在linux DNS服务器上运行防病毒软件。是否有意义？

在最近的审核中，我们被要求在运行linux（bind9）的DNS服务器上安装防病毒软件。服务器在渗透测试期间没有受到损害，但这是给出的建议之一。

1. 通常，会安装linux防病毒软件来扫描发往用户的流量，那么在dns服务器上安装防病毒软件的目标是什么？

2. 您对该提案有何看法？

3. 您实际上在Linux服务器上运行防病毒软件吗？

4. 如果是这样，您会推荐或您正在使用哪种防病毒软件？

这样做的一个方面是，对于审核员，建议在所有内容上都使用“防病毒” 是一个安全的选择。

安全审核并不完全涉及实际的技术安全。通常，它们也涉及在诉讼中限制责任。

假设您的公司遭到黑客入侵，并且您提起了集体诉讼。您可以根据遵守行业标准的程度来减轻您的特殊责任。假设审核员不建议在此服务器上安装AV，因此您无需安装它。

您的辩护是，您遵循了受人尊敬的审核员的建议，可以说是通过了责任。顺便说一句，这就是我们使用第三方审核员的主要原因。请注意，责任转移通常会写在您与审计师签订的合同中：如果您不遵循审计师的建议，那一切都在您身上。

好吧，然后律师会调查审计师是否可能是共同被告。在我们的假设情况下，他们不推荐在特定服务器上使用AV的事实将被视为不够彻底。即使这与实际袭击毫无关系，仅此一项也会在谈判中伤害他们。

对于审计公司而言，唯一需要承担财务责任的事情是对所有服务器都提出标准建议，而不考虑实际的攻击面。在这种情况下，AV 一切正常。换句话说，即使由于法律原因，手术刀在技术上也比较优越，他们还是建议使用大锤。

这在技术上有意义吗？通常不会，因为它通常会增加风险。这对律师，法官甚至陪审团有意义吗？绝对地，他们在技术上并不胜任，也无法理解细微差别。这就是为什么您需要遵守。

@ewwhite建议您与审计师讨论此事。我认为那是错误的道路。相反，您应该与公司的律师交谈，以征询他们对不遵循这些要求的意见。

有时候审计师是白痴。

但是，这是不常见的请求。我会通过保护/限制对服务器的访问，添加IDS或文件完整性监视或增强环境中其他位置的安全性来反对审计员的建议。防病毒在这里没有任何好处。

编辑：

如下面的评论所述，我参与了在美国这里一个非常引人注目的网站的发布，并且负责设计符合HIPAA要求的Linux参考体系结构。

在讨论防病毒问题时，我们确实建议使用ClamAV和应用防火墙来处理来自最终用户的提交，但通过实施补偿性控制 （第三方IDS，会话日志记录，审核，远程系统日志，对VPN和服务器的两步验证，AIDE文件完整性监视，第三方数据库加密，疯狂的文件系统结构等）。这些被审核员认为是可以接受的，并且全部获得批准。

关于审核员，您需要了解的第一件事是他们可能不了解范围技术在现实世界中的使用情况。

审核中应解决许多DNS安全漏洞和问题。如果它们被明亮的闪亮对象（例如“ DNS服务器上的防病毒”复选框）分散了注意力，它们将永远无法解决真正的问题。

典型的现代防病毒软件确实可以更准确地尝试查找恶意软件，并且不仅限于病毒。根据服务器的实际实现（专用服务的专用盒，共享盒上的容器，“唯一服务器”上的附加服务），拥有ClamAV或LMD（Linux恶意软件检测）之类的东西可能不是一个坏主意。并每晚大约进行一次额外的扫描。

在审核中被询问时，请务必选择确切的要求并查看随附的信息。原因：太多的审计师没有阅读完整的要求，不了解上下文和指导信息。

例如，PCIDSS确实要求“在通常受恶意软件影响的所有系统上部署防病毒软件”。

富有洞察力的PCIDSS指导专栏特别指出了大型机，中型计算机和类似系统当前可能不是恶意软件的共同目标或影响，但应该监视当前的实际威胁级别，了解供应商的安全更新并采取措施以解决新的安全问题漏洞（不仅限于恶意软件）。

因此，在与http://en.wikipedia.org/wiki/Linux_malware列出的大约50种Linux病毒列表以及其他操作系统的数百万种已知病毒列表进行比较之后，可以很容易地认为Linux服务器不会受到普遍影响。对于大多数关注Windows的审核员来说，https：//wiki.ubuntu.com/BasicSecurity的“最基本的规则集” 也是一个有趣的指针。

与标准病毒扫描程序相比，您有关未决安全更新和运行完整性检查程序（如AIDE或Samhain）的信息可能会更准确地解决实际风险。这也可以说服您的审核员不要引入安装其他不需要的软件的风险（这种软件提供的好处有限，可能会带来安全风险或只是破坏）。

如果这样做没有帮助：将clamav作为日常cronjob安装不会像其他软件那样严重。

DNS服务器今年已在PCI审核员中流行。

要认识到的重要一点是，尽管DNS服务器不处理敏感数据，但它们支持您的环境。因此，类似于NTP服务器，审核员开始将这些设备标记为“ PCI支持”。审核员通常对PCI支持环境应用不同的要求集，而与对PCI环境本身的要求不同。

我将与审计师交流，请他们澄清PCI和PCI支持之间的要求差异，只是为了确保该要求不会偶然溜走。我们确实需要确保我们的DNS服务器满足类似的强化准则到PCI环境，但是防病毒并不是我们面临的要求之一。

这可能是对the击bash外伤的一种下意识的反应，网上有人建议绑定可能会受到影响。

编辑：不确定它曾经被证明或确认。

如果您的DNS服务器属于PCI DSS范围，则可能会被迫在它们上运行AV（即使在大多数情况下它完全是愚蠢的）。我们使用ClamAV。

如果这是为了符合SOX要求，那么他们最有可能告诉您安装防病毒软件，因为您在某处制定了一项政策，规定所有服务器必须都安装了防病毒软件。而这个没有。

请为此服务器的策略写一个例外，或者安装AV。

DNS服务器主要有两种：权威服务器和递归服务器。一个权威 DNS服务器告诉世界什么IP地址应该被用于域内的每个主机名。最近，可以将其他数据与名称相关联，例如电子邮件过滤策略（SPF）和加密证书（DANE）。一个解析器，或递归 DNS服务器，查找与域名相关联的信息，利用根服务器（.）来查找注册表服务器（.com），使用这些来查找域的权威服务器（serverfault.com），最后使用这些找到的主机名（serverfault.com，meta.serverfault.com，等等。）。

我看不到“防病毒”如何适合权威服务器。但是，针对解析程序的实用“防病毒”将涉及阻止对与分发或恶意软件的命令和控制相关的域的查找。Google dns block malware或dns sinkhole带来了一些结果，可能会通过保护其解析程序来帮助您保护网络。这与您在客户端/台式机上运行的防病毒类型不同，但是向负责“防病毒”要求的一方提出建议可能会产生答复，帮助您更好地理解“防病毒”要求的性质。

其他Stack Exchange网站上的相关问题：

• 某人如何沉陷域名？

最好运行Tripwire或AIDE