เรียกใช้ซอฟต์แวร์ป้องกันไวรัสบนเซิร์ฟเวอร์ linux DNS มันสมเหตุสมผลหรือไม่


40

ในระหว่างการตรวจสอบล่าสุดเราถูกขอให้ติดตั้งซอฟต์แวร์ป้องกันไวรัสบนเซิร์ฟเวอร์ DNS ของเราที่ใช้งาน linux (bind9) เซิร์ฟเวอร์ไม่ได้ถูกบุกรุกระหว่างการทดสอบการเจาะระบบ แต่นี่เป็นหนึ่งในคำแนะนำที่ได้รับ

  1. โดยปกติจะติดตั้งซอฟต์แวร์ป้องกันไวรัส linux เพื่อสแกนทราฟฟิกที่ผู้ใช้กำหนดดังนั้นเป้าหมายในการติดตั้งโปรแกรมป้องกันไวรัสบนเซิร์ฟเวอร์ dns คืออะไร

  2. คุณมีความคิดเห็นอย่างไรกับข้อเสนอนี้?

  3. คุณใช้ซอฟต์แวร์ป้องกันไวรัสบนเซิร์ฟเวอร์ linux ของคุณหรือไม่

  4. ถ้าเป็นเช่นนั้นคุณควรแนะนำซอฟต์แวร์ป้องกันไวรัสชนิดใดหรือกำลังใช้งานอยู่


10
ฉันติดตั้งโปรแกรมป้องกันไวรัสบนเซิร์ฟเวอร์จดหมาย linux เท่านั้นสำหรับการสแกนไวรัสในไฟล์แนบจดหมายฉันไม่เห็นความรู้สึกในการติดตั้งโปรแกรมป้องกันไวรัสบนเซิร์ฟเวอร์ dns
c4f4t0r

11
ใช่มันไม่สมเหตุสมผลเลย ขอให้ บริษัท ชี้แจงข้อเสนอแนะนั้น
Michael Hampton

พวกเขาต้องการให้คุณติดตั้งซอฟต์แวร์ป้องกันไวรัสชนิดใด
Matt

ล่อลวงให้เรียกว่า "อิงตามความเห็นเป็นหลัก" เพราะฉันรู้สึกว่าคดีถูกต้องตามกฎหมายอาจตรงกันข้ามกับคำตอบที่ได้รับความนิยมจนถึงขณะนี้ :)
Ryan Ries

1
เราพบว่าตัวเองอยู่ในตำแหน่งนี้ - ไม่ใช่เฉพาะกับ DNS แต่โดยทั่วไปแล้วเซิร์ฟเวอร์ Linux - และถึงแม้ว่าเราจะเห็นด้วยกับข้อโต้แย้งในท้ายที่สุดมันก็เป็นเพียงการออกกำลังกายแบบกล่องฟ้องที่เราเบื่อการต่อสู้ ดังนั้นเราจึงเรียกใช้ ESET Antivirus ที่จัดการจากส่วนกลางบนเซิร์ฟเวอร์ทั้งหมด
HTTP500

คำตอบ:


11

แง่มุมหนึ่งของเรื่องนี้ก็คือการแนะนำให้ "anti-virus" เป็นทุกอย่างนั้นเป็นทางออกที่ปลอดภัยสำหรับผู้สอบบัญชี

การตรวจสอบความปลอดภัยไม่ได้เกี่ยวกับความปลอดภัยทางเทคนิคอย่างแท้จริง บ่อยครั้งที่พวกเขายังเกี่ยวกับการจำกัดความรับผิดในกรณีที่มีการฟ้องร้อง

สมมติว่า บริษัท ของคุณถูกแฮ็กและมีการฟ้องร้องดำเนินคดีในชั้นเรียนกับคุณ ความรับผิดเฉพาะของคุณสามารถบรรเทาได้โดยพิจารณาจากมาตรฐานอุตสาหกรรมของคุณ สมมติว่าผู้ตรวจสอบบัญชีไม่แนะนำ AV บนเซิร์ฟเวอร์นี้ดังนั้นคุณจึงไม่ต้องติดตั้ง

