Ochrona systemów Windows przed złośliwym oprogramowaniem to sprawa oczywista. Jednocześnie często powtarzana jest opinia, że tego typu zabezpieczenia nie są potrzebne w przypadku stacji roboczych i serwerów z systemem Linux. Niestety, nie zawsze tak jest.

Najpowszechniej stosowana ochrona Linuksa przed złośliwym oprogramowaniem dotyczy serwerów poczty elektronicznej. Postfixowi lub Sendmailowi jest w zasadzie obojętne, co zawierają poszczególne wiadomości, które przekazują. W mailach mogą znaleźć się wirusy, konie trojańskie, oprogramowanie szyfrujące lub linki do sfałszowanych stron, wykorzystywanych do kradzieży informacji. Dlatego na serwerach pocztowych z systemem Linux powszechnie stosuje się albo komercyjne oprogramowanie zabezpieczające, albo popularnego darmowego ClamAV. Rolą tych narzędzi jest detekcja wspomnianych zagrożeń i udaremnienie dostarczenia ich do adresatów.

Kontynuując wątek fałszywych maili zawierających odnośniki do spreparowanych stron, warto pamiętać, że  jest to również zagrożenie dla osób wykorzystujących systemy Linux na stacjach roboczych. Użytkownicy mogą korzystać z poczty elektronicznej poprzez przeglądarkę internetową lub aplikacje typu Evolution, Thunderbird, KMail czy Sylpheed. Bez względu na platformę systemową mogą kliknąć w link z fałszywego maila i przekazać intruzowi ważne informacje. Innym elementem linuksowej infrastruktury, na którym należy stosować ochronę antywirusową, są serwery Samby, udostępniające miejsce do składowania plików przez osoby używające systemów Windows na swoich komputerach. Serwer Samby bez wdrożonej ochrony antywirusowej szybko stanie się swego rodzaju sieciowym punktem dystrybucyjnym dla złośliwego oprogramowania, które dostając się na stację jednego użytkownika, będzie szukało możliwości przedostania się dalej, wykorzystując do tego celu m.in. zamapowane na danej stacji udziały sieciowe.

Podobnie zagrożone mogą być serwery z systemem operacyjnym Microsoft Windows, które używają zasobów NFS zamontowanych z serwera linuksowego.

> ZABEZPIECZENIA PRZED MALWARE

W artykule przyjrzymy się oprogramowaniu F-Secure Linux Security, oferującemu ochronę przed złośliwym oprogramowaniem stacji i serwerów z systemem Linux. Wspominany produkt fińskiego producenta zapewnia mechanizmy o możliwościach zbliżonych do tego, co możemy spotkać w wersjach dla systemów Windows. Są to zatem ochrona w czasie rzeczywistym, automatyczne aktualizacje bazy sygnatur, skanowanie ręczne oraz skanowanie zasobów na podstawie harmonogramu. Jedną z istotnych funkcji jest zapora firewall zbudowana na bazie oprogramowania netfilter i iptables. Interesującą opcją jest także sprawdzanie integralności plików w ramach systemu HIPS (Host Intrusion Prevention System). Mechanizm ten ma na celu chronić system przed nieautoryzowanymi zmianami kluczowych plików konfiguracyjnych oraz alarmować w przypadku ich edycji lub podmiany na złośliwe oprogramowanie. System antywirusowy weryfikuje stan plików podczas ich otwierania, zamykania oraz przed uruchomieniem. Zgodnie z informacjami twórców F-Secure Linux Security aplikacja:

• współpracuje z wszystkimi występującymi w Linuksie systemami plików;
• wykrywa potencjalnie szkodliwe pliki dzięki stosowaniu zaawansowanych mechanizmów skanowania heurystycznego;
• wykrywa niechciane oprogramowanie;
• blokuje możliwość wyłączenia ochrony przez nieuprawnionego użytkownika;
• udostępnia różne rodzaje skanowania, alertów oraz akcji w przypadku wykrycia zagrożenia;
• skanuje rekursywnie pliki w archiwach;
• oferuje możliwość korzystania z kilku poziomów bezpieczeństwa firewalla.

Linux Security to kompletny produkt, który został zaprojektowany do ochrony zarówno stacji roboczych, jak i serwerów. Obsługa jest identyczna w obu środowiskach, a zarządzanie poprzez mechanizmy lokalne i centralne, metody instalacji oraz konfiguracji jest jednakowe. W skład oprogramowania Linux Security wchodzi kilka modułów odpowiedzialnych za kompleksową ochronę klienta:

• Alert Database Handler Daemon – zadaniem serwisu jest przechowywanie alertów, w dalszej kolejności dostępnych w interfejsie webowym;
• FSAV Policy Manager Daemon – realizuje komunikację z centralnym serwerem zarządczym – Policy Managerem. Przejmuje konfigurację oraz zadania wysyłane z Policy Managera do klienta;
• Firewall Daemon – steruje działaniem firewalla;
• FSAV On-Access Scanner Daemon – serwis odpowiadający za ochronę klienta w czasie rzeczywistym;
• FSAV Status Daemon – daemon, którego zadaniem jest weryfikowanie stanu wszystkich modułów oraz aktualizowanie interfejsu użytkownika;
• FSAV Web UI – usługa webowa zbudowana na bazie serwera aplikacyjnego Tomcat, dostarcza interfejs webowy;
• FSAV PostgreSQL Daemon – silnik bazy danych służący do gromadzenia alertów udostępnianych za pośrednictwem interfejsu webowego;
• Updated Daemon – daemon odpowiadający za cykliczne aktualizacje;
• FSAV License Alerter – usługa działająca, gdy oprogramowanie używa licencji ewaluacyjnej, wskazuje czas wygaśnięcia licencji.

[...]

Specjalista ds. utrzymania infrastruktury i operacji. Zajmuje się problematyką budowy, utrzymania i zarządzania centrami przetwarzania danych oraz koordynowaniem zmian dotyczących krytycznej infrastruktury IT.