सवाल लिनक्स DNS सर्वर पर एंटीवायरस सॉफ़्टवेयर चलाएं। क्या इस का कोई मतलब निकलता है?


हालिया लेखापरीक्षा के दौरान हमें उन अनुरोधों से एंटीवायरस सॉफ़्टवेयर स्थापित करने का अनुरोध किया गया था जो लिनक्स (बाइंड 9) चला रहे हैं। प्रवेश परीक्षा के दौरान सर्वर से समझौता नहीं किया गया था लेकिन यह सिफारिशों में से एक था।

  1. आम तौर पर यातायात स्कैन करने के लिए लिनक्स एंटीवायरस सॉफ़्टवेयर स्थापित किया जाता है उपयोगकर्ताओं के लिए नियत, तो डीएनएस पर एंटीवायरस स्थापित करने का लक्ष्य क्या है सर्वर?

  2. प्रस्ताव पर आपकी राय क्या है?

  3. क्या आप वास्तव में अपने लिनक्स सर्वर पर एंटीवायरस सॉफ़्टवेयर चलाते हैं?

  4. यदि हां, तो आप कौन सा एंटीवायरस सॉफ़्टवेयर सुझाएंगे या आप हैं वर्तमान में उपयोग कर रहे हैं?


38
2017-11-09 17:15


मूल


मेल संलग्नक में वायरस स्कैन करने के लिए, मैंने केवल लिनक्स मेल सर्वर पर एंटीवायरस स्थापित किया है, मुझे डीएनएस सर्वर पर एंटीवायरस इंस्टॉल करने में कोई समझ नहीं है। - c4f4t0r
हाँ, यह कोई समझ नहीं आता है। कंपनी को उस सिफारिश को स्पष्ट करने के लिए कहें। - Michael Hampton♦
बस एंटीवायरस सॉफ़्टवेयर वे आपको इंस्टॉल करना चाहते हैं? - Matt
"मुख्य रूप से राय-आधारित" कहने के लिए कहा गया, क्योंकि मुझे लगता है कि अब तक लोकप्रिय उत्तरों के विपरीत एक वैध मामला बनाया जा सकता है। :) - Ryan Ries
हमने खुद को इस स्थिति में पाया - विशेष रूप से DNS के साथ नहीं, बल्कि सामान्य रूप से लिनक्स सर्वर - और हालांकि हम इसके खिलाफ तर्क से सहमत हैं, अंत में यह केवल एक बॉक्स-टिकिंग अभ्यास था जिसे हम लड़ने से थक गए थे। इसलिए हम सभी सर्वरों पर केंद्रीय प्रबंधित ईएसईटी एंटीवायरस चलाते हैं। - HTTP500


जवाब:


इसका एक पहलू यह है कि "एंटी-वायरस" की सिफारिश की जा रही है सब कुछ लेखा परीक्षक के लिए एक सुरक्षित शर्त है।

सुरक्षा लेखा परीक्षा पूरी तरह से वास्तविक तकनीकी सुरक्षा के बारे में नहीं हैं। अक्सर वे मुकदमे के मामले में देयता को सीमित करने के बारे में भी हैं।

मान लें कि आपकी कंपनी हैक की गई थी और आपके खिलाफ एक क्लास एक्शन मुकदमा दायर किया गया था। उद्योग मानकों का पालन करने के आधार पर आपकी विशिष्ट देयता को कम किया जा सकता है। मान लें कि लेखा परीक्षकों ने किया था नहीं इस सर्वर पर एवी की सिफारिश करें, इसलिए आप इसे इंस्टॉल नहीं करते हैं।

इसमें आपकी रक्षा यह है कि आपने एक सम्मानित लेखा परीक्षक की सिफारिशों का पालन किया और बोलने के लिए हिरण पास किया। संयोग से, यह प्राथमिक कारण है कि हम तीसरे पक्ष के लेखा परीक्षकों का उपयोग करते हैं। ध्यान दें कि उत्तरदायित्व को स्थानांतरित करने वाले अक्सर अनुबंध में लिखे गए अनुबंध में लिखा जाता है: यदि आप उनकी सिफारिशों का पालन नहीं करते हैं, तो यह सब आपके ऊपर है।

