hi
ich bin linux-mäßig noch voll neu und bin mir deswegen nicht sicher ob ich ein antivirusprogramm brauche oder nicht
und wenn ja welches ?
antivirusprogramm
-
Marco Gerber
guten Tag
Das ist eine gute und berechtigte Frage.
Ein Virus benoetigt immer eine Schwachstelle (Sicherheitsluecke, Mensch) um aktiv werden zu koennen.
Wenn man seine Software aktuell haelt, hat man also diesen Ansatzpunkt bereits vernichtet.
Ein weiterer Punkt, welcher gegen die weite Verbreitung von Viren auf Linux Systemen spricht ist die fehlende Monokultur.
Viele Schadensroutinen sind auf Adressen im Programmcode angewiesen, welche immer am gleichen Ort sein muessen.
Je nach dem welche Software man sich betrachtet, und von welcher Distribution diese ist, unterscheiden sich die Programmadressen massiv. Innerhalb einer Distribution koennen sie jedoch am selben Ort liegen (deshalb lohnt sich eigenes Kompilieren mit USE Flags ;}).
Wo macht also ein Antivirenprogramm Sinn?
Angenommen du moechtest beispielsweise einen FTP Server betreiben, auf welchen Benutzer Daten hochladen koennen. Man koennte nun daran interessiert sein, diese Uploads automatisiert auf bekannte Virensignaturen hin zu ueberpruefen.
Gegen massgeschneiderte Angriffe auf deine Systeme kann auch ein Antivirenprogramm nur wenig ausrichten.
Wenn du in einer gefaehrdeten Umgebung arbeitest, ist es meiner Meinung nach sinnvoller, ein (N)IDS (snort oder aehnliches) einzusetzen.
hth
Marco
Das ist eine gute und berechtigte Frage.
Ein Virus benoetigt immer eine Schwachstelle (Sicherheitsluecke, Mensch) um aktiv werden zu koennen.
Wenn man seine Software aktuell haelt, hat man also diesen Ansatzpunkt bereits vernichtet.
Ein weiterer Punkt, welcher gegen die weite Verbreitung von Viren auf Linux Systemen spricht ist die fehlende Monokultur.
Viele Schadensroutinen sind auf Adressen im Programmcode angewiesen, welche immer am gleichen Ort sein muessen.
Je nach dem welche Software man sich betrachtet, und von welcher Distribution diese ist, unterscheiden sich die Programmadressen massiv. Innerhalb einer Distribution koennen sie jedoch am selben Ort liegen (deshalb lohnt sich eigenes Kompilieren mit USE Flags ;}).
Wo macht also ein Antivirenprogramm Sinn?
Angenommen du moechtest beispielsweise einen FTP Server betreiben, auf welchen Benutzer Daten hochladen koennen. Man koennte nun daran interessiert sein, diese Uploads automatisiert auf bekannte Virensignaturen hin zu ueberpruefen.
Gegen massgeschneiderte Angriffe auf deine Systeme kann auch ein Antivirenprogramm nur wenig ausrichten.
Wenn du in einer gefaehrdeten Umgebung arbeitest, ist es meiner Meinung nach sinnvoller, ein (N)IDS (snort oder aehnliches) einzusetzen.
hth
Marco
Kann Marco nur zustimmen. Antivirusprogramme sind Medizin, die die Schmerzen bekämpft, aber nix gegen die Ursache, nämlich Sicherheitslücken in der Software, tut.
Zudem gibt es nur ~3 Dutzend Viren für Linux, und die dazugehörigen Sicherheitslücken sind seit Jahren gestopft. Ein Antivirusprogramm bringt hier also keinen Gewinn.
Im Gegenteil kann das Antivirusprogramm selbst zum Einfallstor für Schädlinge werden, da es ja einerseits mit root-Rechten laufen muss, um alle Dateien im System scannen zu können, andererseits aber regelmäßige Updates auf dem Internet beziehen muss.
Janka
Zudem gibt es nur ~3 Dutzend Viren für Linux, und die dazugehörigen Sicherheitslücken sind seit Jahren gestopft. Ein Antivirusprogramm bringt hier also keinen Gewinn.
