Guten Tag zusammen,
mich würden mal Eure Erfahrungen und Meinungen mit Virenscannern für Linux im Beruf interessieren:
In meiner letzten Firma hat sich das Thema gerade abgezeichnet, als ich gegangen bin. In meiner aktuellen Firma wird jetzt auch "von oben" darüber verfügt, dass jedes Linux System einen aktiven Virenscanner haben muss. Die Begründung war jedes mal, dass hauptsächlich einer Infektion von Windows Systemen vorgebeugt werden soll :freak:
Dazu sollte man sagen, dass es sich bei den "betroffenen Systemen" um Server und Workstations handelt auf denen sowieso nicht "gesurft" wird.

Paradebeispiel war dann gleich eine hochproduktive DB, die normalerweise 24/7 bis auf die Wartungstermine zu laufen hat und normalerweise auch läuft, Verfügbarkeit bis dahin von 99,9999% (also komplett ohne Ausfall).
Es hat genau einen Tag nach der Installation des Virenscanner gedauert, bis Daten weg, beziehungsweise korrupt waren.
Jetzt kann man den Schaden in Zahlen fassen und wird vermutlich eine Ausnahmegenehmigung bekommen.

Kennt Ihr solche Vorgehensweisen, wo der vermeintliche Schutz eigentlich genau das verursacht, wovor man Schützen will, also Produktionsausfall und Datenverlust.

Danke für Eure Antworten!

Ich kenne jetzt keine konkreten Beispiele, aber "never change a running system" ist auch so ein Spruch, der nicht gerade für zuverlässige Systeme sorgt.

Ich kenne jetzt keine konkreten Beispiele, aber "never change a running system" ist auch so ein Spruch, der nicht gerade für zuverlässige Systeme sorgt.
Jein, ich bin definitiv kein Verweigerer von Sicherheit aber ich finde es gibt einfach Systeme, bei denen man so handeln darf, wenn die Folgen nicht zu 100% absehbar sind.
Gerade bei Linux und Datenbanken überwiegen die negativen Folgen definitiv den Nutzen durch den Schutz.

Polemisch könnte man es auch formulieren: "Wenn wegen den Ausfällen (durch den AV) nichts produziert wird, gibt es nichts mehr interessantes zu holen/zu zerstören"

Bei uns ist es vorgeschrieben, dass wenigstens einmal alle 24h rkhunter durchrennt und der Report auf ein Share geschrieben wird. AV haben wir fuer Linux nicht im Einsatz

Jein, ich bin definitiv kein Verweigerer von Sicherheit aber ich finde es gibt einfach Systeme, bei denen man so handeln darf, wenn die Folgen nicht zu 100% absehbar sind.

Nach der Logik hätte man die Datenbank erst gar nicht starten dürfen. Wenn ein weiterer Patch komplett unabsehbare Folgen hat, dann kann der aktuelle Zustand auch nicht absehbar gewesen sein.

Das meine ich jetzt nicht einmal speziell auf Sicherheit bezogen.

In meiner alten Firma, sollte ich das auch auf 80 Kisten tun.

Kam auch von oben, der Security Officer oder wie der Quatschkopf hies meinte Virenscanner sei jannz wichtig.

Aber noch Server 2003 einsetzen

zum Glück kann man auf den AWS SQL Instanzen kein Virenscanner installieren :P

Nach der Logik hätte man die Datenbank erst gar nicht starten dürfen. Wenn ein weiterer Patch komplett unabsehbare Folgen hat, dann kann der aktuelle Zustand auch nicht absehbar gewesen sein.
Ich bin mir nicht ganz sicher, ob wir aneinander vorbeireden aber die Datenbank läuft produktiv. Wenn ich einen OS-Patch einspiele, bekomme ich Support vom OS-Hersteller, genauso bei einem DB-Patch.
Der Virenscanner Hersteller hingegen spricht nur Empfehlungen aus, man kann es mal probieren, ansonsten muss man wieder abbrechen, da ist es dann aber bereits zu spät.

Ich meine es 1:1, wie konkretor schreibt:

In meiner alten Firma, sollte ich das auch auf 80 Kisten tun.

Kam auch von oben, der Security Officer oder wie der Quatschkopf hies meinte Virenscanner sei jannz wichtig.