खैर, वकील तब लेखा परीक्षक को संभावित सह-प्रतिवादी के रूप में जांच करेंगे। हमारी hypothetical स्थिति में तथ्य यह है कि उन्होंने एक विशेष सर्वर पर एवी की सिफारिश नहीं की है पूरी तरह से नहीं देखा जाएगा। वह अकेले ही वार्ता में उन्हें चोट पहुंचाएगा, भले ही इसका वास्तविक हमले पर बिल्कुल असर न हो।

एक ऑडिटिंग कंपनी के लिए एकमात्र फिस्कल जिम्मेदार चीज है कि वास्तविक हमले की सतह के बावजूद सभी सर्वरों के लिए मानक सिफारिश हो। इस मामले में, एवी ऑन सब कुछ। दूसरे शब्दों में वे कानूनी तर्क के कारण तकनीकी रूप से बेहतर होने पर भी एक स्लेज हथौड़ा की सलाह देते हैं।

क्या यह तकनीकी समझ में आता है? आमतौर पर ऐसा नहीं होता क्योंकि यह आमतौर पर जोखिम बढ़ाता है। क्या यह वकील, न्यायाधीश या यहां तक ​​कि जूरी को समझ में आता है? बिल्कुल, वे तकनीकी रूप से सक्षम नहीं हैं और बारीकियों को समझने में असमर्थ हैं। यही कारण है कि आपको पालन करने की आवश्यकता है।

@ewwhite ने इस बारे में ऑडिटर के साथ बात करने की सिफारिश की। मुझे लगता है कि यह गलत रास्ता है। इसके बजाय आपको अपनी राय पाने के लिए अपनी कंपनी के वकील से बात करनी चाहिए नहीं इन अनुरोधों का पालन करें।


11
2017-11-11 15:21



देखो हम वापस क्यों हैं। अधिकांश मामलों में एक / काम / एवी एक लिनक्स सर्वर के लिए थोड़ा बचाव है क्योंकि यह वास्तव में मैलवेयर वितरित करने के लिए इसका उपयोग करने वाले किसी के मामले का बचाव करता है। - joshudson
यदि आप कठोर मशीन पर हैं, तो शायद एवी सर्वर पर स्थापित एकमात्र सॉफ़्टवेयर हो रहा है जिसमें अंतर्निहित बैकडोर है, यानी ऑटोपॉटर। साथ ही, यदि आप सभी प्रासंगिक स्टोरेज को केवल पढ़ने के लिए प्रबंधित करते हैं, तो एवी एकमात्र ऐसा सॉफ़्टवेयर होगा जिसके लिए इसके हस्ताक्षर को अपडेट करने के लिए लेखन पहुंच की आवश्यकता होगी। - Lie Ryan
मैं लेखा परीक्षकों से बात न करने के बिंदु से सहमत नहीं हो सकता। लेखा परीक्षकों को प्रवेश करने की अपेक्षा अधिक गलतियां होती हैं। आपसी समझ में पहुंचने में कुछ भी गलत नहीं है कि लेखा परीक्षक ने गलती की - बस सुनिश्चित करें कि पावती स्पष्ट है। - Andrew B
@AndrewB: मुझे नहीं लगता कि मैं ऑडिटर से बात करने के लिए कभी नहीं कह रहा था। इसके बजाय, आपके कानूनी प्रतिनिधि के साथ एक चर्चा उस पर प्रमुख होने का सबसे अच्छा तरीका होगा। कंपनी को उस रास्ते पर जाने से पहले ऑडिटर के साथ बातचीत करने के जोखिम को पूरी तरह से समझने की जरूरत है। - NotMe


कभी-कभी लेखा परीक्षक बेवकूफ होते हैं ...

यह असामान्य अनुरोध है, यद्यपि। मैं सर्वर पर पहुंच को सुरक्षित / सीमित करके लेखा परीक्षकों की सिफारिश का मुकाबला करता हूं, एक आईडीएस या फ़ाइल-अखंडता निगरानी या आपके पर्यावरण में कहीं और सुरक्षा को जोड़ता हूं। एंटीवायरस का कोई लाभ नहीं है।

संपादित करें:

जैसा कि नीचे दी गई टिप्पणियों में उल्लेख किया गया है, मैं बहुत से लॉन्च में शामिल था उच्च प्रोफ़ाइल वेबसाइट यहां यूएस में, और एचआईपीएए अनुपालन के लिए लिनक्स संदर्भ वास्तुकला को डिजाइन करने के लिए जिम्मेदार था।

