Enterprise Anti-Virus pour Linux?
Je sais que cette question est probablement à risque d'offenser les lignes directrices, mais notre fournisseur IaaS n'a pas pu nous offrir une solution anti-virus pour nos serveurs Linux. Nous sommes déployés dans une entreprise environnement cloud vSphere, mais il ressemble à une solution au niveau de l'hyperviseur ne serait pas disponible de toute façon puisque les fournisseurs d'anti-malware qui n'offrent une solution d'hyperviseur effet de levier vShield Endpoint Agent mince et seulement supports les invités Windows .
Donc, pour la plupart ce moyen en cours d'exécution d'un agent sur le serveur Linux/invité. Ici, les fournisseurs (par exemple Trend Micro) seront pris en charge la liste des versions du noyau. Le problème est que les versions prises en charge seront les noyaux plus anciens qui ont eu Avis de sécurité important émis par Red Hat et nous ne voulons pas aborder une question de sécurité en augmentant potentiellement notre risque ailleurs.
Nous avons déployé IPS comme mesure d'atténuation et endurcir nos serveurs ainsi que soumettre notre application à des tests de pénétration tiers, mais nous sommes tenus de déployer une solution anti-virus.
Notez que analyse à la demande est insuffisante. Nous sommes à la recherche d'une solution d'entreprise qui fournit ne dépend pas, l'analyse à l'accès sur les versions du noyau et mises à jour de tous les serveurs peuvent être automatisés (via une interface d'administration/de gestion qui fonctionne de préférence sur Linux aussi).
McAfee VirusScan Enterprise pour Linux sur le visage de celui-ci ressemble à elle ne dépend pas des versions du noyau. Leur fiche technique indique ce qui suit:
Module noyau versioning-analyse à l'accès sur les nouveaux noyaux sans la nécessité de modules recompilation vous fait gagner du temps et d'efforts lors du déploiement de nouveaux noyaux Linux.
et:
Runtime module prend en charge automatiquement la dernière distribution du noyau, un gain de temps et d'efforts. L'analyse sur l'accès sans modules du noyau pour les noyaux 2.6.38 avec Linux est fanotify assure toujours protégé même après les mises à jour du noyau.
Mais la dernière version de VirusScan Enterprise for Linux McAfee (2.0.0) ne supporte même pas RHEL !
Qu'est-ce que l'entreprise solution anti-virus ne supporte pas RHEL ?!
Qu'est-ce qu'un sysadmin bien intentionné à faire?
J'ai déjà répondu à cette question plusieurs fois ici. Regardez cette réponse en particulier:
Scanner de virus sur le serveur
Et en particulier cette partie:
le concept d'un virus implique un utilisateur à une session interactive. Quelqu'un ouvre un courrier électronique dans Outlook ou Documents en Word, ou exécuter des programmes qu'ils ont reçus dans un email. Un virus implique un élément humain. Les serveurs ne (ou ne devraient pas) permettre de lire des courriels et de parcourir des sites Web. Au lieu de cela, les attaques contre les serveurs sont entièrement automatisées; Aucun humain requis. Ils appellent cela un "ver" plutôt qu'un "virus".
WORMS sont une préoccupation sur Linux. mais protégeant votre serveur de ce type de menace fonctionne différemment. La protection des utilisateurs des virus nécessite quelque chose qui empêche les utilisateurs de faire des choses qu'ils ne devraient pas. D'où l'anti-virus. Mais la protection des serveurs des vers et des exploits similaires implique la correction de logiciels vulnérables. Si quelque chose est exploitable sur votre serveur, la chose doit être corrigée.
Un scanner de virus regarde des fichiers pour voir s'ils vous feront mal si vous les exécutez. Ce n'est pas une préoccupation sur les serveurs, car les seuls programmes que vous allez jamais exécuter sont déjà là. En règle générale, vous ne téléchargez pas et n'exécutez pas de nouveaux programmes sur des serveurs comme vous le faites sur des ordinateurs de bureau.
En supposant que Linux fonctionne comme un serveur, (qui rhale à peu près toujours est) L'exécution d'un antivirus est le mauvais type de protection . Il vous protège contre des menaces qui ne peuvent pas vous faire mal, tout en ignorant les menaces pouvant. C'est pourquoi Rhel n'offre pas l'intégration antivirus. Parce que Redhat comprend la sécurité du serveur.
Cela n'a rien à voir avec la popularité de Linux ou de savoir si les écrivains de virus le cibleront, comme courbée couramment. Cela a à voir avec la manière dont le serveur est utilisé. Il n'y a pas d'utilisateur de navigation par courrier électronique dans Outlook, ou télécharge des films Flash et les exécuter. Ainsi, empêcher une activité utilisateur dangereuse n'est pas une solution précieuse.
Si votre QSA vous demande d'exécuter un anti-virus sur votre serveur Linux, vous avez besoin d'une QSA différente. Celui-ci n'a pas d'indemnité.