एक वेब सर्वर पर एंटीवायरस स्थापित करें, क्या यह एक अच्छा विचार है?

14

मुझे बस विंडोज 2008 मानक संस्करण के साथ एक समर्पित सर्वर मिला है और मैं इस पर अपना वेब ऐप चलाने के लिए आवश्यक कॉन्फ़िगरेशन करने की कोशिश कर रहा हूं।

सोच रहा था, क्या वेब सर्वर पर एंटीवायरस स्थापित करना एक अच्छा विचार है? एप्लिकेशन में, उपयोगकर्ता छवियों को छोड़कर किसी भी फाइल को अपलोड नहीं कर सकते हैं (और उन्होंने सर्वर पर सहेजे जाने से पहले ऐप कोड में छवियां होने की जांच की)। मुझे एप्लिकेशन को प्रदर्शन को प्रभावित करने या किसी भी परेशानी का कारण न बनने के लिए एंटीवायरस स्थापित नहीं करने के लिए प्रोत्साहित किया जाता है, क्या मैं ऐसा करने से कुछ भी याद करूंगा?

धन्यवाद

windows  web-server  anti-virus 
मी
स्रोत
आप कहते हैं कि फ़ाइलों को सहेजे जाने से पहले ऐप कोड में छवियों के लिए जाँच की जाती है - यह मेरे लिए इसका मतलब होगा कि अपलोड की गई फ़ाइल कुछ अस्थायी निर्देशिका में है इससे पहले कि आपका ऐप इसे देख पाता है? इससे पहले कि आप इसे जांचने से पहले किस मामले में सर्वर पर हैं ! आप किस वेब सर्वर का उपयोग कर रहे हैं?
स्टीव फोली
वास्तव में छवियों को स्मृति में जांचा जाता है, वे किसी भी अस्थायी फ़ोल्डर में सहेजे नहीं जाते हैं। वे केवल डिस्क में सहेजे जाते हैं यदि वे ऐप में चेक पास करते हैं। मैं IIS का उपयोग कर रहा हूं, यह ASP.NET ऐप है
Mee
इसके अलावा, भले ही आप एक फ़ाइल को एक अस्थायी फ़ोल्डर में सहेजते हैं, लेकिन इसे नहीं चलाते हैं, इससे कोई समस्या नहीं होगी। लेकिन फिर से ऐसा नहीं है।
Mee

जवाबों:

18

एक अच्छी तरह से चलाए जाने वाले वेबसर्वर के पास IMHO का व्यावसायिक एंटी-वायरस (AV) पैकेज स्थापित नहीं होना चाहिए। ऑफिस मैक्रो वायरस और मास-मार्केट ट्रोजन जो एवी पैकेज के लिए अनुकूलित हैं, वे वेब सर्वर की समस्याओं के लिए एक खराब मेल हैं।

आपको क्या करना चाहिए:

  1. इनपुट सत्यापन पर पूरी तरह से जुनूनी। उदाहरण: उपयोगकर्ता आपकी साइट पर दुर्भावनापूर्ण सामग्री (वायरस, SQL इंजेक्शन आदि) अपलोड नहीं कर सकते; आप साइट स्क्रिप्टिंग हमलों, आदि को पार करने के लिए असुरक्षित नहीं हैं
  2. अपने सर्वर को नवीनतम सुरक्षा अपडेट के साथ, और सर्वोत्तम प्रथाओं के अनुसार कॉन्फ़िगर करके रखें। Microsofts सुरक्षा टूलकिट जैसी चीजों को देखें ।
  3. एक अलग फ़ायरवॉल है। घुसपैठ के संबंध में आपकी बहुत मदद नहीं करता है, लेकिन यह गलत नेटवर्क सेवाओं के खिलाफ रक्षा की एक और परत जोड़ता है, और सरल डॉस हमलों के साथ मदद करता है। यह दूरस्थ प्रबंधन संभावनाओं आदि को बंद करने में भी बहुत मदद करता है।
  4. आदरणीय Tripwire की तर्ज पर अपने सर्वर पर एक मेजबान घुसपैठ पहचान प्रणाली (H-IDS) स्थापित करें ।

शब्दों के बारे में बहुत भ्रम है, शब्द अक्सर यहां कई अलग-अलग तरीकों से उपयोग किए जाते हैं। स्पष्ट होने के लिए, यहाँ एक H-IDS से मेरा क्या मतलब है:

