Virenschutz unter Linux (Webserver)

R

RemoteC

0
Hallo!

Ich habe als Projekt in der Schule einen neuen Webserver aufgesetzt, Betriebssystem ist Suse Linux 10.3 (Systemadministrator wollte Suse, also bitte keine Diskussionen dazu) und nun habe ich ein E-Mail vom Systemadministrator bekommen, dass der Server nur online gehen kann, wenn es einen Virenschutz gibt.

Der Server läuft normalerweise auf init3, Firewall ist die standardmäßige aktiviert. Im restlichen Schulnetzwerk (alles Windows Server und Workstations) gibt es einen Virenschutz von McAffee. Wenn ich das richtig verstanden habe ist ein Server alleine für den Virenschutz verantwortlicht, der ist ständig mit dem Update-Server von McAffee verbunden und verteilt dann die Updates im gesamten Netzwerk.

Was für einen Virenschutz gibt es für einen Webserver unter Suse Linux? Ist ein Virenschutz überhaupt erforderlich? Wenn nein bitte mit Links zu Artikeln, damit ich dem Systemadministrator, der anscheinend mit einem Linux-Server überfordert ist, etwas zeigen kann.

Ein weiteres Problem ist, dass er nicht in der Lage ist auf seinem ISA-Server den Linux-Server freizugeben bzw. ein Port-Forwarding/Subdomain einzurichten :rolleyes:

mfg

RemoteC
 
Gerade bei Webservern ist ein Viren/Wurm-Schutz durchaus von Vorteil und besonders dann, wenn Dateien z.B. von Schülern oder Lehrern hochgeladen werden können. Man erinnere sich an Slapper & Co. Wichtig ist halt aber, dass die Webapplikation,die auf dem Server läuft, diesen Virenscanner bei Uploads auch einsetzt. ClamAV u.ä. haben sich da bewährt. Ansonsten reicht aber auch die Überwachung des Dateisystems auf Änderungen z.B. mit Tripwire, FAM oder AIDE. Mit Snort kann man dann schonmal den schädlichen Traffic, der nach Exploits riecht, einfach ausfiltern.
 
als kleiner nachtrag zu bitmunchers rede: virenschutz auf linux servern ist genau dann von belang, wenn virenanfälliges über den server läuft. dazu zähle ich zb. folgendes:

- emails
- samba shares
- ftp
- ...
 
Danke für die Tipps bisher :)

Momentan ist typo3 drauf und ein paar andere statische HTML-Seiten. Ich habe natürlich keine Ahnung was da in Zukunft noch drauf installiert wird. Es war mal die Rede von einer Lernplattform ähnlich Moodle, da wird dann natürlich etwas hochgeladen. Bei typo3 werden nicht alle Rechte bekommen, nur Lehrer die einen Bericht online stellen und natürlich der Webmaster.

mfg

RemoteC
 
Naja, in dem Dokument sehe ich nichts beschreiben, was nicht für _jede_ Applikation auf einem Linux-Server gilt. Wenn sie eine Sicherheitslücke hat, ist diese auch ausnutzbar. Deswegen lässt man Software nicht als root laufen.
 
@jorey

Alle aufgeführten Punkte sind absolut nichts neues.
Und das angesprochene "Paradoxe" in der Präsentation trifft auf alles zu, was
irgendwie externe Daten verarbeiten muss. Und immer gilt: Je komplexer Systeme werden, desto mehr
potentielle Fehler können sich einschleichen. Diese Erkenntnis ist wirklich alt und ist universal :)

Die Präsentation ist für einen Enduser kein Grund auf solche Software zu verzichten.
Wenn er sie nicht benutzt, infiziert er sich schliesslich auch :)

Trotzdem schön gemacht. Auch wenn die Werbung für das eigene Produkt am Ende das ganze
dann eher als Verkaufspräsentation aussehen lässt, als eine unabhängige Präsentation zu Sicherheitsthema XYZ.

@RemoteC
http://cybersoft.com/whitepapers/papers/print/networks_print.html
http://cybersoft.com/whitepapers/papers/plausibility.shtml
http://www.f-secure.com/v-descs/bliss.shtml
http://www.f-secure.com/v-descs/staog.shtml

Aber generell sollte es um Windows Viren gehen. Und somit zum ausprobieren:
http://www.clamav.net/
Oder
http://www.kaspersky.com/anti-virus_linux_workstation
Oder
http://www.pandasoftware.com/download/linux/linux.asp

Bei einem nicht-on-demand scanner wie dem ClamAV musst du dir ein
Konzept überlegen wie du das anstellst das die Dateien auch mehr oder weniger
umgehend gescannt werden, bevor sie im System verteilt werden.

Für etwas ähnliches hatten wir mal einen PHP Filebrowser mit upload Funktionen
so abgeändert das hochgeladene Dateien vorher in eine Art Container kamen,
dort gescannt wurden und dann danach an ihren Zielort kopiert wurden.
Das dauert zwar etwas- aber ist nicht die schlechteste Methode.

Und wer mal selbst einen bauen will: http://www.linuxsecurity.com/resource_files/documentation/virus-writing-HOWTO/_html/index.html
;)
 
@bitmuncher & KlausSchiefer:
Meiner Meinung nach kommt es immer drauf an, wie der Server betrieben wird. Ein Mailserver, der ein komplettes Firmen/Schul-Netz mit Emails und Dateien belifert sollte einen Virenscanner besitzen, um so Schädlinge schon im vorraus zu filtern.
Auf einem Root-Server dagegen, der eventl. nur als Web-, Jabber-, IRC-, oder FTP-Server für eine kleine, anonyme Gruppe von Leuten eingesetzt wird steht die Nutzung eines Virenscanners in keiner Relation zu seinen Nachteilen: Ressourcenverbrauch im Dauerbetrieb und vor allem neu enstandene Sicherheitslücken. Da eventl. nur der Admin hier wirklich auf dem Server Software ausführt sind die Chancen relativ gering, dass ein Schädling ausgeführt wird, solang er nicht eine oft genutzte Datei ersetzt. Nur hier schafft kein Virenscanner Abhilfe, sondern ein IDS System, bzw. ein Rootkit-Scanner.
 
@fetzer: Es geht hier aber um einen Webserver in einer Schule. Deswegen schrieb ich ja auch, dass ein Virenscanner von Vorteil ist, wenn Schüler oder Lehrer Dateien auf diesen hochladen können. Siehe meine erste Antwort.
 
@fetzer
Es kommt natürlich immer darauf an wo es Sinn macht.
Aber IDS Systeme sind von dem in joreys verlinkten Artikel nach ebenso, wenn nicht sogar
noch mehr, von der Problematik in komplexen Systemen betroffen ;)
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben