Anti-virus aziendale per Linux?

Naviga le tue risposte
8

So che questa domanda è probabilmente a rischio di offendere le linee guida, ma il nostro fornitore IaaS non è stato in grado di offrirci una soluzione anti-virus per i nostri server Linux. Siamo implementati in un ambiente vSphere cloud aziendale ma sembra che una soluzione a livello di hypervisor non sia comunque disponibile poiché quei vendor anti-malware che offrono una soluzione di hypervisor fanno leva su vShield Endpoint Thin Agent e su supporta solo i guest Windows .

Quindi per la maggior parte questo significa eseguire un agente sul server / ospite Linux. Qui i venditori (ad esempio Trend Micro) elencheranno le versioni del kernel supportate. Il problema qui è che le versioni supportate saranno kernel precedenti che hanno avuto importanti avvisi sulla sicurezza rilasciati da Red Hat e non vogliamo affrontare un problema di sicurezza aumentando potenzialmente il nostro rischio altrove.

Abbiamo implementato l'IPS come misura di attenuazione, rafforzando i nostri server e inoltrando la nostra applicazione a test di penetrazione di terze parti, ma siamo tenuti a implementare una soluzione antivirus.

Si noti che la scansione su richiesta è inadeguata. Siamo alla ricerca di una soluzione aziendale che offra la scansione in accesso, non dipende dalle versioni del kernel e gli aggiornamenti a tutti i server possono essere automatizzati (tramite un'interfaccia amministrativa / gestionale che preferibilmente funziona anche su Linux).

McAfee VirusScan Enterprise per Linux a prima vista sembra non dipendere dalle versioni del kernel. La scheda tecnica afferma quanto segue:

Kernel module versioning—On-access scanning on new kernels without the need to recompile modules saves you time and effort when rolling out new Linux kernels.

e

Runtime kernel module—Automatically supports the latest distribution, saving both time and effort. On-access scanning without kernel modules for kernels 2.6.38 with fanotify ensures Linux is always protected even after kernel updates.

Ma l'ultima versione di McAfee VirusScan Enterprise per Linux (2.0.0) non supporta nemmeno RHEL !

Quale soluzione antivirus aziendale non supporta RHEL?!

Che cosa è un sysadmin ben intenzionato da fare?

    
posta Jason 31.03.2014 - 22:34
fonte

1 risposta

16

Ho già risposto a questa domanda un paio di volte qui. Dai un'occhiata a questa risposta in particolare:

Virus scanner sul server

E in particolare questa parte:

The concept of a virus implies a user at an interactive session. Someone opening email in Outlook or documents in Word, or running programs they received in an email. A virus implies a human element. Servers don't (or shouldn't) allow reading emails and browsing websites. Instead, attacks against servers are fully automated; no human required. They call that a "worm" rather than a "virus".

Worms are a concern on Linux. But protecting your server from that type of threat works differently. Protecting users from viruses requires something stopping users from doing things they shouldn't. Hence the "anti-virus". But protecting servers from worms and similar exploits involves fixing vulnerable software. If something is exploitable on your server, then the thing needs to be fixed.

Uno scanner di virus guarda i file per vedere se ti feriranno se li esegui. Questa non è una preoccupazione per i server, perché gli unici programmi che eseguirai sono già lì . Di norma, non stai scaricando ed esegui nuovi programmi sui server come fai sui desktop.

Supponendo che Linux sia in esecuzione come server, (che RHEL è sempre sempre ) è L'esecuzione di un anti-virus è il tipo di protezione errato . Ti protegge da minacce che non possono ferirti, ignorando le minacce che possono. Questo è il motivo per cui RHEL non offre l'integrazione antivirus. Perché Redhat comprende la sicurezza del server.

Questo non ha nulla a che vedere con quanto sia popolare Linux o se i produttori di virus lo bersagliano, come comunemente sostenuto. Questo ha a che fare con il modo in cui viene utilizzato il server. Non ci sono utenti che navigano in e-mail in Outlook, o scaricano film in flash e li eseguono. Quindi evitare attività pericolose per gli utenti non è una soluzione valida.

Se QSA richiede di eseguire un anti-virus sul server Linux, è necessario un QSA diverso. Questo non ha idea.

    
risposta data 01.04.2014 - 02:19
fonte

Leggi altre domande sui tag

come si può iniettare codice dannoso in un URL dall'aspetto innocente? Qualcuno può conoscere il mio indirizzo IP tramite gli allegati e-mail di Thunderbird?