Linux DNS sunucularında virüsten koruma yazılımı çalıştırın. Mantıklı geliyor?

40

Yakın zamanda yapılan bir denetim sırasında, Linux kullanan Linux sunucularımıza virüsten koruma yazılımı yüklememiz istendi (bind9). Sızma testi sırasında sunucular tehlikeye girmedi, ancak bu verilen önerilerden biriydi.

  1. Genellikle linux antivirüs yazılımı, kullanıcılara yönelik trafiği taramak için kurulur, peki bir dns sunucusuna antivirüs kurmak nedir?

  2. Teklifle ilgili fikriniz nedir?

  3. Linux sunucularınızda virüsten koruma yazılımı kullanıyor musunuz?

  4. Öyleyse, hangi virüsten koruma yazılımını önerirsiniz veya şu anda kullanıyorsunuz?

linux  domain-name-system  bind  anti-virus  pci-dss 
John Dimitriou
kaynak
10
Yalnızca linux posta sunucularına antivirüs yüklüyorum, posta eklerinde virüs taraması için, dns sunucusuna antivirüs yüklemede herhangi bir anlam görmüyorum.
c4f4t0r
11
Evet, bu hiç mantıklı değil. Şirketten bu tavsiyeyi netleştirmesini isteyin.
Michael Hampton
Hangi virüsten koruma yazılımını yüklemenizi istiyorlar?
Matt
"Öncelikle Görüş Tabanlı" olarak adlandırılmaya özendirildi, çünkü şu ana kadar verilen popüler cevapların aksine meşru bir dava açılabileceğini düşünüyorum. :)
Ryan Ries
1
Kendimizi bu konumda bulduk - özellikle DNS ile değil, genel olarak Linux sunucuları ile - ve bununla ilgili argümana katılmamıza rağmen, sonuçta, mücadele etmekten bıktığımız sadece bir kutucuk alıştırmasıydı. Böylece tüm sunucularda merkezi olarak yönetilen ESET Antivirus programını çalıştırıyoruz.
HTTP500,

Yanıtlar:

11

Bunun bir yönü, "anti-virüs" ün her şeyin üstünde olmasını tavsiye etmenin denetçi için güvenli bir bahis olduğudur.

Güvenlik denetimleri tamamen gerçek teknik güvenlik ile ilgili değildir. Sıklıkla, bir dava durumunda da sorumluluk sınırlaması konusundadırlar.

Diyelim ki şirketiniz saldırıya uğradı ve size karşı bir sınıf dava açtı. Endüstri standartlarını ne kadar iyi takip ettiğinize bağlı olarak, özel yükümlülüğünüz hafifletilebilir. Diyelim denetçiler söylemek değil bu sunucuda AV tavsiye, bu yüzden bunu yüklemeyin.

Buradaki savunmanız, saygın bir denetçinin tavsiyelerine uymanız ve konuşmak için paranın karşılığını vermenizdir. Bu arada, üçüncü şahıs denetleyicilerini kullanmamızın birincil nedeni budur. Sorumluluk değişikliğinin genellikle denetçilerle imzaladığınız sözleşmeye yazıldığını unutmayın: tavsiyelerine uymazsanız, hepsi size aittir.

Avukatlar daha sonra denetçiyi olası bir sanık olarak soruştururlar. Varsayımsal durumumuzda, AV'yi belirli bir sunucuda önermedikleri gerçeği, tamamlanmamış olarak görülecektir. Asıl saldırı ile hiçbir ilgisi olmasa bile, tek başına müzakerelerde onlara zarar verebilir.

Bir denetim şirketinin yapması gereken tek mali sorumluluk, gerçek saldırı yüzeyinden bağımsız olarak tüm sunucular için standart bir öneride bulunmaktır. Bu durumda, her şeyde AV . Başka bir deyişle, bir neşter yasal gerekçelerden dolayı teknik olarak daha üstün olduğunda bile bir kızak çekici önerirler.

Teknik anlam ifade ediyor mu? Genelde hayır, genellikle riski arttırdığı için. Avukatlara, bir hakime veya hatta bir jüriye mantıklı geliyor mu? Kesinlikle, teknik olarak yetkin değiller ve nüansları anlama yeteneğinden yoksunlar. Bu yüzden uymak zorundasın.

@wwhite bu konuda denetçi ile konuşmanızı tavsiye etti. Bence bu yanlış yol. Bunun yerine, bu talepleri yerine getirmeme konusunda görüşlerini almak için şirketinizin avukatı ile görüşmelisiniz .

Ben değilim
kaynak
2
Neden geri durduğumuza bak. A / working / AV, çoğu durumda bir Linux sunucusu için çok az savunma gerektirir, çünkü yalnızca birisinin kötü amaçlı yazılımı dağıtmak için kullandığı birisini savunur.
joshudson
5
Sertleştirilmiş bir makinedeyseniz, bir AV muhtemelen sunucuda kurulu tek bir arka kapıya, yani autoupdater'a sahip olan tek yazılım olacaktır. Ayrıca, tüm ilgili depoları salt okunur hale getirmeyi başarırsanız, AV imzasını güncellemek için yazma erişimi gerektiren tek yazılım olacaktır.
Yalan Ryan
1
Denetçilerle konuşmama noktasına katılıyorum. Denetçiler, kabul etmekten daha sık hata yaparlar. Denetçinin bir hata yaptığı konusunda karşılıklı bir anlayışa varmanın yanlış bir tarafı yoktur - yalnızca onaylamanın kesin olduğundan emin olun.
Andrew B
1
@AndrewB: Denetçilerle ASLA konuşmayacağımı söylemediğimi sanmıyorum. Aksine, PRIOR yasal temsilcinizle yaptığınız görüşme ilerlemenin en iyi yolu olacaktır. Şirket bu yola girmeden önce denetçilerle pazarlık yapmanın riskini tam olarak anlamalıdır.
Saat
31

Bazen denetçiler salaktır ...

Bu nadir bir istek olsa da. Denetçilerin tavsiyelerine sunuculara erişimi güvence altına alarak / sınırlayarak, IDS veya dosya bütünlüğü izleme veya ortamınızın başka bir yerindeki güvenliği destekleyerek karşı koyardım. Antivirüs burada herhangi bir yararı yoktur.

Düzenle:

Aşağıdaki yorumlarda belirtildiği gibi, burada ABD’de çok yüksek profilli bir web sitesinin açılışına katıldım ve Linux referans mimarisini HIPAA’nın uyumu için tasarlamaktan sorumluydum.

Antivirus konusu tartışma için ortaya çıktığında, son kullanıcılardan gelen gönderileri işlemek için ClamAV ve bir uygulama güvenlik duvarı önerdik, ancak telafi edici kontroller uygulayarak tüm sistemlerde AV yapmaktan kaçınmayı başardık ( 3. taraf IDS , oturum günlüğü, denetleme, uzak syslog, iki faktörlü kimlik doğrulama VPN ve sunucular, AIDE dosya bütünlük izleme, 3. taraf DB şifreleme için deli dosya sistemi yapıları , vb) . Bunlar denetçiler tarafından kabul edilebilir sayıldı ve hepsi onaylandı.

ewwhite
kaynak
2
+1. Kaynakları harcayabileceğiniz pek çok şey var: şirketinize geri dönüş sağlayan zaman, para ve enerji. Belki de bir denetçi DNS zehirlenmesi hakkında okudu ve bunun bir tedavi olduğunu düşünüyor. Bunun geri dönüşü ihmal edilebilir.
Jim Mcnamara
Tüm bunlar zaten mevcut: performans izleme mekanizmaları, IPS, ağ güvenlik duvarı ve tabii ki sunucudaki iptables.
John Dimitriou,
@JohnDimitriou O zaman mükemmel durumdasınız. Antivirüs önerisi biraz garip. Denetçilerden netleşmelerini isteyin.
beyazbeyaz
1
@ChrisLively Bu tasarımı sırasında gündeme geldi biraz yüksek profilli Geçen yıl üzerinde çalışıyordu çevre. Kullanıcı tarafından gönderilen verileri kabul ettiğimiz sistemlerde ClamAV ile son bulduk. Ancak, telafi edici kontrollerimizin ana hatlarını çizerek ve denetçilerle bir anlaşmaya vararak diğer Linux sistemlerinde AV'den kaçınıyoruz .
beyaz
“Riski yeterince azalttığınızı” gösterdiğiniz ve denetçilerin aslında kabul ettiklerini imzaladıkları ve yasal yükümlülüğün büyük olasılıkla yerine getirildiği anlamına geldiğini söyleyebilirim . Tabii ki, belirli bir ortamı çevreleyen sözleşmelerin ve diğer yasaların onu biraz benzersiz hale getirebileceğinden eminim.
15'te
17