जब एंटीवायरस की बात चर्चा के लिए आई, तो हमने क्लैमएवी और एंड-यूजर से सबमिशन को संसाधित करने के लिए एक फ़ायरवॉल की सिफारिश की, लेकिन कार्यान्वित करके सभी प्रणालियों पर एवी रखने से बचने में कामयाब रहा क्षतिपूर्ति नियंत्रण  (तृतीय पक्ष आईडीएस, सत्र लॉगिंग, लेखा परीक्षा, रिमोट syslog, दो कारक लेख वीपीएन और सर्वर के लिए, एआईडी फाइल-अखंडता निगरानी, ​​तृतीय पक्ष डीबी एन्क्रिप्शन, पागल फाइल सिस्टम संरचनाएं, आदि।)। इन्हें लेखा परीक्षकों द्वारा स्वीकार्य समझा जाता था, और सभी को मंजूरी दे दी गई थी।


32
2017-11-09 17:37



+1। ऐसी कई चीजें हैं जहां आप संसाधन खर्च कर सकते हैं: समय, धन और ऊर्जा जो आपकी कंपनी को वापस प्रदान करती है। शायद एक लेखा परीक्षक डीएनएस विषाक्तता के बारे में पढ़ते हैं और सोचते हैं कि यह एक इलाज है। इस पर वापसी नगण्य है। - jim mcnamara
ये सभी पहले से ही मौजूद हैं: सर्वर पर प्रदर्शन निगरानी तंत्र, आईपीएस, नेटवर्क फ़ायरवॉल और निश्चित रूप से iptables। - John Dimitriou
@JohnDimitriou तो आप उत्कृष्ट आकार में हैं। एंटीवायरस की सिफारिश थोड़ा अजीब है। लेखा परीक्षकों को स्पष्ट करने के लिए कहें। - ewwhite
@ChrisLively यह एक के डिजाइन के दौरान आया था कुछ हद तक  उच्च प्रोफ़ाइल पर्यावरण मैं पिछले साल काम कर रहा था। हम क्लैमएवी के साथ सिस्टम पर समाप्त हुए जहां हम उपयोगकर्ता द्वारा सबमिट किए गए डेटा को स्वीकार कर रहे थे। हालांकि, हमने इन्हें रेखांकित करके अन्य लिनक्स सिस्टम पर एवी से परहेज किया क्षतिपूर्ति नियंत्रण और लेखा परीक्षकों के साथ एक समझौते पर आ रहा है। - ewwhite
मैं तब तक कहूंगा जब तक आपने दिखाया है कि आपने "जोखिम को कम कर दिया है" और ऑडिटर वास्तव में साइन इन कर रहे हैं कि वे सहमत हैं, फिर कानूनी देयता है उपयुक्त संतुष्ट। बेशक, मुझे यकीन है कि अनुबंध, और अन्य कानून, उस विशेष पर्यावरण के आस-पास, यह थोड़ा अद्वितीय बना सकता है। - NotMe


ऑडिटर के बारे में आपको समझने की पहली चीज़ यह है कि वे असली दुनिया में किस प्रकार की तकनीक का उपयोग नहीं करते हैं, इस बारे में कुछ भी नहीं पता हो सकता है।

बहुत सी DNS सुरक्षा भेद्यताएं और समस्याएं हैं जिन्हें ऑडिट में संबोधित किया जाना चाहिए। अगर वे चमकदार चमकदार वस्तुओं जैसे "एक DNS सर्वर पर एंटीवायरस" चेकबॉक्स से विचलित होते हैं तो वे वास्तविक मुद्दों तक कभी नहीं पहुंच पाएंगे।


17
2017-11-09 17:51





विशिष्ट आधुनिक एंटी-वायरस सॉफ़्टवेयर मैलवेयर खोजने का अधिक सटीक प्रयास करता है और न केवल वायरस तक ही सीमित है। किसी सर्वर के वास्तविक कार्यान्वयन (समर्पित सेवा के लिए समर्पित बॉक्स, साझा बॉक्स पर कंटेनर, "केवल सर्वर" पर अतिरिक्त सेवा) के आधार पर, संभवतः क्लामएवी या एलएमडी (लिनक्स मैलवेयर डिटेक्ट) जैसे कुछ होने का बुरा विचार नहीं है। स्थापित और हर रात या तो कुछ अतिरिक्त स्कैन प्रदर्शन करते हैं।

