लिनक्स डीएनएस सर्वर पर एंटीवायरस सॉफ़्टवेयर चलाएं। क्या इस का कोई मतलब निकलता है?


40

हाल ही में एक ऑडिट के दौरान हमें हमारे DNS सर्वरों पर एंटीवायरस सॉफ़्टवेयर स्थापित करने का अनुरोध किया गया था जो लिनक्स (bind9) चला रहे हैं। प्रवेश परीक्षण के दौरान सर्वरों से समझौता नहीं किया गया था लेकिन यह दी गई सिफारिशों में से एक था।

  1. आमतौर पर linux एंटीवायरस सॉफ़्टवेयर को उपयोगकर्ताओं को दिए गए ट्रैफ़िक को स्कैन करने के लिए स्थापित किया जाता है, इसलिए dns सर्वर पर एंटीवायरस स्थापित करने का लक्ष्य क्या है?

  2. प्रस्ताव पर आपकी क्या राय है?

  3. क्या आप वास्तव में अपने लिनक्स सर्वरों पर एंटीवायरस सॉफ़्टवेयर चलाते हैं?

  4. यदि हां, तो आप किस एंटीवायरस सॉफ़्टवेयर की सिफारिश करेंगे या आप वर्तमान में उपयोग कर रहे हैं?


10
मैं केवल लिनक्स मेल सर्वर पर एंटीवायरस स्थापित करता हूं, मेल अटैचमेंट में वायरस स्कैन करने के लिए, मैं किसी भी एंटीवायरस को डीएनएस सर्वर पर स्थापित करने में नहीं देखता हूं।
c4f4t0r

11
हाँ, इसका कोई मतलब नहीं है। उस सिफारिश को स्पष्ट करने के लिए कंपनी से पूछें।
माइकल हैम्पटन

बस क्या एंटीवायरस सॉफ्टवेयर वे तुम्हें स्थापित करना चाहते हैं?
मैट

"प्राइमली ओपिनियन-बेस्ड" कहने के लिए अस्थायी, क्योंकि मुझे लगता है कि इस तरह के लोकप्रिय उत्तरों के विपरीत एक वैध मामला बनाया जा सकता है। :)
रयान

1
हमने खुद को इस स्थिति में पाया - विशेष रूप से DNS लेकिन लिनक्स सर्वरों के साथ विशेष रूप से नहीं - और यद्यपि हम इसके खिलाफ तर्क से सहमत हैं, अंत में यह सिर्फ एक बॉक्स-टिकिंग अभ्यास था जिससे हम लड़ते हुए थक गए। इसलिए हम सभी सर्वरों पर केंद्रित ईएसईटी एंटीवायरस चलाते हैं।
HTTP500

जवाबों:


11

इसका एक पहलू यह है कि ऑडिटर के लिए "एंटी-वायरस" हर चीज पर होने की सिफारिश करना एक सुरक्षित शर्त है।

सुरक्षा ऑडिट पूरी तरह से वास्तविक तकनीकी सुरक्षा के बारे में नहीं हैं। अक्सर वे मुकदमे के मामले में दायित्व को सीमित करने के बारे में भी होते हैं।

मान लीजिए कि आपकी कंपनी को हैक कर लिया गया था और आपके खिलाफ एक वर्ग कार्रवाई का मुकदमा दायर किया गया था। आपकी विशिष्ट देयता को उद्योग के मानकों का पालन करने के आधार पर कम किया जा सकता है। मान लें कि ऑडिटरों ने इस सर्वर पर AV की अनुशंसा नहीं की है, इसलिए आप इसे स्थापित नहीं करते हैं।

इसमें आपका बचाव यह है कि आपने एक सम्मानित ऑडिटर की सिफारिशों का पालन किया और बोलने के लिए हिरन को पास किया। संयोग से, यह प्राथमिक कारण है कि हम तीसरे पक्ष के लेखा परीक्षकों का उपयोग करते हैं। ध्यान दें कि देयता की शिफ्टिंग को अक्सर उस अनुबंध में लिखा जाता है जिस पर आप ऑडिटरों के साथ हस्ताक्षर करते हैं: यदि आप उनकी सिफारिशों का पालन नहीं करते हैं, तो यह आप पर है।

