У меня только что есть выделенный сервер с Windows 2008 Standard Edition, и я пытаюсь выполнить необходимую настройку для запуска на нем своего веб-приложения.
Было интересно, стоит ли устанавливать антивирус на веб-сервер? В приложении пользователи не могут загружать какие-либо файлы, кроме изображений (и они проверяли, являются ли изображения в коде приложения перед сохранением на сервере). Я рекомендую не устанавливать антивирус, чтобы не повлиять на производительность и не вызвать проблем с приложением, пропущу ли я что-нибудь, сделав это?
Спасибо
Хорошо работающий веб-сервер должен, ИМХО, не иметь установленного коммерческого антивирусного (AV) пакета. Макро-вирусы и трояны для массового рынка, для которых оптимизированы антивирусные пакеты, плохо справляются с проблемами веб-сервера.
Что вам следует сделать:
Есть много путаницы в терминах, слова здесь часто используются по-разному. Чтобы было ясно, под H-IDS я подразумеваю:
На самом деле хорошая H-IDS будет делать немного больше, чем это, например, контролировать права доступа к файлам, доступ к реестру и т. Д., Но изложенное выше дает понять суть.
Система обнаружения вторжений на хост требует некоторой настройки, поскольку при неправильной настройке она может выдавать множество ложных ошибок. Но как только он будет запущен и заработает, он поймает больше вторжений, чем антивирусные пакеты. В частности, H-IDS должна обнаруживать единственный в своем роде хакерский бэкдор, который коммерческий антивирусный пакет, вероятно, не обнаружит.
H-IDS также снижает нагрузку на сервер, но это вторичное преимущество - главное преимущество - лучшая скорость обнаружения.
Теперь, если ресурсы ограничены; если выбор стоит между коммерческим пакетом AV и ничего не делать, я бы установил AV. Но знайте, что это не идеально.
Если это Windows, как вы сказали, я бы стал. Я бы также попытался найти какую-либо форму обнаружения вторжения хоста (программа, которая отслеживает / проверяет файлы, которые изменяются на сервере, и предупреждает вас об изменениях).
Да просто так ты отсутствие изменения файлов на сервере не означает, что нет переполнения буфера или уязвимости, которая позволит кому-то другому удаленно изменять файлы на сервере.
Когда есть уязвимость, факт наличия эксплойта обычно известен в течение определенного промежутка времени между обнаружением и распространением исправления, тогда есть период времени, пока вы не получите исправление и не примените его. В это время обычно доступна какая-то форма автоматизированного эксплойта, и его запускают скриптовые дети, чтобы расширить свои сети ботов.
Обратите внимание, что это также влияет на AV, поскольку: создано новое вредоносное ПО, распространено вредоносное ПО, образец отправляется в вашу AV-компанию, AV-компания анализирует, AV-компания выпускает новую сигнатуру, вы обновляете сигнатуру, вы предположительно «в безопасности», повторите цикл. Еще есть окно, в котором он распространяется автоматически, прежде чем вы "привиты".
В идеале вы могли бы просто запустить что-то, что проверяет наличие изменений в файлах и предупреждает вас, например TripWire или аналогичные функции, и вести журналы на другом компьютере, который является своего рода изолированным от использования, поэтому, если система скомпрометирована, журналы не будут изменены. Проблема в том, что как только файл определяется как новый или измененный, вы уже заражены, а как только вы заражены или проникнет злоумышленник, уже слишком поздно верить, что на машине не было других изменений. Если кто-то взломал систему, он мог изменить другие двоичные файлы.
Тогда возникает вопрос: доверяете ли вы контрольным суммам и журналам вторжений на хост, а также своим собственным навыкам, которые вы очистили все, включая руткиты и файлы альтернативного потока данных, которые, возможно, там находятся? Или вы выполняете «лучшие практики» и стираете и восстанавливаете из резервной копии, поскольку журналы вторжений должны хотя бы сообщать вам, когда это произошло?
Любая система, подключенная к Интернету, на которой запущена служба, потенциально может быть взломана. Если у вас есть система, подключенная к Интернету, но на самом деле не работающая с какими-либо службами, я бы сказал, что вы, скорее всего, в безопасности. Веб-серверы не подпадают под эту категорию :-)
Это зависит. Если вы не выполняете какой-либо неизвестный код, это может оказаться ненужным.
Если у вас есть файл, зараженный вирусом, сам файл безвреден, пока находится на жестком диске. Он становится вредным, только когда вы его выполняете. Вы контролируете все, что выполняется на сервере?
Небольшая вариация - загрузка файлов. Они безвредны для вашего сервера - если я загружу измененный образ или зараженный трояном .exe, ничего не произойдет (если вы его не запустите). Однако, если другие люди затем загрузят эти зараженные файлы (или если на странице используется измененное изображение), их компьютеры могут быть заражены.
Если ваш сайт позволяет пользователям загружать что-нибудь который отображается или загружается для других пользователей, тогда вы можете либо установить сканер вирусов на веб-сервер, либо иметь какой-то «сервер сканирования на вирусы» в вашей сети, который сканирует каждый файл.
Третий вариант - установить Антивирус, но отключить сканирование при доступе в пользу сканирования по расписанию в непиковое время.
И чтобы полностью повернуть этот ответ на 180 °: обычно лучше перестраховаться, чем сожалеть. Если вы работаете на веб-сервере, легко случайно щелкнуть по плохому файлу и нанести ущерб. Конечно, вы можете подключиться к нему тысячу раз, чтобы сделать что-то через RDP, не касаясь ни одного файла, но в 1001-й раз вы случайно выполните этот exe и пожалеете об этом, потому что вы даже не можете точно знать, что делает вирус (в настоящее время они загружают новые код из Интернета), и придется провести интенсивную криминалистическую экспертизу всей вашей сети.
Да всегда. Цитируя мой ответ из суперпользователь:
Если он подключен к каким-либо машинам, которые могут быть подключены к Интернету, тогда абсолютно да.
Доступно множество вариантов. Хотя мне лично не нравятся McAfee или Norton, они существуют. Есть также AVG, F-Secure, ClamAV (хотя порт win32 больше не активен), и я уверен, что еще сотни :)
Microsoft даже работает над одним - я не знаю, доступен ли он за пределами бета-версии, но он существует.
ClamWin, упомянутый @Джей Пабло.