نصب آنتی ویروس بر روی لینوکس های داخل شبکه یک سازمان؛ ضرورت یا زائد؟

[Dragon-]

دقیقا همین. پس جایی که لینوکس ها با سایر سیستم های ویندوزی و زیرساختی (فریم ویر سخت افزارهایی مثل سرور، سوییچ و غیره) ارتباط شبکه ای دارند، بهتره آنتی ویروس داشته باشند، درسته؟

بار سرور رو زیاد نمی‌کنه؟

[دانیال بهزادی]

دقیقا همین. پس جایی که لینوکس ها با سایر سیستم های ویندوزی و زیرساختی (فریم ویر سخت افزارهایی مثل سرور، سوییچ و غیره) ارتباط شبکه ای دارند، بهتره آنتی ویروس داشته باشند، درسته؟

ارتباط شبکه‌ای نه. گنو/لینوک اون‌قدر احمق نیست که بذاره ویروس‌ها از تو شبکه‌اش رد بشن. پادویروس فقط جایی کارایی داره که پرونده‌های خامی روی کارسازهای گنو/لینوکسی نگه‌داری مي‌شن که ممکنه ویروسی باشن و این پرونده‌ها ممکنه مستقمیماً به دست افرادی روی ویندوز بیفتن. مثل کارساز رایانامه یا کارساز پرونده.

[shena]

مثل کارساز رایانامه یا کارساز پرونده.

هر دو تای اینا در لبه شبکه مون از آنتی‌ویروس رد می‌شن، قبل از نشستن روی استورج.

بار سرور رو زیاد نمی‌کنه؟

کسپرسکی تا ۵۰۰ مگ رم در حالت آماده به کار و تا یک گیگ رم رو در حین اسکن می‌گیره. این در مورد نسخه سروری روی VPSئه؛ دسکتاپ و روی PC/Laptop رو نمی دونم

[سلمان م.]

اگه هدف این هم که توزیع گنو/لینوکس ویروس نگیره، نه نیازی نیست. اگه هدف این هست که جلوی انتشار فایل‌های ویروسی ویندوز رو بگیره، لازم هست.

یعنی به طور مثال برای mail server لازم هست، تا جلوی انتشار فایل‌های ویروسی ویندوز رو بگیره.

در ضمن از Kaspersky هم استفاده نکنید، چون سازنده‌اش روسی هست، اداره امنیت آلمان روش هشدار گذاشته که حواستون باشه.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Warnungen-nach-P7_BSIG/2022/BSI_W-004-220315.pdf;jsessionid=91F5DD4CB94ABDAAF7221691F231CE49.internet482?__blob=publicationFile&v=12

[shena]

در ضمن از Kaspersky هم استفاده نکنید، چون سازنده‌اش روسی هست، اداره امنیت آلمان روش هشدار گذاشته که حواستون باشه.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Warnungen-nach-P7_BSIG/2022/BSI_W-004-220315.pdf;jsessionid=91F5DD4CB94ABDAAF7221691F231CE49.internet482?__blob=publicationFile&v=12

اینجا حرفش خطاب به شرکتهای آلمانی اینه که از محصول روسی استفاده نکنید چون روسیه یه تهدید علیه ناتو و EU است. اما برای ما که فعلا کشور دوست-و-برادر حساب می آد.

یعنی به طور مثال برای mail server لازم هست، تا جلوی انتشار فایل‌های ویروسی ویندوز رو بگیره.

واقعیتش اینکه با چه هدفی دقیقا استفاده خواهد شد، ما نمی تونیم مطمئن باشیم. برای مثال به ما گفته میشه یه سرور برای دیتابیس بدید، بعد ممکنه بدون اطلاع ما NFS کرده باشنش که ویندوزها باهاش در تعامل میشن.

[Dragon-]

اینجا حرفش خطاب به شرکتهای آلمانی اینه که از محصول روسی استفاده نکنید چون روسیه یه تهدید علیه ناتو و EU است. اما برای ما که فعلا کشور دوست-و-برادر حساب می آد.

باز هم دلیل نمیشه که ما بتونیم بهش اعتماد کنیم. ممکنه از اطلاعات ما هم سوء استفاده کنه.

[shena]

این که فقط یه بدافزاره و ویروس نیست.

ویروس به عنوان نماینده همه این چیزای بد جا افتاده است. کلی منظوره. آنتی ویروسها هم فقط جلوی ویروس رو نمی گیرن. کلی فیچر باخود و بیخود امنیتی مثل فایروال هم دارند!

اگه یه چیزی دسترسی روت به دست بیاره، تقریبا کار خاصی نمی‌تونید انجام بدید.

اگه آنتی ویروس هم نصب کرده باشید، می‌تونه اون رو غیرفعال کنه چون دسترسی روت داره. در مورد دیوار آتش هم همینطوره.

ما با تیم امنیت مون داستان داریم. و پنجشنبه این هفته دانتایم گرفتن که هر چی لینوکس داریم و دست تیم ماست، بیان روشون آنتی ویروس بریزن! استلالهاشون ایناست:
- آنتی ویروس لاگ جمع می کنه و می فرسته به کنسول مرکزی و در یه نقطه مرکزی سیستم ها از نظر آلودگی و مشکلات امنیتی شون قابل مانیتور میشن
- آنتی ویروس امضای باج افزارهای شناخته شده رو داره و مانع کارکردنشون میشه
- سیستم ها لزوما آپدیت شده نیستن چون همه لینوکسها رو نمیشه مرتب به روز کرد (اینو درست می گن: ما نرم افزاری داریم که به دلایلی نمی تونیم OS رو به روز کنیم چون نرم افزار از کار می افته و فعلا تا پچ شدن نرم افزار باید روی OS آپدیت نشده بمونیم. همین طور نرم افزاری داریم که جرئت نمی کنیم بدون یکی دو ماه کار کردن روی آپدیتش در محیط تست و stage، در محیط پروداکشن آپدیتش کنیم)
- روی OSها سرویسهای مختلفی نصبه که می تونن آسیب پذیری داشته باشن و بدافزارها از این آسیب پذیریا با دسترسی روت وارد میشن
- همه نرم افزارها از مخزن نصب نشدن (اینو هم درست میگن؛ ما هم نرم افزارهای سازمانی خودمون رو داریم که خب در مخازن اوبونتو نیستن و روی مخازن لوکال خودمون میان و هم نرم افزارهایی که در مخازن اصلی نبودن یا به دلایلی مجبور شدیم رپوی اختصاصی اد کنیم (تیم های توسعه اغلب مایلند با آخرین نسخه های برنامه ها و لایبراری ها کار کنن))

من خیلی گشتم و نتونستم ریسورس های معتبری پیدا کنم که صریح و مستدل بگه لینوکس آنتی ویروس نمی خواد. اگر اینطور مستنداتی دارید لطفا اینجا اشتراک بذارید. ممنون

[جعفر فرقانلوژ]

ویکی > چرا به انتی ویروس نیاز نداریم

- آنتی ویروس لاگ جمع می کنه و می فرسته به کنسول مرکزی و در یه نقطه مرکزی سیستم ها از نظر آلودگی و مشکلات امنیتی شون قابل مانیتور میشن

این واسه وقتیه که مشکل امنیتی باشه ! صد سال لاگ جمع کن وقتی چیزی نیست به چه کار میاد !
البته مثلا apt لاگ جمع می کنه که خودش کاربردی و قابل استفاده است

- آنتی ویروس امضای باج افزارهای شناخته شده رو داره و مانع کارکردنشون میشه

باز هم اینجا همین مشکل رو داریم ! باج افزاری شناسایی شده که بخواد امضاش رو انتی ویروس داشته باشه که بخواد جلوش رو بگیره ؟ اولا که باج افزاری هم باشه توی گنو دسترسی خاصی نداره که بخواد کاری کنه ! شما باج افزار رو بریز ، اجرا کن ، کپی کن ، منتشر کن   مهم نیست اون باج افزار (که در نظر بگیریم هست) دسترسی اجرایی نداره چیزی برای تغییر دادن نداره !