खैर, वकील फिर एक संभावित सह-प्रतिवादी के रूप में लेखा परीक्षक की जांच करेंगे। हमारी काल्पनिक स्थिति में यह तथ्य है कि उन्होंने किसी विशेष सर्वर पर एवी की सिफारिश नहीं की है, इसे पूरी तरह से नहीं देखा जाएगा। यह अकेले बातचीत में उन्हें नुकसान पहुंचाएगा, भले ही वास्तविक हमले पर इसका कोई असर न हो।

ऑडिटिंग करने वाली कंपनी के लिए केवल एकमात्र जिम्मेदार चीज वास्तविक हमले की सतह की परवाह किए बिना सभी सर्वरों के लिए एक मानक सिफारिश करना है। इस मामले में, पर ए वी सब कुछ । दूसरे शब्दों में, जब वे कानूनी तर्क के कारण एक स्केलपेल तकनीकी रूप से बेहतर होते हैं, तब भी स्लेज हैमर की सलाह देते हैं।

क्या यह तकनीकी समझ में आता है? आमतौर पर नहीं क्योंकि यह आमतौर पर जोखिम बढ़ाता है। क्या यह वकीलों, एक न्यायाधीश या एक जूरी को भी समझ में आता है? बिल्कुल, वे तकनीकी रूप से सक्षम नहीं हैं और बारीकियों को समझने में असमर्थ हैं। जिसके कारण आपको अनुपालन करने की आवश्यकता है।

@ जब आप ने ऑडिटर से इस बारे में बात करने की सिफारिश की। मुझे लगता है कि गलत रास्ता है। इसके बजाय आपको इन अनुरोधों का पालन करने के लिए अपनी कंपनी के वकील से बात करनी चाहिए ।


2
निहारना क्यों हम वापस आयोजित कर रहे हैं लिनक्स सर्वर के लिए ए / वर्किंग / एवी बहुत कम बचाव है क्योंकि यह वास्तव में केवल मैलवेयर के वितरण के लिए किसी का उपयोग करने के मामले का बचाव करता है।
joshudson

5
यदि आप एक कठोर मशीन पर हैं, तो एक एवी संभवतः सर्वर पर स्थापित एकमात्र सॉफ्टवेयर होगा, जिसमें एक अंतर्निहित बैकडोर यानी ऑटोपेडेटर है। इसके अलावा, यदि आप सभी प्रासंगिक स्टोरेज को केवल पढ़ने के लिए प्रबंधित करते हैं, तो एवी एकमात्र सॉफ्टवेयर होगा जिसे इसके हस्ताक्षर को अपडेट करने के लिए लिखने की आवश्यकता होती है।
रेयान

1
मैं ऑडिटरों के साथ न बोलने की बात से सहमत नहीं हो सकता। ऑडिटर गलतियों को स्वीकार करने की तुलना में अधिक बार गलती करते हैं। आपसी समझ तक पहुंचने में कुछ भी गलत नहीं है कि ऑडिटर ने गलती की - बस यह सुनिश्चित करें कि पावती अस्पष्ट है।
एंड्रयू बी

1
@AndrewB: मुझे नहीं लगता कि मैं ऑडिटरों के साथ बात करने के लिए कह रहा था। बल्कि, आपके कानूनी प्रतिनिधि के साथ एक चर्चा जो आगे बढ़ने का सबसे अच्छा तरीका होगा। कंपनी को उस रास्ते पर जाने से पहले ऑडिटर्स के साथ बातचीत करने के जोखिम को पूरी तरह से समझने की जरूरत है।
NotMe

31

कभी-कभी ऑडिटर बेवकूफ होते हैं ...

हालांकि यह असामान्य अनुरोध है। मैं आपके वातावरण में कहीं और आईडीएस या फ़ाइल-अखंडता निगरानी या बोल्टिंग सुरक्षा को जोड़ने, सर्वरों तक पहुंच को सीमित / सीमित करके ऑडिटर की सिफारिश का मुकाबला करूंगा। एंटीवायरस का यहाँ कोई लाभ नहीं है।

संपादित करें:

जैसा कि नीचे टिप्पणी में कहा गया है, मैं अमेरिका में एक बहुत ही हाई-प्रोफाइल वेबसाइट के लॉन्च में शामिल था , और HIPAA अनुपालन के लिए लिनक्स संदर्भ वास्तुकला डिजाइन करने के लिए जिम्मेदार था।

