¿Hay algún punto en la instalación de antivirus en Ubuntu?

60

Recientemente comencé a usar Ubuntu. Me pregunto sobre el punto de instalar programas antivirus en Ubuntu. En SuperUser, encontré la opinión de que solo detecta "virus de Windows" y los elimina. ¿Hay algún punto en la instalación de antivirus si no tengo ningún otro sistema operativo?

Que yo sepa, no hay virus para Linux. ¿Qué pasa con el malware y otros programas dañinos? ¿Es seguro no instalar ningún software de protección?

Piotr Krysiak
fuente
11
+1 porque creo que es importante que todas las personas con Linux entiendan que no existe el sistema operativo '100% save'.
Mixxiphoid
¡Es simple porque PCI nivel 2 lo necesita!
user150563
Siempre digo que el sentido común es el mejor antivirus. Pero incluso usted mismo no puede evitar todos los vírgenes. A menos que tenga un gran impacto en el rendimiento, ¡siempre instale un AV!
Simon Verbeke
1
El sentido común de @SimonVerbeke le permitirá evitar la mayoría de las infecciones de virus; pero no es de mucha ayuda contra los ataques driveby desde sitios legítimos que fueron pirateados si su sistema tiene la vulnerabilidad sin parche que explotan.
Dan Neely
2
Un recordatorio: el primer gran malware fue el gusano Morris
Rich Homolka el

Respuestas:

50

Esto simplemente no es cierto. Hay muchos tipos de código malicioso que se pueden ejecutar en 'Nix.

El punto es (y el malentendido), es que hay significativamente menos en comparación con Windows. Por alguna razón, se ha convertido en un lugar común para usar AV en Windows.

http://en.wikipedia.org/wiki/Linux_malware

Hay algunos programas AV para Linux .

También hay más información sobre superusuario . El resto de la respuesta 'mi' se copia de la respuesta de esa publicación:

Bueno, en realidad no lo es ... está menos sujeto a que los hackers desarrollen virus que se dirigen a los sistemas Linux. Las computadoras de grado de consumo generalmente se ejecutan en Windows y, por lo tanto, cuando se dirigen a un público amplio, Windows es el camino a seguir.

No malinterpretes Linux y los virus, definitivamente HAY virus de Linux.

Algunas distribuciones tienen capas de protección adicionales, como SELinux en Ubuntu, por ejemplo. Luego está el firewall predeterminado y el hecho de que los archivos alienígenas no tienen automáticamente permiso para ejecutarse. Debe otorgarse un permiso de ejecución específico antes de que sea posible la ejecución .

Luego, hay varios otros factores que hacen que Linux sea un lugar difícil para los virus, por lo general, los usuarios no root en los sistemas Linux tienen a su disposición pocos archivos ejecutables que permitirían que los virus permanezcan sin ser detectados en propagación. Algunos programas solo requieren que inicie sesión como root (o mediante el uso de sudo) antes de que se ejecuten o para acceder / modificar directorios que no sean su hogar. Es mucho más difícil desarrollar un virus viable que se propague tan bien como lo haría en Windows.

ACTUALIZAR:

Como se menciona a continuación, la mayoría de las máquinas que ejecutan Linux son servidores que son ejecutados por personas que saben una o dos cosas sobre lo que están haciendo. Las personas que ejecutan Linux para uso de escritorio generalmente eligen y también saben lo que están haciendo. Casi todas las computadoras analfabetas ejecutan Windows y, por lo tanto, es mucho más fácil infectar esas computadoras. "Hey, esta máquina me dice que tengo virus y tengo que comprar este programa antivirus llamado 'FAKETrojanHunter' para deshacerme de él ... ¡Bien, hagámoslo!"

Debido a que ninguna distribución / instalación de Linux es igual per se, es más difícil desarrollar malware que los infecte a todos de la manera más eficiente posible. Además, casi todo el software que se ejecuta en Linux es de código abierto, lo que hace que el malware sea mucho más fácilmente detectable ya que su fuente está abierta al público.

Dave
fuente
44
+1 por proporcionar un enlace a posibles AV y explicar por qué generalmente Linux no tiene virus. borré mi comentario
Mixxiphoid
12
Furthermore, almost all software run on Linux is Open Source, making malware much more easily detectable since it's source is open to the public.¡¿Qué?! Hay muchos ejemplos (especialmente en el sector corporativo) donde el software que se ejecuta en los sistemas * nix no es FLOSS. ¿Y por qué un escritor de malware debe hacer público el código? Almost all computer illiterate run Windows and therefore it's much easier to get those computers infected.Lo que estás describiendo se llama "ingeniería social", que es completamente diferente de los principales vectores de ataque como exploits o exploits de complementos.
Bobby
3
Además, Linux tiene mucha más variedad que Windows, por lo que es difícil explotar un error en todos ellos al mismo tiempo.
vsz
77
"Supongo que hay más 'enemigos de Microsoft' que los de otros sistemas operativos" - no, es simplemente (más usuarios de Windows == más autores de virus que usan Windows + más objetivos que usan Windows == más virus de Windows)
Adam Naylor
3
@DanNeely Variety no es seguridad por oscuridad; restringir el acceso al código fuente u otros detalles de implementación con la esperanza de que hacerlo mejore la seguridad es la seguridad por oscuridad. Esto no quiere decir que al hacer público el código fuente, o al restringir el acceso a él, automáticamente haga que el software sea más seguro (¿cuándo fue la última vez que incluso el desarrollador promedio revisó, por ejemplo, el código fuente de OpenOffice o LibreOffice para detectar posibles vulnerabilidades de seguridad? , y mucho menos malware intencionalmente oculto?), pero mantengamos los dos conceptos claramente separados.
un CVn el
16

Primero pregunte por qué Ubuntu-Gnu-Linux es más seguro.

  • Como es MAYOR (a menos que instale software libre) (software libre): el código fuente está disponible (Freedom 1 - la libertad de estudiar cómo funciona el programa), lo que dificulta ocultar el código malicioso.
  • Los enormes repositorios y el instalador hacen que, en su mayoría, sea innecesario instalar software arbitrario.
  • El sistema está mejor diseñado: diseñado para ser seguro. Si se escribe un virus, que explota una vulnerabilidad, entonces corríjala (en lugar de culpar al virus y detectar cuándo ingresa al sistema).
  • Los archivos no son ejecutables por defecto, sin importar su nombre o extensión.
  • Diversidad: diferentes distribuciones, asignación al azar de direcciones en el núcleo para hacer que las vulnerabilidades sean más difíciles, etc.

Además deberías:

  • Copia de seguridad regularmente.
  • Puede usar la función multiusuario, incluso si solo está usando el sistema:
    • Tener un usuario de sandbox para probar nuevo software.
    • Configure subversion (o mercurial, o si es bueno en el uso de cosas que son difíciles de usar git), un sistema de control de revisión, de modo que cuando rompa algo, pueda recuperarlo. Luego, tenga el repositorio propiedad de un usuario svn, sin permiso de escritura para nadie más. Luego use el túnel (ssh) para conectarse. De esa manera, si su cuenta se ve comprometida, el intruso puede romper cosas, pero el estado anterior estará en el repositorio y no se puede eliminar.
  • Examine la gestión de la configuración, por ejemplo, cfengine, Puppet, Chef (o quizás el bastante nuevo Ansible).

Nota: Gnu / Linux no es perfecto, hay muchos problemas. Actualmente hay investigaciones sobre nuevas formas de mejorar la seguridad. Pero aún es mejor que el resto (posible excepción de algunos de los BSD)

ctrl-alt-delor
fuente
2
Podría agregar que la política estándar en muchos sistemas tipo Unix es "ningún archivo ejecutable", por lo que no es posible realizar muchos ataques simples de "hacer clic en este .exe que le envié". Y gratis no significa código abierto. Nunca tuve que pagar por un malware;)
Yves
1
Nota: Digo Software libre, no software que es gratuito. La mayoría del software libre es de código abierto y la mayoría del código abierto es software libre. Tenga en cuenta las letras mayúsculas. Tanto el software libre (software que tiene las 4 libertades: para ejecutar, estudiar, modificar, distribuir, para cualquier propósito, por / a cualquier persona, por CUALQUIER PRECIO) y Open Source (no recuerdo la definición, pero NO es software donde está disponible el código fuente) son nombres con definiciones.
ctrl-alt-delor
1
señaló :). Soy francés y usamos dos palabras (libre para software libre y gratuit para software gratuito), de ahí la confusión ... Creo que voy a leer algo de inglés en el sitio web de la FSF esta noche ...
Yves
Sí, es más fácil en francés. Desafortunadamente, aparentemente a nadie se le ocurrió un mejor término en inglés que el software libre, y esto explica la confusión. A menudo uso el término francés cuando hablo en persona, pero esto no siempre funciona.
ctrl-alt-delor
Muy buena respuesta, pero recomendaría Git sobre Subversion, ya que sus repos son a prueba de manipulaciones (y también es mejor en casi cualquier otra forma). Y recomendaría Puppet o Chef (o quizás el bastante nuevo Ansible ) sobre cfengine.
iconoclasta
11

Sí hay. Imagine que tiene un archivo con un virus solo de Windows como parte de la carga útil y pasa a través de su máquina Linux. Tiene la oportunidad de eliminarlo antes de enviarlo por correo electrónico o en una memoria USB a un amigo. Si esto sucede, el virus está ahora en su máquina Windows.

Szymon Toda
fuente
Esto solo tiene sentido, porque solo hay una arquitectura para buscar. Si hubiera múltiples sistemas operativos y / o arquitecturas, que sufrieran mucho por los virus, ¿buscaríamos todos?
ctrl-alt-delor
3

Depende de lo que hagas.

El puro usuario avanzado

Un usuario que se adhiere únicamente al software proporcionado por la distribución , evita complementos de navegador sospechosos como Flash y Java, y siempre actualiza su sistema , no necesita un antivirus.

La razón es simple: un antivirus solo puede detectar virus conocidos . Si su sistema recibe actualizaciones de seguridad a tiempo, esto es igual de bueno . Debido a que las actualizaciones de seguridad generalmente llegan tan rápido como las firmas de antivirus.

El operador del servidor de archivos

Si está utilizando un servidor de archivos para usuarios de Windows, desea un antivirus para proteger a los usuarios de Windows .

El jugador

Si le gusta instalar software de terceros desde repositorios de paquetes no oficiales "PPA", lo que sea que no pueda confiar, si instala manualmente un software que no recibirá actualizaciones de seguridad automáticas y siempre saltará las últimas tendencias , tal vez incluso intente ejecutar Windows software en Linux , entonces usted es tan vulnerable como el usuario promedio de Windows, que está descargando software no firmado en Internet . Consigue un antivirus.

El administrador de poder

El administrador avanzado escribe su propia herramienta que con frecuencia calcula la suma de comprobación de las partes clave de su sistema y las envía fuera del sitio para compararlas. Como la mayoría de los archivos provienen de paquetes de software oficiales, existe una "verdad" conocida de la suma de verificación correcta. Cualquier modificación de un archivo del sistema se detecta rápidamente, pero dado que su servicio de suma de verificación no está disponible en el mercado sino una solución personalizada, cualquier atacante pierde esta trampa oculta y activa la alerta. (Existen soluciones estándar como Tripwire, pero son bastante fáciles de deshabilitar). Si el virus llega realmente tan lejos, y no se detiene antes mediante sandboxes y políticas SELinux hechas a mano por el administrador en minuciosas multas -sintonización. Un antivirus prácticamente no proporciona ningún beneficio aquí.

Anony-Mousse
fuente
Para el tercer caso (El jugador) también puedes usar sandboxing. Configure un usuario especial para instalar y ejecutar el software. No le dé a este usuario privilegios de sudo (o cualquier otro privilegio peligroso), no inicie sesión como root de este usuario. No comparta la misma sesión X11.
ctrl-alt-delor
"un antivirus solo puede detectar virus conocidos" Esto es incorrecto. El software para detectar y bloquear actividades "sospechosas" o similares a virus ha existido durante mucho tiempo, como parte del software antivirus. Recuerdo claramente que en la segunda mitad de la década de 1990 tuve que configurar el software AV para permitir que el compilador de software escribiera en los *.exearchivos, porque bajo el uso normal no se supone que escriba en archivos ejecutables (posiblemente aparte de la instalación del software, etc.).
un CVn el
Bueno, un usuario normal no puede escribir en ejecutables del sistema en Linux de todos modos. A menos que algún jugador se haya equivocado mucho y siga instalando software como usuario. Luego están SELinux y AppArmor para endurecer. Pero todo ese "análisis de comportamiento" del software AV en su mayoría no funciona . Existe, pero en gran medida no funciona. Lo que pueden detectar es nuevas variaciones de virus antiguos (principalmente generados en kits de herramientas de malware, es decir)
Anony-Mousse
2

Los virus de Linux son obviamente más raros y tienen más dificultades para penetrar a un nivel en el que realmente pueden hacer daño, pero existen.

Con los sistemas Linux me preocupo mucho más por las penetraciones / ataques. Cuando ejecuté un servidor SSH en el puerto SSH normal, veía cientos de intentos de inicio de sesión por día desde China, en su mayoría combinaciones de cuentas / contraseñas aleatorias, pero me ponía lo suficientemente nervioso como para mover el puerto más alto.

Creo que obtendrías mucho más beneficio de un sistema como Tripwire que de un antivirus estilo Windows. Creo que tripware escanea sus registros en busca de patrones particulares, observa privilegios elevados y cambios de permisos en los archivos.

Bill K
fuente
@Anony Dijiste incorrecto, entonces algo que no tenía nada que ver con mi publicación y luego estuviste de acuerdo conmigo. ¿Considerarías leer más de cerca? Dije que los VIRUS de Linux eran más raros, no se instalaban, y también implicaba exactamente lo que dijiste (con el hacker chino).
Bill K
Lo siento, sí, leí mal tu publicación.
Anony-Mousse
En cuanto a tripwire. Lo estuve ejecutando durante algunos años en un servidor, pero a la larga lo encontré imposible de mantener, al menos si mantiene constantemente actualizado su sistema. Tenía sentido cuando solo hacía actualizaciones anuales, pero si el sistema evoluciona constantemente, terminas actualizando constantemente las firmas y probablemente no notarás una modificación. En cambio, dicho sistema debería usar, por ejemplo, una base de datos de debsums fuera del sitio para mantenerse sincronizado automáticamente con las actualizaciones.
Anony-Mousse
@Anony Estoy de acuerdo con Tripwire, lo estaba usando principalmente como un ejemplo para mostrar por qué no creo que el software AV sea tan útil, como dijimos anteriormente, no detectará los hacks realmente importantes donde hay cosas parecidas a tripwire lo hará, por lo que el AV es menos útil que en una máquina con Windows donde los virus son el principal vector de ataque.
Bill K
0

Linux puede estar infectado, como cualquier otro sistema operativo, sin embargo, en su caso, cargar el sistema con servicios antivirus no tiene sentido . Eso es porque:

  • probablemente usará Ubuntu Software Center, que funciona con un repositorio absolutamente confiable y seguro ;
  • le resultará muy difícil ejecutar las aplicaciones afectadas , ya que, por ejemplo, Linux no admite exe de manera predeterminada y tampoco permite que los archivos se ejecuten tan fácilmente como Windows;
  • incluso ejecutado: necesita privilegios de administrador para realizar cambios significativos en su sistema (significa que "virus" debería pedirle una contraseña y confirmación para hacerle daño;) ...

Estoy trabajando en Linux durante años, usando aplicaciones de diferentes repositorios, visitando áreas peligrosas de Internet y no ocurrió ningún problema. No te preocupes demasiado: D

kurp
fuente