Ejecute varios AntiViruses con Dockers

Navega tus respuestas
0

Necesito ejecutar varios antivirus en mi sistema. Inevitablemente no puedo. Entonces, pensé que la ventana acoplable es una buena opción. Pero creo que no es posible. Debido a que los antivirus son en modo kernel y el kernel se comparte entre múltiples dockers. Correcto?

Si es así, ¿cuál es tu idea sobre otro método? El uso de máquinas virtuales no es una buena opción. Por ejemplo, necesito 10 máquinas virtuales si uso 10 Antivruses.

Editado:

Otra pregunta: ¿es posible instalar varios AV en un sistema y deshabilitar el análisis en tiempo real para evitar conflictos?

    
pregunta Mohammad Reza Ramezani 24.11.2017 - 19:06
fuente

2 respuestas

1

Divulgación: trabajo para un proveedor de AV.

La respuesta depende de si estás hablando de:

  • Motor antimalware que escanea contenido sin ejecutarlo. Esto es lo que la gente llama "escanear un archivo", y lo que se usa, por ejemplo, por VirusTotal;
  • Motor antimalware que detecta malware mediante la supervisión de procesos en ejecución en busca de actividad maliciosa (a menudo se denomina "análisis de comportamiento").

Para la primera, con excepción de Symantec, que supuestamente ejecuta partes de motor antivurus en kernel , no conozco ningún otro proveedor cuyo motor anti-malware funcione en kernel. Incluso para Symantec fue una cuestión de elección y no el requisito, ya que el motor antimalware tiene la misma detección cuando se ejecuta en el espacio de usuario. El módulo del kernel es necesario para interceptar eventos (como el acceso a archivos), pero el nombre del archivo al que se accede normalmente se pasa al espacio de usuario y se escanea allí; no hay requisitos para escanearlo en el kernel.

Para el segundo, aunque este motor generalmente también se implementa principalmente en el espacio de usuario, depende mucho de sus sensores implementados a través de los controladores del núcleo. Sin ellos el motor no detectará nada.

Por lo tanto, la respuesta final es:

  • Sí, es posible instalar varios productos antimalware en el mismo sistema. Debido a que este escenario no es compatible con la mayoría de los productos de seguridad, quienes le pedirían que desinstale otro producto, esto requeriría ajustes, como eliminar la información de instalación del producto para que los productos se instalen juntos.

  • La tasa de detección en este escenario solo se limitaría a uno de motor anti-malware estático / dinámico, y la detección en tiempo de ejecución no se aplicaría (tendría que estar desactivada).

  • Como esta configuración no es compatible y solo se puede realizar mediante ajustes, es inherentemente inestable y puede colapsarse (bloquearse / bloquearse) fácilmente. Especialmente una vez que uno de los productos de seguridad recibe una actualización del producto;

  • Ejecutarlos en diferentes máquinas virtuales es una solución mucho mejor, ya que los recursos utilizados por el producto antimalware que ejecuta los análisis serían bastante significativos;

  • ¿Por qué no usar VirusTotal en su lugar?

respondido por el George Y. 25.11.2017 - 08:41
fuente
0

No es una buena idea intentar ejecutar múltiples herramientas AV activas con cualquier método. Sin embargo, hay muchas herramientas no activas que podría ejecutar fácilmente en un horario continuo.

Si intenta ejecutar varias herramientas activas, aunque podría instalar cada una en una máquina virtual con una unidad compartida, es probable que tenga problemas con el bloqueo de archivos, sin duda tendrá un fuerte impacto en las unidades.

Elegiría una herramienta activa decente y luego periódicamente (durante períodos de inactividad) - ejecutar verificadores por lotes.

Debe tener en cuenta que es probable que nada de esto incremente su seguridad con respecto a los problemas de día cero.

    
respondido por el Julian Knight 24.11.2017 - 19:56
fuente

Lea otras preguntas en las etiquetas

problema de relleno en la contraseña hash sha-1 ¿Es un método seguro permitir el inicio de sesión de root en SSH con "PermitRootLogin sin contraseña"?