¿Enterprise Anti-virus para Linux?

Navega tus respuestas
7

Sé que esta pregunta probablemente corre el riesgo de ofender las directrices, pero nuestro proveedor de IaaS no pudo ofrecernos una solución antivirus para nuestros servidores Linux. Estamos implementados en un entorno empresarial vSphere en la nube, pero parece que una solución a nivel de hipervisor no estaría disponible de todos modos, ya que los proveedores de antimalware que ofrecen una solución de hipervisor aprovechan el vShield Endpoint Thin Agent y solo admite invitados de Windows .

Por lo general, esto significa ejecutar un agente en el servidor / invitado de Linux. Aquí, los proveedores (por ejemplo, Trend Micro) enumerarán las versiones de kernel compatibles. El problema aquí es que las versiones admitidas serán núcleos anteriores a los que Red Hat ha emitido importantes avisos de seguridad y no queremos abordar un problema de seguridad al aumentar potencialmente nuestro riesgo en otro lugar.

Hemos implementado IPS como medida de mitigación y fortalecimiento de nuestros servidores, además de enviar nuestra aplicación a pruebas de penetración de terceros, pero estamos obligados a implementar una solución antivirus.

Tenga en cuenta que el análisis bajo demanda es inadecuado. Estamos buscando una solución empresarial que ofrezca escaneo en el acceso, no depende de las versiones del kernel y las actualizaciones de todos los servidores se pueden automatizar (a través de una interfaz administrativa / de administración que también se ejecuta en Linux).

Aparentemente, VirusScan Enterprise para Linux de McAfee parece que no depende de las versiones del kernel. Su hoja de datos indica lo siguiente:

  

Control de versiones del módulo Kernel: escaneado en acceso   en nuevos kernels sin necesidad de compilar   Los módulos le ahorran tiempo y esfuerzo al rodar   nuevos núcleos de Linux.

y:

  

Módulo de kernel en tiempo de ejecución: se admite automáticamente   La última distribución, ahorrando tiempo y esfuerzo.   Escaneado en acceso sin módulos del kernel   para kernels 2.6.38 con fanotify asegura que Linux es   Siempre protegido incluso después de las actualizaciones del kernel.

Pero la última versión de McAfee's VirusScan Enterprise para Linux (2.0.0) ni siquiera admite RHEL !

¿Qué solución antivirus empresarial no es compatible con RHEL ?!

¿Qué debe hacer un administrador de sistemas bienintencionado?

    
pregunta Jason 31.03.2014 - 22:34
fuente

1 respuesta

16

Ya he respondido esta pregunta varias veces aquí. Eche un vistazo a esta respuesta en particular:

Escáner de virus en el servidor

Y en particular esta parte:

  

El concepto de un virus implica a un usuario en una sesión interactiva. Alguien que abre un correo electrónico en Outlook o documentos en Word, o ejecuta programas que recibió en un correo electrónico. Un virus implica un elemento humano. Los servidores no permiten (o no deberían) permitir leer correos electrónicos y navegar por sitios web. En cambio, los ataques contra los servidores están completamente automatizados; No se requiere humano. Llaman a eso un "gusano" en lugar de un "virus".

     

Los gusanos son una preocupación en Linux. Pero proteger su servidor de ese tipo de amenaza funciona de manera diferente. Proteger a los usuarios de virus requiere que los usuarios dejen de hacer cosas que no deberían. De ahí el "antivirus". Pero proteger servidores de gusanos y vulnerabilidades similares implica arreglar software vulnerable. Si algo es explotable en su servidor, entonces la cosa necesita ser arreglada.

Un escáner de virus mira los archivos para ver si te harán daño si los ejecutas. Eso no es una preocupación en los servidores porque los únicos programas que ejecutará ya están allí . Como regla general, no está descargando y ejecutando nuevos programas en servidores como lo hace en escritorios.

Suponiendo que Linux se está ejecutando como un servidor, (que RHEL prácticamente siempre es) Ejecutar un antivirus es el tipo de protección incorrecto . Lo protege contra amenazas que no pueden lastimarlo, mientras ignora las amenazas que pueden hacerlo. Es por esto que RHEL no ofrece integración de antivirus. Porque Redhat entiende la seguridad del servidor.

Esto no tiene nada que ver con qué tan popular es Linux o si los escritores de virus lo atacarán, como se argumenta comúnmente. Esto tiene que ver con cómo se utiliza el servidor. No hay ningún usuario que explore el correo electrónico en Outlook, ni descargue películas flash y las ejecute. Por lo tanto, prevenir una actividad peligrosa del usuario no es una solución valiosa.

Si su QSA le exige que ejecute un antivirus en su servidor Linux, entonces necesita un QSA diferente. Este no tiene ni idea.

    
respondido por el tylerl 01.04.2014 - 02:19
fuente

Lea otras preguntas en las etiquetas

¿Qué es más rápido: forzar la fuerza bruta o usar un ataque de diccionario que contenga todas las permutaciones posibles? ¿Por qué está bien que los certificados por encima del certificado de entidad final se basen en SHA1?