जब एंटीवायरस का मामला चर्चा में आया, तो हमने क्लैमव और एंड-यूज़र्स से सबमिशन को प्रोसेस करने के लिए एक एप्लिकेशन फ़ायरवॉल की सिफारिश की, लेकिन सभी नियंत्रणों ( 3-पार्टी आईडीएस , सत्र लॉगिंग, ऑडिट,) को लागू करके सभी प्रणालियों पर एवी होने से बचने में कामयाब रहे । दूरस्थ syslog, वीपीएन और सर्वर के लिए दो-कारक स्रोत , AIDE फ़ाइल-अखंडता निगरानी, ​​3-पार्टी DB एन्क्रिप्शन, पागल फाइल सिस्टम संरचनाएं , आदि) । इन्हें ऑडिटर्स द्वारा स्वीकार्य माना गया था, और सभी को मंजूरी दी गई थी।


2
+1। ऐसी कई चीजें हैं जहां आप संसाधन खर्च कर सकते हैं: समय, पैसा और ऊर्जा जो आपकी कंपनी को वापसी प्रदान करते हैं। शायद एक ऑडिटर DNS विषाक्तता के बारे में पढ़ता है और सोचता है कि यह एक इलाज है। इस पर वापसी नगण्य है।
जिम् म्कारामारा

ये सभी पहले से ही मौजूद हैं: प्रदर्शन निगरानी तंत्र, IPS, नेटवर्क फ़ायरवॉल और निश्चित रूप से सर्वर पर iptables।
जॉन दिमित्रिउ

@ जॉनडिमित्रियो तब आप उत्कृष्ट स्थिति में हैं। एंटीवायरस की सिफारिश थोड़ी अजीब है। ऑडिटर से स्पष्ट करने के लिए कहें।
15

1
@ChrisLively यह पिछले साल मैं काम कर रहे कुछ हाई प्रोफाइल माहौल के डिजाइन के दौरान आया था। हम सिस्टम पर क्लैमव के साथ समाप्त हुए जहां हम उपयोगकर्ता द्वारा प्रस्तुत डेटा को स्वीकार कर रहे थे। हालांकि, हमने अपने क्षतिपूर्ति नियंत्रणों की रूपरेखा तैयार करके और लेखा परीक्षकों के साथ एक समझौते पर आकर अन्य लिनक्स प्रणालियों पर AV से परहेज किया ।
ewwhite

मैं कहता हूं कि जब तक आपने दिखाया है कि आपने "जोखिम को पर्याप्त रूप से कम कर दिया है" और ऑडिटर वास्तव में इस बात पर हस्ताक्षर कर रहे हैं कि वे सहमत हैं, तो कानूनी देयता संतुष्ट होने की संभावना है। बेशक, मुझे यकीन है कि अनुबंध, और अन्य कानून, उस विशेष वातावरण के आसपास इसे थोड़ा अनूठा बना सकते हैं।
NotMe

17

पहली बात जो आपको ऑडिटरों के बारे में समझने की ज़रूरत है, वह यह है कि वास्तविक दुनिया में स्कोप में तकनीक का उपयोग कैसे किया जाता है, इसके बारे में उन्हें कुछ भी पता नहीं होगा।

DNS सुरक्षा भेद्यताएँ और समस्याएँ बहुत हैं जिन्हें एक ऑडिट में संबोधित किया जाना चाहिए। वे वास्तविक मुद्दों पर कभी नहीं पहुंचेंगे यदि वे "चमकदार सर्वर पर डीएनएस सर्वर पर एंटीवायरस" जैसी चमकदार चमकदार वस्तुओं से विचलित होते हैं।


10

सामान्य आधुनिक एंटी-वायरस सॉफ़्टवेयर मैलवेयर को खोजने के लिए अधिक सटीक प्रयास करता है और यह केवल वायरस तक ही सीमित नहीं है। एक सर्वर के वास्तविक कार्यान्वयन (एक समर्पित सेवा के लिए समर्पित बॉक्स, एक साझा बॉक्स पर कंटेनर, "एकमात्र सर्वर" पर अतिरिक्त सेवा) के आधार पर, शायद यह क्लेमाव या एलएमडी (लिनक्स मालवेयर डिटेक्ट) जैसा कुछ होना बुरा नहीं है। स्थापित और हर रात या तो कुछ अतिरिक्त स्कैन करते हैं।

