|
| Antivirus/Antilamware/Antiwhatever Fra : Kasper Lund |
Dato : 09-03-09 09:52 |
|
Hej med jer.
Jeg har i snart mange år brugt linux som styresystem til mange
forskellige opgaver, og jeg har egentligt aldrig spekuleret over at
ligge antivirus programmer på - det har AFAIK heller aldrig givet mig
problemer.
Jeg har til disse maskiner ofte haft direkte adgang til SSH fra nettet
og den eneste sikkerhed jeg har brugt er denyhosts og
rkhunter/rootkithunter samt regelmæssige opdateringer.
Nu spørger min symantec antivrus ansvarlige på jobbet mig så "Hvad med
de der linux servere, skal de ikke beskyttes?" Min første indskydelse er
nej, men det ville da godt nok være træls hvis en af "mine" servere
pludselig var skyld i virus udbrud i firmaet.
Maskinerne er ikke offentligt tilgængelige fra internettet, men er på et
MPLS netværk sammen med ca. 20.000 andre noder, så der er da helt
sikkert en del skidt der flyder rundt i netværket.
Så nu mit spørgsmål, hvad er best practice?
Er der stadig ingen reele trusler mod linux/Unix servere når vi taler
virus/Malware?
Hvad med en apache webserver, skal den ikke beskyttes?
Der kører en del forskellige services på maskinerne, også nogle der er
compileret og installeret fra source, så de applikationer bliver altså
ikke sådan lige opdateret af pakkemanageren.
Systemerne kører i øvrigt ubunttu, hvis det gør nogen forskel.
Hvad mener i?
Mvh.
/Kasper
| |
Frank Damgaard (09-03-2009)
| Kommentar Fra : Frank Damgaard |
Dato : 09-03-09 10:38 |
|
Kasper Lund skrev:
> Hej med jer.
>
> Jeg har i snart mange år brugt linux som styresystem til mange
> forskellige opgaver, og jeg har egentligt aldrig spekuleret over at
> ligge antivirus programmer på - det har AFAIK heller aldrig givet mig
> problemer.
>
> Jeg har til disse maskiner ofte haft direkte adgang til SSH fra nettet
> og den eneste sikkerhed jeg har brugt er denyhosts og
> rkhunter/rootkithunter samt regelmæssige opdateringer.
>
> Nu spørger min symantec antivrus ansvarlige på jobbet mig så "Hvad med
> de der linux servere, skal de ikke beskyttes?" Min første indskydelse er
> nej, men det ville da godt nok være træls hvis en af "mine" servere
> pludselig var skyld i virus udbrud i firmaet.
>
> Maskinerne er ikke offentligt tilgængelige fra internettet, men er på et
> MPLS netværk sammen med ca. 20.000 andre noder, så der er da helt
> sikkert en del skidt der flyder rundt i netværket.
>
> Så nu mit spørgsmål, hvad er best practice?
>
> Er der stadig ingen reele trusler mod linux/Unix servere når vi taler
> virus/Malware?
Er de servere "filserver" og lignende for windows maskiner på
lokalnettet/intranettet ?
I så fald bør man installere program til at checke filer for
windows virus/trojaner osv.
Er de også mailservere, så bør der installeres/opsættes
antispam og antivirus programmer så de stakkels windows brugere
ikke får den slags.
>
> Hvad med en apache webserver, skal den ikke beskyttes?
mod hvad?
Det vigtigste er at have sin linux installation sikkerhedsopdateret;
Og kun de services kørende som der er behov for.
Evt. firewall, men firewal kan ikke hjælpe mod sikkehedshuller i apache
eller i php/perl/cgi.. programmer der kører sammen med apache.
>
> Der kører en del forskellige services på maskinerne, også nogle der er
> compileret og installeret fra source, så de applikationer bliver altså
> ikke sådan lige opdateret af pakkemanageren.
>
> Systemerne kører i øvrigt ubunttu, hvis det gør nogen forskel.
>
> Hvad mener i?
Sørg for løbende at opdatere ubuntu med sikkerhedsopdatering mv.
Lav en liste over alle de services der kører (porte) og overvej
om alle er nødvendige. Er det kun til administration , så overvej
om ikke det kan kører via ssh-tunnel i stedet.
Lav en liste med de "hjemmeoversatte" programmer og læg i kalenderen
så at de bliver checket løbende om der er kommer sikkerhedsrettelser.
Det farligste er hvis der kører forældede programmer med
kendte sikkerhedshuller, og specielt hvis det er services der bruges
fra andre PC på lokalnettet (f.eks. via web eller lign)
PS.