การป้องกันของคุณในเรื่องนี้คือคุณทำตามคำแนะนำของผู้ตรวจสอบบัญชีที่มีความเคารพและผ่านเจ้าชู้เพื่อพูด นั่นคือเหตุผลหลักที่เราใช้ผู้ตรวจสอบบุคคลที่สาม โปรดทราบว่าการเปลี่ยนความรับผิดชอบมักจะถูกเขียนลงในสัญญาที่คุณลงนามกับผู้ตรวจสอบบัญชี: หากคุณไม่ปฏิบัติตามคำแนะนำของพวกเขามันก็จะเกิดขึ้นกับคุณ

ทนายจะตรวจสอบบัญชีผู้สอบบัญชีว่าอาจเป็นจำเลยร่วมได้ ในสถานการณ์สมมติของเราความจริงที่ว่าพวกเขาไม่แนะนำ AV บนเซิร์ฟเวอร์เฉพาะจะถูกมองว่าไม่ละเอียด เพียงอย่างเดียวนั้นจะทำร้ายพวกเขาในการเจรจาแม้ว่าจะไม่มีผลกระทบใด ๆ ต่อการโจมตีจริง

สิ่งเดียวที่รับผิดชอบ fiscally สำหรับ บริษัท ตรวจสอบที่จะทำคือการมีคำแนะนำมาตรฐานสำหรับเซิร์ฟเวอร์ทั้งหมดโดยไม่คำนึงถึงพื้นผิวการโจมตีที่เกิดขึ้นจริง ในกรณีนี้ภาพและเสียงได้ทุกอย่าง กล่าวอีกนัยหนึ่งพวกเขาแนะนำค้อนเลื่อนแม้ในขณะที่มีดผ่าตัดมีเทคนิคดีกว่าเนื่องจากเหตุผลทางกฎหมาย

มันสมเหตุสมผลหรือไม่ โดยทั่วไปจะไม่เพิ่มความเสี่ยง มันสมเหตุสมผลสำหรับทนายความผู้พิพากษาหรือคณะลูกขุนหรือไม่? แน่นอนว่าพวกเขาไม่มีความสามารถทางเทคนิคและไม่สามารถเข้าใจความแตกต่างได้ นี่คือสาเหตุที่คุณต้องปฏิบัติตาม

@ ขาวแนะนำให้คุณพูดกับผู้สอบบัญชีเกี่ยวกับเรื่องนี้ ฉันคิดว่านั่นเป็นเส้นทางที่ผิด คุณควรพูดคุยกับทนายความของ บริษัท ของคุณเพื่อรับความคิดเห็นของพวกเขาในการไม่ปฏิบัติตามคำขอเหล่านี้


2
ดูเถิดเหตุใดเราจึงถูกรั้งไว้ A / working / AV เป็นการป้องกันเล็กน้อยสำหรับเซิร์ฟเวอร์ Linux ในกรณีส่วนใหญ่เนื่องจากเป็นการปกป้องกรณีของใครบางคนที่ใช้มันเพื่อแจกจ่ายมัลแวร์
joshudson

5
หากคุณอยู่ในเครื่องที่แข็งตัว AV น่าจะเป็นซอฟต์แวร์ตัวเดียวที่ติดตั้งบนเซิร์ฟเวอร์ที่มีแบ็คดอร์ติดตั้งในตัวนั่นคือ autoupdater นอกจากนี้หากคุณจัดการเพื่อให้การจัดเก็บที่เกี่ยวข้องทั้งหมดอ่านได้อย่างเดียว AV จะเป็นซอฟต์แวร์เดียวที่ต้องมีการเข้าถึงเพื่อเขียนเพื่ออัพเดตลายเซ็น
Lie Ryan