- سیستم ها لزوما آپدیت شده نیستن چون همه لینوکسها رو نمیشه مرتب به روز کرد (اینو درست می گن: ما نرم افزاری داریم که به دلایلی نمی تونیم OS رو به روز کنیم چون نرم افزار از کار می افته و فعلا تا پچ شدن نرم افزار باید روی OS آپدیت نشده بمونیم. همین طور نرم افزاری داریم که جرئت نمی کنیم بدون یکی دو ماه کار کردن روی آپدیتش در محیط تست و stage، در محیط پروداکشن آپدیتش کنیم)

شما باید نسخه ای نصب کنید که پشتیبانی طولانی مدت داره اوبونتو با پشتیبانی طولانی مدت هست دبیان پایدار هم هست
بروزرسانی امنیتی در لحظه دریافت می کنند

- روی OSها سرویسهای مختلفی نصبه که می تونن آسیب پذیری داشته باشن و بدافزارها از این آسیب پذیریا با دسترسی روت وارد میشن

سرویساتون رو از مخازن اصلی و بروز نگه دارید

- همه نرم افزارها از مخزن نصب نشدن (اینو هم درست میگن؛ ما هم نرم افزارهای سازمانی خودمون رو داریم که خب در مخازن اوبونتو نیستن و روی مخازن لوکال خودمون میان و هم نرم افزارهایی که در مخازن اصلی نبودن یا به دلایلی مجبور شدیم رپوی اختصاصی اد کنیم (تیم های توسعه اغلب مایلند با آخرین نسخه های برنامه ها و لایبراری ها کار کنن))

اینجا هم مشکل داریم
نرم افزار های خودتون توسعش هم با خودتونه به نظرتون درسته نرم افزار رو خودتون بنویسید بعد امنیتش رو به انتی ویروس بسپارید ؟

چند نوع سیستم عامل دارید ؟ یعنی بعضی ها ویندوز بعضی ها گنو ؟



تقریبا نود درصد استدلال هاتون به تفکر ویندوزی بر میگرده ! حداقل نصف این موارد رو ، روی گنو اصلا ما نداریم ! این به ظاهر انتی ویروس های گنو/لینوکسی هیچ کاری تو گنو نمی کنند ! بله درسته هیچ کاری ! کار اینا تشخیص بد افزار ویندوزیه (که اصلا توی گنو چیزی به جز یک تیکه فایل بی فایده نیستند) که وقتی به کار میاد که هم ویندوز دارید هم گنو اینطوری نمی‌زارید که این بد افزار ها اشتباها وارد سیستم های ویندوزی بشن

تنها چیزی که می‌تونم بگم اینه که توزیع هاتون رو بروز نگه دارید (واسه سرور و اینها نمی‌رن توزیع غلتان نصب کنند  یک توزیع با پشتیبانی طولانی مدت نصب کنید مثلا پنج سال نصب داشته باشیدش بروزرسانی امنیتی هم دریافت می کنید ! خیلی هم ایمن )
نرم افزار خارج از مخازن نصب نکنید (اگه مال خودتونه باید امنیتش هم بر عهده بگیرید )
به چیزی که واقعا نیاز نیست به هیچ عنوان دسترسی بیش از حد ندید
این رو هم بگم که اگه مشکل امنیتی پیدا بشه به روز نمی‌کشه که وصله امنیتی منتشر بشه (این رو از خودم نمی‌گم قبل از این که خبرش هم در بیاد مشکل حل شده ! داشتیم دو سه ساعت بعد از پیدا شدن بروزرسانی قابل دریافت بوده )
قبل از هر کاری هم تفکر ویندوزی رو از خودتون دور کنید

موفق باشید 

[دانیال بهزادی]

تفکر امنیتی سازمانتون مشکل داره. اون تیم نباید بذاره اصلاً برنامه‌ها و سرویس‌هایی خارج از مخازن نصب بشه. نه این که بخواد بعدش ببینه چی به چیه!