Im Gegenteil kann das Antivirusprogramm selbst zum Einfallstor für Schädlinge werden, da es ja einerseits mit root-Rechten laufen muss, um alle Dateien im System scannen zu können, andererseits aber regelmäßige Updates auf dem Internet beziehen muss.
Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.
Ich mag die Schreie.
(N)IDS -- (Network) Intrusion Detection System
Das ist ein Programm oder eine Reihe von Programme die den laufenden Kernel so umkonfigurieren, dass er möglichst aussagekräftige Logdateien ausspuckt und diese Logdateien dann dauernd auf Hinweise für Einbruchsversuche überwachen.
Sowas ist ein eher schweres Geschütz. Da man die Ausgaben eines IDS bewerten können muss ("ist das nun ein Angriff, oder nur jemand, der sich ungeschickt anstellt") und einen Adressaten für evtl. Problemmeldungen braucht, ist dies nur was für Betreiber von größeren Netzwerken. Hoster benutzen IDS beispielsweise, um die Rootserver ihrer Kunden auf durch falsche Konfiguration verursachte Sicherheitsprobleme zu untersuchen.
Ein Heimanwender braucht sowas nicht, da er die ausgespuckten Ergebnisse eh' nicht richtig einschätzen kann.
Janka
Das ist ein Programm oder eine Reihe von Programme die den laufenden Kernel so umkonfigurieren, dass er möglichst aussagekräftige Logdateien ausspuckt und diese Logdateien dann dauernd auf Hinweise für Einbruchsversuche überwachen.
Sowas ist ein eher schweres Geschütz. Da man die Ausgaben eines IDS bewerten können muss ("ist das nun ein Angriff, oder nur jemand, der sich ungeschickt anstellt") und einen Adressaten für evtl. Problemmeldungen braucht, ist dies nur was für Betreiber von größeren Netzwerken. Hoster benutzen IDS beispielsweise, um die Rootserver ihrer Kunden auf durch falsche Konfiguration verursachte Sicherheitsprobleme zu untersuchen.
Ein Heimanwender braucht sowas nicht, da er die ausgespuckten Ergebnisse eh' nicht richtig einschätzen kann.
Janka
Ich vertonne Spam immer in /dev/dsp statt /dev/null.
Ich mag die Schreie.
Ich mag die Schreie.
-
Pseudomonas
- Beiträge: 120
- Registriert: 16. Nov 2005 12:55
- Wohnort: /home/anonymous
Hi,
> Im Gegenteil kann das Antivirusprogramm selbst zum Einfallstor für Schädlinge werden, da es ja einerseits mit root-Rechten laufen muss, um alle Dateien im System scannen zu können, andererseits aber regelmäßige Updates auf dem Internet beziehen muss.
Genau darüber hab ich mir auch schon mal Gedanken gemacht. Ist soetwas schon einmal vorgekommen, dass ein Linux Antivirustool (clamav, Avira antivir o.ä.) als Sicherheitslücke ausgenutzt wurde?
Gruß
Gunnar
> Im Gegenteil kann das Antivirusprogramm selbst zum Einfallstor für Schädlinge werden, da es ja einerseits mit root-Rechten laufen muss, um alle Dateien im System scannen zu können, andererseits aber regelmäßige Updates auf dem Internet beziehen muss.
Genau darüber hab ich mir auch schon mal Gedanken gemacht. Ist soetwas schon einmal vorgekommen, dass ein Linux Antivirustool (clamav, Avira antivir o.ä.) als Sicherheitslücke ausgenutzt wurde?
Gruß
Gunnar
F#mmaj7/9
-
klopskuchen
- prolinux-forum-admin
- Beiträge: 1444
- Registriert: 26. Jun 2004 21:18
- Kontaktdaten:
-
Marco Gerber
guten Tag
Ein Beispiel (Auswirkungen sind nicht zu unterschaetzen !):
http://www.securityfocus.com/bid/9413
hth
Marco
Ein Beispiel (Auswirkungen sind nicht zu unterschaetzen !):
http://www.securityfocus.com/bid/9413
hth
Marco