Apakah Linux benar-benar membutuhkan Anti-Virus (selain pemindaian file yang di-host)

13

Perusahaan besar sedang meninjau perangkat lunak kami sebelum mereka akan menggunakan perangkat lunak web yang dibangun oleh perusahaan baru kami. Kami menggunakan Linux untuk menjadi tuan rumah, yang diamankan dan dikeraskan dengan benar.

Peraturan pengulas keamanan adalah bahwa semua komputer dan server harus memiliki program anti-virus. Jelas, memberi tahu mereka bahwa Linux tidak dapat terinfeksi oleh virus tidak akan berfungsi.

Apakah ada artikel keamanan pihak ketiga atau sumber daya yang dapat membantu kami meyakinkan mereka untuk membatalkan persyaratan, atau akankah kita perlu menginstal ClamAV dan membuatnya membakar beberapa CPU sekali sehari?

linux security anti-virus romaninsh
sumber
9
Ya, tentu masuk akal. Hari Anda menyangkal bahwa infrastruktur Anda rentan terhadap ancaman virus adalah hari Anda kehilangan banyak kredibilitas. Sekali lagi, apa nilai kontrak ini bagi Anda dan atasan Anda?
EEAA
14
itu salah untuk menganggap Linux tidak bisa mendapatkan virus, mereka lakukan, itu hanya sangat jarang dibandingkan dengan sesuatu seperti Windows
anthonysomerset
22
@mailq - Jangan tersinggung, tapi itu salah satu ide paling bodoh yang pernah saya dengar. Jika suatu peraturan mengatakan antivirus harus diinstal, maksudnya ada bahwa itu berjalan juga. Jika Anda pikir Anda dapat lolos dari audit tanpa menjalankannya, Anda menipu diri sendiri.
EEAA
9
Siapa bilang linux tidak bisa mendapatkan virus? Itu sepenuhnya salah dan tidak benar. Ini seperti mengatakan komputer Mac tidak bisa mendapatkan virus. Cukup instal ClamAV, ini cukup ringan dan bahkan tidak menyadarinya.
Matt
6
Saya -1'ing Anda karena begitu naif Anda berpikir Linux tidak dapat menangkap virus. Anda berjuang untuk tidak menginstal antivirus, dan karena itu Anda tidak pantas mendapatkan kontrak (atau apa pun) ini dari pelanggan yang membayar . Jika Anda datang dan memberi tahu saya ini, saya akan menertawakan Anda keluar dari gedung juga. Lalu saya pergi dan mencari perusahaan lain yang benar-benar peduli dengan keamanan pelanggan mereka.
Ben Pilbrow

Jawaban:

30

Ya, itu tentu permintaan yang masuk akal. Hari Anda menyangkal bahwa infrastruktur Anda rentan terhadap ancaman virus adalah hari Anda kehilangan banyak kredibilitas.

Anda perlu mempertimbangkan konsekuensi (faktor gangguan, kemungkinan masalah kinerja, overhead pemeliharaan) menjalankan AV dengan nilai kontrak ini. Jika satu perusahaan mencantumkan AV sebagai persyaratan, kemungkinan perusahaan lain akan melakukan hal yang sama di masa mendatang. Jika Anda sudah menjalankannya, Anda akan berada dalam posisi yang baik untuk memenangkan bisnis mereka.

EEAA
sumber
12
+1 - Ada argumen elegan yang dibuat tentang perangkat lunak Antivirus yang menyebabkan MASALAH LEBIH BANYAK pada sistem unix, dan bagaimana kompensasi kontrol (itu istilah yang membuat auditor menjerit dengan gembira) ada di tempat yang membuat AV tidak perlu. Ada argumen yang sama-sama anggun tentang mengapa server unix mail harus menjalankan semacam AV (memindai mail yang melewatinya) untuk membantu melindungi workstation penerima.
voretaq7
4
Benar - terutama jika "kontrol kompensasi" Anda terdiri dari sesuatu seperti Tripwire dan ulasan yang kuat tentang hasilnya; audit menjalankan perangkat lunak, dll.
mfinni
Sepertinya saya ingat ketika kami melewati PCI yang dianggap AIDE sebagai perangkat lunak anti-virus. Itu tergantung pada apa yang server Anda lakukan dan bagaimana Anda mengkonfigurasi AIDE, apakah itu akan mendeteksi virus atau tidak. Bagaimanapun, ungkapan "kontrol kompensasi" itu bagus untuk digunakan.
Ladadadada
28

Kemungkinan server Linux terinfeksi oleh virus sangat rendah, bukan nol. Jika itu merupakan masalah bagi auditor / klien / siapa pun Anda, maka Anda harus memahami itu dan menentukan apakah bisnis mereka penting bagi Anda. Jika bisnis mereka bernilai lebih dari siklus CPU dan disk I / O yang diperlukan untuk memindai, maka Anda harus menginstal AV. Jika tidak, maka Anda harus menjelaskan ini kepada pelanggan Anda dan meminta mereka untuk membawa kontrak mereka ke tempat lain.

Ini bukan klaim yang tidak masuk akal, terutama jika server ini menyimpan file ke klien Windows. Dengan menginstal ClamAV (atau apa pun) Anda melindungi klien Windows yang terkoneksi ke server Anda.

