نصب آنتی ویروس بر روی لینوکس های داخل شبکه یک سازمان؛ ضرورت یا زائد؟

[shena]

در لینوکسهایی که در زیرساخت یک شرکت در کنار سیستمهای ویندوز سرویس دهی میکنند، آیا آنتی ویروس بر روی این لینوکسها - به دلیل تعاملاتشان با دیگر اجزای شبکه و شبکه بیرون شرکت - نیاز است یا خیر؟

[shena]

.

[Dragon-]

بعید می‌دونم لازم باشه. اگه سرور مرتب بررسی بشه، بروزرسانی‌های امنیتی رو دریافت کنه و تز یه سیستم‌عامل بروز استفاده کنه (centos 6 یا 7 قدیمی شدند)
و کانفیگ‌های اون هم به دقت انجام شده باشه، فکر نکنم به آنتی‌ویروس نیازی باشه.
شاید در حین منتقل شدن فایل‌ها، بدافزار‌های ویندوزی هم همراه اونها منتقل بشن‌. این بدافزار‌ها نمی‌تونند توی محیطی غیر از ویندوز اجرا بشن ولی می‌تونند از طریق شبکه منتقل میشن و بقیه کامپیوتر‌های ویندوزی رو آلوده می‌کنند. بررسی فایل‌هایی که توی شبکه منتقل میشن، برای پیدا کردن بدافزار‌ها، فکر نکنم زیاد ممکن باشه چون بار پردازشی روی سرور میذاره. پس اینکه آنتی ویروس نصب کنیم تا بدافزار‌های ویندوزی رو توی شبکه شناسایی کنه، فکر نکنم زیاد کار مفیدی باشه.
به نظرم تنها موردی که ممکنه برای یه سیستم‌عامل لینوکسی یا bsd ها آنتی‌ویروس نیاز بشه، حالتی هست که اون سیستم مشکوک به داشتن بدافزار هست.

[میمو ☕]

ما ویروسی در گنو/لینوکس نداریم، تصور اشتباهی که در مورد آنتی‌ویروس‌های گنو/لینوکس وجود داره اینه که به وجود اومدن تا جلوی ورود ویروس به گنو/لینوکس رو بگیرن، در صورتی که این آنتی‌ویروس‌ها کارشون شناسایی و حذف ویروس‌های ویندوزی‌ای هست که روی یه سیستم گنو/لینوکسی وجود دارند، این ویروس‌ها روی گنو/لینوکس اجرا نمی‌شن، اما به هر حال این امکان وجود داره که با نصب آنتی‌ویروس، ویروس‌های ویندوزی شناسایی و حذف بشن.

[shena]

ما ویروسی در گنو/لینوکس نداریم

https://en.wikipedia.org/wiki/Linux_malware

[جعفر فرقانلوژ]

خوب ؟
خودتون خوندینش ؟ نوشته همچین چیزی به اون صورت نداریم به خاطر دسترسی ها
ویکی خودمون
https://wiki.ubuntu.ir/wiki/%DA%86%D8%B1%D8%A7_%DA%AF%D9%86%D9%88_/_%D9%84%DB%8C%D9%86%D9%88%DA%A9%D8%B3_%D8%A8%D9%87_%D8%A7%D9%86%D8%AA%DB%8C_%D9%88%DB%8C%D8%B1%D9%88%D8%B3_%D9%86%DB%8C%D8%A7%D8%B2_%D9%86%D8%AF%D8%A7%D8%B1%D8%AF

[دانیال بهزادی]

خیر. کاربرد اون پادویروس‌ها در جاهایی مثل کارساز رایانامه یا پرونده‌است که از انتشار ویروس‌های ویندوزی جلوگیری کنه. در گنو/لینوکس اصلاً امکان آلوده شدن به ویروس وجود نداره!

[Dragon-]

evilgnome یه جاسوس‌افزاره که در قالب افزونه گنوم خودش رو معرفی می‌کنه و می‌تونه اطلاعات کاربر رو بدون اینکه بفهمه، ذخیره کنه و به جای دیگه بفرسته. ولی توی gnome-look.org یا extesions.gnome.org وجود نداره، کاربر باید اون رو از یه جای دیگه نصب کرده باشه.
البته این بدافزار فقط می‌تونه کسایی که گنوم دارند رو تحت تاثیر قرار بده. اگه یه میزکار دیگه داشته باشید، نمی‌تونه کاری انجام بده. (نمی‌دونم چی میشه اگه قسمت‌هایی از گنوم رو همراه یه میزکار دیگه داشته باشید)
اگه محیط گرافیکی نداشته باشید، کلا هیچی. (معمولا سرور‌ها محیط گرافیکی ندارند)

[دانیال بهزادی]

این که فقط یه بدافزاره و ویروس نیست. ولی اون هم برای آلوده شدنش کاربر باید خیلی شوت باشه و عمداً بره نصبش کنه.

[ABOLDOM]

این که فقط یه بدافزاره و ویروس نیست. ولی اون هم برای آلوده شدنش کاربر باید خیلی شوت باشه و عمداً بره نصبش کنه.