Denetçiler hakkında anlamanız gereken ilk şey, kapsamdaki teknolojinin gerçek dünyada nasıl kullanıldığı hakkında hiçbir şey bilmeyebilirler.

Bir denetimde ele alınması gereken birçok DNS güvenlik açığı ve sorunu vardır. "Bir DNS sunucusundaki antivirüs" onay kutusu gibi parlak parlak nesnelerden rahatsız olduklarında asla asıl sorunlara ulaşamayacaklar.

Greg Askew
kaynak
10

Tipik modern anti-virüs yazılımı, kötü amaçlı yazılım bulmayı daha doğru bir şekilde dener ve yalnızca virüslerle sınırlı değildir. Bir sunucunun gerçek uygulamasına bağlı olarak (özel bir servis için özel kutu, paylaşılan bir kutuda konteyner, "tek sunucu" da ek hizmet), ClamAV veya LMD (Linux Malware Detect) gibi bir şeye sahip olmak muhtemelen kötü bir fikir değildir. yüklü ve her gece ya da öylesine bazı ekstra tarama yapmak.

Bir denetimde istendiğinde, lütfen tam gereksinimi seçin ve beraberindeki bilgilere bir göz atın. Neden: Çok fazla denetçi şartı tam olarak okumuyor, içerik ve rehberlik bilgilerinden haberdar değil.

Örnek olarak, PCIDSS bir gereksinim olarak "kötü amaçlı yazılımdan yaygın olarak etkilenen tüm sistemlere virüsten koruma yazılımı dağıtma" durumunu belirtir.

Anlaşılır PCIDSS rehberlik sütunu özellikle ana bilgisayarları, orta sınıftaki bilgisayarları ve benzer sistemleri şu anda kötü amaçlı yazılımlardan genellikle hedeflenemediğini veya etkilenmeyebileceğini, ancak birinin mevcut gerçek tehdit düzeyini izlemesi, satıcı güvenlik güncellemelerinin farkında olması ve yeni güvenliği ele almak için önlemler alması gerektiğini belirtir güvenlik açıkları (kötü amaçlı yazılımlarla sınırlı değildir).

Bu nedenle , diğer işletim sistemleri için bilinen milyonlarca bilinen virüse kıyasla http://en.wikipedia.org/wiki/Linux_malware adresinden yaklaşık 50 Linux virüsü listesine işaret ettikten sonra , bir Linux sunucusunu yaygın olarak etkilenmeyeceğini iddia etmek kolaydır. . Https://wiki.ubuntu.com/BasicSecurity'den "en temel kurallar kümesi" çoğu Windows odaklı denetçi için ilginç bir göstericidir.

Ayrıca, bekleyen güvenlik güncellemeleri ve AIDE veya Samhain gibi bütünlük kontrolcülerinin çalıştırılması konusundaki apticron uyarılarınız, standart virüs tarayıcısından çok daha doğru bir şekilde gerçek riskleri ele alabilir. Bu aynı zamanda denetçinizi, aksi takdirde gereksiz bir yazılım yükleme riski getirmemesi konusunda ikna edebilir (sınırlı fayda sağlar, güvenlik riski getirebilir veya basitçe bozulabilir).

Bu işe yaramazsa: clamav'ı günlük bir cronjob olarak kurmak, diğer yazılımlara çok zarar vermez.

knoepfchendruecker
kaynak
7

DNS sunucuları bu yıl PCI denetçileri ile popüler hale geldi.