किसी ऑडिट में पूछे जाने पर, कृपया सटीक आवश्यकता चुनें और साथ में जानकारी पर एक नज़र डालें। क्यों: बहुत से ऑडिटर पूरी आवश्यकता को नहीं पढ़ते हैं, संदर्भ और मार्गदर्शन की जानकारी के बारे में नहीं जानते हैं।

एक उदाहरण के रूप में, पीसीआईडीएसएस एक आवश्यकता के रूप में "घातक सॉफ़्टवेयर से प्रभावित सभी प्रणालियों पर एंटी-वायरस सॉफ़्टवेयर तैनात" करता है।

व्यावहारिक पीसीआईडीएसएस मार्गदर्शन स्तंभ विशेष रूप से मेनफ्रेम, मिड-रेंज कंप्यूटर और इसी तरह की प्रणालियों को बताता है जो वर्तमान में आमतौर पर लक्षित या मैलवेयर से प्रभावित नहीं हो सकते हैं, लेकिन किसी को वर्तमान वास्तविक खतरे के स्तर की निगरानी करनी चाहिए, विक्रेता सुरक्षा अपडेट से अवगत होना चाहिए और नई सुरक्षा को संबोधित करने के उपायों को लागू करना चाहिए। कमजोरियाँ (मैलवेयर तक सीमित नहीं)।

तो अन्य ऑपरेटिंग सिस्टम के लाखों ज्ञात वायरस की तुलना में http://en.wikipedia.org/wiki/Linux_malware के लगभग 50 लिनक्स वायरस की सूची पर इंगित करने के बाद , लिनक्स सर्वर को आमतौर पर प्रभावित न होने का तर्क देना आसान है । Https://wiki.ubuntu.com/BasicSecurity के "नियमों का सबसे बुनियादी सेट" भी अधिकांश विंडोज-फोकस्ड ऑडिटर्स के लिए एक दिलचस्प सूचक है।

और लंबित सुरक्षा अद्यतन और AIDE या Samhain जैसे अखंडता चेकर्स को चलाने के लिए आपके apticron- अलर्ट मानक वायरस स्कैनर की तुलना में वास्तविक जोखिमों को अधिक सटीक रूप से संबोधित कर सकते हैं। यह आपके ऑडिटर को एक अन्यथा अनावश्यक सॉफ़्टवेयर स्थापित करने के जोखिम का परिचय नहीं देने के लिए भी मना सकता है (जो एक सीमित लाभ प्रदान करता है, सुरक्षा जोखिम या बस तोड़ सकता है)।

यदि यह मदद नहीं करता है: एक दैनिक क्रोनजोब के रूप में क्लैमव को स्थापित करने से अन्य सॉफ्टवेयर्स की तरह चोट नहीं लगती है।


7

DNS सर्वर इस साल PCI ऑडिटर के साथ लोकप्रिय हो गए हैं।

पहचानने के लिए महत्वपूर्ण बात यह है कि जबकि DNS सर्वर संवेदनशील डेटा को संभालते नहीं हैं, वे आपके वातावरण का समर्थन करते हैं जो करते हैं। जैसे, ऑडिटर एनटीपी सर्वर के समान इन उपकरणों को "पीसीआई सपोर्टिंग" के रूप में चिह्नित करना शुरू कर रहे हैं। ऑडिटर्स आमतौर पर PCI सपोर्टिंग एनवायरमेंट के लिए आवश्यकताओं का एक अलग सेट लागू करते हैं, जैसे कि वे खुद PCI वातावरण करते हैं।

मैं ऑडिटरों से बात करूंगा और उन्हें PCI और PCI सपोर्टिंग के बीच उनकी आवश्यकताओं के अंतर को स्पष्ट करने के लिए कहूंगा, बस यह सुनिश्चित करने के लिए कि यह आवश्यकता गलती से चुपके में नहीं थी। हमें यह सुनिश्चित करने की आवश्यकता थी कि हमारे DNS सर्वरों को सख्त दिशानिर्देशों के समान मिले। पीसीआई वातावरण के लिए, लेकिन एंटी-वायरस हमारे सामने आने वाली आवश्यकताओं में से एक नहीं था।