1
ฉันไม่เห็นด้วยกับประเด็นที่ไม่ได้พูดคุยกับผู้สอบบัญชี ผู้ตรวจสอบทำผิดพลาดบ่อยกว่าที่พวกเขาต้องการยอมรับ ไม่มีอะไรผิดพลาดในการเข้าถึงความเข้าใจร่วมกันว่าผู้สอบบัญชีทำผิด - เพียงแค่ให้แน่ใจว่าการรับรู้นั้นไม่คลุมเครือ
Andrew B

1
@AndrewB: ฉันไม่คิดว่าฉันจะไม่พูดกับผู้สอบบัญชี แต่การพูดคุยกับตัวแทนฝ่ายกฎหมายของคุณก่อนหน้านี้จะเป็นวิธีที่ดีที่สุดในการดำเนินการต่อ บริษัท จำเป็นต้องเข้าใจถึงความเสี่ยงในการเจรจากับผู้สอบบัญชีอย่างเต็มที่ก่อนที่จะไปสู่เส้นทางนั้น
NotMe

31

บางครั้งผู้ตรวจสอบเป็นคนงี่เง่า ...

นี่เป็นคำขอที่ผิดปกติ ฉันจะตอบโต้คำแนะนำของผู้ตรวจสอบบัญชีโดยการรักษาความปลอดภัย / จำกัด การเข้าถึงเซิร์ฟเวอร์เพิ่ม IDS หรือการตรวจสอบความสมบูรณ์ของไฟล์หรือการรักษาความปลอดภัยที่อื่นในสภาพแวดล้อมของคุณ Antivirus ไม่มีประโยชน์ใด ๆ ที่นี่

แก้ไข:

ตามที่ระบุไว้ในความคิดเห็นด้านล่างฉันมีส่วนร่วมในการเปิดตัวเว็บไซต์ที่มีชื่อเสียงสูงในสหรัฐอเมริกาและรับผิดชอบการออกแบบสถาปัตยกรรมอ้างอิง Linux สำหรับการปฏิบัติตาม HIPAA

เมื่อเรื่องของ Antivirus เกิดขึ้นสำหรับการสนทนาเราได้แนะนำ ClamAV และไฟร์วอลล์ของแอปพลิเคชั่นเพื่อประมวลผลการส่งจากผู้ใช้ปลายทาง แต่จัดการเพื่อหลีกเลี่ยง AV ในทุกระบบโดยใช้การชดเชยการควบคุม ( IDS ของบุคคลที่สามการบันทึกเซสชัน syslog ระยะไกลสองปัจจัยรับรองความถูกต้องต่อ VPN และเซิร์ฟเวอร์ผู้ช่วยตรวจสอบไฟล์สมบูรณ์, การเข้ารหัสฐานข้อมูลของบุคคลที่ 3, โครงสร้างระบบแฟ้มบ้าฯลฯ ) สิ่งเหล่านี้ถือว่าผู้สอบบัญชียอมรับได้และทุกอย่างผ่านการอนุมัติ


2
+1 มีหลายสิ่งที่คุณสามารถใช้ทรัพยากรได้: เวลาเงินและพลังงานที่ให้ผลตอบแทนแก่ บริษัท ของคุณ บางทีผู้ตรวจสอบคนหนึ่งอ่านเกี่ยวกับพิษ DNS และคิดว่านี่เป็นการรักษา การคืนสินค้าในครั้งนี้ไม่สำคัญ
jim mcnamara

สิ่งเหล่านี้มีอยู่แล้ว: กลไกการตรวจสอบประสิทธิภาพ, IPS, ไฟร์วอลล์เครือข่ายและแน่นอน iptables บนเซิร์ฟเวอร์
John Dimitriou

@JohnDimitriou งั้นคุณก็มีรูปร่างที่ดี คำแนะนำการป้องกันไวรัสนั้นค่อนข้างแปลก ขอให้ผู้สอบบัญชีชี้แจง
ewwhite