Tanınması gereken önemli şey, DNS sunucularının hassas verileri ele almamakla birlikte, bunu yapan ortamlarınızı destekledikleridir . Bu nedenle denetçiler bu cihazları NTP sunucularına benzer şekilde "PCI destek" olarak işaretlemeye başlıyor. Denetçiler tipik olarak PCI destek ortamlarına, PCI ortamlarının kendilerinden daha farklı gereksinimler uygularlar.

Denetçilerle konuşur ve onlardan PCI ve PCI desteği arasındaki gereksinimlerindeki farklılığı açıklığa kavuşturmalarını isterdim, sadece bu gereksinimin yanlışlıkla gizlice girmediğinden emin olmak için. PCI ortamlarına, ancak anti-virüs karşılaştığımız gereksinimlerden biri değildi.

Andrew B
kaynak
2

Bu, mermi kovanı bash vuln'a diz çökmüş bir tepki olabilirdi, çevrimiçi olarak bağlamanın etkilenebileceği öne sürüldü.

EDIT: Kanıtlanmış veya onaylanmış olduğundan emin değil.

D Whyte
kaynak
11
Garip bir şekilde, anti-virüs yazılımı bunun için hiçbir yardımı olmazdı.
Bert
@Bert antivirüs savunmasız bash algılayamıyor mu?
Basilevs
shellshock zaten eklenmiş ve sunucular testlerden başarıyla geçmiştir
John Dimitriou
Hey ... Yardım edeceğini söylemiyorum, sadece yardımcı olacağını düşündükleri şeyleri söylüyorum.
D Whyte
2

DNS sunucularınız PCI DSS kapsamına girerse, AV'leri üzerinde çalıştırmak zorunda kalabilirsiniz (çoğu durumda düpedüz aptalca). ClamAV kullanıyoruz.

Brian Knoblauch
kaynak
1

Bu, SOX uyumluluğu içinse, büyük olasılıkla, çünkü tüm sunucularda antivirüs yüklü olması gerektiğini söyleyen bir politikaya sahip olduğunuz bir yerde antivirüs yüklemenizi söylüyorlar. Ve bu da değil.

Bu sunucunun ilkesine bir istisna yazın veya AV yükleyin.

kalabalık ev
kaynak
1

İki tür DNS sunucusu vardır: yetkili ve özyinelemeli. Bir yetkili DNS sunucusu IP adreslerini bir etki alanı içindeki her konak için kullanılması gerektiğini dünyaya ne söyler. Son zamanlarda, diğer verileri e-posta filtreleme politikaları (SPF) ve şifreleme sertifikaları (DANE) gibi bir adla ilişkilendirmek mümkün hale geldi. Bir çözümleyici veya özyinelemeli DNS sunucusu, (kök sunucularını kullanarak, alan adları ile ilgili bilgileri arar .(kayıt sunucularını bulmak için) .comBu alan adlarının yetkili sunucuları (bulmak kullanarak) serverfault.com) ve son olarak (hostnames bulmak için kullananlara serverfault.com, meta.serverfault.com, vb.).

"Antivirüs" un yetkili bir sunucu için nasıl uygun olacağını göremiyorum. Ancak bir çözümleyici için pratik "antivirüs", kötü amaçlı yazılımların dağıtımı veya komutu ve kontrolüyle ilişkili alanların aranmasını engellemeyi içerir. Google dns block malwareveya dns sinkholeçözümleyicilerini koruyarak ağınızı korumanıza yardımcı olabilecek birkaç sonuç getirdi. Bu, bir istemci / masaüstü bilgisayarında çalıştırdığınız aynı tür virüsten koruma yazılımı değildir, ancak "virüsten koruma" gereksiniminden sorumlu tarafa önermek, "virüsten koruma" gereksiniminin doğasını daha iyi anlamanıza yardımcı olacak bir yanıt verebilir. .

Diğer Stack Exchange sitelerinde ilgili sorular:

Damian Yerrick
kaynak
Anti-virüs tanımladığınız şey nedir? İstenmeyen posta önleme filtresi ve güvenlik duvarı arasındaki geçiş gibi görünüyor. Bana göre, bu iptables'ın anti-virüs yazılımı olduğunu söylemek gibidir.
Patrick M
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.