Linux a-t-il vraiment besoin d'un antivirus (autre que l'analyse des fichiers hébergés)

13

Une grande entreprise procède à un examen de notre logiciel avant d'utiliser le logiciel Web créé par notre start-up. Nous utilisons Linux pour héberger, qui est correctement sécurisé et renforcé.

Le règlement de l'examinateur de sécurité est que tous les ordinateurs et serveurs doivent avoir un programme antivirus. De toute évidence, leur dire que Linux ne peut pas être infecté par un virus ne fonctionnera pas.

Existe-t-il un article ou une ressource de sécurité tiers qui pourrait nous aider à les convaincre d'abandonner l'exigence, ou aurons-nous besoin d'installer ClamAV et de le faire graver du CPU une fois par jour?

linux security anti-virus romaninsh
la source
9
Oui, c'est certainement raisonnable. Le jour où vous niez que votre infrastructure est vulnérable aux menaces virales, c'est le jour où vous avez perdu beaucoup de crédibilité. Encore une fois, que vaut ce contrat pour vous et votre employeur?
EEAA
14
il est incorrect de supposer que Linux ne peut pas attraper de virus, ils le font, c'est juste exceptionnellement rare par rapport à quelque chose comme Windows
anthonysomerset
22
@mailq - Pas d'offense, mais c'est l'une des idées les plus stupides que j'ai entendues depuis longtemps. Si un règlement stipule que l'antivirus doit être installé, l' intention est qu'il fonctionne également. Si vous pensez que vous seriez en mesure de passer à travers un audit sans qu'il s'exécute, vous vous trompez.
EEAA
9
Qui a dit que Linux ne pouvait pas attraper de virus? C'est complètement faux et faux. C'est comme dire qu'un ordinateur Mac ne peut pas attraper de virus. Installez simplement ClamAV, il est assez léger et ne devrait même pas remarquer qu'il est là.
Matt
6
Je vous incite à être si naïf que vous pensez que Linux ne peut pas attraper de virus. Vous vous battez pour ne pas installer d'antivirus, et en tant que tel, vous ne méritez pas ce contrat (ou tout autre) de la part des clients payants . Si tu venais et que tu me le disais, je te ferais rire aussi du bâtiment. Ensuite, j'allais trouver une autre entreprise qui se soucie réellement de la sécurité de ses clients.
Ben Pilbrow

Réponses:

30

Oui, c'est certainement une demande raisonnable. Le jour où vous niez que votre infrastructure est vulnérable aux menaces virales, c'est le jour où vous avez perdu beaucoup de crédibilité.

Vous devez évaluer les ramifications (facteur de gêne, problèmes de performances possibles, frais généraux de maintenance) de l'exécution de AV avec la valeur de ce contrat. Si une entreprise mentionne AV comme une exigence, il est probable que d'autres feront de même à l'avenir. Si vous l'utilisez déjà, vous serez bien placé pour gagner leur entreprise.

EEAA
la source
12
+1 - Il y a un argument élégant à faire à propos du logiciel antivirus causant PLUS DE PROBLÈMES sur les systèmes Unix, et comment les contrôles compensatoires (c'est un terme qui fait hurler les auditeurs avec plaisir) sont en place qui rendent AV inutile. Il y a un argument tout aussi élégant sur la raison pour laquelle les serveurs de messagerie unix devraient exécuter une sorte d'AV (scanner le courrier qui les traverse) pour aider à protéger les postes de travail des destinataires.
voretaq7
4
Exactement - surtout si vos «contrôles compensatoires» consistent en quelque chose comme Tripwire et un examen rigoureux de ses résultats; audits des logiciels en cours d'exécution, etc.
mfinni
Il me semble que je me souviens quand nous sommes passés par le truc PCI qu'AIDE comptait réellement comme logiciel anti-virus. Cela dépend de ce que fait votre serveur et de la façon dont vous configurez AIDE pour savoir s'il détectera un virus ou non. Dans tous les cas, cette expression "contrôles compensatoires" est une bonne chose à utiliser.
Ladadadada
28

La probabilité qu'un serveur Linux soit infecté par un virus est très très faible, et non nulle. Si cela préoccupe votre vérificateur / client / qui que ce soit, vous devez le comprendre et déterminer si son entreprise est importante pour vous. Si leur activité vaut plus que les cycles CPU et les E / S disque qu'il faudra pour analyser, vous devez alors installer l'AV. Si ce n'est pas le cas, vous devez expliquer cela à votre client et lui demander d'apporter son contrat ailleurs.

Ce n'est pas une réclamation déraisonnable, surtout si ce serveur héberge des fichiers vers des clients Windows. En installant ClamAV (ou autre), vous protégez les clients Windows qui se connectent à votre serveur.

