Clamd занимает около 5% моей памяти (2 ГБ) на моем выделенном сервере (под управлением Linux), и мне интересно, могу ли я отключить его без каких-либо рисков для безопасности.
На сервере только несколько моих собственных веб-сайтов. По большей части получение и отправка электронной почты осуществляется через Gmail (который подключается к моим учетным записям pop3).
Единственный другой вариант использования электронной почты - это когда один из моих веб-сайтов анализирует все электронные письма и захватывает прикрепленные изображения и строку темы.
Будет ли какая-либо безопасность / риски заражения вирусом, если я отключу clamd?
Все остальные ответы по какой-то причине предполагают, что clamd фактически автоматически сканирует вашу систему. На самом деле clamd делает не просканируйте вашу систему самостоятельно. Все, что он делает, - это ждет, пока другой процесс попросит его просканировать систему, и, таким образом, не делает ничего больше, чем ускоряет процедуру «clamscan» (поскольку ему не нужно перезагружать описания вирусов при каждом сканировании). Если вы используете почтовый сервер или сервер обмена файлами и хотите сканировать файлы по мере их прохождения, это может быть очень полезной оптимизацией. Однако, если вы похожи на меня и просто хотите убедиться, что никто не пытается разместить вредоносное ПО для Windows на вашем сервере с помощью ежедневного сканирования cronjob, clamd в значительной степени не нужен.
Я понимаю, что ему уже три года, но он появляется в первых нескольких записях, когда кто-то ищет «в чем смысл clamd», «безопасно ли включать clamd» и тому подобное.
Я бы однозначно отключил. В частности, не из-за использования памяти, а из-за того, что чем больше запущено, тем сложнее, тем выше вероятность сбоя. В частности, запуск AV-сканера означает:
больше шансов на ложноположительные срабатывания отметки (в худшем случае - удаления) того, с чем вы не хотите связываться;
возможность того, что в самом сканере есть уязвимости в системе безопасности, что может сделать вас Больше уязвим. (У многих сканеров есть эксплойты, в том числе несколько для ClamAV.)
Риски безопасности, с которыми вы сталкиваетесь на веб-сервере Linux (SQL-инъекции, компрометация пароля учетной записи, настраиваемые руткиты и т. Д.), Не являются теми рисками, которые сканер, такой как Clam, сможет обнаружить за вас. Это делает AV особенно плохим компромиссом в вашем случае. Вам будет лучше с универсальной системой обнаружения вторжений.
Я считаю, что 5% - это тривиально. Если ваш веб-сервер потребности все 2 ГБ ОЗУ, и вы действительно не можете сэкономить эти 5%, вам следует искать в другом месте для улучшения, а не прыгать на clamd. ClamAV обнаружит некоторую невирусную вредоносную программу, которая не включена в заявление об отсутствии вирусов для Linux (пока).
Еще одно соображение - электронная почта, независимо от объема. Хотя электронное письмо, зараженное вирусом Windows, может не являться событием в Linux, вы должны помнить, что ваша система не работает в вакууме. Он подключен ко всем другим системам, включая машины Windows. Следовательно, зараженное сообщение, обнаруженное как исходящее из вашей системы, может и, вероятно, внесет вас в один или несколько списков блокировки. Вы сами решаете, действительно ли это беспокоит вас. Я лично считаю, что все почтовые системы должны сканировать все входящие и исходящие сообщения на наличие вирусов.
Вы увеличите риск заражения, но вам нужно взвесить все.
Если
вы используете Linux,
сервер для вашего собственного использования
вы не передаете электронную почту или файлы на машины Windows,
вам нужно вернуть 5% из-за ограниченных ресурсов.
Тогда перестань молчать.
Однако недавно я обнаружил эксплойты Joomla, использующие межсайтовый скриптинг на серверах Linux, которые были обнаружены clamav, поэтому Linux не застрахован от всех вредоносных программ, которые обнаружит clamav.