1
@ChrisLively สิ่งนี้เกิดขึ้นระหว่างการออกแบบสภาพแวดล้อมที่ค่อนข้าง สูงซึ่งฉันทำงานเมื่อปีที่แล้ว เราลงเอยกับ ClamAV ในระบบที่เรายอมรับข้อมูลที่ผู้ใช้ส่งมา อย่างไรก็ตามเราหลีกเลี่ยง AV บนระบบ Linux อื่น ๆ โดยสรุปการควบคุมการชดเชยของเราและทำข้อตกลงกับผู้ตรวจสอบ
ewwhite

ฉันจะบอกว่าตราบใดที่คุณแสดงให้เห็นว่าคุณได้ "ลดความเสี่ยงอย่างเพียงพอ" และผู้ตรวจสอบได้ลงชื่อออกจริงว่าพวกเขาเห็นด้วยแล้วความรับผิดทางกฎหมายน่าจะเป็นที่น่าพอใจ แน่นอนฉันแน่ใจว่าสัญญาและกฎหมายอื่น ๆ โดยรอบสภาพแวดล้อมนั้นอาจทำให้มันแปลกไปหน่อย
NotMe

17

สิ่งแรกที่คุณต้องเข้าใจเกี่ยวกับผู้ตรวจสอบคือพวกเขาอาจไม่รู้อะไรเกี่ยวกับวิธีการใช้เทคโนโลยีในขอบเขตในโลกแห่งความจริง

มีช่องโหว่ความปลอดภัย DNS จำนวนมากและปัญหาที่ควรได้รับการแก้ไขในการตรวจสอบ พวกเขาจะไม่มีวันได้รับปัญหาจริงหากพวกเขาถูกรบกวนด้วยวัตถุที่มีแสงจ้าเช่น "แอนตี้ไวรัสบนเซิร์ฟเวอร์ DNS"


10

ซอฟต์แวร์ต่อต้านไวรัสแบบทั่วไปจะพยายามค้นหามัลแวร์ได้อย่างแม่นยำมากขึ้นและไม่ได้ จำกัด เฉพาะไวรัสเท่านั้น ขึ้นอยู่กับการใช้งานจริงของเซิร์ฟเวอร์ (กล่องเฉพาะสำหรับบริการเฉพาะตู้คอนเทนเนอร์บนกล่องที่ใช้ร่วมกันบริการเพิ่มเติมใน "เซิร์ฟเวอร์เท่านั้น") อาจไม่ใช่ความคิดที่ดีที่จะมีบางอย่างเช่น ClamAV หรือ LMD (Linux Malware Detect) ติดตั้งและทำการสแกนพิเศษบางอย่างทุกคืนหรือมากกว่านั้น

เมื่อถูกถามในการตรวจสอบโปรดเลือกข้อกำหนดที่แน่นอนและดูข้อมูลประกอบ ทำไม: ผู้ตรวจสอบจำนวนมากเกินไปไม่อ่านข้อกำหนดทั้งหมดไม่ทราบข้อมูลบริบทและคำแนะนำ

ตัวอย่าง PCIDSS ระบุว่า "ปรับใช้ซอฟต์แวร์ป้องกันไวรัสในทุกระบบที่ได้รับผลกระทบจากซอฟต์แวร์ที่เป็นอันตราย" ตามความต้องการ

คอลัมน์คำแนะนำ PCIDSS ที่ชาญฉลาดระบุเฉพาะเมนเฟรมคอมพิวเตอร์ระดับกลางและระบบที่คล้ายกันในปัจจุบันอาจไม่ได้รับการกำหนดเป้าหมายหรือได้รับผลกระทบจากมัลแวร์ แต่อย่างใดอย่างหนึ่ง แต่ควรตรวจสอบระดับภัยคุกคามที่แท้จริงในปัจจุบัน ช่องโหว่ (ไม่ จำกัด เฉพาะมัลแวร์)

