grenze zwischen Viren und Würmern, aber die Unterscheidung zwischen sich selbst replizierender und sich nicht fortpflanzender Malware ist IMO von wesentlicher Bedeutung) ... für mich Dies bedeutet, dass sie Schlagworte oder Phrasen wiederholen, die sie gehört haben ("muss AV installiert haben").
neugierig
3

Es würde keinen Schaden anrichten, ein AV-Paket zu installieren, zumal es den Unterschied zwischen dem Erwerb und dem Verlust eines Vertrages bedeuten könnte.

Möglicherweise ist mehr als ein AV-Paket erforderlich, um eine Rootkit-Erkennungssuite in Betracht zu ziehen, und CRON einen Scan, um in regelmäßigen Abständen ausgeführt zu werden. Seien Sie auch auf False Positives vorbereitet - einige Suiten sind anfälliger für False Positives als andere und es kann beunruhigend sein, bis Sie sich an diese Anomalien gewöhnt haben.

peterg22
quelle
1

Bitten Sie sie, den Begriff "Antivirus" genau zu definieren . Über welche Bedrohungen machen sie sich Sorgen?

Wenn sie nicht antworten können (vielleicht weil sie wirklich keine Ahnung haben, wovon sie sprechen und nur eine Checkliste ausfüllen), fragen Sie sie nach einer Liste zugelassener Antivirenprogramme.

Wenn die Anforderung nur ist:

Sie müssen ein AV-Programm installiert haben, Punkt.

Sie haben wahrscheinlich keine Ahnung, wovon sie sprechen. Fragen Sie sie einfach, was sie von Ihnen genau erwarten .

Wenn die Anforderung lautet:

Sie sollten regelmäßig alle installierten Programme (Binärdateien und Skripts) auf neue Programme, geänderte Dateien oder andere Anzeichen für pathologischen Dateiinhalt überprüfen.

Dann brauchen Sie möglicherweise nicht das sprichwörtliche "AV", und ein Skript zur Überprüfung der Integrität des Servers ist angemessen, genauer und zuverlässiger: Keine Fehlalarme, wenn Sie wissen, welche Dateien geändert werden, wenn Ihr Server normal ausgeführt wird , und ob Sie die Konsistenzanforderungen geänderter Dateien formulieren können.

Entwerfen eines Skripts , die Integrität überprüfen, oder sogar einige bestehende Werkzeugeinstellung-up , so dass sie den spezifischen Ihres Servers verstehen erfordern zusätzliche Arbeit (AV - Programme sind mehr kaufen-then-install-dann-vergessen , dass wahrscheinlich ist , warum sie so beliebt sind ). Aber ich denke, das wird viel mehr für Ihre Serversicherheit tun.

neugierig
quelle