Однако это не все или ничего. В качестве компромисса вы можете запустить clamscan в cron в периоды тишины, например, в 3 часа ночи.
Что-то вроде
clamscan --tempdir=/tmp/ --infected --recursive /home | mail -s "Clamscan Report" you@example.com
поможет вам начать. Видеть страница руководства Больше подробностей.
Риски безопасности - вещь относительная. Clamd использует механизм ClamAV для файлов и каталогов.
Откуда вы взяли, что это занимает столько памяти? Управление памятью Linux может вводить в заблуждение; иногда он просто сообщает вам, что выделено, но на самом деле не резидентно, и Linux обычно неплохо справляется с манипуляциями с приложениями, когда они неактивны. Вы, вероятно, увидите, что при кэшировании используется намного больше памяти, чем занимает это приложение.
Лично я бы не стал его убивать. Это относительно простой способ добавить еще один уровень «душевного спокойствия», и если он не влияет существенно на производительность вашей системы, позвольте Linux делать свое дело с управлением памятью. Если вы сильно загружаетесь подкачкой или диском, подумайте о процессах обрезки, но на самом деле в этот момент вам, возможно, придется подумать об увеличении памяти.
Обратная сторона вопроса - насколько вам будет больно, если сайт будет взломан, а вы этого не заметите. Время восстанавливать из резервной копии, время распутывать любые черные списки, есть ли у вас клиенты или другие лица, которые зависят от доступа к этой системе, которая будет затронута, репутации и т.д ... действительно ли вам стоит убить сканер вредоносных программ в этом кейс? Стоит ли вкладывать больше памяти вместо того, чтобы убивать приложение, если сравнивать с альтернативой? Это должно дать вам нужный ответ.
Я отвечу, если вы спросите меня лично, этот вопрос: да, есть риск для безопасности, поскольку это дает вам еще один уровень защиты и еще один вектор обнаружения потенциальных попыток использования уязвимостей. Разве это огромный риск для безопасности, я бы так не подумал, если вы будете осторожны. Но это увеличивает ваш риск, так же как отсутствие ремня безопасности увеличивает риск травмы или смерти в автомобильной аварии, но это не значит, что вы обречены, когда в следующий раз не сделаете этого. Риск зависит от вас, чтобы оценить его количественно в вашей собственной ситуации.
Если вы размещаете веб-сайт, Clam может заранее предупредить вас о наличии вируса Windows, что, скорее всего, является результатом атаки. Я бы посоветовал вам как можно скорее удалить указанный вирус для безопасности посетителей вашего сайта (и вашего собственного комплекта Windows в этом отношении), поскольку цель многих взломов - заставить жертву обслуживать вредоносный контент. с целью заражения клиентских компьютеров.
IDS (при условии, что вы потрудитесь прочитать журналы) НЕ является альтернативой, а скорее то, что может работать совместно с хостом AV. IPS также не является альтернативой и несет в себе аналогичные риски ложных положительных результатов для AV.
Как сказал кто-то другой, вы платите небольшую цену за RAM. Если это ваш собственный сервер, дополнительные 2 ГБ ОЗУ вряд ли обойдутся вам более чем в десятки долларов.
Я не запускаю его ... вызывает слишком много проблем на сильно загруженном сервере.
Риски безопасности, с которыми вы сталкиваетесь на веб-сервере Linux (SQL-инъекции, компрометация пароля учетной записи, настраиваемые руткиты и т. Д.), Не являются теми рисками, которые сканер, такой как Clam, сможет обнаружить за вас. Это делает AV особенно плохим компромиссом в вашем случае. Вам будет лучше с универсальной системой обнаружения вторжений.
ЭТО ^
Ничего не находит, у меня сотни сайтов, а ClamAV почти бесполезен. Время от времени я запускаю отдельный сканер и ограничиваю параметры php / каталоги chmod и т. Д.