服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在Linux DNS服务器上运行防病毒软件。 是否有意义?
Intereting Posts
在Windows上正确设置OpenSSH的用户权限? 如何将文件作为电子邮件附件发送到Centos盒子上? 每个虚拟主机是否需要不同的套接字? 将IMAP文件夹从一台服务器复制到另一台的工具 Exchange 2003在服务器上存储发送的项目有一些限制吗? find可执行文件 当尝试同时向同一主机发出多个出站连接时,SSH'连接重置' 不要让密码保存在远程桌面连接 在VirtualHost的范围内的Apache request_uri 域pipe理员帐户可以做比域pipe理员帐户less 将svn passwd文件转换为htpasswd 暂时禁用除一个用户以外的所有用户的SSH并打印横幅 CentOS 7(1503) – BIND9新安装不响应外部DNS请求 强化CentOS 6 web服务器安全性 CLOSE_WAIT套接字爆裂 – 也许是因为iptables的设置?

在Linux DNS服务器上运行防病毒软件。 是否有意义?

在最近一次审计中,我们被要求在运行linux(bind9)的DNS服务器上安装防病毒软件。 在渗透testing期间服务器没有受到损害,但是这是给出的build议之一。

  1. 通常会安装Linux防病毒软件来扫描用户的stream量,那么在dns服务器上安装防病毒软件的目标是什么?

  2. 你对这个build议有什么看法?

  3. 你真的在你的linux服务器上运行杀毒软件吗?

  4. 如果是这样,你会推荐或者你正在使用哪种杀毒软件?

其中一个方面就是对审计人员来说推荐“反病毒”是一件安全的事情

安全审计并不完全关乎实际的技术安全。 通常他们也是在诉讼的情况下限制责任。

假设你的公司遭到黑客攻击,并向你提起集体诉讼。 根据您遵循行业标准的程度,可以减轻您的具体责任。 假设审计人员build议在此服务器上使用AV,所以您不要安装它。

你在这方面的辩护就是你遵循了一位受人尊敬的审计员的build议,并且可以这么说。 顺便说一下,这是我们使用第三方审核员的主要原因。 请注意,责任的转移通常会写入您与审计师签署的合同中:如果您不遵循他们的build议,这些都在您身上。

那么,律师就会把这个审计师调查为可能的共同被告。 在我们的假设情况下,他们不推荐在特定服务器上使用AV,这一事实将被视为不彻底。 即使谈判对实际的袭击毫无影响,单靠这一点也会伤害到谈判。

对于审计公司来说唯一的财务负责的事情就是对所有的服务器都有一个标准的build议,而不pipe实际的攻击面。 在这种情况下, 所有的 AV。 换句话说,即使由于法律推理,手术刀在技术上更胜一筹,他们也推荐使用大锤。

这是否有技术意义? 一般不会,因为它通常会增加风险。 律师,法官甚至陪审团是否有意义? 当然,他们没有技术上的能力,不能理解细微差别。 这就是为什么你需要遵守。

@ewwhitebuild议你跟审核员谈谈这个问题。 我认为这是错误的道路。 相反,你应该和你公司的律师谈一谈, 不要听从这些要求。

有时审计师是白痴

这是不寻常的要求,但。 我会通过保护/限制对服务器的访问,添加IDS或文件完整性监控或增强您环境中的其他位置的安全性来对付审计员的build议。 防病毒在这里没有任何好处。

编辑:

正如下面的评论所指出的,我参与了在美国这个非常高调的网站的推出,并负责devise符合HIPAA的Linux参考体系结构。

在讨论Antivirus的问题时,我们推荐使用ClamAV和应用防火墙来处理来自最终用户的提交,但通过实施补偿控制 ( 第三方IDS ,会话logging,审计,远程系统日志,VPN和服务器的双因素authentication ,AIDE文件完整性监控,第三方数据库encryption, 疯狂的文件系统结构等) 。 这些被审计员认为是可以接受的,都被批准了。