Aber noch Server 2003 einsetzen

zum Glück kann man auf den AWS SQL Instanzen kein Virenscanner installieren :P

AWS wird diese Entscheidung auch nicht ohne Grund getroffen haben ;)

Ich bin mir nicht ganz sicher, ob wir aneinander vorbeireden aber die Datenbank läuft produktiv. Wenn ich einen OS-Patch einspiele, bekomme ich Support vom OS-Hersteller, genauso bei einem DB-Patch.
Der Virenscanner Hersteller hingegen spricht nur Empfehlungen aus, man kann es mal probieren, ansonsten muss man wieder abbrechen, da ist es dann aber bereits zu spät.

Ah, ich dachte das sei generell auf Patches bezogen gewesen.

Bei Antivirenscannern auf Servern kann ich nur zustimmen. Die bessere Alternative wäre wahrscheinlich, dass man umfangreiches Monitoring betreibt.

Übrigens auch ganz nett: Bei einigen Linux-Distributionen kann man die komplette Konfiguration mit Git (etckeeper (https://joeyh.name/code/etckeeper/)) überwachen lassen. Änderungen fallen da schnell auf. Man kann dann vor allem auch Diffs genauer einsehen. Andere Systeme wie OpenBSD drängen z.B. auch zu einer regelmäßigen Prüfung bei Änderungen an den Konfigurationsdateien. Andere Systeme wie NixOS setzen dagegen auf reproduzierbare Umgebungen und bieten ein einfaches Rollback auf alte Versionen / Konfigurationen an.

Generell werden Antivirenscanner ja auch irgendwie missverstanden. Es sind eben Lösungen für sehr, sehr spezielle Probleme (und das nicht einmal besonders zuverlässig), aber wahrgenommen werden sie als eine Art Versicherung. Das können Antivirenscanner natürlich nicht wirklich bieten, aber IMHO ist so die Wahrnehmung da draußen.

Bei Antivirenscannern auf Servern kann ich nur zustimmen.
Jetzt sind wir zusammen, mir ging es wirklich nur um die Kombination Virenscanner - Server ;)

Die bessere Alternative wäre wahrscheinlich, dass man umfangreiches Monitoring betreibt.
Du meinst grob (System-)Logs zentral abzulagern, um sie vor Veränderungen zu schützen und dann nach Mustern zu parsen?

Danke auch für den Link zum etckeeper: Kannte ich bisher noch nicht. Hauptproblem bei uns dürfte sein, dass die Kunden auch an ihren Systemen herumkonfigurieren (dürfen).
Ich bin da schon auf Dinge gestoßen, wo man Anfangs echt nicht sagen konnte, was das Konstrukt bezwecken soll - vermutlich würde da zu oft Alarm geschlagen werden, zumal wir aktuell schon mit unseren Standardprozeduren am Anschlag sind.

Das können Antivirenscanner natürlich nicht wirklich bieten, aber IMHO ist so die Wahrnehmung da draußen.
Ich persönlich habe ja schon länger das Gefühl, dass bei dem Thema Sicherheit Aktionismus betrieben wird, ohne wirklich verstanden zu haben, was man eigentlich schützen will.

Kennt Ihr solche Vorgehensweisen, wo der vermeintliche Schutz eigentlich genau das verursacht, wovor man Schützen will, also Produktionsausfall und Datenverlust.

Danke für Eure Antworten!

Da gibt es so viele negative vorfälle, sprich der Virenscanner war der Verursacher des Problems, dass ich für mich schon seit einer weile aufgehört habe soetwas zu zählen, geholfen hat mir ein Virenschutz nicht, die Desinfektion musste fast ausschließlich manuel durchgeführt werden.

Daher bin ich prinzipell der Meinung das Virenscanner eine Sammlung von möglichen Sicherheitslücken sind.

Paradebeispiel war dann gleich eine hochproduktive DB, die normalerweise 24/7 bis auf die Wartungstermine zu laufen hat und normalerweise auch läuft, Verfügbarkeit bis dahin von 99,9999% (also komplett ohne Ausfall).
Es hat genau einen Tag nach der Installation des Virenscanner gedauert, bis Daten weg, beziehungsweise korrupt waren.
Jetzt kann man den Schaden in Zahlen fassen und wird vermutlich eine Ausnahmegenehmigung bekommen.

Kennt Ihr solche Vorgehensweisen, wo der vermeintliche Schutz eigentlich genau das verursacht, wovor man Schützen will, also Produktionsausfall und Datenverlust.Auf einem Server lief das Gratisteil von Windows. Jahrelang, bis er auf einmal einen Virus in einer Mail erkannte. Ganze DB wurde geblockt. Problem war schnell gelöst, aber danach hatte der Virenscanner nur noch eine rudimentäre Daseinsberechtigung.

