Clamd 占用了我的专用服务器(运行 Linux)大约 5% 的内存(2GB),我想知道是否可以在不带来任何安全风险的情况下禁用它。
该服务器仅托管我自己的几个网站。大多数情况下,我通过 gmail(连接到我的 pop3 帐户)接收和发送电子邮件。
唯一的其他电子邮件用例是我的一个网站解析所有电子邮件并抓取附加的图像和主题行。
如果我禁用 clamd 是否会存在安全/病毒感染风险?
答案1
出于某种原因,所有其他答案似乎都假设 clamd 实际上会自动扫描您的系统。实际上,clamd 确实不是自行扫描您的系统。它所做的只是等待另一个进程要求它扫描系统,因此除了加快“clamscan”过程之外,它所做的并不多(因为它不必在每次扫描时重新加载病毒定义)。如果您正在运行邮件或文件共享服务器,并希望在文件通过时对其进行扫描,那么这可能是一种非常有用的优化。但是,如果您像我一样,只是想通过每天一次的 cronjob 扫描来确保没有人试图在您的服务器上托管 Windows 恶意软件,那么 clamd 基本上是不必要的。
我知道这已经是三年前的事了,但是当有人搜索“clamd 有什么意义”、“关闭 clamd 安全吗”等时,它就会出现在前几个条目中。
答案2
我肯定会禁用它。并不是因为内存占用,而是因为运行的东西越多意味着复杂性越高,失败的可能性也就越大。具体来说,运行 AV 扫描程序意味着:
出现误报检测的可能性更大,标记(最坏的情况下是删除)某些你不想干扰的内容;
扫描仪本身可能存在安全漏洞,可能会让你更多的易受攻击。(许多扫描仪都存在漏洞,包括 ClamAV 的几个。)
您在 Linux Web 服务器上面临的安全风险(SQL 注入、帐户密码泄露、定制的 rootkit 等)不是 Clam 等扫描程序能够为您检测到的风险。这使得 AV 对您来说是一个特别糟糕的权衡。您最好使用通用入侵检测系统。
答案3
我认为 5% 是微不足道的。如果你的 Web 服务器实际上需求全部 2GB 的 RAM,而您又实在无法省下那 5%,那么您应该寻找其他改进方法,而不是使用 clamd。ClamAV 将检测一些非病毒恶意软件,这些恶意软件并不包含在声称没有 Linux 病毒(目前)的范围内。
另一个需要考虑的因素是电子邮件,无论数量多少。虽然感染 Windows 病毒的电子邮件在 Linux 上可能不算什么,但您必须记住,您的系统并不是在真空中运行的。它连接到各种其他系统,包括 Windows 计算机。因此,检测到来自您系统的受感染邮件可能会将您列入一个或多个阻止列表。这是否真的让您担心,只有您自己才能决定。我个人认为所有电子邮件系统都应该扫描所有进出的邮件以查找病毒。
答案4
安全风险是相对的。Clamd 在文件和目录上运行 ClamAV 引擎。
您从哪里得到它占用了那么多内存的数据?Linux 内存管理可能会产生误导;有时它只是告诉您分配了什么,但实际上并没有驻留,而且 Linux 通常非常擅长在应用程序不活跃时将它们处理掉。您可能会发现用于缓存的内存比此应用程序占用的内存多得多。
就我个人而言,我不会放弃它。这是一种相对简单的方法来增加另一层“安心感”,如果它不会显著影响你的系统性能,那么就让 Linux 来管理内存吧。如果你遇到了大量的交换或磁盘抖动,那么可以考虑修剪进程,但实际上在那个时候,你可能需要考虑增加内存。
另一方面,要问的是,如果网站被黑客入侵而你却没有意识到,这会给你带来多大的损失。从备份中恢复的时间、解开黑名单的时间、是否有客户或其他依赖于此系统访问权限的人会受到影响、声誉等……在这种情况下,关闭恶意软件扫描程序真的值得吗?与其他选择相比,投资更多内存而不是关闭应用程序是否值得?这应该会给你所需的答案。
如果您当面问我这个问题,我的回答是肯定的,这确实存在安全风险,因为这会为您提供多一层保护,并增加一个发现潜在漏洞的途径。这是一个巨大的安全风险吗?我认为不会,只要您小心谨慎。但这确实会增加您的风险,就像不系安全带会增加您在车祸中受伤或死亡的风险一样,但这并不意味着您下次不系安全带就注定要失败。风险取决于您自己,需要根据自己的情况来量化。