2

यह शेलशॉक बैश वॉन के लिए एक घुटने की झटका प्रतिक्रिया हो सकती है, यह ऑनलाइन सुझाव दिया गया था कि बाँध प्रभावित हो सकता है।

संपादित करें: सुनिश्चित नहीं है कि यह कभी भी प्रमाणित या पुष्टि की गई थी।


11
जो, अजीब तरह से, एंटी-वायरस सॉफ़्टवेयर के लिए कोई मदद नहीं करेगा।
बर्ट

@ बर्ट एंटीवायरस कमजोर बैश का पता नहीं लगा सकता है?
बसिलेव्स 13

शेलशॉक पहले से ही पैच किया गया था और सर्वर ने परीक्षणों को सफलतापूर्वक पास किया
जॉन दिमित्रिउ

अरे ... मैं यह नहीं कह रहा हूं कि यह मदद करने वाला है, मैं सिर्फ यह कह रहा हूं कि शायद वे मददगार माने गए थे।
D Whyte

2

यदि आपके DNS सर्वर PCI DSS दायरे में आते हैं, तो आप उन पर AV चलाने के लिए मजबूर हो सकते हैं (भले ही यह ज्यादातर मामलों में मूर्खतापूर्ण हो)। हम क्लैमव का उपयोग करते हैं।


1

यदि यह SOX अनुपालन के लिए है, तो वे आपको एंटीवायरस स्थापित करने के लिए कह रहे हैं, सबसे अधिक संभावना है, क्योंकि कहीं न कहीं आपके पास एक नीति है जो कहती है कि सभी सर्वरों में एंटीवायरस स्थापित होना चाहिए। और यह एक नहीं है।

या तो इस सर्वर के लिए नीति का अपवाद लिखें, या AV स्थापित करें।


1

DNS सर्वर के दो मुख्य प्रकार हैं: आधिकारिक और पुनरावर्ती। एक आधिकारिक डीएनएस सर्वर दुनिया को बताता है कि डोमेन के भीतर प्रत्येक होस्टनाम के लिए आईपी पते का क्या उपयोग किया जाना चाहिए। हाल ही में ई-मेल फ़िल्टरिंग नीतियों (SPF) और क्रिप्टोग्राफ़िक प्रमाणपत्र (DANE) जैसे अन्य डेटा को नाम के साथ जोड़ना संभव हो गया है। एक समाधानकर्ता , या पुनरावर्ती डीएनएस सर्वर, ऊपर डोमेन नाम के साथ संबंधित जानकारी, (रूट सर्वर का उपयोग कर लग रहा है .) रजिस्ट्री सर्वर को खोजने के लिए ( .com), उन डोमेन 'आधिकारिक सर्वर (खोजने के लिए का उपयोग कर serverfault.com), और अंत होस्ट नामों को खोजने के लिए (उन का उपयोग कर serverfault.com, meta.serverfault.com, आदि।)।

मैं नहीं देख सकता कि एक आधिकारिक सर्वर के लिए "एंटीवायरस" कैसे उपयुक्त होगा। लेकिन एक रिज़ॉल्वर के लिए व्यावहारिक "एंटीवायरस" वितरण या मालवेयर के कमांड और नियंत्रण से जुड़े डोमेन की खोज को रोकना होगा। Google dns block malwareया dns sinkholeकुछ परिणाम लाया जो आपके रिज़ॉल्वर की सुरक्षा करके आपके नेटवर्क को सुरक्षित रखने में आपकी सहायता कर सकते हैं। यह उसी प्रकार का एंटीवायरस नहीं है जिसे आप किसी क्लाइंट / डेस्कटॉप मशीन पर चलाएंगे, लेकिन "एंटीवायरस" आवश्यकता के लिए जिम्मेदार पार्टी को प्रस्ताव देने से ऐसा उत्तर मिल सकता है जो आपको "एंटीवायरस" की प्रकृति को समझने में मदद करता है। ।

अन्य स्टैक एक्सचेंज साइटों पर संबंधित प्रश्न:


आप एक एंटी-वायरस का वर्णन कैसे कर रहे हैं? यह एक एंटी-स्पैम फ़िल्टर और फ़ायरवॉल के बीच एक क्रॉस की तरह लगता है। मेरे लिए, यह कहना कि iptables एंटी-वायरस सॉफ़्टवेयर है।
पैट्रिक एम

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.