  • एक कंप्यूटर पर एक सेवा
  • जो लगातार कंप्यूटर पर सभी निष्पादन योग्य फ़ाइलों की जाँच करता है
  • और जब भी एक निष्पादन योग्य फ़ाइल को जोड़ा या संशोधित किया गया है (प्राधिकरण के बिना) एक चेतावनी फेंकता है

वास्तव में एक अच्छा H-IDS इससे कुछ अधिक काम करेगा, जैसे कि फ़ाइल अनुमति, रजिस्ट्री एक्सेस आदि की निगरानी करना, लेकिन उपरोक्त को इसका लाभ मिलता है।

एक होस्ट इंट्रूज़न डिटेक्शन सिस्टम कुछ कॉन्फ़िगरेशन लेता है, क्योंकि यह ठीक से सेट नहीं होने पर बहुत सारी गलत त्रुटियाँ दे सकता है। लेकिन एक बार यह ऊपर और चल रहा है, यह एवी पैकेज की तुलना में अधिक घुसपैठ पकड़ लेगा। विशेष रूप से एच-आईडीएस को एक-एक-प्रकार के हैकर पिछले दरवाजे का पता लगाना चाहिए, जो एक वाणिज्यिक एवी पैकेज शायद पता नहीं लगाएगा।

एच-आईडीएस सर्वर लोड पर भी हल्का है, लेकिन यह एक माध्यमिक लाभ है - मुख्य लाभ एक बेहतर पहचान दर है।

अब, यदि संसाधन सीमित हैं; अगर चुनाव एक वाणिज्यिक एवी पैकेज के बीच है और कुछ भी नहीं कर रहा है, तो मैं एवी स्थापित करूंगा । लेकिन पता है कि यह आदर्श नहीं है।

जेस्पर एम
स्रोत
धन्यवाद। मैं वास्तव में एक ए वी स्थापित करने के लिए प्रोत्साहित महसूस नहीं करता हूं, लेकिन यह पहली बार एक वेब सर्वर का प्रबंधन करने के लिए किया जा रहा है, मुझे चिंता थी कि कुछ ऐसा हो सकता है जो मुझे याद आ रहा है। मुझे लगता है कि मैं एवी के बिना बेहतर होगा। मैं बस सर्वर पर जो कुछ भी चलाता हूं उसके साथ अधिक सावधान रहने की कोशिश करूंगा।
Mee
1

निर्भर करता है। यदि आप किसी अज्ञात कोड को निष्पादित नहीं कर रहे हैं, तो यह अस्वाभाविक हो सकता है।

यदि आपके पास वायरस से संक्रमित फाइल है, तो हार्ड ड्राइव पर रहते हुए फाइल अपने आप में हानिरहित है। इसे अंजाम देने के बाद ही यह हानिकारक हो जाता है। क्या आप सर्वर पर निष्पादित होने वाली हर चीज को नियंत्रित करते हैं?

थोड़ी भिन्नता फ़ाइलों का अपलोड है। वे आपके सर्वर के लिए हानिरहित हैं - अगर मैं एक हेरफेर की गई छवि या ट्रोजन-इंसाइडेड .exe अपलोड करता हूं, तो कुछ भी नहीं होगा (जब तक कि आप इसे निष्पादित नहीं करते)। हालांकि, यदि अन्य लोग तब उन संक्रमित फ़ाइलों को डाउनलोड करते हैं (या यदि पृष्ठ पर हेरफेर की गई छवि का उपयोग किया जाता है), तो उनके पीसी संक्रमित हो सकते हैं।

यदि आपकी साइट उपयोगकर्ताओं को कुछ भी अपलोड करने या अन्य उपयोगकर्ताओं के लिए डाउनलोड करने योग्य अनुमति देती है , तो आप वेब सर्वर पर वायरस स्कैनर स्थापित करना चाहते हैं या आपके नेटवर्क में किसी प्रकार का "वायरस स्कैनिंग सर्वर" हो सकता है जो हर फाइल को स्कैन करता है।

एक तीसरा विकल्प एंटी-वायरस स्थापित करना होगा लेकिन ऑफ-पीक समय के दौरान अनुसूचित स्कैन के पक्ष में ऑन-एक्सेस स्कैनिंग को अक्षम करना।