احتمالا باید شبیه برورسانی اندروید بنویسن، بروزرسانی جدید گنو لینوکس همین الان ارتقاش بده(صفحه میدرخشد)

[mahdiyar11]

خب اینجا یه سوال مطرح میشه

من به یه ویروس (که مثلا قابلیت رمز کردن فایل ها یا فرستادن اطلاعات به یه سرور دیگه رو داره) رو بهش دسترسی روت میدم. اونم نه به این راحتی؛ مثلا با نصب یه اکستنشن که توی سایت extention.gnome.com هست یا دستی نصبش کردم. یا دادن دسترسی روت به یه فایل بدافزار. اینطوری گنو/لینوکس من مگه آلوده نمیشه؟؟

اینکه میگید قابلیت آلوده شدن نداره منظورتون اینه که چون دسترسی روت نداره (یا بهتره بگم پسورد روت رو نداره) پس نمیتونه سیستم رو آلوده کنه. ولی اگه یه برنامه دسترسی روت رو داشته باشه که مثل آب خوردن میتونه سیستم رو آلوده کنه

[سودو.]

بد افزار با ویروس متفاوته ! ویروسم که اصلا نداریم تو گنو !

[shena]

خیر. کاربرد اون پادویروس‌ها در جاهایی مثل کارساز رایانامه یا پرونده‌است که از انتشار ویروس‌های ویندوزی جلوگیری کنه.

دقیقا همین. پس جایی که لینوکس ها با سایر سیستم های ویندوزی و زیرساختی (فریم ویر سخت افزارهایی مثل سرور، سوییچ و غیره) ارتباط شبکه ای دارند، بهتره آنتی ویروس داشته باشند، درسته؟

[سودو.]

.

[Dragon-]

خب اینجا یه سوال مطرح میشه

من به یه ویروس (که مثلا قابلیت رمز کردن فایل ها یا فرستادن اطلاعات به یه سرور دیگه رو داره) رو بهش دسترسی روت میدم. اونم نه به این راحتی؛ مثلا با نصب یه اکستنشن که توی سایت extention.gnome.com هست یا دستی نصبش کردم. یا دادن دسترسی روت به یه فایل بدافزار. اینطوری گنو/لینوکس من مگه آلوده نمیشه؟؟

چرا آلوده میشه.

اینکه میگید قابلیت آلوده شدن نداره منظورتون اینه که چون دسترسی روت نداره (یا بهتره بگم پسورد روت رو نداره) پس نمیتونه سیستم رو آلوده کنه. ولی اگه یه برنامه دسترسی روت رو داشته باشه که مثل آب خوردن میتونه سیستم رو آلوده کنه

به این خاطر آلوده شدن کل سیستم سخته، چون معمولا برای نوشتن توی دایرکتوری‌های مهم، به دسترسی روت نیازه. قبلش هم باید یه جوری اجرا شده باشه که برای این، به دسترسی اجرایی نیاز داره و معمولا فایل‌های جدیدی که ساخته میشن، به طور پیش‌فرض دسترسی اجرایی ندارند.

اگه یه چیزی دسترسی روت به دست بیاره، تقریبا کار خاصی نمی‌تونید انجام بدید.
شاید selinux (در مورد apparmor چیزی نمی‌دونم) بتونه یه کمکی کنه ولی بدافزار می‌تونه تنظیم کنه تا توی راه‌اندازی مجدد، selinux فعال نباشه.
شاید بتونید با فعال کردن قابلیت lockdown توی کرنل و مجبور کردن کرنل به بررسی امضای ماژول‌ها موقع بارگذاری اونها، بشه تا حدودی دسترسی به بعضی قسمت‌های کرنلِ در حال اجرا (نه فایل‌های روی دیسک) رو محدود کرد ولی از اونجایی که بدافزار دسترسی روت داره، می‌تونه یه کرنل مخرب رو جایگزین کرنل فعلی کنه تا موقع بوت بعدی، کرنل مخرب بوت بشه. با secure boot میشه این رو هم تا حدودی محدود کرد ولی بدافزار، همچنان به خیییلی چیز‌های دیگه دسترسی داره.
اگه آنتی ویروس هم نصب کرده باشید، می‌تونه اون رو غیرفعال کنه چون دسترسی روت داره. در مورد دیوار آتش هم همینطوره.
اگه یه بدافزار مخربی دسترسی روت بگیره، کار ساده‌ای نیست تا حلش کنید. حتی ممکنه وقتی که فکر می‌کنید حل شده، درپشتی توی سیستم گذاشته باشه تا بعدا، دوباره وارد بشه. نمیشه به همین راحتی، یه راه حل کلی برای چنین شرایطی داد.

چون دسترسی روت نداره (یا بهتره بگم پسورد روت رو نداره)

بگیم دسترسی روت نداره، بهتره. چون ممکنه کاربر روت اصلا رمزعبور نداشته باشه (اوبونتو که پیش‌فرض اینجوریه، خیلی توزیع‌های دیگه هم همینطور) ولی کار‌هایی که به دسترسی روت نیاز دارند رو با sudo انجام بدید.