ดังนั้นหลังจากชี้ไปที่รายชื่อไวรัส Linux ประมาณ 50 ตัวจากhttp://en.wikipedia.org/wiki/Linux_malwareเปรียบเทียบกับไวรัสที่รู้จักกันหลายล้านตัวสำหรับระบบปฏิบัติการอื่นมันเป็นเรื่องง่ายที่จะโต้แย้งเซิร์ฟเวอร์ Linux ว่าไม่ได้รับผลกระทบโดยทั่วไป . "ชุดกฎพื้นฐานที่สุด" จากhttps://wiki.ubuntu.com/BasicSecurityยังเป็นตัวชี้ที่น่าสนใจสำหรับผู้ตรวจสอบที่ใช้ Windows ส่วนใหญ่

และการแจ้งเตือน apticron ของคุณเกี่ยวกับการอัปเดตความปลอดภัยที่รอดำเนินการและการเรียกใช้ตัวตรวจสอบความสมบูรณ์เช่น AIDE หรือ Samhain อาจแก้ไขความเสี่ยงที่แท้จริงได้แม่นยำกว่าเครื่องสแกนไวรัสมาตรฐาน สิ่งนี้อาจทำให้ผู้ตรวจสอบบัญชีของคุณไม่แนะนำความเสี่ยงในการติดตั้งซอฟต์แวร์ที่ไม่จำเป็นอื่น ๆ (ซึ่งให้ผลประโยชน์ จำกัด อาจทำให้เกิดความเสี่ยงด้านความปลอดภัยหรือทำให้ระบบแตก)

หากวิธีนี้ไม่ได้ผล: การติดตั้ง clamav เป็น cronjob ทุกวันจะไม่ทำให้เจ็บเหมือนโปรแกรมอื่น ๆ


7

เซิร์ฟเวอร์ DNS ได้รับความนิยมจากผู้ตรวจสอบ PCI ในปีนี้

สิ่งสำคัญที่ต้องจดจำคือในขณะที่เซิร์ฟเวอร์ DNS ไม่ได้จัดการข้อมูลที่สำคัญพวกเขาสนับสนุนสภาพแวดล้อมของคุณที่ทำ ดังนั้นผู้ตรวจสอบจึงเริ่มทำเครื่องหมายอุปกรณ์เหล่านี้ว่า "สนับสนุน PCI" ซึ่งคล้ายกับเซิร์ฟเวอร์ NTP โดยทั่วไปผู้ตรวจสอบจะใช้ข้อกำหนดชุดอื่นกับสภาพแวดล้อมการสนับสนุน PCI มากกว่าที่พวกเขาทำกับสภาพแวดล้อม PCI เอง

ฉันจะพูดกับผู้ตรวจสอบและขอให้พวกเขาชี้แจงความแตกต่างของข้อกำหนดระหว่าง PCI และ PCI ที่สนับสนุนเพียงเพื่อให้แน่ใจว่าข้อกำหนดนี้ไม่ได้แอบเข้ามาโดยไม่ได้ตั้งใจเราไม่จำเป็นต้องตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ DNS ของเรา สำหรับสภาพแวดล้อม PCI แต่การป้องกันไวรัสไม่ใช่ข้อกำหนดที่เราประสบ


2

นี่อาจจะเป็นปฏิกิริยาที่กระตุกเข่าต่อการทุบตีของกระสุนหอยมันแนะนำว่าออนไลน์ที่อาจได้รับผลกระทบ

แก้ไข: ไม่แน่ใจว่าเคยได้รับการพิสูจน์หรือยืนยันแล้ว


11
ซอฟต์แวร์ต่อต้านไวรัสตัวไหนที่น่าแปลกใจก็คงไม่ช่วยอะไร
Bert

@Bert ป้องกันไวรัสไม่สามารถตรวจจับการโจมตีที่มีช่องโหว่ได้หรือไม่
Basilevs

shellshock ได้รับการติดตั้งแล้วและเซิร์ฟเวอร์ผ่านการทดสอบเรียบร้อยแล้ว
John Dimitriou

เฮ้ ... ฉันไม่ได้บอกว่ามันจะช่วยฉันแค่บอกว่ามันอาจจะเป็นสิ่งที่พวกเขาคิดว่าจะเป็นประโยชน์
D Whyte