[Dragon-]

ویروس به عنوان نماینده همه این چیزای بد جا افتاده است. کلی منظوره. آنتی ویروسها هم فقط جلوی ویروس رو نمی گیرن. کلی فیچر باخود و بیخود امنیتی مثل فایروال هم دارند!

دیوار آتش که همراه خود توزیع‌ها هست. اکثر توزیع‌ها iptables یا nftables رو دارند. و همونطور که گفتید، این یه قابلیت بیخود برای آنتی‌ویروس‌های گنو/لینوکسی هست.

- آنتی ویروس لاگ جمع می کنه و می فرسته به کنسول مرکزی و در یه نقطه مرکزی سیستم ها از نظر آلودگی و مشکلات امنیتی شون قابل مانیتور میشن

به نظرم اگه قراره گزارش‌های (لاگ) امنیتی جمع‌‌آوری و فرستاده بشه، گزینه بهتر این هست که سرویس‌های auditd و sysstat و lynis روی اون سرور‌ها نصب و فعال بشه تا گزارش تولید کنند.بعد میشه با استفاده از rsyslog یا ابزار‌های مشابه، این گزارش‌ها رو فرستاد به کنسول مرکزی.

- سیستم ها لزوما آپدیت شده نیستن چون همه لینوکسها رو نمیشه مرتب به روز کرد (اینو درست می گن: ما نرم افزاری داریم که به دلایلی نمی تونیم OS رو به روز کنیم چون نرم افزار از کار می افته و فعلا تا پچ شدن نرم افزار باید روی OS آپدیت نشده بمونیم. همین طور نرم افزاری داریم که جرئت نمی کنیم بدون یکی دو ماه کار کردن روی آپدیتش در محیط تست و stage، در محیط پروداکشن آپدیتش کنیم)

تا جایی که می‌دونم، بروزرسانی‌های امنیتی باعث تغییر زیادی توی عملکرد برنامه نمیشن که مجبور باشید چیزی رو ارتقا ندید تا یه وقت مشکلی پیش نیاد.
می‌تونید مدیربسته رو جوری تنظیم کنید که تا وقتی مستقیم از اون درخواست نکردید، هیچ بروزرسانی به غیر از بروزرسانی‌های امنیتی رو دریافت نکنه.

راه حل اصلی اینه که مشکلات امنیتی برنامه‌ها رو رفع کنید به جای اینکه برید سراغ آنتی‌ویروس. ممکنه یه بدافزار ناشناخته از طریق آسیب‌پذیری وارد سیستم بشه و آنتی‌ویروس هم متوجه اون نشه.
اینکه بذارید بدافزار‌ها وارد بشن و بعد بخواهید اونها رو پیدا کنید و جلوی اونها رو بگیرید، باید سخت‌تر از این باشه که کلا نذارید بدافزار‌ها از همون اول وارد بشن.
 

- روی OSها سرویسهای مختلفی نصبه که می تونن آسیب پذیری داشته باشن و بدافزارها از این آسیب پذیریا با دسترسی روت وارد میشن

تا جایی که می‌دونم، معمولا از یه سرور فقط برای یه سری کار‌های محدود استفاده میشه. برای مثال یکی فقط وب‌سرور داره، یکی پایگاه داده روی اون هست، یکی کار‌های مربوط به احراز هویت رو انجام میده، یکی برای nfs یا clusterfs و اینجور چیز‌ها استفاده میشه، یکی تقسیم کننده بار (load balancer) هست و ...
به خاطر همین، معمولا روی یه سرور، چندین سرویس متفاوت اجرا نمیشه که دامنه تهدیدات امنیتی خیلی زیاد باشه.

