我有点担心我的 Linux 机器的安全性。ClamAV 显示它可以检测到恶意软件,但仅限于手动扫描期间。也许它不是设计为在后台运行的。我不知道。我只想为我的系统提供良好的保护。
至少 Windows 中的 Avast 会在收到任何恶意活动的轻微提示时立即阻止任何进一步的交互。我很久没有看到手动扫描期间弹出任何 Windows 恶意软件了。
最近 ClamAV 出现了很多威胁,之前也出现过很多次
/home/arjun/.cache/mozilla/firefox/velcy2qd.default-1475046670923/cache2/entries/5B6A5C07930975FDE8750B7CA9824A79551A31A2 PUA.Win.Tool.Packed-177
/home/arjun/.config/min/Cache/f_000036 PUA.Win.Trojan.Xored-1
/home/arjun/.config/min/Cache/f_000020 PUA.Win.Trojan.Xored-1
/home/arjun/.config/Vectr/Cache/f_000006 PUA.Html.Trojan.Agent-37075
/home/arjun/.npm/accessibility-developer-tools/2.11.0/package.tgz PUA.Html.Trojan.Agent-37075
/home/arjun/.npm/npm/2.15.11/package.tgz PUA.Win.Trojan.Xored-1
/home/arjun/.npm/imurmurhash/0.1.4/package.tgz PUA.Win.Trojan.Xored-1
-------------------------------------------------------------------------------------------------------------------------------------------------------------------
我不知道这些是误报还是真正的恶意软件。如果我们按照这份报告来看——http://www.networkworld.com/article/2989137/linux/av-test-lab-tests-16-linux-antivirus-products-against-windows-and-linux-malware.html- 它显示 ClamAV 的效率约为 60%。
事实上,该报告建议使用卡巴斯基甚至 Sophos 会更好。互联网上还有许多其他报告建议这样做。
- 您是否使用过其他比 ClamAV 保护性更好的软件?
- 由于 ClamAV 是轻量级的,是否有任何“增强功能”可以提高其威胁检测能力?(我见过一些网站建议将其威胁签名添加到 ClamAV 列表中。这样安全吗?
- 总的来说,这很重要,可以执行一些配置以加强保护,而不会减慢机器速度。
答案1
也许它不是设计用于后台运行的。
是的。维基百科显示将其作为守护进程和扫描仪运行的方法:
将 ClamAV 作为守护进程运行
安装 clamav-daemon。然后,您可以使用 clamdscan,而以前您使用 clamscan。许多程序(尤其是电子邮件服务器)可以连接到 ClamAV 守护程序。这可以加快病毒扫描速度,因为该程序始终位于内存中。
clamav-daemon 包创建一个“clamav”用户;为了允许 ClamAV 扫描系统文件(例如您的邮件假脱机),您可以将 clamav 添加到拥有这些文件的组。
让 ClamAV 监听传入的扫描
在某些情况下,您可能希望 ClamAV 守护进程充当其他系统的扫描程序,这样您就不必在系统上本地运行所有内容。
要做到这一点,您只需修改 clamd.conf 文件,将 TCPSocket PORTNUMBER 和 TCPAddr IPADDRESS 参数添加到 clamd.conf 文件并重新加载守护进程。然后守护进程将通过您指定的 IP 地址和端口组合接受与其的连接。
我只是想为我的系统提供良好的保护。
Linux 是从根本上与 Windows 不同,因此我们不会继承 Windows(仍然)面临的问题。我们的系统已设置为多用户系统:预计会有超过 1 个用户同时使用它。这意味着我们在系统中内置了一个安全模型,因为有些用户不会看到所有内容或无法在我们的系统上做他们想做的事情。这也可以阻止恶意软件滥用您的系统。
是的,这并不能使 Linux 坚不可摧。但只要感染数百万台 Windows 系统比感染一台 Linux 机器更容易,我们就赢了。只有当你的机器被专门针对时(例如当你运行游戏服务器时),你才需要采取预防措施。但这些措施包括:创建定期备份、使用好的密码、使用路由器、关注 CVE 跟踪器保持系统更新,不要安装不需要的软件。这些都是你应该做的事情。
- 您是否使用过其他比 ClamAV 保护性更好的软件?
是(第一部分:作为 30 多个系统的系统管理员,我检查了多个病毒扫描程序和 root kit 检测器,并对不使用其中一个时的风险进行了评估)和否(第二部分)。但不是,并不是因为 ClamAV 有多好:它和其他病毒扫描程序一样糟糕。病毒扫描程序的成功率都很低,根本没用。当它声称是病毒的所有说法几乎 100% 都是假的时,我就不能使用它了。
- 由于 ClamAV 是轻量级的,是否有任何“增强功能”可以提高其威胁检测能力?(我看到一些网站建议将其威胁签名添加到 ClamAV 列表中。这安全吗?)
例如,请参阅 ClamAV 的“doc”目录中的“signatures.pdf”,了解如何上传额外的病毒签名。
但这只在你亲自发现病毒时才有用。病毒定义文件会定期更新,所以我怀疑还有什么需要改进的。
- 总的来说(这很重要),您可以在下面找到可以执行的强化保护的其他任务,而不会降低机器速度。
这是一个独立的问题,与病毒扫描程序无关。
- 加密您的系统。
- 不要安装允许您使用 FTP、Telnet、rlogin 和 rsh 服务的软件
- 最小化已安装的软件:不使用它?删除它。
- 保持你的系统为最新版本。
- 使用强密码和密码时效。
重要的:
系统的保护并非来自防病毒软件;而是来自您对待系统的方式。如果您发现病毒,那就太迟了:删除病毒是不够的,因为您的系统已被入侵,需要从已证实干净的备份。你总是得假设他们得到了你的管理员密码。
答案2
哈哈,你们真有趣:-)
好吧,说点更严肃的话题,你需要做的就是控制你的系统和网络,以保证你的安全。要做到这一点,你需要了解以下几点:
- 关于网络的一切,都从小事做起。
- 如何配置防火墙(乌夫或者更好的是,iptables 目录)
- 学习关于网猪并用它来获取实时交通信息。最坏的情况是,如果你对交通状况一无所知,你随时可以禁用网络。
- 安装并了解呼噜. 必备设置!
- 另一个必须具备的是无脚本浏览器插件。它可以防止您首先受到感染。只需确保您支持您信任的网站,并专门为它们启用脚本,因为默认情况下所有脚本都是禁用的。
- 或者,网络地图和Wireshark. 都非常有用。
- 小心在系统上安装的内容。尽可能使用 Ubuntu 中心,验证您的下载。
- 加密敏感信息。最好由你来加密,而不是别人来加密。Ubuntu 内置了encfs 加密你应该去看看。
- 使用克罗恩或者通知检查您的密钥文件是否被访问或修改,如果是,则提醒您。
- 玩群组和用户时要小心谨慎。最不危险的事情就是把自己锁在根权限之外。
好了,就这些了。我可能漏掉了一些东西,比如ClamAV例如,我从未使用过。我可能会研究它以获得额外的安全层。哦,最重要的是,用你的大脑,没有人会为你使用它。
答案3
你问:
“2. 既然 ClamAV 是轻量级的,是否有任何“增强功能”可以提高其威胁检测能力?”
您可以配置 clamav 守护程序来扫描所有传入文件,包括浏览器缓存文件。我确信 clamxav 会为 OSX 执行此操作。