ऑडिट में पूछे जाने पर, कृपया सटीक आवश्यकता चुनें और साथ में जानकारी देखें। क्यों: बहुत से लेखा परीक्षकों को पूरी आवश्यकता नहीं पढ़ती है, संदर्भ और मार्गदर्शन की जानकारी से अवगत नहीं हैं।

एक उदाहरण के रूप में, पीसीआईडीएसएस एक आवश्यकता के रूप में "दुर्भावनापूर्ण सॉफ़्टवेयर द्वारा प्रभावित सभी प्रणालियों पर एंटी-वायरस सॉफ़्टवेयर को तैनात" करता है।

अंतर्दृष्टिपूर्ण पीसीआईडीएसएस मार्गदर्शन कॉलम विशेष रूप से मेनफ्रेम, मध्य-श्रेणी के कंप्यूटर और इसी तरह के सिस्टम को मैलवेयर द्वारा लक्षित या प्रभावित नहीं किया जा सकता है, लेकिन किसी को मौजूदा वास्तविक खतरे के स्तर की निगरानी करनी चाहिए, विक्रेता सुरक्षा अद्यतनों से अवगत रहना चाहिए और नई सुरक्षा को संबोधित करने के उपायों को लागू करना चाहिए भेद्यता (मैलवेयर तक सीमित नहीं)।

तो लगभग 50 लिनक्स वायरस की सूची में इशारा करते हुए http://en.wikipedia.org/wiki/Linux_malware अन्य ऑपरेटिंग सिस्टम के लिए लाखों ज्ञात वायरस की तुलना में, लिनक्स सर्वर को तर्क देना आसान है आमतौर पर प्रभावित। "नियमों का सबसे बुनियादी सेट" से https://wiki.ubuntu.com/BasicSecurity अधिकांश विंडोज-फोकस किए गए ऑडिटर के लिए भी एक दिलचस्प सूचक हैं।

और लंबित सुरक्षा अद्यतनों पर आपके एपिट्रिकॉन-अलर्ट और एआईडी या समैन जैसे चल रहे अखंडता जांचकर्ता मानक वायरस स्कैनर की तुलना में वास्तविक जोखिमों को अधिक सटीक रूप से संबोधित कर सकते हैं। यह आपके ऑडिटर को अन्यथा अनचाहे सॉफ़्टवेयर स्थापित करने का जोखिम नहीं पेश करने का भी विश्वास दिला सकता है (जो सीमित लाभ प्रदान करता है, सुरक्षा जोखिम लगा सकता है या बस तोड़ सकता है)।

यदि इससे मदद नहीं मिलती है: दैनिक क्रोनबॉज के रूप में क्लैमव इंस्टॉल करना अन्य सॉफ़्टवेयर की तरह ज्यादा चोट नहीं पहुंचाता है।


10
2017-11-10 16:02





इस साल पीसीआई लेखा परीक्षकों के साथ DNS सर्वर लोकप्रिय हो गए हैं।

पहचानने की महत्वपूर्ण बात यह है कि जबकि DNS सर्वर नहीं करते हैं संभालना संवेदनशील डेटा, वे समर्थन आपके वातावरण जो करते हैं। इस प्रकार, लेखा परीक्षकों ने इन उपकरणों को "पीसीआई सहायक" के रूप में ध्वजांकित करना शुरू कर दिया है, एनटीपी सर्वर के समान। लेखा परीक्षकों आमतौर पर पीसीआई पर्यावरण वातावरण के मुकाबले पीसीआई सहायक वातावरण के लिए आवश्यकताओं का एक अलग सेट लागू करते हैं।

मैं लेखा परीक्षकों से बात करता हूं और उनसे पीसीआई और पीसीआई समर्थन के बीच अपनी आवश्यकताओं में अंतर को स्पष्ट करने के लिए कहता हूं, यह सुनिश्चित करने के लिए कि यह आवश्यकता गलती से छेड़छाड़ नहीं की गई है। हमें यह सुनिश्चित करने की ज़रूरत है कि हमारे DNS सर्वर कठोर दिशानिर्देशों को पूरा करते हैं पीसीआई वातावरण में, लेकिन एंटी-वायरस हमारी आवश्यकताओं में से एक नहीं था।


7
2017-11-10 16:25





शेलशॉक बैश वूलन के लिए यह घुटने-झटके की प्रतिक्रिया हो सकती थी, यह ऑनलाइन सुझाव दिया गया था कि बांध प्रभावित हो सकता है।

