Нужен ли антивирус на linux server?

Question

[Кирилл]

Всем привет!

Понимаю, что вопрос холиварный, но все же хочу услышать от знающих и практикующих, нужно ли ставить антивирус на сервера под linux'ом?

Я знаю, что на почтовый сервер многие ставят антивирус CalmAV, тут даже не обсуждается, что для почтовика нужен антивирус. А вот нужен ли он например на веб-сервере? Сервере базы данных? И файловом сервере? (вот в последнем случае думаю да, т.к. юзер через систему загрузки может закинуть что-нибудь к нам).

Возможно кто-то поделиться своим боевым опытом, как вы подготавливаете сервера к работе со стороны безопасности или поделитесь кейсами, когда вам нужен был антивирус.

P.S. данные вопросы возникли из интереса в сфере информ.безопасности и общего своего развития, чтобы в дальнейшем учитывать эти нюансы в своей работе.

Comments

[Дмитрий]

Недавно было такое, что через антивирусное по происходил взлом

[Кирилл]

Дмитрий, ого, не слышал! Если есть ссылка на статью, можете поделиться? Если нет, спасибо за наводку, позже поищу тему.

[Дмитрий]

Кирилл, с компа буду, если не забуду, надо историю арбузера посмотреть.

[Кирилл]

Дмитрий, благодарю!

[Anonymous]

Антивирус - правильные разрешения, управление системой итд.
Антивирус не нужен. Это не Windows.

[Дмитрий]

Кирилл, https://m.youtube.com/watch?v=WKylxXvvrwQ&t=90s вроде оно

[Кирилл]

Дмитрий, благодарю.

[be52]

антивирус нужен что бы юзер не мог скачать и запустить кодеки для просмотра порнофильмов с нашего сайта

то есть для защиты человека от глупых и опасных действий

что антивирус будет делать на веб сервере?

[Кирилл]

be52, ну на чистом веб-сервере, из многих комментариев понял, что там он не нужен будет, но в части приложения, куда грузятся файлы пользователем, он нужен. Или у вас другое мнение на этот счет? Буду рад его услышать.)

Answer 1

[Adamos]

Вообще-то антивирус - достаточно вольно используемый термин.
Антивирусы в том виде, как они есть для Windows, для Линукс-сервера, как правило, довольно бесполезны - разве что с этого сервера получают файлы Windows-пользователи или запускают их через Wine, скажем.

Но есть сканеры скриптов сайта на бэкдоры, например - и их тоже называют антивирусами, и они вполне могут помочь на веб-сервере вне зависимости от того, на чем он запущен.

Answer 2

[Valentin Barbolin]

Тоже самое, ни разу не пригодился. Было пару пробитых серверов, ради интереса гонял на них разные антивирусы и скрипты, пытался найти трояна или зараженный файл - все глухо.

Для себя сделал вывод, что это бестолковщина для linux сервера.

По логике, антивирус в основном сканирует скачиваемые пользователем файлы и блокирует потенциально опасные действия пользователей. Но непосредственно на самом сервере пользователь не работает, а только запрашивает с него данные, а следовательно никаких привилегий на сервере не имеет.

Вот, что реально помогает, это правильно настроенный firewall и fail2ban. Так же хорошей практикой является запускать процессы которые слушают порты от безправных учеток. В Fail2ban уже заложено множество шаблонов под разные сервисы, их достаточно просто включить.

Универсальной статьи нет, так как настройка зависит от ПО которое крутиться на сервере.
Есть общие рекомендации:
- настроить firewall, открывать только нужные порты
- для SSH использовать ключи, изменить порт (например 2324), ограничить доступ с определенных IP
- запретить вход от root на сервер по паролю
- не использовать имена учетных записей которые попадают в перебор (типа admin, super, cisco и т.д.)
- запускать сервисы от непривилегированных учетных записей
- настроить бекапы
- настроить контроль версий etckeeper
- настроить fail2ban

Следующий уровень паранои, это уже решения по типу Suricata IDS-IPS

Answer 3

[Sanes]

Ниразу не пригодился. Иногда для веб-приложений ставят. Когда у вас неконтролируемые CMS или самопальные скрипты. Например если у вас публичный хостинг, то ставить надо.

Comments

[Valentin Barbolin]

Тоже самое, ни разу не пригодился. Было пару пробитых серверов, ради интереса гонял на них разные антивирусы и скрипты, пытался найти трояна или зараженный файл - все глухо.

Для себя сделал вывод, что это бестолковщина для linux сервера.

По логике, антивирус в основном сканирует скачиваемые пользователем файлы и блокирует потенциально опасные действия пользователей. Но непосредственно на самом сервере пользователь не работает, а только запрашивает с него данные, а следовательно никаких привилегий на сервере не имеет.