你首先需要了解审计人员,他们可能不知道如何在现实世界中使用范围的技术。

有很多DNS安全漏洞和问题应该在审计中解决。 如果被“DNS服务器上的防病毒”checkbox等明亮shiny的对象分散注意力,他们将永远不会遇到真正的问题。

典型的现代反病毒软件确实能够更准确地发现恶意软件,而不仅限于病毒。 根据服务器的实际实现情况(专用服务的专用盒,共享盒上的容器,“唯一服务器”上的附加服务),有ClamAV或LMD(Linux恶意软件检测)之类的东西可能不是一个坏主意,安装并每晚执行一些额外的扫描。

当在审计中被问到的时候,请select确切的要求并查看附带的信息。 为什么:太多的审计人员没有阅读完整的要求,没有意识到上下文和指导信息。

例如,PCIDSS确实规定“在所有通常受到恶意软件影响的系统上部署防病毒软件”。

具有洞察力的PCIDSS指导专栏明确指出大型机,中型计算机和类似系统目前可能不会被恶意软件普遍瞄准或受到影响,但应该监控当前的实际威胁级别,了解供应商安全更新并实施措施以解决新的安全问题漏洞(不限于恶意软件)。

因此,在指出来自http://en.wikipedia.org/wiki/Linux_malware的大约50种Linux病毒的列表之后,与其他操作系统的数百万种已知病毒相比,很容易争论一个Linux服务器不会受到普遍影响https://wiki.ubuntu.com/BasicSecurity中的“最基本的一组规则”对于大多数以Windows为核心的审计人员来说也是一个有趣的指针。

而且,您的apticron-即将发布的安全更新和运行完整性检查程序(如AIDE或Samhain)的警报可能比标准的病毒扫描程序更准确地解决实际风险。 这也可以说服你的审计人员不要冒险安装一个不需要的软件(它提供了一个有限的好处,可能带来安全风险,或者简单地破坏)。

如果这没有帮助:安装clamav作为每日cronjob不会像其他软件那样伤害。

今年,DNS服务器已经在PCI审计人员中stream行起来。

重要的是要认识到,虽然DNS服务器不处理敏感数据,但它们支持您所使用的环境。 因此,审计人员开始将这些设备标记为“PCI支持”,类似于NTP服务器。 审计人员通常对PCI支持环境应用不同的要求,而不是PCI环境本身。

我会和审计人员交谈,要求他们澄清他们在PCI和PCI支持方面的要求差别,只是为了确保这个要求不会意外偷偷溜进去。我们确实需要确保我们的DNS服务器符合类似强化指南到PCI环境,但防病毒不是我们所面临的要求之一。

这可能是一个膝盖反应的网站bash vuln,有人build议在线绑定可能会受到影响。

编辑:不知道它曾经被certificate或确认。

如果您的DNS服务器属于PCI DSS范围,那么您可能会被迫在其上运行AV(尽pipe在大多数情况下它是完全愚蠢的)。 我们使用ClamAV。

如果这是为了符合SOX,他们告诉你安装防病毒软件,很可能是因为某个地方你有一个策略,说所有的服务器都必须安装防病毒软件。 而这个不是。

为此服务器写入例外策略,或者安装AV。

有两种主要的DNS服务器:权威和recursion。 一个权威的 DNS服务器告诉世界什么IP地址应该被用于一个域内的每个主机名。 最近,将其他数据与名称相关联成为可能,例如电子邮件过滤策略(SPF)和encryption证书(DANE)。 parsing器 (或recursion DNS服务器)查找与域名相关的信息,使用根服务器( . )查找注册服务器( .com ),使用这些服务器查找域的授权服务器( serverfault.com ),最后使用那些find主机名( serverfault.commeta.serverfault.com等)。

我看不出“杀毒软件”如何适合权威的服务器。 但是,对于parsing器来说,实际的“防病毒”将涉及阻止与分发或命令和控制恶意软件相关的域的查找。 谷歌dns block malwaredns sinkhole带来了一些结果,可能会帮助您保护您的networking,保护其parsing器。 这与您在客户端/桌面计算机上运行的杀毒软件并不相同,但将其提交给负责“防病毒”要求的相关方可能会提供一个回复,帮助您更好地理解“防病毒”要求的性质。

其他Stack Exchange站点上的相关问题:

  • 如何能有人下沉的领域?

更好地运行Tripwire或AIDE