A kérdés a témában megfogalmazva: van-e használható real-time antivírus Linuxra?
Eddig eggyel van tapasztalatom, az ESET antivírusával, ez korábban nagyon fasza volt, de megszűnt a desktopos Endpoint Antivírus, ami meg helyette lett, az növesztett egy rosszul konfigurálható, még rosszabbul működő, és Linuxon le egyáltalán nem tiltható tűzfalat. Őszintén, eddig több problémát okozott, mint amennyit megoldott.
Ami érdekelne
- Mennyire fogja meg a gépet egy nagyobb (10-100G állomány) és egy közepes (100M-5G) állomány mozgatása esetén?
- Használod-e virtualizációval, konténerizációval, ha igen, milyennel, és mik a tapasztalatok?
- Server vagy Desktop termék? Van GUI-ja?
- Van belőle otthon használható verzió vagy csak céges? Mindkét megoldás érdekel!
- Ha van céges, tud központi policy-t vagy valamilyen könnyen export/importálható szabályrendszert (pl CSV-be ki tudom exportálni mire ne ugorjon rá)?
FONTOS! Légyszi, kizárólag a fenti kérdésekre keresek választ, elsősorban saját tapasztalatot, kifejezetten valamilyen Linuxon is működő antivírus termékkel.
Ha nem használsz antivírust, ha úgy gondolod hogy nem kell, ha az a véleményed, hogy rossz nyomon járok ezzel a kérdéssel, akkor köszi szépen, hogy idáig elolvastad, de ne válaszolj.
20 éve dolgozom Linuxszal, én tudom hogy kell bánni vele, soha, semmilyen biztonsági incidensem nem volt sem Linuxszal sem Windowsal, de most van 1-2 olyan ok, ami miatt mindenképpen kellene használni valamilyen antivírust (előírás), nem opcionális, nem átugorható, és mocskosul rohadtul senkit nem érdekel az, hogy mennyire vagyok képzett. Ez egy checkbox, ki kell pipálnom, de ha már szopni kell vele, valami olyan megoldásra vágyok, ami mellett dolgozni is lehet. És mindenképpen real-time védelemmel kell rendelkezzen.
Hozzászólások
Nálunk VMWare-ben futó Ubuntu szervereken ESET Antivirus fut, valósidejű védelemmel.
https://www.eset.com/us/business/download/endpoint-antivirus-linux/
+1 az ESET-re. Nalam ugyan ez a felallas, csak homelab-on. Nincs vele gondom.
Kockázatelemzés alapján csak ahol nagyon kell, ott legyen, de ez szerintem nem új dolog - ahogy az sem, hogy az IOPS-ot nagyon meg tudja khm. nyesni - nvme -> ATA szintig akár...
A topic felvető pont erre a válaszra volt kíváncsi. jah nem..
Szerintem reszben idetartozik:
Foleg a nvme -> ATA sebesseg resz az eredeti kerdesek kozott adott kerdesre reszben vegulis valasz.
Raadasul sikit a topikrol a scope: compliance.
Compliance tekinteteben van a torveny, vannak a cegek, akik a torvenyt hol jol, hol pedig tul szigoruan ertelmezik. Ebbol adodoan vannak az elvileg torvenyre es szerzodesekre, gyakorlatilag torvenyek es szerzodesek felreertesere (altalaban tul szigoru ertelmezesre) felepitett ceges policy-k. Sot, vannak auditorok, es meg azok sem egyformak, es azok is sokszor keptelenek egyforman ertelmezni a szabalyokat.
Ami "X" multinal compliant volt (Linux + virusirto, de nem realtime), az "Y" multinal nem lesz az (belso policy alapjan real time-nak kell lennie), "Z" multinal sem (belso policy alapjan folyton be is kell kapcsolva lennie), es "W" multinal sem (ahol meg ceges policy hogy az IT csak Windows-ert es macOS-ert vallal felelosseget, Linuxozni el lehet takarodni masik munkaltatohoz). Es kozben audit szempontbol lehet, hogy "W", "X", "Y" es "Z" is ugyanugy SOX compliant, ISO compliant, stb. a nap vegen.
