Крупная компания проводит анализ нашего программного обеспечения, прежде чем использовать веб-программы, созданные нашей начинающей компанией. Мы используем Linux для хостинга, который должным образом защищен и укреплен.
Постановление эксперта по безопасности гласит, что все компьютеры и серверы должны иметь антивирусную программу. Очевидно, сказать им, что Linux не может быть заражен вирусом, не получится. Есть ли сторонняя статья или ресурс по безопасности, который мог бы помочь нам убедить их отказаться от этого требования, или нам придется установить ClamAV и заставить его грузить процессор раз в день?
Ответ 1
Да, это, безусловно, разумное требование. Когда вы отрицаете, что ваша инфраструктура уязвима к вирусным угрозам, – это время, когда вы теряете большую часть доверия.
Вам необходимо взвесить последствия (фактор раздражения, возможные проблемы с производительностью, накладные расходы на обслуживание) использования антивирусных систем с ценностью этого контракта. Если одна компания включила аудиовизуальное оборудование в список обязательных требований, вполне вероятно, что другие сделают то же самое в будущем. Если вы уже используете аудиовизуальное оборудование, у вас будут все шансы завоевать их бизнес.
Ответ 2
Вероятность заражения Linux-сервера вирусом очень мала, а не равна нулю. Если это беспокоит вашего аудитора/клиента/кого бы то ни было, то вы должны понять это и определить, важен ли для вас их бизнес. Если их бизнес стоит больше, чем циклы процессора и дисковый ввод/вывод, которые потребуются для сканирования, тогда вам следует установить AV. Если это не так, то вам следует объяснить это клиенту и попросить его перенести контракт в другое русло. Это небезосновательное требование, особенно если на этом сервере размещаются файлы для клиентов Windows. Установив ClamAV (или что-то другое), вы защищаете тех клиентов Windows, которые подключаются к вашему серверу.
Ответ 3
Я думаю, вам нужно рассматривать термин «вирус» в контексте.
Если вы говорите о самовоспроизводящихся двоичных файлах, которые используются в сетях Windows, то, конечно, вероятность того, что Linux получит один из них, очень и очень мала.
Если же мы говорим о более широкой теме вредоносных программ, то Linux не имеет от них никакого иммунитета. Непропатченные и плохо настроенные серверы Linux постоянно эксплуатируются и превращаются в сетях в ботов или используются в других неблаговидных целях. Притворяться, что этих угроз не существует, значит зарывать голову в песок.
Я никогда не запускал антивирусное программное обеспечение на Linux-сервере, так как мне нравится думать, что регулярные исправления и разумная конфигурация защитят мои серверы от 99,99% угроз. Однако в данном случае я бы рассмотрел такую возможность, при условии, что программное обеспечение действительно способно обнаруживать вредоносные программы, поражающие Linux-серверы, а не является простым переносом антивирусного пакета Windows.
Ответ 4
Попросите их дать точное определение понятию «антивирус». Какого рода угрозы их беспокоят?
Если они не могут ответить (возможно, потому что они действительно не имеют представления о том, о чем говорят, и просто заполняют чек-лист), попросите их предоставить список одобренных антивирусных программ.
Если требование сводится к следующему:
У вас должна быть установлена антивирусная программа, и точка. Тогда, скорее всего, они понятия не имеют, о чем говорят. Просто спросите их, что именно они ожидают от вас.
Если требование следующее:
Вы должны регулярно проверять все установленные программы (двоичные файлы и скрипты) на наличие новых программ, измененных файлов или любых других признаков патологического содержимого файлов. То это означает, что вам может не понадобиться пресловутый «AV» и что скрипт для проверки целостности сервера будет адекватным, более точным, более надежным: никаких ложных срабатываний, если вы знаете, какие файлы изменяются, когда ваш сервер работает нормально, и если вы можете прописать требования к согласованности измененных файлов.
Разработка скрипта, проверяющего целостность, или даже настройка какого-то существующего инструмента так, чтобы он понимал специфику вашего сервера, потребует дополнительной работы (AV-программы – это, скорее, «купить-установить-забыть», возможно, поэтому они так популярны). Но я думаю, что это сделает гораздо больше для безопасности вашего сервера.
Ответ 5
Не помешает установить AV-пакет, тем более что это может означать разницу между получением или потерей контракта. Возможно, помимо антивирусного пакета, вам следует рассмотреть пакет для обнаружения руткитов, а также CRON-сканирование для запуска через регулярные промежутки времени. Будьте также готовы к ложным срабатываниям – некоторые пакеты более склонны к ложным срабатываниям, чем другие, и пока вы не привыкнете к этим аномалиям, это может вызывать дискомфорт.
Security