Vedo molte persone che affermano che gli scanner antivirus non sono necessari su un server Linux. Ma se questo server accetta file caricati dagli utenti (e consente agli altri di scaricarli), ne vale la pena di eseguire la scansione dei file quando vengono caricati sul server?
Solo perché è linux, questo non significa che non avrai problemi.
In effetti ciò che può essere un problema e ciò che sarà essere un problema sarà il tuo servizio web. Apache, PHP e qualsiasi software web che è stato eseguito avranno probabilmente qualche forma di exploit o vulnerabilità, anche se nessuno lo sa ancora. Tutto ciò che serve è one exploit e bam se qualcuno accede a tutto il tuo sistema.
Mentre il rischio di un virus è decisamente basso durante l'esecuzione di un server Linux, non è zero . Qualsiasi server dovrebbe avere qualche forma di firewall e anti-virus per l'unica possibilità che qualcosa riesca a superare.
Ovviamente, vuoi comunque prendere tutte le precauzioni possibili. Garantire che la directory non possa essere elencata, assicurando che le autorizzazioni del file siano di sola lettura per le azioni anonime, analizzando i file solo per i tipi di file supportati, ecc ... sono tutte cose che possono aiutare a ridurre il rischio di attacco.
I virus scanner per Linux cercano virus Windows . La logica è che il server Linux agisce come un percorso di archiviazione file per gli utenti che eseguono Windows, pertanto la scansione dei virus Windows consentirà di proteggere gli utenti.
Proteggere il server Linux non è l'obiettivo. I virus non sono il vettore di attacco per i server.
Il concetto di un virus implica un utente in una sessione interattiva. Qualcuno apre la posta in Outlook o documenti in Word o esegue i programmi ricevuti in un'email. Un virus implica un elemento umano. I server non consentono (o non dovrebbero) consentire la lettura di e-mail e la navigazione di siti Web. Invece, gli attacchi contro i server sono completamente automatizzati; nessun essere umano richiesto Lo chiamano "worm" piuttosto che "virus".
I worm sono un problema su Linux. Ma proteggere il tuo server da quel tipo di minaccia funziona in modo diverso. La protezione degli utenti dai virus richiede qualcosa che impedisca agli utenti di fare cose che non dovrebbero. Da qui "l'anti-virus". proteggere i server da worm e exploit simili comporta la risoluzione di software vulnerabili. Se qualcosa è sfruttabile sul tuo server, allora la cosa deve essere risolta.
In altre parole, non guardi il controllo dei file in ingresso per vedere se qualcuno ti farà male se li esegui, perché non li mai esegui . Se fai esegui il codice che ti viene consegnato da qualcuno su Internet, allora che è il tuo problema. Per risolvere il problema, rimuovi o correggi la cosa che si sta comportando in modo pericoloso.
Quindi, ad esempio, un plugin Wordpress vulnerabile su Linux è vagamente analogo a un'installazione vulnerabile di Microsoft Office su Windows. Sul desktop di Windows, si esaminano attentamente tutti i documenti di Microsoft Office in entrata, verificando se qualcuno sfrutta la vulnerabilità in Office. Ma sul server Linux, basta rimuovere o applicare patch al proprio plugin Wordpress e averne fatto. Invece di tenere aggiornato un antivirus, devi mantenere aggiornato il server .
Ora, si scopre che esiste qualcosa chiamato Web Application Firewall , che è sorprendentemente simile al concetto antivirus, ma applicato a siti Web anziché a esseri umani.
Un WAF si basa sull'idea di proteggere i siti vulnerabili dallo sfruttamento più o meno allo stesso modo in cui un antivirus tenta di proteggere i desktop vulnerabili. Utilizza anche approssimativamente la stessa tecnica (cercando e bloccando determinati modelli). Ma mentre i tutti prodotti antivirus incidono pesantemente sul lato di evitare falsi positivi, un WAF può essere configurato per essere così permissivo da essere inutile, o così restrittivo da rompere il tuo sito.
La tua particolare installazione dovrebbe essere fatta su misura per adattarsi al tuo sito web. Ci vuole lavoro, tempo e tanta pazienza. Ma dovrebbe esserci un massimo locale che ti offra una protezione ragionevole contro le vulnerabilità che non conosci, pur mantenendo un sito funzionante.
Sebbene sia avvisato, più siti web hai su un determinato server, più diventa difficile regolare la configurazione della sicurezza. Su server di hosting condiviso di uso generale, questo tipo di soluzione è quasi del tutto inutilizzabile a causa del tasso di falsi positivi. In altre parole, il tuo chilometraggio potrebbe variare.
Dipende da cosa stai cercando di proteggere.
Se carico un file infetto da virus su qualsiasi server - Windows, Linux, Mac OS X, * BSD - questo non fa nulla. È solo un file che si trova in una cartella.
I virus diventano un problema nel momento in cui qualcuno li esegue. Se il processo di caricamento ha un bug che mi consente di mettere i file in una directory dove qualcosa li esegue, allora questo è un problema.
Ma un problema molto più grande è che una volta che il file è nella rete, qualcuno potrebbe prenderli ed eseguirli. Finché sono nella cartella dei caricamenti, sono praticamente innocui, ma se qualcuno su un'altra macchina all'interno dell'azienda li scarica sul loro computer e lo esegue, ovviamente sei fregato.
In teoria, uno scanner antivirus sulla macchina degli utenti sarebbe sufficiente, ma perché fidarsi che centinaia o persino migliaia di computer hanno i loro scanner antivirus aggiornati, in realtà in esecuzione (alcune persone potrebbero avere diritti di amministratore e disabilitare il virus scanner ad esempio quando sviluppano app interne e non devono fare confusione con il debugger)? E chissà dove altro è quel file adesso? Se riesci già a scannerizzare il file nel momento in cui entra e lo rilasci, perché no?
Un'analogia (un po 'imperfetta) è l'immigrazione degli Stati Uniti: anche se ci sono tonnellate di poliziotti che potrebbero catturare persone senza un visto / I-94 valido, ci sono ancora controlli sull'immigrazione negli aeroporti per controllare i passeggeri appena atterrati. Perché non risparmiare solo quei soldi? Perché è molto più facile e molto più probabile catturare i trasgressori proprio lì alla fonte.
È un comune malinteso che i server Linux non abbiano bisogno di software antivirus. Soprattutto quei server che accettano file dagli utenti (FTP, web upload, server email) necessitano di un software AV installato.
Se i file sono memorizzati su un server, vengono spesso utilizzati per l'elaborazione automatica o manuale. A seconda del tipo di file, questo può essere sfruttato per iniettare codice eseguibile malevolo (per esempio macro) o per attivare vulnerabilità, come l'overflow del buffer durante la gestione del file. Inoltre, qualsiasi input accettato dagli utenti è sempre un rischio per la sicurezza e deve essere gestito con attenzione. Significa che deve essere igienizzato e convalidato. L'AV fa parte di questo.