MDMarra
sumber
2
Poin kunci dalam jawaban Anda adalah bahwa kami berbicara tentang lingkungan penggunaan campuran (unix bertindak sebagai server file untuk Windows) - Jika AV Windows Anda tidak memindai sistem file jaringan yang memiliki lapisan tambahan ini menjadi penting untuk melindungi workstation Windows Anda .
voretaq7
1
Bahkan jika itu terjadi, dua kepala lebih baik daripada satu jika Anda memiliki sumber daya.
MDMarra
1
Apakah menjalankan pemindaian virus mengurangi risiko terinfeksi?
johanvdw
7
Sebagai seseorang yang telah berada di server hosting bersama di mana lubang Wordpress atau phpBB orang menyebabkan akun saya yang tidak terkait dikompromikan dan melayani malware dan spam untuk pengunjung acak, saya berharap lebih banyak orang menyadari bahwa hanya karena desain Linux membuatnya lebih aman secara inheren tidak membuatnya bahkan jauh dari kebal terhadap masalah besar.
lembut
3
@curiousguy Saya sangat setuju dengan Anda bahwa pemindai virus adalah area permukaan ekstra yang, sementara berpotensi mengurangi beberapa risiko, menciptakan risiko baru. Poin yang sepertinya Anda buat, dan koreksi saya jika saya salah, adalah bahwa manfaat keamanan dari menjalankan pemindai virus tidak melebihi risiko. Beberapa pemindaian virus sesederhana hash kriptografi terhadap file - bukan satu ton risiko di sana. Pada sesuatu seperti server SMTP yang melakukan penyaringan spam, Anda akan kesulitan membuat pernyataan bahwa risiko server yang menjalankan filter melebihi manfaatnya.
Shane Madden
17

Saya pikir kita perlu menempatkan istilah "virus" dalam konteks.

Jika Anda berbicara tentang binari replikasi diri yang mengapung di jaringan Windows maka pasti, kemungkinan Linux mendapatkan salah satunya sangat sangat rendah.

Jika kita berbicara tentang subjek yang lebih luas dari perangkat lunak berbahaya, maka Linux sama sekali tidak kebal. Server Linux yang tidak terkontrol dan terkonfigurasi dengan buruk dieksploitasi setiap saat dan berubah menjadi bot herders, atau digunakan untuk tujuan jahat lainnya. Untuk berpura-pura bahwa ancaman-ancaman ini tidak ada adalah mengubur kepala orang-orang di pasir.

Saya tidak pernah menjalankan perangkat lunak antivirus di server Linux karena saya suka berpikir bahwa konfigurasi patching dan waras yang biasa akan melindungi server saya dari 99,99% dari ancaman. Namun saya pasti akan mempertimbangkannya dalam kasus ini, asalkan perangkat lunak itu sebenarnya dapat mendeteksi jenis perangkat lunak berbahaya yang mempengaruhi server Linux dan bukan port sederhana dari paket AV Windows.

Alex Forbes
sumber
" Masukkan istilah" virus "dalam konteks. " Memang. Jika mereka bahkan tidak bisa mengeja banyak jenis perangkat lunak berbahaya tertentu (beberapa perbedaan tidak selalu jelas, seperti batas antara virus dan worm, tetapi perbedaan antara malware yang memperbanyak diri dan yang tidak merambat adalah IMO penting) ... bagi saya itu berarti mereka mengulang kata kunci atau frasa yang mereka dengar ("harus sudah menginstal AV").
curiousguy
3

Tidak akan ada salahnya untuk menginstal paket AV, terutama karena itu bisa berarti perbedaan antara mendapatkan dan kehilangan kontrak.

Mungkin lebih dari paket AV Anda perlu mempertimbangkan suite deteksi rootkit, dan CRON scan untuk dijalankan secara berkala. Bersiaplah untuk positif palsu juga - beberapa suite lebih rentan terhadap positif palsu daripada yang lain, dan sampai Anda terbiasa dengan anomali ini dapat membingungkan.

peterg22
sumber
1

Minta mereka untuk mendefinisikan secara tepat konsep "anti-virus" . Ancaman apa yang mereka khawatirkan?

Jika mereka tidak dapat menjawab (mungkin karena mereka benar-benar tidak tahu apa yang mereka bicarakan dan hanya mengisi daftar periksa), tanyakan kepada mereka daftar program anti-virus yang disetujui.

Jika persyaratannya hanya:

Anda harus menginstal program AV, titik.

mereka mungkin tidak tahu apa yang sedang mereka bicarakan. Tanyakan kepada mereka apa yang mereka harapkan Anda lakukan dengan tepat .

Jika persyaratannya adalah:

Anda harus secara teratur memeriksa semua program yang terinstal (binari dan skrip) untuk program baru, file yang diubah, atau tanda lain dari konten file patologis.

maka itu berarti Anda mungkin tidak memerlukan pepatah "AV", dan bahwa skrip untuk memeriksa integritas server akan memadai, lebih tepat, lebih dapat diandalkan: tidak ada positif palsu jika Anda tahu file mana yang dimodifikasi ketika server Anda berjalan normal , dan jika Anda bisa mengeja persyaratan konsistensi dari file yang dimodifikasi.

Merancang skrip memeriksa integritas, atau bahkan menyiapkan beberapa alat yang ada sehingga memahami spesifik server Anda akan memerlukan pekerjaan tambahan (program AV lebih banyak membeli-kemudian-instal-lalu-lupakan , itu mungkin mengapa mereka sangat populer ). Tapi saya pikir itu akan berbuat lebih banyak untuk keamanan server Anda.

curiousguy
sumber