تا جایی که می‌دونم، سرویس‌های مرتبط با شبکه معمولا مستقیم با کاربر روت اجرا نمیشن. مثلا apache با دسترسی کاربر www-data اجرا میشه. در مورد سرویس مربوط به پایگاه‌های داده هم فکر کنم همینجور باشه.
این عملکرد به خاطر هست که اگه به اونها نفوذ شد، نفوذگر دسترسی روت بدست نیاره.

به غیر از اینها، اگه یه بدافزار دسترسی روت بدست بیاره، اونوقت می‌تونه آنتی‌ویروس و بیشتر لایه‌های امنیتی رو دور بزنه. در این حالت کاربرد آنتی‌ویروس چیه؟

تیم های توسعه اغلب مایلند با آخرین نسخه های برنامه ها و لایبراری ها کار کنن

مگه سیستمی که تیم‌های توسعه از اون استفاده می‌کنند با سیستمی که در حال خدمت‌دهی هست متفاوت نیست؟ اگه اینجوره، پس چرا تیم‌های توسعه از نسخه جدید سیستم‌عامل استفاده نمی‌کنند؟

به نظرم آنتی‌ویروس برای این شرایط، فقط بدرد سیستم‌هایی می‌خوره که سیستم‌عامل اونها قدیمیه و برنامه داخل مخازن اونها دیگه بروزرسانی امنیتی دریافت نمی‌کنند.
برای بقیه سیستم‌ها، دریافت منظم بروزرسانی‌های امنیتی و پیکربندی درست باید از اونها در برابر بدافزار‌ها محافظت کنه.

یه چیزی؛ با ابزار lynis می‌تونید یه بررسی امنیتی از سیستم بگیرید و ببینید وضعیت اون چجوری هست. آخر سر یه سری راهنما به همراه چندین لینک برای حل اون مشکلات به نمایش میذاره.

[shena]

به نظرم آنتی‌ویروس برای این شرایط، فقط بدرد سیستم‌هایی می‌خوره که سیستم‌عامل اونها قدیمیه و برنامه داخل مخازن اونها دیگه بروزرسانی امنیتی دریافت نمی‌کنند.
برای بقیه سیستم‌ها، دریافت منظم بروزرسانی‌های امنیتی و پیکربندی درست باید از اونها در برابر بدافزار‌ها محافظت کنه.

ممنون. پاسخ هات خیلی خوب بود.
البته هنوز دنبال مستندات هم هستم

نباید بذاره اصلاً برنامه‌ها و سرویس‌هایی خارج از مخازن نصب بشه.

به نظرت خدشه ای وارد نیست، اما روی کاغذ؛ در عمل مجبوریم سراغ خارج از مخازن هم - خصوصا اگر نخوایم از snapd استفاده کنیم - در بعضی مواقع بریم؛ و نرم افزارهایی هم که خودمون توسعه میدیم که خب خارج از مخازنن.

[جعفر فرقانلوژ]

مستندات مثلا توی ویکی خودمون هم گفتم

[shena]

تفکر امنیتی سازمانتون مشکل داره.

نهایتا ازمون خواستن تضمین بدیم سیستم ها harden هستن، اما
- داکیومنتهای هاردنینگ (مثلا CIS)، چند صد صفحه ای و با دستورالعملهای زیاد هستند و پیاده سازی شون چندین ماه زمان می بره
- ما در لایه OS نهایتا بتونیم تضمین بدیم سیستم رو امن نگه می داریم، ولی سرویس نصب شده دست ما نیست و خطاهای پیکربندی Owner سرویس رو نمی تونیم کاور کنیم
لذا وا دادیم