那些遇到过的问题

在 Linux DNS 服务器上运行防病毒软件。是否有意义?

Joh*_*iou 41 domain-name-system linux anti-virus bind pci-dss

在最近的一次审计中,我们被要求在运行 linux (bind9) 的 DNS 服务器上安装防病毒软件。服务器在渗透测试期间没有受到损害,但这是给出的建议之一。

  1. 通常安装linux杀毒软件是为了扫描发往用户的流量,那么在dns服务器上安装杀毒软件的目的是什么?

  2. 你对这个提议有什么看法?

  3. 你真的在你的 linux 服务器上运行防病毒软件吗?

  4. 如果是这样,您会推荐哪种防病毒软件,或者您目前正在使用哪种防病毒软件?

eww*_*ite 31

有时审计员是白痴......

不过,这是不常见的要求。我会通过保护/限制对服务器的访问、添加 IDS 或文件完整性监控或加强环境中其他地方的安全性来反驳审计员的建议。防病毒软件在这里没有任何好处。

编辑:

正如下面的评论中所指出的,我参与了在美国推出一个非常引人注目的网站,并负责设计符合 HIPAA 的 Linux 参考架构。

当讨论防病毒问题时,我们确实推荐 ClamAV 和应用程序防火墙来处理来自最终用户的提交,但通过实施补偿控制 第 3 方 IDS、会话日志、审计、远程系统日志、VPN 和服务器的双因素身份验证、AIDE 文件完整性监控、第 3 方数据库加密、疯狂的文件系统结构等)。这些被审计员认为是可以接受的,并且全部获得批准。

  • +1。您可以在很多方面花费资源:时间、金钱和精力,这些都可以为您的公司带来回报。也许审计人员阅读了有关 DNS 中毒的信息并认为这是一种治疗方法。这方面的回报可以忽略不计。 (2认同)

Gre*_*kew 17

您需要了解的关于审计师的第一件事是,他们可能不知道范围内的技术如何在现实世界中使用。

有很多 DNS 安全漏洞和问题应该在审计中解决。如果他们被“DNS 服务器上的防病毒软件”复选框等明亮闪亮的对象分心,他们将永远无法解决真正的问题。

Not*_*tMe 12

这方面的一个方面是,对于审计员来说,建议在所有事情使用“防病毒”是一个安全的赌注。

安全审计并不完全是关于实际的技术安全。通常,它们还涉及在发生诉讼时限制责任。

假设您的公司遭到黑客入侵,并且对您提起集体诉讼。您可以根据您遵守行业标准的程度减轻您的具体责任。假设审核员建议在此服务器上安装 AV,因此您不要安装它。

您对此的辩护是,您遵循了受人尊敬的审计师的建议,可以说是推卸责任。顺便说一下,这就是我们使用第三方审计师的主要原因。请注意,责任转移通常会写在您与审计师签署的合同中:如果您不遵循他们的建议,那就全靠您了。

那么,律师将调查审计师作为可能的共同被告。在我们假设的情况下,他们没有在特定服务器上推荐 AV 的事实将被视为不彻底。仅凭这一点就会在谈判中伤害他们,即使它与实际攻击完全没有关系。

审计公司唯一需要承担的财务责任就是为所有服务器提供标准建议,而不管实际攻击面如何。在这种情况下,AV 上的一切。换句话说,即使由于法律推理,手术刀在技术上更胜一筹,他们还是推荐大锤。

它有技术意义吗?通常不会,因为它通常会增加风险。这对律师、法官甚至陪审团有意义吗?绝对的,他们在技术上不称职,也无法理解细微差别。这就是为什么你需要遵守。

@ewwhite 建议您与审计员讨论此事。我认为那是错误的道路。相反,您应该与您公司的律师交谈,以征求他们对遵守这些要求的意见。

  • 如果您使用的是经过加固的机器,则 AV 可能是服务器上安装的唯一具有内置后门程序(即自动更新程序)的软件。此外,如果您设法将所有相关存储设置为只读,则 AV 将是唯一需要写访问权限以更新其签名的软件。 (6认同)
  • 看看我们为什么被阻止。在大多数情况下,/working/ AV 对 Linux 服务器来说几乎没有什么防御作用,因为它实际上只是防御有人使用它来分发恶意软件的情况。 (2认同)
  • @AndrewB:我不认为我是说永远不要与审计员交谈。相反,在此之前与您的法律代表进行讨论将是进行的最佳方式。在尝试走这条路之前,公司需要充分了解与审计师谈判的风险。 (2认同)