Ansonsten der Schutz vor Remotezugriffen hatte bezogen auf RemoteDesktop hin und wieder Probleme bereitet. Installationen wurden beeinträchtig, nicht durchführbar gemacht. Virenscanner gestoppt, erfolgreich installiert, wieder gestartet, alles in Ordnung.

Klassisches Problem, was jeder kennt: Virus wurde nicht erkannt.

Gab genug Fälle, wo er allerdings auch geschützt hatte. Anwender hatte private Mails gelesen und wollte Telefonrechnung überprüfen. Dieses Problem dürften einige kennen, denke ich.
Die Leute vorm PC sind nunmal keine Admins.

Danke auch für den Link zum etckeeper: Kannte ich bisher noch nicht. Hauptproblem bei uns dürfte sein, dass die Kunden auch an ihren Systemen herumkonfigurieren (dürfen).
Ich bin da schon auf Dinge gestoßen, wo man Anfangs echt nicht sagen konnte, was das Konstrukt bezwecken soll - vermutlich würde da zu oft Alarm geschlagen werden, zumal wir aktuell schon mit unseren Standardprozeduren am Anschlag sind.

Also so direkt schlägt es keinen Alarm oder erfordert manuelle Eingriffe. Im Grunde werden nur Änderungen an der Konfiguration per Git geloggt. Es ist auch nicht unbedingt ein Sicherheitsfeature, aber man kann eben besser Änderungen nachvollziehen. Eventuell kann es dann helfen missbräuchliche Änderungen zu erkennen (oder auszuschließen). Habe es aber auch nicht lange benutzt und nur einmal aus Spaß ausprobiert auf meinem eigenen Server zu Hause.

Bisher konnte ich es immer verhindern, daß ein Virenscanner unter Linux läuft. Ich habe gerade eine Installation auf Windows Server 2016 R2 mit aktivierten Virenscanner hinter mir, grauenvoll. Die Performance geht so übel runter. Und ich bemerke wieder mal, daß die OpenSource Welt mit Git, Nexus, ActiveMQ, Karaf, Logstash, Kibana, ElasticSearch, Jenkins usw. unter Windows massiv überfordert ist, weil hier permanent zigtausende von Dateien in Form von JSON, XML usw. geschrieben werden. Wenn die alle immer durch die Virenscanner müssen, auch wenn sie lokal erzeugt werden, bremst das jeden Server massiv aus. Als Produktionsserver mit wichtigen Anwendungen ist das an sich ein Todesstoß.

BUnd ich bemerke wieder mal, daß die OpenSource Welt mit Git, Nexus, ActiveMQ, Karaf, Logstash, Kibana, ElasticSearch, Jenkins usw. unter Windows massiv überfordert ist, weil hier permanent zigtausende von Dateien in Form von JSON, XML usw. geschrieben werden. Wenn die alle immer durch die Virenscanner müssen, auch wenn sie lokal erzeugt werden, bremst das jeden Server massiv aus. Als Produktionsserver mit wichtigen Anwendungen ist das an sich ein Todesstoß.Und wenn man diese Anwendungen whitelistet (falls das möglich ist)?

MfG
Rooter

Wir haben bei uns ClamAV da laufen wo es in der Regel normal ist. Auf dem Mailserver, auf dem Fileserver und auch auf einen Server mit einer Anwendung, die jedoch gegen ClamAV programmiert ist (wenn ein Nutzer was hochlädt, schickt die Anwendung es zu ClamAV).

Auf allen anderen Servern, wo Nutzer nur indirekten Zugriff haben läuft nichts dergleichen und "OnAccessScan" schonmal gar nicht. Ich wüsste jetzt auch nicht warum ich z.B. das Daten-Verzeichnis einer Datenbank scannen sollte.

Ansonsten genehmigt sich ClamAV bzw. clamd ganz schön viel Arbeitsspeicher. Wenn alleine der AntiVirus Dienst in einer VM sich schon >500MB RAM krallt, dann wird das mit jeder weiteren VM ein ganz schön großer Batzen RAM der da nur dafür flöten geht.

Und wenn man diese Anwendungen whitelistet (falls das möglich ist)?
Eben, und für die Windows-Admins ist das ja immer so ein Horror. :rolleyes: Meistens wird es eben nicht so gemacht. Begründung, eine Komponente könnte ja schadhaften Code erzeugen. :rolleyes: