适用于 Linux 的企业防病毒软件?

信息安全 linux 杀毒软件 反恶意软件
2021-09-08 08:32:37

我知道这个问题可能有违反指南的风险,但我们的 IaaS 提供商无法为我们的 Linux 服务器提供防病毒解决方案。我们部署在企业云 vSphere 环境中,但似乎无法提供虚拟机管理程序级别的解决方案,因为提供虚拟机管理程序解决方案的反恶意软件供应商利用 vShield Endpoint Thin Agent 并且它仅支持 Windows 来宾

因此,在大多数情况下,这意味着在 Linux 服务器/客户机上运行代理。供应商(例如趋势科技)将在此处列出支持的内核版本。这里的问题是,受支持的版本将是具有 Red Hat 发布的重要安全公告的旧内核,我们不想通过潜在地增加其他地方的风险来解决一个安全问题。

我们已部署 IPS 作为缓解措施并强化我们的服务器,并将我们的应用程序提交给第三方渗透测试,但我们需要部署防病毒解决方案。

请注意,按需扫描是不够的。我们正在寻找一种企业解决方案,它可以提供按访问扫描,不依赖于内核版本,并且可以自动更新所有服务器(通过最好在 Linux 上运行的管理/管理界面)。

McAfee 的 VirusScan Enterprise for Linux 从表面上看似乎不依赖于内核版本。他们的数据表指出以下内容:

内核模块版本控制——无需重新编译模块即可对新内核进行访问时扫描,从而在推出新的 Linux 内核时节省您的时间和精力。

和:

运行时内核模块——自动支持最新的发行版,既省时又省力。使用 fanotify 对内核 2.6.38 进行不带内核模块的按访问扫描可确保 Linux 始终受到保护,即使在内核更新后也是如此。

但是最新版本的 McAfee VirusScan Enterprise for Linux (2.0.0)甚至不支持 RHEL

什么企业杀毒解决方案不支持 RHEL?!

善意的系统管理员应该做什么?

1个回答

我已经在这里回答了几次这个问题。特别看一下这个答案:

服务器上的病毒扫描程序

特别是这部分:

病毒的概念意味着用户在交互会话中。有人在 Outlook 中打开电子邮件或在 Word 中打开文档,或运行他们在电子邮件中收到的程序。病毒意味着人为因素。服务器不允许(或不应该)阅读电子邮件和浏览网站。相反,对服务器的攻击是完全自动化的;无需人工。他们称之为“蠕虫”而不是“病毒”。

蠕虫Linux 上的一个问题。但是保护您的服务器免受此类威胁的工作方式不同。保护用户免受病毒侵害需要阻止用户做他们不应该做的事情。因此,“反病毒”。但是保护服务器免受蠕虫和类似攻击涉及修复易受攻击的软件。如果某些东西在您的服务器上是可利用的,那么就需要修复它。

病毒扫描程序会监视文件以查看如果您运行它们是否会伤害您。这对服务器来说不是问题,因为您将要运行的唯一程序已经存在通常,您不会像在台式机上那样在服务器上下载和运行新程序。

假设 Linux 作为服务器运行(RHEL 几乎总是这样运行防病毒软件是一种错误的保护它可以保护您免受无法伤害您的威胁,同时忽略可以伤害您的威胁。这就是 RHEL 不提供防病毒集成的原因。因为 Redhat 了解服务器安全性。

正如人们普遍认为的那样,这与 Linux 的流行程度或病毒作者是否会针对它无关。这与服务器的使用方式有关。没有用户在 Outlook 中浏览电子邮件,或下载 Flash 电影并运行它们。因此,防止危险的用户活动并不是一个有价值的解决方案。

如果您的 QSA 要求您在 Linux 服务器上运行防病毒软件,那么您需要一个不同的 QSA。这个一点头绪都没有

其它你可能感兴趣的问题
上一篇浏览器如何能够找到并构建替代的可信链路径? 下一篇VPN 可以避免 Prism 监视计划吗?