samba vírusírtás

Linux-kezdő

Sziasztok,

Tegnap kaptam egy levél sorozatot, hogy szokatlan IP tartományból történt sikeres bejelentkezés, először azt hittem hogy szokásos spam e-mail sorozat, de nem. Valószínű hogy az internet szolgáltatónál vacakolt valami, mert az eszközök stimmeltek, de azért lefuttattam az egész rendszeren és a hálózaton egy vírusírtót, hátha. Szerencsére semmi találat.

Ennek ellenére, ugyan mindenhol aktiválva van a kétlépcsős azonosítás, nehéz jelszavak, stb... szeretnék egy vírusírtót üzemeltetni a fájl szerveren legalább, hogy oda nehogy bármi bejusson. 

Célom az lenne, hogy valós idejű szkennelés történjen, nagyjából 5TB adat van ami folyamatosan változik és ez smb szerverrel megosztva Windows klienseknek amiken szintén nagy mennyiségű adat van és folyamatosan változik.

ClamAV erre mennyire alkalmas és milyen megoldás van rá, hogy folyamatosan szkenneljen? Erőforrás van rá.

  • 558 megtekintés

( peterdif | 2024. 08. 01., cs – 07:47 )

Szerkesztve: 2024. 08. 01., cs – 07:48

A file szerveren _legalább_??? Elég meredeken hangzik így elsőre 2024-ben. De semmi offense.

Szerintem többszintű védelemben gondolkozz, állíts fel egy prioritási listát az alapján hogy, hogy a használati szokások/igények alapján hol nagyobb a valószínűsége hogy bejut valami a rendszerbe a jelenelgi kontrolokkal, hol és mivel tudod detektálni és blokkolni ott,... - és akkor lehet nem is a fileszerverrel kéne kezdeni. + tedd mellé hogy ez mekkora kárt okozhat az üzletnek és akkor a budgetet is be lehet lőni hozzá.

Kisarkítva: Ha napi szinten odamennek a file szervehez és otthonról hozott USB-ről másolnak rá userek futtatható állományokat, akkor valóban ez az első. :-)

User végpont, proxy, mail szerver,... valami ilyesmi lenne a sorrend. Itt valós időben kell tudnod detektálni.

A trükkösebb dolgok ma már nem is mindig file alapúak, nem lesz "file" sehol amit egy hagyományos AV vizsgálni tud.

oké, másképp.

File szervert nagyjából én használom írásra. olvasásra TV, média eszközök, telefon stb. Ebből adódóan nem gondolom, hogy ekkora veszélynek lennék kitéve. Jellemzően ugyan azon tartalmakat látogatom, ugyan azokat a programokat használom, tűzfal és router mögött van minden bejutásra elég kevés esélyt látok bárhonnét is. USB az nulla, gépbe senki nem dug semmit, maximum én a fényképezőgépből a memóriakártyákat. FTP korlátozva van, szintén csak én tudom használni. Mail szerver lustaságomnak köszönhetően nincs. 

Tehát aminek ki van téve a hálózat az én vagyok. 

Ha benyalsz valamit, akkor azt nem hiszem hogy fileként le is fogod menteni és másik gépról elindítva "továbbfertőzni" a hálózatot. Az  már a te gépeden valszeg felutott és ha ügyes és lateral movementet tud csinálni, akkor nem a file szerverre ül oda és várja hogy valaki más is futassa. Van esélye, de kicsi.

Végpontvédelem a desktopokra, mobilra,... ahonnan "netezni", 2FA-zni szoktál...

"Secure" DNS használata ezeken az eszközökön, meg valami "nextgen" (EDR like) AV.

Ettől függetlenül időnként át lehet futtatni a share-t is (mert lehet hogy időközben az "AV kutatók " megtaláltak egy új variánst, ami a mentés időpontjában még validnak tűnt), de ne ez legyen az esődleges védelmed erre a scenarióra + ha a végpontokan van aktív védelmed akkor a régen letöltött file-t is meg fogja nézni ha indítani akarod és időközben kiderült hogy gázos.

Szerintem....

+ egy "sima" AV a file szerveren, mint host-on futtatva, nem feltétlen fogja kiszúrni, hogy egy csomó megosztott JPG file-t elkezdtél letörölni és más kiterjesztéssel létrehozni - de ugye ez lehet nem is te voltál, hanem egy végponton benyalt ransomware....

Szerk:

Én pl. "fizetős" Bitdefender Family pack-ot használok évek óta a családban (gyerek-> nagymama)- 15 végpontra (win, mac, android, ios,...), központi management, parental control - mindezt úgy, hogy egy csomó secu gyártónak vagyunk  viszonteladója, és kb. mindegyikből van korlátlan, ingyenes licenszem. Erre a méretre/célra nekem eddig ez jött be. Ill. aki nagyon "gázos" volt össze-vissza kattingatás tekintetében (nagymama) kapott linuxot. :-) 

( zrubi v | 2024. 08. 01., cs – 10:43 )

Szerkesztve: 2024. 08. 01., cs – 10:44

szeretnék egy vírusírtót üzemeltetni a fájl szerveren legalább, hogy oda nehogy bármi bejusson.

:)

 

1. Ha a fileszerveren 'találsz' vírust, akkor már a hálózatod többi része régen elesett.

2. a 'file szkennelős' víruskergetők  - az esetleges marketinggel ellentétben - nem tudja megakadályozni, hogy a vírus odakerüljön, csak 'szól' ha már ott van - persze csak ha sikerült felismernie.

3. ahogy már írták is előttem: a mai vírusok már nem ilyen 'buták'

4. a vírusok 'bejutása' 99%-ban a userek hülyesége miatt sikerül.

 

Egy sikeres vírusvédelmi stratégia alapvető eleme: a bejutást megakadályozni.

* email szerveren

* (desktop) végpontokon: böngészés közben, letöltésekkel, pendrive-on, stb.

Emiatt ez manapság teljes végpont management nélkül egyszerően lehetetlen.

 

szerintem.

zrubi.hu