@Lobanov

Нужен ли антивирус на linux server?

Всем привет!

Понимаю, что вопрос холиварный, но все же хочу услышать от знающих и практикующих, нужно ли ставить антивирус на сервера под linux'ом?

Я знаю, что на почтовый сервер многие ставят антивирус CalmAV, тут даже не обсуждается, что для почтовика нужен антивирус. А вот нужен ли он например на веб-сервере? Сервере базы данных? И файловом сервере? (вот в последнем случае думаю да, т.к. юзер через систему загрузки может закинуть что-нибудь к нам).

Возможно кто-то поделиться своим боевым опытом, как вы подготавливаете сервера к работе со стороны безопасности или поделитесь кейсами, когда вам нужен был антивирус.

P.S. данные вопросы возникли из интереса в сфере информ.безопасности и общего своего развития, чтобы в дальнейшем учитывать эти нюансы в своей работе.
  • Вопрос задан
  • 797 просмотров
Решения вопроса 11
Adamos
@Adamos
Вообще-то антивирус - достаточно вольно используемый термин.
Антивирусы в том виде, как они есть для Windows, для Линукс-сервера, как правило, довольно бесполезны - разве что с этого сервера получают файлы Windows-пользователи или запускают их через Wine, скажем.

Но есть сканеры скриптов сайта на бэкдоры, например - и их тоже называют антивирусами, и они вполне могут помочь на веб-сервере вне зависимости от того, на чем он запущен.
Ответ написан
Комментировать
@dronmaxman
VoIP Administrator
Тоже самое, ни разу не пригодился. Было пару пробитых серверов, ради интереса гонял на них разные антивирусы и скрипты, пытался найти трояна или зараженный файл - все глухо.

Для себя сделал вывод, что это бестолковщина для linux сервера.

По логике, антивирус в основном сканирует скачиваемые пользователем файлы и блокирует потенциально опасные действия пользователей. Но непосредственно на самом сервере пользователь не работает, а только запрашивает с него данные, а следовательно никаких привилегий на сервере не имеет.

Вот, что реально помогает, это правильно настроенный firewall и fail2ban. Так же хорошей практикой является запускать процессы которые слушают порты от безправных учеток. В Fail2ban уже заложено множество шаблонов под разные сервисы, их достаточно просто включить.

Универсальной статьи нет, так как настройка зависит от ПО которое крутиться на сервере.
Есть общие рекомендации:
- настроить firewall, открывать только нужные порты
- для SSH использовать ключи, изменить порт (например 2324), ограничить доступ с определенных IP
- запретить вход от root на сервер по паролю
- не использовать имена учетных записей которые попадают в перебор (типа admin, super, cisco и т.д.)
- запускать сервисы от непривилегированных учетных записей
- настроить бекапы
- настроить контроль версий etckeeper
- настроить fail2ban

Следующий уровень паранои, это уже решения по типу Suricata IDS-IPS
Ответ написан
Комментировать
Sanes
@Sanes
Ниразу не пригодился. Иногда для веб-приложений ставят. Когда у вас неконтролируемые CMS или самопальные скрипты. Например если у вас публичный хостинг, то ставить надо.
Ответ написан
@nApoBo3
Антивирус нужен везде где вы имеете дело в не контролируемыми данными. Все.
Если в вашу систему могут попасть или пройти через нее данные от не доверенных систем и антивирус умеет с данным типом данных работать, то он нужен.
Например
1) у вас есть NTP сервер, вы получаете время из не доверенной системы и раздаете его не доверенным системам. Но антивирус не умеет работать с NTP протоколом. Значит не нужен.
2) у вас FTP, вы получаете файлы от не доверенных систем и отдаете, антивирус умеет работать с файлами, значит нужен.
3) у вас прокси, он стоит за другим прокси управляемым вами, вы вышестоящий прокси считаете доверенной системой, антивирус на нижестоящем прокси не нужен.

Этот вопрос никак не связан с ОС сервера, ответ одинаков для любой операционной системы.
Ответ написан
Комментировать
vabka
@vabka
Токсичный шарпист
А вот нужен ли он например на веб-сервере или локальном сервере?

Что такое "локальный сервер"? На веб-сервере не нужен, тк он не должен иметь прав на запись и тем более на запуск произвольного кода.

Сервере базы данных?

Он тоже не должен иметь доступ на запись туда, куда ему не нужно. И тем более он не должен иметь прав на запуск исполняемых файлов.

И файловом сервере?

Тоже должен иметь право на запись только в определённые директории, к которым никто другой не должен иметь доступ, чтобы случайно не запустить ничего. Прав на запуск соответственно он тоже иметь не должен.

В итоге получается, что единственный риск - если злоумышленник вдруг найдёт RCE для СУБД или файлового хранилища, и то тут весь риск - потеря данных и майнеры.

А на почтовые сервера антивирус ставят не для защиты сервера, а для защиты пользователей.
Ответ написан
@pfg21
ex-турист
для операционки линукса антивирь не нужен, как таковой.
бинари и статичные файлы эффективнее проверить по хеш-подписям из репозитория (debsums и иже с ним) и оттуда же обновить.
то что микрософтеры промозговали систему репозиториев, это конечно глупость, ну да не первая в их стане... потому и появились сторонние системы.
конфиги не проверишь никак :) только бекап и еще раз бекап... ну и к примеру автоматический диф изменений с проверкой.

антивирь ставится для проверки транзитных файлов и соединений, а это от операционки не зависит никак.
Ответ написан
Комментировать
@AlexVWill
на файлопомойке или почтовике - да, в прочих случаях почти что всегда нет, если не предполагается возможность загрузки и обмена сторонними исполняемыми файлами
Ответ написан
Комментировать
CityCat4
@CityCat4
Внимание! Изменился адрес почты!
Для почтовика, файлопомойки - нужен. Если там есть wine - возможно нужен. Если доверенная среда, где ни храниться, ни исполняться виндовые файлы - переносчики заразы не могут - то накуа?
Ответ написан
Комментировать
@Nikita1244
Anonymous
Антивирус, который вы имеете в своем представлении, не нужен. Это не Windows.
Антивирус в Linux - это прямые руки, аккуратное обслуживание сервера, забота о кибербезопасности, и прочее.
Просто заботьтесь об этом. Ваши руки - это антивирус.
Ответ написан
Комментировать
sotvm
@sotvm
Умный поймёт, а дураку и так всё равно.
грамотное разграничение прав
и не нужен вам никакой антивирус,
тем более на домашней системе
не вбивай в консоль, то чего не понимаешь
+избегай бинарных файлов/пакетов, только Бог и разработчик , не знает что там упрятано в этого чудо кода
ну если разберётешь=оно того не стоит
Ответ написан
Комментировать
Viji
@Viji
DevOps Engineer
у нас ClamAV проверяет каждый файл принимаемый от пользователя - вирусные удаляются и пользователи информируются ! ClamAV сидит в докере и обновляет свои базы на зашаренном диске, каждый час или около того !
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы