Нужен ли clamav, если доступы до vps с сайтом хорошо закрыты firewall и доступ туда есть только по ssh-ключу?
Арендую VPS (1 cpu, 512ram) для простого сайта с малой нагрузкой в единицы рпс.
Доступ до vps только по ssh-ключу только с фиксированного ip. Настроил фаервол таким образом, что открыты только три порта: 80 только для http, 443 только для https, и 22 только для ssh.
сам сайт - пара докер-контейнеров nginx + бэк (rust), отдающий html; наружу торчат только 80 и 443 порт из nginx.
Настроил fail2ban + настроил, чтобы fail2ban смотрел на error-логи nginx.
Регулярно запускаю chkrootkit, проверяю нет ли чего подозрительного.
Вижу, еще советуют поставить ClamAV. Я пытался это сделать, но антивирь вешал мне систему, так как ему рекомендуется минимум 1 гигабайт памяти.
Подскажите, пожалуйста, какой может быть вектор атаки, чтобы мне пригодился clamav? Люди пишут, что применяют его для проверки файлов на своих почтовых серверах, но я от пользователей ничего не принимаю, а порты 80 и 443 кроме http и https ничего не примут из-за настроек фаервола.
Я не большой спец, поэтому пока склоняюсь к тому, что в описанной мной ситуации clamav не нужен, однако я могу упускать какую-то простую вещь.
Подскажите, пожалуйста, что я упускаю и верны ли мои рассуждения?
php используется на сайте? Через косяки в скриптах может быть атака. Другое дело, что и clamav может не обнаружить такую атаку.
Если у вас только статический контент, то этого вектора атаки нет.
mmfwxtmmwaqpf, не знаю, насколько безопаснее в этом плане rust, нет такого опыта.
Но теоретически, если парсятся какие-то параметры, передаваемые со стороны браузера (пусть даже банальный номер страницы при страничном выводе большого списка), то уже есть где накосячить (теоретически) и создать уязвимость. Атакующий может применить фаззинг для поиска такой уязвимости.
да, параметры парсятся, как раз номер страницы в листинге. Однако, я дополнительно валидирую инпут от пользователя в этом месте, чтобы не допустить некорректных и неожиданных значений.
Спасибо, что делитесь опытом, это помогает мне понять, что я не зря над такими вещами задумался:)
Главная опасность кроется в уязвимостях ПО на сервере. Это касается прежде всего скриптов сайта, но не только их. Любое ПО может быть уязвимым (как вот например свежая история с дырой в ISPmanager). И тут уже может быть всё равно на имеющиеся доступы к серверу.
А ClamAV - вообще бесполезная хрень для веб-сервера, как по мне. Куда полезнее был ай-болит, но его продали и что сейчас в ImunifyAV мне неведомо