De antivirus programmer der fås til linux har som hovedopgave at
lede efter windows virus mv., ikke linux virus.
Det tyske blad c't har endda årligt en boot CD "knoppicilin"
som er en linux boot CD med software til at "redde" windows PC'ere .....
| |
Bo Bichel Nørbæk (09-03-2009)
| Kommentar Fra : Bo Bichel Nørbæk |
Dato : 09-03-09 19:14 |
|
Kasper Lund wrote:
> Er der stadig ingen reele trusler mod linux/Unix servere når vi taler
> virus/Malware?
Muligvis ikke mod servere - men jeg tænker, at f.eks. makro-malware i
Word-dokumenter også kunne køre i OpenOffice.org Writer.
| |
Kent Friis (09-03-2009)
| Kommentar Fra : Kent Friis |
Dato : 09-03-09 19:16 |
|
Den Mon, 09 Mar 2009 19:13:33 +0100 skrev Bo Bichel Nørbæk:
> Kasper Lund wrote:
>
>> Er der stadig ingen reele trusler mod linux/Unix servere når vi taler
>> virus/Malware?
>
> Muligvis ikke mod servere - men jeg tænker, at f.eks. makro-malware i
> Word-dokumenter også kunne køre i OpenOffice.org Writer.
Så "god" er OpenOffice mig bekendt ikke til at håndtere Word-dokumenter.
Til har man faktisk set eksempler på at det er lykkedes at få virus
til at virke under Wine.
Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke
.... for katten.
| |
Klaus Ellegaard (09-03-2009)
| Kommentar Fra : Klaus Ellegaard |
Dato : 09-03-09 19:36 |
|
Kasper Lund <fake@usenet.dk> writes:
>Så nu mit spørgsmål, hvad er best practice?
>Er der stadig ingen reele trusler mod linux/Unix servere når vi taler
>virus/Malware?
Som operativsystem, nej. Der har været et par enkelte orme, men det
er intet i forhold til det samlede trusselsbillede på Windows. Og
det kræver stadig, at en inficeret maskine kan komme til at snakke
med de sårbare servere på den protokol og evt. port, der er sårbar.
På et lukket netværk er det ofte i afdelingen for usandsynligt, men
det kommer naturligvis an på de lokale omstændigheder.
Best practice er som regel at foretage indholds-scanning, hvor det
er muligt. Det vil for eksempel sige, at en Linux-baseret mailserver
kan scanne mails for malware - typisk Windows-baseret malware. Det
er altså ikke af hensyn til Linux'en men de modtagende systemer.
>Hvad med en apache webserver, skal den ikke beskyttes?
Næeh, ikke medmindre der dukker et sikkerhedshul op i den. Det er
klart, at kører man CGI, PHP eller lignende, så er det vektorer i
sig selv. Det er som regel specielt kritisk, hvis man kører noget
hjemmestrikket programmel. Kører man de "store" pakker som phpBB,
vil der bestemt være masser af sikkerhedshuller, men de bliver ret
hurtigt lukket. Det er sjældent tilfældet med hjemmestrik.
Men her er vi allerede på vej væk fra virus/malware-verdenen.
>Der kører en del forskellige services på maskinerne, også nogle der er
>compileret og installeret fra source, så de applikationer bliver altså
>ikke sådan lige opdateret af pakkemanageren.
Det sørger man naturligvis for at gøre manuelt uden unødigt ophold.
Overordnet set skal man huske på, at en Linux/Unix-boks er en del
nemmere lækrere for en hacker end Windows. Der er ikke de samme
best-practice-krav på UNIX om at have en firewall foran, fordi UNIX
er mere "secure by default" i de fleste server-orienterede udgaver.
Der er også adgang til flere stærke værktøjer på UNIX - som regel er
der både compiler, Perl, netværks-værktøjer og andre rare ting i en
standard-install.
Det gør en kompromiteret Linux/Unix-boks langt mere behagelig at
arbejde på end en tilsvarende Windows-boks. Hvilket er aldeles
ligegyldigt i ormens tilfælde. Men for malware, der installerer en
bagdør, som kan udnyttes interaktivt senere, vil det være klart
mere attraktivt med en Linux-boks. Især i en standard-install.
Disse ting er værd at huske på, når man laver sin risikoanalyse.
At det er en "secure by default"-boks skal altså ikke blive til
en behagelig sovepude.
Mvh.
Klaus.
| |
|
|