Вот, что реально помогает, это правильно настроенный firewall и fail2ban. Так же хорошей практикой является запускать процессы которые слушают порты от безправных учеток.

[Кирилл]

Valentin Barbolin, может есть какие-то ссылки на статьи под рукой с грамотной настройкой firewall и fail2ban? Буду благодарен.

[Valentin Barbolin]

Кирилл, Универсальной статьи нет, так как настройка зависит от ПО которое крутиться на сервере.
Есть общие рекомендации:
- открывать только нужные порты
- для SSH использовать ключи
- запретить вход от root на сервер
- не использовать имена учетных записей которые попадают в перебор (типа admin, super, cisco и т.д.)
- запускать сервисы от непривилегированных учетных записей

В Fail2ban уже заложено множество шаблонов под разные сервисы, их достаточно просто включить.

Кстати, хорошо еще помогают бекапы и контроль версий типа etckeeper.

[Кирилл]

Valentin Barbolin, спасибо за ответ) Получился небольшой чек-лист) Могли бы вы оформить свои сообщения в виде ответа на вопрос, чтобы я мог отметить его ответом?)

[Valentin Barbolin]

Кирилл, Сделал.

Answer 4

[nApoBo3]

Антивирус нужен везде где вы имеете дело в не контролируемыми данными. Все.
Если в вашу систему могут попасть или пройти через нее данные от не доверенных систем и антивирус умеет с данным типом данных работать, то он нужен.
Например
1) у вас есть NTP сервер, вы получаете время из не доверенной системы и раздаете его не доверенным системам. Но антивирус не умеет работать с NTP протоколом. Значит не нужен.
2) у вас FTP, вы получаете файлы от не доверенных систем и отдаете, антивирус умеет работать с файлами, значит нужен.
3) у вас прокси, он стоит за другим прокси управляемым вами, вы вышестоящий прокси считаете доверенной системой, антивирус на нижестоящем прокси не нужен.

Этот вопрос никак не связан с ОС сервера, ответ одинаков для любой операционной системы.

Answer 5

[Василий Банников]

А вот нужен ли он например на веб-сервере или локальном сервере?

Что такое "локальный сервер"? На веб-сервере не нужен, тк он не должен иметь прав на запись и тем более на запуск произвольного кода.

Сервере базы данных?

Он тоже не должен иметь доступ на запись туда, куда ему не нужно. И тем более он не должен иметь прав на запуск исполняемых файлов.

И файловом сервере?

Тоже должен иметь право на запись только в определённые директории, к которым никто другой не должен иметь доступ, чтобы случайно не запустить ничего. Прав на запуск соответственно он тоже иметь не должен.

В итоге получается, что единственный риск - если злоумышленник вдруг найдёт RCE для СУБД или файлового хранилища, и то тут весь риск - потеря данных и майнеры.

А на почтовые сервера антивирус ставят не для защиты сервера, а для защиты пользователей.

Comments

[Кирилл]

Под "локальный сервер" чуть натупил с понятиями, извиняюсь) Сейчас исправлю свое сообщение)

[Sanes]

На веб-сервере не нужен, тк он не должен иметь прав на запись и тем более на запуск произвольного кода.

Что мешает скриптам на бесправных (sudo, root) учетках майнить и рассылать спам?

[Василий Банников]

Sanes, майнинг и рассылка спама - это результат. В зависимости от того, чем конкретно они вызываются нужно принимать соответствующие меры.

От дыр логике антивирус тебя точно не спасёт, например.

[Sanes]

Василий Банников, какие меры ты предпримешь, если сам софт дырявый? Почитай про инциденты например с Wordpress и Modx.
Только периодическое сканирование тебе хоть чем-то поможет.

[Василий Банников]

Sanes, я предпочитаю не использовать такой дырявый софт, как wordpress или modx.
Я хейтер CMS-ок, что ты мне сделаешь?

[Sanes]

Василий Банников, молодец. Хейти дальше.

[pfg21]

я б в таком случае генерили список файлов сайта с хешами перед деплоем на продакшен. и в продакшене периодически сверял.

[Кирилл]

Василий Банников, просьба не ругаться) CMS-ки тоже имеют право на жизнь, т.к. у клиентов разные бюджеты и задачи) Вашу точку зрения по отношению к CMS-кам я понял, что Вы предпочитаете их не использовать в своей работе, т.к. бывают в них дыры) И я благодарен вам за ваши ответы)

[Кирилл]

Sanes, просьба не ругаться) я благодарен за ваши ответы)

[Василий Банников]

pfg21, или запретить писать в директории с плагинами/скриптами.