Symantec Endpoint Protection: https://techdocs.broadcom.com/us/en/symantec-security-software/endpoint…
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Kaspersky eleg jo linuxon, mi azt hasznalunk a szervereken... bar ha Compliance miatt kell akkor vszinu felejtos :)
Több gyártó/termék is van zsákban, de ide TrendMicro-t ajánlanék.
Csak jó viszajelzések jöttek - "hardcore" linux üzemeltetőktől is.
Hány végpontra kellene?
Ha érdekel keress meg privátban, tudok segíteni.
A Trendmájkróból pontosan mit? Mert van nekik olyan motyójuk is, amitől gatya lesz a legmacsóbb hardver is... Mert ugye mindenbe _is_ belenyúl, beleolvas, és nem gyorsan, de legalább lassan...
Ahogy fentebb is írtam, megfelelő kockázatelemzés nélkül mindenhova nagyon nem jó ötlet ilyesmit fullosan felpakolni, és ahova fel is kerülnek, ott is jól kell bánni a kivétellistákkal, mert alapból nagyon gáz tud lenni...
Az az erős sejtésem, hogy NIS2 megfelelés a cél, ott meg sajnos nincs sok minden, amit "kockázatelemezhetnél".
Az _alap_ szintnél is ez követelmény (18.8).
Pont.
Ez is jogászi fa$$ág, már bocsánat... Egy nagy terheltségű, IOPS-ra kihegyezett (local nvme) DB-szerveren, ahova csak és kizárólag az alkalmazásszerverek a DB-hez, és szűrt, védett helyről az adminok SPS-en vagy hasonló eszközön keresztül ssh-n mehetnek be, milyen valós értelme van minden fájlműveletet megnyammognia egy realtime sz@rnak? Ha meg kell, akkor szépen ki kell exclude-olni mindent _is_, ami a DB működéséhez kell, a /usr/lib/* -gal kezdve...
Ez nagyjából olyan egyébként, hogy "ftp, rcp, rsh tilos" - amin fennakadt az auditor, hogy a-b géppár között így mentek az adatok, így dolgozott a fürt, és azt mondá, hogy nem, scp, ssh kell. Aztán amikor a személyijét bekérve kértünk neki egyszeri belépési engedélyt az érintett gépterembe, és kísérettel megmutattuk neki az érintett gépeket tartalmazó, lezárt szekrényt, és abban az 1 feet-es kábelt, amin az érintett forgalmak mentek, na akkor elgondolkodott, hogy az a fizikai védelem, ami van, az valóban elégséges, nem szükséges logikai védelmet is rápakolni az adott forgalomra.
Senki nem mondta hogy nem az, de itt ezt a feladat.
Tudom - ahogy írtam is, az exclude listát kell jól megcsinálni - akkor nem fáj nagyon... Egyébként meg igen...
Lehet h. neked (és még sok embernek) ez a realtime antivirust jelenti minden gépre, de sztem nagyon nem.
"Meghatározott időközönként átvizsgálja a rendszert, és valós időben ellenőrzi a külső forrásokból származó fájlokat a végpontokon, a hálózati belépési vagy kilépési pontokon a biztonsági szabályzatnak megfelelően, amint a fájlokat letöltik, megnyitják vagy futtatják."
Ha pl. egy Linuxos API szerverről beszélünk, ami csak információkat (nem fájlokat) cserél a klienseivel, akkor mindjárt tök más a szitu. Azért ezeket a kontrollokat értelmezni is kell, elolvasni 2x és utána kell tenni olyat, ami megfelel az ebben leírtaknak.
És soha 1 db _file_ sem kerül fel sehogyan sem arra gépre?
Mert itt a kontroll nem egy futó üzleti szolgáltatásra vonatkozik, hanem magára gépre.
Hogy patch-eled pl?
De egyetértek, el kell olvasni és értelmezni a leírtakat. :-)
+ a kérdező is konkrétan filemozgatásokat említett példaként a topicindítóban
"Hogy patch-eled pl?"
A javítócsomagok ha jól rémlik :) aláírt fájlok, ergo azt a kulcskarikát, amin az ellenőrzésre használt kulcs van, azt kell kiemelten védeni, akár úgy is, hogy a módosítása azonnali riasztás váltson ki. A saját fejlesztésnél is olyan kontrollokat kell a folyamatokba beépíteni, hogy a saját fejlesztésű alkalmazásba kártékony kódot a folyamat során (build, teszt, deploy) észrevétlenül ne lehessen beleinjektálni. (kiemelten védett repository, build környezet, aláírt bináris, stb.)
Szeritned pl. a Solarwinds-es incidens esetén (megvan?) a backdoor ami frissítéssel kiment, nem volt aláírva?
"És soha 1 db _file_ sem kerül fel sehogyan sem arra gépre?"
Karanténon keresztül pl. És ott "van idő" az oda került fájlt ellenőrizni, vizsgálgatni, szétcincálni - mert az a feladata a karantén gépnek. (oda meg úgy kerül, hogy a karantén húzza le valahonnan az ismeretlen megbízhatóságú fájlt, azaz oda _tolni_ nem lehet semmit)
Itt nem az volt a kérdés, hogy tudsz-e olyan elméleti scenario-t mondani ami szerined OK és nem kell, hanem hogy a gépen kell lenni egy ilyen alkalmazásnak - konkrétan: milyen legyen az.
Az auditor erre lesz kíváncsi, nem az okfejtésedre. Ez van sajnos.
Hidd el, ha az a követlemény, hogy legyen valós-idejű vírusvédelem és minden file felmásolásakor _és_ indításakor (ez fontos, mert ez lehet két különböző időpont és az hogy a "karatén" gépen a felmásolás pillanatában "tiszta" volt, nem feltétlen azt jelenti, hogy amikor elindítod az éles gépen, már nem jelezne be, mert pl. a világ/kutatók közben rájöttek hogy sajnos gond van vele)
+ ezek az AV-k már futás közben is nézik (EDR,HIPS funkcionalitás) hogy mit csinál - a karantén gépen meg megfuttatni nem fogod, ha jól sejtem...meg a konfigja se biztos hogy ugyanaz 100%-ra.
Lehet nekem alkalmazástűzfalam meg webproxym ami mondjuk ellenőriz minden http(s)-en keresztülmenő cuccot, így patchelek pl.
Ugye a NIS2, meg az auditor sem arra megy h. téged megszívasson, tehát pl. az h. az üzemeltetés majd SSH-n felmásolja az MFA bejelentkezésével titkosított kapcsolaton keresztül a rootkit.exe-t, az azért kívül esik az audit scopeján.
Csak azt próbáltam érzékeltetni az adott pont idézésével h. azért az amikor egy security tanácsadó azt mondja h. a NIS2 miatt minden gépre kell fullos realtime védelem, az igazából csak annyit jelent h. ő nem végezte el alaposan a cég és üzemeltetés alapos érdekei alapján a házifeladatát.
Pont ez a lényeg, hogy teljesen mind1 legyen, hogy a file hogy kerül oda, ott és akkor ellenőrizve legyen, nem csak statikus szignatúra alapján.
Nem csak sikeres ssh auth után kerülhet fel egy file a gépre - tudnék mesélni, hogy a ~20 év alatt milyen ügyeink voltak....
Ha meg van ilyen védelem a gépen, akkor nem kell körberaknod mindeféle, szerinted jónak vélt megoldással, incidens esetén meg pingvinezni, hogy de szerinted ez így OK volt. Asscovering.
+ A NIS2 esetében pont ez a gond, hogy a cég érdekei vastagon le vannak sz.rva. A legutolsó rendszerre is a 164 kontrollt hoznod kell.
Az az ISO 27001, ahol erre tekintettel tudsz lenni.
Nem, a lényeg az az egy szó h. "külső forrásból". Nem szeretnék hajbazer lenni, de sztem egy picit túlgondolod. Persze, ki lehet pipálni így is, meg pl. úgy is h. van egy scannelt repo mirrorom, integritás és vírus ellenőrzéssel. Akkor az már nem külső forrás mikor a szomszéd gép lehúzza a mindenféle védelmen keresztül odakerült deb-et (v. rpm-et, vagy exet)
Windows alatt szelidítgetni kellett a WFBS-t, mikor utoljára használtam olyat, erősen ajánlott volt a kivételeket jól megfontoltan beállítani, mert még az ERP klienset is visszafogta.
Több termék, ja, de biztos, hogy real-time, aktív vírusirtóról beszélünk? Mert én még nem futottam bele olyanba Linuxon, és nem véletlen, írnám a topikindítónak az okát, de előre jelezte, hogy olyan válaszokat nem vár.
Egyébként meg ha compliance, nem is értem, hogy melyik írná elő, hogy aktív, real-time írtó jó csak, melyik szabály, szabályzat zárja ki a hagyományos passzív irtókat, mint a ClamAV és társai. Mindenesetre, ha egy cégnél ez a merev, Windows buzi szemlélet van, hogy csak aktív vírusirtó, meg stb., azoknak ajánlani szoktam akkor, hogy a Linuxot inkább hanyagolják, kell egyfajta szemléletváltás hozzá, mivel nem Windows. Nem kell őket valóban győzködni a vírusirtók feleslegességéről, mert ha ilyen szemlélettel mennek neki a dolgoknak, abból csak minden más linuxos területen is gányolás lesz, ami nekik is csak szenvedés. Ezt még home usernek sem szoktam javasolni, hogy ilyen vaskalapos szemlélettel álljon neki a Linuxnak, nagyon keserű szájízzel fogja dobni. Kell egyfajta nyitottság, szemléletváltás, hogy az ember hatékonyan tudja használni.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
A clamav tud realtime menni: csak annyi, hogy régen a clamd része volt, most meg külön executable a realtime scanning. Alapértelmezetten csak notify-ol, de nem akadályozza meg a futtatást, viszont ha úgy állítod, hogy meg is akadályozza ("Prevention-mode"), akkor az jelentős performance gondot okozhat, hiszen az access előtt be kell fejeződjön a scanning. De ez minden vírusirtóval így lesz. Engine configjait tudod esetleg állítgatni, hogy csak úgy csináljon mintha csinálna valamit, és akkor gyors(abb) lesz. (Ha csak a compliance megfelelés a cél.)
https://docs.clamav.net/manual/Usage/Scanning.html#on-access-scanning
A secu egy külön szakma. Ha foglalkozol vele, majd idővel belefutsz "real-time" megoldásokba... :-)
Röviden a lényegük: valós időben (on-access) van ThreatIntel bekérdezés, hogy ne a 3 hete frissített(?), statikus szignatúra és reputációs adatokból probálja eldönteni, hogy mi a helyzet.
+ a bennük lévő HIPS/EDR modul által összeszedett viselkedési információk is dinamikusan, a világ történéseinek megfelelően legyenek kiértkelve. Kb ennyi.
És mint írtam, a NIS2 - 18.8 írja elő - el kell olvasni.
Milyen jó is volt, amikor windows-on egy ilyen biztonsági sw-hez kapcsolódó frissítés lerohasztotta a fél világot úgy, hogy konzolhoz menős volt a javítás... De a biztonság fontosabb, mint a rendelkezésre állás... Oh, wait...
semmilyen platformra nincs
Compliance volt a kerdes, nem a valosag. ;)
Amolyan real time-kent hirdetett / real time-kent plecsnizett "anti"virus a keresett eszkoz. :)
Mint kibic írom, de felturbózott ClamAV-t "eladni" mint real-time AV?
Van is ilyen cucc:
clamonacc(8) — Arch manual pages
Microsoft Defender for Endpoint on Linux
:)
Sok jót nem tudok róla elmondani, de biztosan létezik, fut Linux-on, és a munkáltatóm hisz benne - vagy legalábbis elegendő a checkbox kipipálásához :)
Biztosan nem ingyenes, és hogy megfelel-e a te "real-time" definiciódnak azt nem tudom.
Nálunk ez a céges 'image' kötelező eleme.
zrubi.hu
Aki ezt a checkboxot megkreálta, informatikus volt. Nem politikus, nem jogász, nem szántóvető.q Igénytelen, a saját maga által bizonyára ismert normákat semmibe vevő szakember. Valahol a legalja.
Vagy nem, csak ész nélkül a NIST 800-53-at beemelte a jogszabályba. (NIS2)
Informatikus be tud emelni dolgokat jogszabalyba? Az nekem uj. Nem is tudtam, hogy mar torvenyalkotok is vagyunk. Mostmar akkor minket is szidni fognak, mint az orszaggyulesi kepviseloket? :)
Persze, mikor készült igen és meg is tették valószínű. Nem "bárkit" kérdeznek meg róla, de volt olyan informatikus, akit igen. Az lehet hogy nem a legjobbat, de ez van. :-)
A "policy" nem tudom hogy jött ide, ez jóval magasabb szintem ki van mondva, mint követelmény.
Ebből magadnak írhatsz policy-t (és alábontva procedure-t, process-t és work instructions-t) felelőségi körökkel,...de ezt, mint "alap" besorolású EIR-ekre vonatkozó követelmény nem szedheted ki belőle. (NIS2-ről beszélünk)
Ez az egyik nagy különbsége az ISO 27001-től.
(For the record: Policy-s reszt azota toroltem, mert rajottem, hogy elsore felreertettem a kommented egy reszet, de te mar arra reagaltal)
Szerintem az ilyesmi demoralizál, pont ott üti meg a szakmát, ami a legfontosabb lenne, mert az igényességet pusztítja. Nem csak arról van szó, hogy milyen informatikus volt, aki beletette (vagy benne hagyta) hanem ezzel a normával aztán szükségszerűen rengetegen dolgoznak tovább, mert a norma munkaeszköz kellene legyen és az ilyesmi minden résztvevőből kiöli a racionalitást. Meg kell csinálni és kész.
Hajlott koromnál fogva én már megengedhetem magamnak, hogy hasonló helyzetekben kirúghassam a széket magam alól azzal, hogy a faszomat. Csinálja meg akinek három anyja van. De más sajnos nem ilyen szerencsés.
Teljesen egyetértek.
A NIS2 tekintetében pont olyan privát cégekre is rátolják ezeket a kontrollokat, akik eddig valamiért úgy gondolták (és akár lehet igazuk is volt) hogy nekik nem kell ilyen szintű - a valós, saját kocázatokat figyelmen kívül hagyó - egyen secus kontrollkörnyezet. Vagy csak nem votl rá pénzük. Ez az ő kockázatuk/üzleti döntésük és ennek így is kellett volna maradnia. Az alap szint bevezetése is meg fogja ölni őket vagy alibizés lesz csak.
El lehet képzelni milyen szuper projektek lesznek ezekből (se valós igény és/vagy se pénz)...csak pipáljunk. Az IT-s üzemeltető is csak azt nézi majd, hogy hol tud keresztbe feküdni.
Emiatt van, hogy én is úgy döntöttem inkább kimaradok ebből és ezeket a nagyszerű "bevezetéseket" meghagyom másnak :-) Max tool-t adok el, ha valakinek pont ez kell...
Friczy kedvéért egészen halkan jegyzem meg, hogy lehet, hogy ez azért van így, mert még nem értünk a végére. Annak idején az ISO is így kezdődött, de ma már simán elküldöm az ISO-s szakembert, ha olyat merne megkövetelni, aminek nincsen meg a vállalat életében a racionalitása. A dolog átalakult, ami értelmes az ISO-ból, ami hasznos, azt úgyis meg kell csinálni, a norma inkább segítség, mint leküzdendő akadály. A felelőtlen faszkalapok, akik pedig annak idején a minőségirányításban basáskodtak, úgy látom egyszerűen eltűntek, kinyírta őket a saját szakmájuk. A norma is ennek megfelelően változott. Lehet másnak máshol más a tapasztalata, én így látom. Talán itt is képes lesz a szakma szembeköpni az igénytelen aljanép informatikusokat. Meglátjuk.
Hát, akkor úgy. Mondom, valahol a legalja.