2

หากเซิร์ฟเวอร์ DNS ของคุณตกอยู่ในขอบเขต PCI DSS คุณอาจถูกบังคับให้เรียกใช้ AV กับเซิร์ฟเวอร์เหล่านั้น (แม้ว่าจะเป็นเรื่องไร้สาระในกรณีส่วนใหญ่) เราใช้ ClamAV


1

หากนี่เป็นไปตามข้อกำหนดของ SOX พวกเขากำลังบอกให้คุณติดตั้งโปรแกรมป้องกันไวรัสส่วนใหญ่เพราะบางที่คุณมีนโยบายที่แจ้งว่าเซิร์ฟเวอร์ทั้งหมดต้องติดตั้งโปรแกรมป้องกันไวรัส และอันนี้ก็ไม่ได้

เขียนข้อยกเว้นไปยังนโยบายสำหรับเซิร์ฟเวอร์นี้หรือติดตั้ง AV


1

เซิร์ฟเวอร์ DNS มีสองประเภทหลัก: มีสิทธิ์และเรียกซ้ำ เผด็จการเซิร์ฟเวอร์ DNS ที่บอกโลกสิ่งที่อยู่ IP ควรจะใช้สำหรับแต่ละชื่อโฮสต์ภายในโดเมน เมื่อเร็ว ๆ นี้มันเป็นไปได้ที่จะเชื่อมโยงข้อมูลอื่น ๆ กับชื่อเช่นนโยบายการกรองอีเมล (SPF) และใบรับรองการเข้ารหัสลับ (DANE) จำแนกหรือrecursiveเซิร์ฟเวอร์ DNS, ดูข้อมูลที่เกี่ยวข้องกับชื่อโดเมนที่ใช้เซิร์ฟเวอร์ราก ( .) เพื่อหาเซิร์ฟเวอร์รีจิสทรี ( .com) โดยใช้เหล่านั้นเพื่อหาเซิร์ฟเวอร์เผด็จการโดเมน ( serverfault.com) และในที่สุดก็ใช้เหล่านั้นเพื่อหาชื่อโฮสต์ ( serverfault.com, meta.serverfault.com, ฯลฯ )

ฉันไม่เห็นว่า "โปรแกรมป้องกันไวรัส" จะเหมาะกับเซิร์ฟเวอร์ที่เชื่อถือได้อย่างไร แต่ "แอนตี้ไวรัส" ในทางปฏิบัติสำหรับตัวแก้ไขจะเกี่ยวข้องกับการบล็อกการค้นหาโดเมนที่เกี่ยวข้องกับการแจกจ่ายหรือคำสั่งและการควบคุมมัลแวร์ Google dns block malwareหรือdns sinkholeได้ผลลัพธ์สองสามอย่างที่อาจช่วยคุณปกป้องเครือข่ายของคุณด้วยการปกป้องตัวแก้ไขปัญหา นี่ไม่ใช่โปรแกรมป้องกันไวรัสประเภทเดียวกันที่คุณเรียกใช้บนเครื่องไคลเอนต์ / เดสก์ท็อป แต่เสนอให้ฝ่ายที่รับผิดชอบข้อกำหนด "โปรแกรมป้องกันไวรัส" อาจตอบกลับที่ช่วยให้คุณเข้าใจลักษณะของข้อกำหนด "โปรแกรมป้องกันไวรัส" ได้ดีขึ้น .

คำถามที่เกี่ยวข้องกับไซต์ Stack Exchange อื่น ๆ :


คุณกำลังอธิบายถึงวิธีการป้องกันไวรัสเป็นอย่างไร ดูเหมือนจะเป็นจุดเชื่อมต่อระหว่างตัวกรองป้องกันสแปมและไฟร์วอลล์ สำหรับฉันแล้วนั่นคือการบอกว่า iptables เป็นซอฟต์แวร์ป้องกันไวรัส
Patrick M

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.