[Василий Банников]

pfg21, проиграл. Злоумышленник просто накидывает мусора в файл, чтобы хэш совпал.
Нужно в принципе запрещать изменять файлы, которые не должны меняться - тогда угроза будет только от вендора исходить

[Sanes]

Кирилл, не на пустом месте появился ImunifyAV

[pfg21]

Василий Банников, чтоб хеш совпал в разумное время это будет очень круто, но не реально :)
разделение пользователя веб-сервера и пользователя обновлятора сайта думаю уже заложено в системе.

Answer 6

[pfg21]

для операционки линукса антивирь не нужен, как таковой.
бинари и статичные файлы эффективнее проверить по хеш-подписям из репозитория (debsums и иже с ним) и оттуда же обновить.
то что микрософтеры промозговали систему репозиториев, это конечно глупость, ну да не первая в их стане... потому и появились сторонние системы.
конфиги не проверишь никак :) только бекап и еще раз бекап... ну и к примеру автоматический диф изменений с проверкой.

антивирь ставится для проверки транзитных файлов и соединений, а это от операционки не зависит никак.

Answer 7

[AlexVWill]

на файлопомойке или почтовике - да, в прочих случаях почти что всегда нет, если не предполагается возможность загрузки и обмена сторонними исполняемыми файлами

Answer 8

[CityCat4]

Для почтовика, файлопомойки - нужен. Если там есть wine - возможно нужен. Если доверенная среда, где ни храниться, ни исполняться виндовые файлы - переносчики заразы не могут - то накуа?

Answer 9

[Anonymous]

Антивирус, который вы имеете в своем представлении, не нужен. Это не Windows.
Антивирус в Linux - это прямые руки, аккуратное обслуживание сервера, забота о кибербезопасности, и прочее.
Просто заботьтесь об этом. Ваши руки - это антивирус.

Answer 10

[SVM]

грамотное разграничение прав
и не нужен вам никакой антивирус,
тем более на домашней системе
не вбивай в консоль, то чего не понимаешь
+избегай бинарных файлов/пакетов, только Бог и разработчик , не знает что там упрятано в этого чудо кода
ну если разберётешь=оно того не стоит

Answer 11

[Вадим]

у нас ClamAV проверяет каждый файл принимаемый от пользователя - вирусные удаляются и пользователи информируются ! ClamAV сидит в докере и обновляет свои базы на зашаренном диске, каждый час или около того !

Comments

[Кирилл]

Вот это интересный кейс, спасибо, что поделились) Как раз в этом ключе и задумывался, что если человек грузит какой-то файл, pdf или docx, xlsx, может быть даже архив, как максимально обезопасить систему, дабы не получить сюрприза с этих файлах.

И я правильно понимаю, что благодаря тому, что у вас ClamAV сидит в докере, вы не беспокоитесь об уязвимости, которую недавно обнаружили в ClamAV? Об уязвимости говорится в этом видео https://www.youtube.com/watch?app=desktop&v=WKylxX... ( ссылку предоставил Дмитрий и там сразу же говорится об этой проблеме)

[Вадим]

да, насчет первой не беспокоимся потому что он работает под пользователем dummy_user в докере с минимальными правами - не под рутом и без группы wheels или sudoers. На счет второй не слышал, но не думаю, что так уж это опасно. Все-таки в докере многое отсечено вообще.

И да, в докере ClamAV работают два процесса
1. freshclam для обновления - запускается в процессе билда еще
2. Собственно ClamAV -

Dockerfile (конец его):

RUN /usr/local/bin/freshclam --on-update-execute="echo AV Databases Successfully Updated"

EXPOSE $tcp_port/tcp

USER dummy_user

CMD ["/clamav_launch.sh"]

clamav_launch.sh

#!/bin/bash
set -e

/usr/local/bin/freshclam -d -c 24 --stdout  -v --on-update-execute="echo AV Databases Successfully Updated" --on-error-execute="echo AV Databases Updated with ERROR !"

exec /usr/sbin/clamd -c /etc/clamd.conf

[Кирилл]

Вадим, благодарю за код докера и шелла) Отмечу ваш ответ также решением)

[Вадим]

И да...

Низкие права антивируса в докере не имеют значения, т.к. ему все равно скармливаются данные по открытому порту, достаточно чтобы он мог читать поставляемые ему файлы.

EXPOSE $tcp_port/tcp

Надо смотреть какой там api - на вскидку не помню. Тестировали антивирь скармливая ему готовые сигнатуры, псевдозараженные файлы.

[Кирилл]

Вадим, спасибо за уточнение)