संपादित करें: सुनिश्चित नहीं है कि यह कभी सिद्ध या पुष्टि हुई थी।


2
2017-11-09 17:58



जो, विचित्र रूप से, एंटी-वायरस सॉफ़्टवेयर के लिए कोई मदद नहीं होगी। - Bert
@Bert एंटीवायरस कमजोर बैश का पता नहीं लगा सकता है? - Basilevs
शेलशॉक पहले से ही पैच किया गया था और सर्वर सफलतापूर्वक परीक्षण पारित कर दिया - John Dimitriou
अरे ... मैं यह नहीं कह रहा हूं कि यह मदद करने जा रहा है, मैं बस इतना कह रहा हूं कि यह संभवतः उन्हें सहायक माना जाता था। - D Whyte


यदि आपके DNS सर्वर पीसीआई डीएसएस स्कोप में आते हैं, तो आपको उन पर एवी चलाने के लिए मजबूर होना पड़ सकता है (भले ही यह ज्यादातर मामलों में मूर्खतापूर्ण है)। हम क्लैमएवी का उपयोग करते हैं।


2
2017-11-10 16:23





यदि यह एसओएक्स अनुपालन के लिए है, तो वे आपको एंटीवायरस स्थापित करने के लिए कह रहे हैं, सबसे अधिक संभावना है, क्योंकि कहीं आपके पास ऐसी नीति है जो कहती है कि सभी सर्वरों में एंटीवायरस स्थापित होना चाहिए। और यह नहीं करता है।

या तो इस सर्वर के लिए नीति के लिए अपवाद लिखें, या एवी स्थापित करें।


1
2017-11-10 21:25





दो मुख्य प्रकार के DNS सर्वर हैं: आधिकारिक और पुनरावर्ती। एक आधिकारिक DNS सर्वर दुनिया को बताता है कि डोमेन के भीतर प्रत्येक होस्टनाम के लिए आईपी पते का उपयोग किस प्रकार किया जाना चाहिए। हाल ही में अन्य डेटा को किसी नाम से संबद्ध करना संभव हो गया है, जैसे ई-मेल फ़िल्टरिंग नीतियां (एसपीएफ़) और क्रिप्टोग्राफिक प्रमाणपत्र (डीएएनई)। ए समाधानकर्ता, या पुनरावर्ती DNS सर्वर, रूट सर्वर का उपयोग कर, डोमेन नाम से जुड़े जानकारी को देखता है (.) रजिस्ट्री सर्वर खोजने के लिए (.com), डोमेन के आधिकारिक सर्वर खोजने के लिए उन लोगों का उपयोग करना (serverfault.com), और अंततः मेजबाननाम खोजने के लिए उन का उपयोग कर रहे हैं (serverfault.com, meta.serverfault.com, आदि।)।

मैं नहीं देख सकता कि कैसे "एंटीवायरस" एक आधिकारिक सर्वर के लिए उपयुक्त होगा। लेकिन एक रिज़ॉल्वर के लिए व्यावहारिक "एंटीवायरस" वितरण या मैलवेयर के आदेश और नियंत्रण से जुड़े डोमेन के लुकअप को अवरुद्ध करना शामिल होगा। गूगल dns block malware या dns sinkhole कुछ ऐसे परिणाम लाए जो आपके रिजर्वर्स की सुरक्षा करके आपके नेटवर्क की सुरक्षा में मदद कर सकते हैं। यह एंटीवायरस का एक ही प्रकार नहीं है जिसे आप क्लाइंट / डेस्कटॉप मशीन पर चलाएंगे, लेकिन "एंटीवायरस" आवश्यकता के लिए जिम्मेदार पार्टी को प्रस्तावित करने से वह उत्तर उत्पन्न हो सकता है जो आपको "एंटीवायरस" आवश्यकता की प्रकृति को बेहतर ढंग से समझने में मदद करता है ।

अन्य स्टैक एक्सचेंज साइटों पर संबंधित प्रश्न:


1
2017-11-10 23:46



एंटी-वायरस का वर्णन आप कैसे कर रहे हैं? यह एंटी-स्पैम फ़िल्टर और फ़ायरवॉल के बीच एक क्रॉस की तरह लगता है। मेरे लिए, ऐसा लगता है कि iptables एंटी-वायरस सॉफ़्टवेयर है। - Patrick M


Tripwire या AIDE चलाने के लिए बेहतर है


-2
2017-11-12 07:13