antivirusprogramm

Post Reply
Message
Author
teddy06
Posts: 15
Joined: 14. Jul 2006 19:17

antivirusprogramm

#1 Post by teddy06 »

hi
ich bin linux-mäßig noch voll neu und bin mir deswegen nicht sicher ob ich ein antivirusprogramm brauche oder nicht
und wenn ja welches ?

Marco Gerber

#2 Post by Marco Gerber »

guten Tag

Das ist eine gute und berechtigte Frage.

Ein Virus benoetigt immer eine Schwachstelle (Sicherheitsluecke, Mensch) um aktiv werden zu koennen.
Wenn man seine Software aktuell haelt, hat man also diesen Ansatzpunkt bereits vernichtet.
Ein weiterer Punkt, welcher gegen die weite Verbreitung von Viren auf Linux Systemen spricht ist die fehlende Monokultur.
Viele Schadensroutinen sind auf Adressen im Programmcode angewiesen, welche immer am gleichen Ort sein muessen.
Je nach dem welche Software man sich betrachtet, und von welcher Distribution diese ist, unterscheiden sich die Programmadressen massiv. Innerhalb einer Distribution koennen sie jedoch am selben Ort liegen (deshalb lohnt sich eigenes Kompilieren mit USE Flags ;}).


Wo macht also ein Antivirenprogramm Sinn?
Angenommen du moechtest beispielsweise einen FTP Server betreiben, auf welchen Benutzer Daten hochladen koennen. Man koennte nun daran interessiert sein, diese Uploads automatisiert auf bekannte Virensignaturen hin zu ueberpruefen.


Gegen massgeschneiderte Angriffe auf deine Systeme kann auch ein Antivirenprogramm nur wenig ausrichten.
Wenn du in einer gefaehrdeten Umgebung arbeitest, ist es meiner Meinung nach sinnvoller, ein (N)IDS (snort oder aehnliches) einzusetzen.


hth

Marco

User avatar
Janka
Posts: 3585
Joined: 11. Feb 2006 19:10

#3 Post by Janka »

Kann Marco nur zustimmen. Antivirusprogramme sind Medizin, die die Schmerzen bekämpft, aber nix gegen die Ursache, nämlich Sicherheitslücken in der Software, tut.

Zudem gibt es nur ~3 Dutzend Viren für Linux, und die dazugehörigen Sicherheitslücken sind seit Jahren gestopft. Ein Antivirusprogramm bringt hier also keinen Gewinn.

Im Gegenteil kann das Antivirusprogramm selbst zum Einfallstor für Schädlinge werden, da es ja einerseits mit root-Rechten laufen muss, um alle Dateien im System scannen zu können, andererseits aber regelmäßige Updates auf dem Internet beziehen muss.

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

teddy06
Posts: 15
Joined: 14. Jul 2006 19:17

123

#4 Post by teddy06 »

aha ich weis zwa nicht was das bedeutet (NIDS) undso

aber ich benutze den pc nur zu surfen und zum erstellen von websites

also brauch ich keins?!?!?

User avatar
Janka
Posts: 3585
Joined: 11. Feb 2006 19:10

#5 Post by Janka »

(N)IDS -- (Network) Intrusion Detection System

Das ist ein Programm oder eine Reihe von Programme die den laufenden Kernel so umkonfigurieren, dass er möglichst aussagekräftige Logdateien ausspuckt und diese Logdateien dann dauernd auf Hinweise für Einbruchsversuche überwachen.

Sowas ist ein eher schweres Geschütz. Da man die Ausgaben eines IDS bewerten können muss ("ist das nun ein Angriff, oder nur jemand, der sich ungeschickt anstellt") und einen Adressaten für evtl. Problemmeldungen braucht, ist dies nur was für Betreiber von größeren Netzwerken. Hoster benutzen IDS beispielsweise, um die Rootserver ihrer Kunden auf durch falsche Konfiguration verursachte Sicherheitsprobleme zu untersuchen.

Ein Heimanwender braucht sowas nicht, da er die ausgespuckten Ergebnisse eh' nicht richtig einschätzen kann.

Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.

User avatar
Pseudomonas
Posts: 120
Joined: 16. Nov 2005 12:55
Location: /home/anonymous

#6 Post by Pseudomonas »

Hi,

> Im Gegenteil kann das Antivirusprogramm selbst zum Einfallstor für Schädlinge werden, da es ja einerseits mit root-Rechten laufen muss, um alle Dateien im System scannen zu können, andererseits aber regelmäßige Updates auf dem Internet beziehen muss.

Genau darüber hab ich mir auch schon mal Gedanken gemacht. Ist soetwas schon einmal vorgekommen, dass ein Linux Antivirustool (clamav, Avira antivir o.ä.) als Sicherheitslücke ausgenutzt wurde?

Gruß
Gunnar 8)
F#mmaj7/9

klopskuchen
prolinux-forum-admin
Posts: 1444
Joined: 26. Jun 2004 21:18
Contact:

#7 Post by klopskuchen »

Pseudomonas wrote:Ist soetwas schon einmal vorgekommen, dass ein Linux Antivirustool (clamav, Avira antivir o.ä.) als Sicherheitslücke ausgenutzt wurde?
Ja.


MfG, Klopskuchen
When all else fails, read the instructions .

Marco Gerber

#8 Post by Marco Gerber »

guten Tag

Ein Beispiel (Auswirkungen sind nicht zu unterschaetzen !):
http://www.securityfocus.com/bid/9413

hth

Marco

Post Reply