और इस उत्तर को पूरी तरह से 180 ° के आसपास मोड़ने के लिए: यह आमतौर पर खेद से सुरक्षित होना बेहतर है। यदि आप वेब सर्वर पर काम करते हैं, तो खराब फ़ाइल और मलबे पर क्लिक करना आसान है। ज़रूर, आप किसी भी फ़ाइल को छूने के बिना आरडीपी पर कुछ करने के लिए इसे हजार बार कनेक्ट कर सकते हैं, लेकिन 1001 वीं बार आप गलती से उस एक्स को निष्पादित करेंगे और इसे पछताएंगे, क्योंकि आप यह भी नहीं जान सकते कि वायरस क्या करता है (आजकल वे नए हैं इंटरनेट से भी कोड) और अपने पूरे नेटवर्क पर कुछ गहन फोरेंसिक करने होंगे।

माइकल स्टम
स्रोत
बहुत बहुत धन्यवाद, एक और शानदार उत्तर जो पुष्टि करता है कि मैं एवी के बिना कर सकता हूं।
Mee
1

अगर यह विंडोज आधारित है, जो आपने कहा कि यह है, तो मैं करूंगा। मैं होस्ट इंट्रूज़न डिटेक्शन (एक प्रोग्राम जो फ़ाइलों को मॉनिटर / ऑडिट करता है जो सर्वर पर बदल रहा है और आपको परिवर्तनों के प्रति सचेत करता है) का कुछ रूप खोजने की कोशिश करेगा।

सिर्फ इसलिए कि आप सर्वर पर फ़ाइलों को नहीं बदल रहे हैं इसका मतलब यह नहीं है कि कोई बफर अतिप्रवाह या भेद्यता नहीं है जो किसी और को सर्वर पर फ़ाइलों को दूरस्थ रूप से बदलने की अनुमति देगा।

जब एक भेद्यता होती है कि एक शोषण होता है, जिसे आमतौर पर खोज और फिक्स वितरित के बीच की खिड़की के भीतर जाना जाता है, तब तक समय की एक खिड़की होती है जब तक कि आप इसे ठीक नहीं करते हैं और इसे लागू करते हैं। उस समय में आमतौर पर स्वचालित शोषण के कुछ रूप उपलब्ध हैं और स्क्रिप्ट किडियां अपने बॉट नेटवर्क का विस्तार करने के लिए इसे चला रही हैं।

ध्यान दें कि यह एवी के बाद से भी प्रभावित करता है: नया मैलवेयर बनाया, मैलवेयर वितरित, नमूना आपकी एवी कंपनी को जाता है, एवी कंपनी विश्लेषण करती है, एवी कंपनी नए हस्ताक्षर जारी करती है, आप हस्ताक्षर अपडेट करते हैं, आप कथित तौर पर "सुरक्षित" हैं, चक्र दोहराते हैं। "निर्दोष" होने से पहले अभी भी एक खिड़की है जहाँ यह अपने आप फैल रही है।

आदर्श रूप से आप बस कुछ ऐसा चला सकते हैं जो फ़ाइल में परिवर्तन के लिए जांच करता है और आपको अलर्ट करता है, जैसे कि ट्रिपवायर या समान कार्यक्षमता, और लॉग को किसी अन्य मशीन पर रखें जो उपयोग से अलग-थलग है ताकि सिस्टम से छेड़छाड़ होने पर लॉग बदल न जाए। परेशानी यह है कि एक बार फ़ाइल के नए या परिवर्तित होने का पता लगने के बाद आप पहले से ही संक्रमित हैं और एक बार जब आप संक्रमित हो जाते हैं या घुसपैठिया होता है, तो यह भरोसा करने में बहुत देर हो जाती है कि मशीन में अन्य परिवर्तन नहीं हुए हैं। अगर किसी ने सिस्टम को क्रैक किया है तो वे अन्य बायनेरिज़ को बदल सकते हैं।

तब यह एक सवाल बन जाता है कि क्या आप चेकसम और होस्ट घुसपैठ लॉग और अपने स्वयं के कौशल पर भरोसा करते हैं जो आपने सब कुछ साफ कर दिया है, जिसमें रूटकिट और अल्टरनेट डेटा स्ट्रीम फाइलें शामिल हैं जो संभवतः वहां हैं? या क्या आप "सर्वोत्तम अभ्यास" करते हैं और बैकअप से मिटाते हैं और पुनर्स्थापित करते हैं, क्योंकि घुसपैठ लॉग कम से कम आपको बताएंगे कि यह कब हुआ?

किसी सेवा को चलाने वाले इंटरनेट से जुड़ी किसी भी प्रणाली का संभावित रूप से फायदा उठाया जा सकता है। यदि आपके पास इंटरनेट से जुड़ा एक सिस्टम है, लेकिन वास्तव में किसी भी सेवा के साथ नहीं चल रहा है, तो मैं कहूंगा कि आप सबसे अधिक सुरक्षित हैं। वेब सर्वर इस श्रेणी में नहीं आते हैं :-)

बार्ट सिल्वरस्ट्रिम
स्रोत
0

हा हमेशा। से मेरा उत्तर का हवाला देते हुए सुपर उपयोगकर्ता :

यदि यह किसी ऐसी मशीन से जुड़ा है जो इंटरनेट से जुड़ी हो सकती है, तो बिल्कुल हाँ।

कई विकल्प उपलब्ध हैं। जबकि मैं व्यक्तिगत रूप से मैकेफी या नॉर्टन को पसंद नहीं करता, वे वहां से बाहर हैं। वहाँ भी है एवीजी , F-Secure , ClamAV (हालांकि Win32 बंदरगाह अब सक्रिय नहीं है), और मुझे यकीन है कि सैकड़ों अधिक कर रहा हूँ :)

Microsoft एक पर भी काम कर रहा है - मुझे नहीं पता कि यह बीटा के बाहर अभी तक उपलब्ध है, लेकिन यह मौजूद नहीं है।

ClamWin , @ J पाब्लो द्वारा उल्लिखित है ।

ख़रगोश पालने का बाड़ा
स्रोत
2
आपके उत्तर के लिए धन्यवाद, लेकिन .. यह कोई विंडोज सर्वर नहीं है, यह एक वेब सर्वर है, इसलिए, यहां प्रदर्शन का अत्यधिक महत्व है। ध्यान दें कि एंटीवायरस सॉफ़्टवेयर एक्सेस की गई प्रत्येक फ़ाइल को स्कैन करेगा, अर्थात। आगंतुक द्वारा अनुरोधित कोई भी फ़ाइल। मुझे एंटीवायरस स्थापित करने और प्रदर्शन में समस्या होने के जोखिम का एक अच्छा कारण चाहिए, सामान्य रूप से कंप्यूटर के लिए सुरक्षा दिशानिर्देशों के अलावा अन्य।
Mee
यह ठीक से कॉन्फ़िगर किए जाने पर एक्सेस की गई प्रत्येक फ़ाइल को स्कैन नहीं करेगा - और इसका कोई कारण नहीं है कि एक्सेस होने पर फ़ाइलों को स्कैन करने के लिए - उन्हें हमलों के लिए
वारेन
1
@ अज्ञात-प्रदर्शन का वेब सर्वर पर अत्यधिक महत्व है? सम्मान के साथ, मैं सुझाव दूंगा कि यदि आप उपलब्ध ओवरहेड पर इतने कम हैं कि फाइल स्कैन के लिए कुछ सीपीयू चक्रों को निचोड़ना नेटवर्क पर अंतिम उपयोगकर्ता के अनुभव को प्रभावित करने वाला है, तो आपके पास आवेदन के सेट होने के तरीके के साथ एक और समस्या हो सकती है। यूपी।
बार्ट सिल्वरस्ट्रिम
@warren, मुझे पता है कि आप किसी भी निर्देशिका को एक्सेस स्कैन से बाहर कर सकते हैं, लेकिन इस मामले में, पहले स्थान पर AV स्थापित करने की बात क्या है? मेरा मतलब है कि अगर उपयोगकर्ता अभी भी स्कैन किए बिना फ़ाइलों को अपलोड कर पाएंगे, तो ऐसे मामले में सर्वर पर चलने वाले AV होने का कोई मतलब नहीं है।
Mee
2
@Bart, सम्मान के साथ एंटीवायरस सॉफ़्टवेयर एक फ़ाइल स्कैन के लिए कुछ CPU चक्रों से अधिक लेता है, वे आपके स्वयं के व्यक्तिगत कंप्यूटर को धीमा कर देते हैं जो केवल आपके द्वारा उपयोग किया जाता है, इसलिए आप सैकड़ों या हजारों लोगों द्वारा एक्सेस किए गए वेबसर्वर के लिए क्या उम्मीद करते हैं?
Mee
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.