MDMarra
la source
2
Un point clé de votre réponse est que nous parlons d'un environnement à usage mixte (Unix agissant comme un serveur de fichiers pour Windows) - Si votre AV Windows ne scanne pas les systèmes de fichiers réseau ayant cette couche supplémentaire devient critique pour protéger vos postes de travail Windows .
voretaq7
1
Même si c'est le cas, deux têtes valent mieux qu'une si vous avez les ressources.
MDMarra
1
L'exécution d'une analyse antivirus réduit-elle le risque d'être infecté?
johanvdw
7
En tant que personne qui a été sur des serveurs d'hébergement partagé où les trous Wordpress ou phpBB des gens ont conduit à la compromission de mes propres comptes indépendants et à la diffusion de logiciels malveillants et de spam à des visiteurs aléatoires, je souhaite que plus de gens se rendent compte que ce n'est pas parce que la conception de Linux le rend intrinsèquement plus sûr. ne le rend même pas à distance à l'abri de problèmes massifs.
duveteux
3
@curiousguy Je suis absolument d'accord avec vous qu'un antivirus est une surface supplémentaire qui, tout en atténuant potentiellement certains risques, crée de nouveaux risques. Le point que vous semblez faire valoir, et corrigez-moi si je me trompe, est que les avantages en termes de sécurité de l'exécution d'un antivirus ne l'emportent pas sur les risques. Certaines analyses antivirus sont aussi simples qu'un hachage cryptographique contre un fichier - pas une tonne de risques là-bas. Sur quelque chose comme un serveur SMTP effectuant le filtrage du spam, vous auriez du mal à affirmer que le risque pour le serveur exécutant le filtre l'emporte sur l'avantage.
Shane Madden
17

Je pense que nous devons mettre le terme «virus» dans son contexte.

Si vous parlez des binaires auto-réplicables qui flottent autour des réseaux Windows, alors, la probabilité que Linux en obtienne un est très très faible.

Si nous parlons du sujet plus large des logiciels malveillants, alors Linux est tout sauf immunisé. Les serveurs Linux non corrigés et mal configurés sont exploités tout le temps et transformés en bergers de bots, ou utilisés à d'autres fins néfastes. Prétendre que ces menaces n'existent pas, c'est enterrer celles proverbiales dans le sable.

Je n'ai jamais exécuté de logiciel antivirus sur un serveur Linux car j'aime à penser que les correctifs réguliers et une configuration saine protégeront mes serveurs de 99,99% des menaces. Cependant, je le considérerais certainement dans ce cas, à condition que le logiciel soit réellement capable de détecter le type de logiciel malveillant qui affecte les serveurs Linux et qu'il ne s'agissait pas d'un simple port d'une suite Windows AV.

Alex Forbes
la source
" mettre les termes" virus "dans leur contexte. " En effet. S'ils ne peuvent même pas préciser les nombreux types spécifiques de logiciels malveillants (certaines distinctions ne sont pas toujours claires, telles que la frontière entre virus et ver, mais la distinction entre les logiciels malveillants auto-reproducteurs et non propagateurs est essentielle à l'OMI) ... pour moi cela signifie qu'ils répètent des mots à la mode ou des phrases qu'ils ont entendus ("doit avoir installé AV").
curiousguy
3

Installer un package AV ne ferait aucun mal, d'autant plus que cela pourrait faire la différence entre gagner et perdre un contrat.

Peut-être plus qu'un package AV, vous devez envisager une suite de détection de rootkit et CRON une analyse à exécuter à intervalles réguliers. Soyez également prêt pour les faux positifs - certaines suites sont plus sujettes aux faux positifs que d'autres, et jusqu'à ce que vous vous habituiez à ces anomalies, cela peut être déconcertant.

peterg22
la source
1

Demandez-leur de définir exactement le concept «d'antivirus» . De quel genre de menaces s'inquiètent-ils?

S'ils ne peuvent pas répondre (peut-être parce qu'ils ne savent vraiment pas de quoi ils parlent et remplissent simplement une liste de contrôle), demandez-leur une liste de programmes antivirus approuvés.

Si l'exigence est juste:

Vous devez avoir un programme AV installé, point.

ils n'ont probablement aucune idée de ce dont ils parlent. Demandez-leur simplement ce qu'ils attendent de vous .

Si l'exigence est:

Vous devez vérifier régulièrement tous les programmes installés (binaires et scripts) pour de nouveaux programmes, des fichiers modifiés ou tout autre signe de contenu de fichier pathologique.

cela signifie que vous n'aurez peut-être pas besoin du proverbial "AV", et qu'un script pour vérifier l'intégrité du serveur sera adéquat, plus précis, plus fiable: pas de faux positifs si vous savez quels fichiers sont modifiés lorsque votre serveur fonctionne normalement et si vous pouvez préciser les exigences de cohérence des fichiers modifiés.

La conception d'un script vérifie l'intégrité, ou même la configuration d'un outil existant pour qu'il comprenne les spécificités de votre serveur nécessitera un travail supplémentaire (les programmes AV sont plus achetés puis installés, puis oubliés , c'est probablement pourquoi ils sont si populaires ). Mais je pense que cela fera beaucoup plus pour la sécurité de votre serveur.

curiousguy
la source