kno*_*ker 10

典型的现代防病毒软件会更准确地尝试查找恶意软件,而不仅限于病毒。根据服务器的实际实现(专用服务的专用框、共享框上的容器、“唯一服务器”上的附加服务),使用 ClamAV 或 LMD(Linux 恶意软件检测)之类的东西可能不是一个坏主意安装并每晚左右执行一些额外的扫描。

当在审计中被问到时,请选择确切的要求并查看随附的信息。原因:太多的审核员没有阅读完整的要求,不了解上下文和指导信息。

例如,PCIDSS 确实将“在通常受恶意软件影响的所有系统上部署防病毒软件”作为一项要求。

富有洞察力的 PCIDSS 指南专栏特别指出大型机、中型计算机和类似系统目前可能不会成为恶意软件的普遍目标或影响,但应监控当前的实际威胁级别,了解供应商安全更新并采取措施解决新的安全问题漏洞(不限于恶意软件)。

因此,在指出来自http://en.wikipedia.org/wiki/Linux_malware的大约 50 种 Linux 病毒与其他操作系统的数百万种已知病毒相比之后,很容易认为 Linux 服务器不会受到普遍影响. 来自https://wiki.ubuntu.com/BasicSecurity的“最基本的一组规则”对于大多数专注于 Windows 的审计员来说也是一个有趣的指针。

与标准病毒扫描程序相比,您对未决安全更新和运行完整性检查程序(如 AIDE 或 Samhain)的 apticron 警报可能更准确地解决实际风险。这也可以说服您的审计员不要引入安装其他不需要的软件的风险(这提供了有限的好处,可能会带来安全风险或只是破坏)。

如果这没有帮助:将 clamav 安装为日常 cronjob 并不会像其他软件那样受到太大伤害。

And*_*w B 7

DNS 服务器在今年受到 PCI 审计员的欢迎。

要认识到的重要一点是,虽然 DNS 服务器不处理敏感数据,但它们支持您的环境。因此,审计员开始将这些设备标记为“支持 PCI”,类似于 NTP 服务器。审核员通常对 PCI 支持环境应用一组不同于他们对 PCI 环境本身的要求。

我会与审计员交谈并要求他们澄清 PCI 和 PCI 支持之间的要求差异,只是为了确保此要求不会意外溜进来。我们确实需要确保我们的 DNS 服务器符合类似的强化准则PCI 环境,但防病毒不是我们面临的要求之一。

归档时间:

查看次数:

6427 次

最近记录:

10 年,12 月 前
我们的安全审计员是个白痴。我如何给他他想要的信息? 2426
恢复或重新加载 /etc/fstab 设置的快速方法? 11
更多相关链接
相关归档
恢复在删除的 SSH 会话中运行的命令 34
setfacl: x.txt: 不支持操作 14
shell 脚本可以等待文件更改并采取行动吗? 12
租用构建环境 9
创建用户时如何让木偶只设置密码? 9
这个 linux 命令是什么意思“路由添加 -net 224.0.0.0 网络掩码 240.0.0.0 eth0” 9
如何在 Sendmail 中禁用反向 DNS 6
限制目录大小 5
复制和转发 udp 流量 5
当使用 AMI 启动未来实例时,EC2 实例 AMI 是否会保存所有文件? 2
难疑归档
SSH 公钥文件末尾的用户/主机有何意义? 99
XYZ0 是有效的 IP 地址吗? 99
如何从 MySQL 导出权限,然后导入到新服务器? 94
Heartbleed:如何可靠且可移植地检查 OpenSSL 版本? 88
您是否需要在 nginx 中使用单独的 IPv4 和 IPv6 侦听指令? 86
Nginx 通过代理重定向、重写和保留 URL 83
Nginx 将一条路径重定向到另一条路径 70
高流量站点如何为超过 65535 个 TCP 连接提供服务? 67
在 Root 妥协后重新安装? 59
什么是 Windows 7 N/KN/VL 版本? 57