web-dev-qa-db-ja.com

clamdを無効にしても安全ですか?

Clamdが専用サーバー(Linuxを実行)で私のメモリ(2GB)の約5%を占めており、セキュリティ上のリスクなしにそれを無効にできるかどうか疑問に思っています。

サーバーは、自分のいくつかのWebサイトをホストしているだけです。ほとんどの場合、送受信される電子メールはGmail(私のpop3アカウントに接続します)を介して送信されます。

他の唯一の電子メールの使用例は、私のWebサイトの1つがすべての電子メールを解析し、添付された画像と件名行を取得する場合です。

Clamdを無効にした場合、セキュリティ/ウイルス感染のリスクはありますか?

7
mk1000

何らかの理由で他のすべての回答は、clamdが実際にシステムを自動的にスキャンすると想定しているようです。実際には、clamdはnotを実行して、システムを単独でスキャンします。他のプロセスがシステムのスキャンを要求するのを待つだけなので、「clamscan」手順を高速化することはありません(スキャンごとにウイルス定義を再ロードする必要がないため)。メールまたはファイル共有サーバーを実行していて、通過するファイルをスキャンしたい場合、これは非常に便利な最適化です。ただし、私と同じように、1日に1回のcronjobスキャンでサーバー上でWindowsマルウェアをホストしようとしている人がいないことを確認したい場合は、clamdはほとんど不要です。

これは3年前のものだと思いますが、「clamdのポイントは何ですか」、「clamdを無効にしても安全ですか」などを検索すると、最初の数エントリに表示されます。

9
persona15

感染のリスクが高まりますが、物事を比較検討する必要があります。

もし

  • linuxを実行している

  • サーバーは自分で使用するためのものです

  • 電子メールやファイルをWindowsマシンに渡していない、

  • リソースが限られているため、5%を戻す必要があります。

次に、clamdを停止します。

しかし、最近clamavによって検出されたLinuxサーバー上で実行されているクロスサイトスクリプティングを使用したJoomlaエクスプロイトを発見したため、Linuxはclamavが検出するすべてのマルウェアの影響を受けません。

それはオールオアナッシングではありません。妥協策として、3amなどの静かな期間にcronでclamscanを実行することもできます。

何かのようなもの

clamscan --tempdir=/tmp/ --infected --recursive /home | mail -s "Clamscan Report" [email protected]

始めましょう。詳細は manpage を参照してください。

2

私は間違いなくそれを無効にします。特にメモリ使用量が原因ではありませんが、より多くのものが実行されると、複雑さが増し、失敗の可能性が高くなります。特に、AVスキャナーを実行するとは、次のことを意味します。

  • だまされたくないものに誤検知検出のフラグを立てる(最悪の場合は削除する)可能性が高くなります。

  • スキャナー自体にセキュリティの脆弱性があり、潜在的にmoreが脆弱になる可能性。 (多くのスキャナーには、ClamAVを含むいくつかのエクスプロイトがあります。)

Linux Webサーバーで直面する一種のセキュリティリスク(SQLインジェクション、アカウントパスワードの侵害、カスタムビルドのルートキットなど)は、Clamのようなスキャナーが検出できる種類のリスクではありません。これにより、あなたの場合、AVは特に悪いトレードオフになります。汎用の侵入検知システムを使用するほうがよいでしょう。

2
bobince

私の見解では、5%は取るに足らないことです。 Webサーバーが実際にneedsすべての2GBのRAMで実際にその5%を節約できない場合、clamdにジャンプするのではなく、改善のために他の場所を探す必要があります。ClamAV (まだ)Linuxウイルスがないという主張には含まれていない、いくつかの非ウイルスマルウェアを検出します。

別の考慮事項は、量に関係なく、電子メールです。 Windowsウイルスに感染したメールはLinuxでは発生しない可能性がありますが、システムが孤立して動作していないことを覚えておく必要があります。 Windowsマシンを含む他のあらゆるシステムに接続されています。したがって、システムからの感染メッセージが検出されると、1つまたは複数のブロックリストに記載される可能性があります。それがあなたにとって本当の関心事であるかどうかは、あなただけが決めることができます。私は個人的に、すべてのメールシステムですべてのメッセージをスキャンし、ウイルスの有無を調べます。

2
John Gardeniers

安全リスクは相対的なものです。 Clamdは、ファイルとディレクトリでClamAVエンジンを実行しています。

それだけ多くのメモリを消費しているという数値をどこで取得していますか? Linuxのメモリ管理は誤解を招く可能性があります。割り当てられているが実際には常駐していないことを伝えるだけの場合もありますが、Linuxは通常、アクティブでないアプリケーションをジャグリングするのに優れています。おそらく、このアプリケーションが使用しているよりも多くのメモリがキャッシュで使用されていることがわかります。

個人的には殺しません。 「Peace of Mind」の別のレイヤーを追加するのは比較的簡単な方法であり、システムパフォーマンスに大きな影響を与えていない場合は、Linuxにメモリの管理を任せます。大量のスワップまたはディスクスラッシングが発生している場合は、トリミングプロセスについて参照してください。ただし、実際には、その時点では、代わりにメモリを増やすことを検討する必要があります。

逆に言えば、サイトがハッキングされて気づかなかった場合にどれほどの損害を被るかということです。バックアップから復元する時間、ブラックリストのもつれを解く時間、影響を受けるレピュテーションなど、このシステムへのアクセスに依存しているクライアントや他の人がいますか...マルウェアスキャナーを強制終了することは本当に価値がありますか場合?代替案と比較して、アプリケーションを強制終了する代わりに、より多くのメモリに投資する価値はありますか?これで必要な答えが得られます。

この質問を直接私に尋ねた場合の私の答えは、はい、セキュリティリスクがあります。これにより、保護の層が1つ増え、潜在的な悪用の試みを発見する別の方法が得られます。これは非常に大きなセキュリティリスクでしょうか。注意している限り、そうは思いません。しかし、シートベルトを着用しないと自動車事故でけがや死亡のリスクが高まるのと同じように、リスクが高まりますが、次回それをしないと運命を破るという意味ではありません。リスクはあなた自身の状況で定量化するのはあなた次第です。

1

私はそれを実行しません...負荷の高いサーバーで多くの問題を引き起こします。

Linux Webサーバーで直面する一種のセキュリティリスク(SQLインジェクション、アカウントパスワードの侵害、カスタムビルドのルートキットなど)は、Clamのようなスキャナーが検出できる種類のリスクではありません。これにより、あなたの場合、AVは特に悪いトレードオフになります。汎用の侵入検知システムを使用するほうがよいでしょう。

これ^

それは何も見つかりません、私は何百ものウェブサイトを運営していて、ClamAVはほとんど役に立たないです。私は時々別のスキャナーを実行し、phpオプション/ chmodディレクトリなどを制限します...

0
jd-

Webサイトをホストしている場合、Clamは、Windowsウイルスが存在することを早期に警告することがあります。これは、攻撃の結果である可能性があります。多くのハッキングの目的は被害者に悪意のあるコンテンツを提供させることであるため、サイトの訪問者(およびその問題については独自のWindowsキット)の安全のために、できるだけ早く上記のウイルスを削除することをお勧めしますクライアントPCに感染するため。

IDS(ログを読むのが面倒だとすると)は代替手段ではなく、ホストAVと連携して機能するものです。 IPSも代替策ではなく、AVに同様のfalse-posリスクをもたらします。

他の誰かが言ったように、あなたはRAMに関して小さな価格を払っています。これがあなた自身のサーバーである場合、別の2GbのRAMが数十ドル以上戻すことはほとんどありません。

0
Tom Newton