# anti-viren software

## wudmx

hi,

wollt eigtl nur wissen, ob ihr eure kisten nur mit firewalls abschirmt oder ob ihr auch noch anti-viren tools einsetzt? in der neuen c't gibts ja "knoppilic" (ode so aehnlich), welches eine boot-cd mit anti-virensoftware ist... soweit ich weiss sind linux-viren imkommen, aber noch keine sonderliche gefahr fuer normal sterbliche wie mich! 

also: benutzt ihr AV-software? welche? erfahrungen? interessiert mich brennend!

----------

## MasterOfMagic

also ich verwende überhaupt keine antiviren-software weder hier auf dem notebook unter linux, noch auf meinem imac. 

meiner meinung nach kann antivirensoftware nicht funktionieren. neue viren werden bis zu einem update des herstellers nicht erkannt somit wärst du vorm erscheinen eines neuen virus bis hin zum update des virenscanners sowieso verwundbar.

das nächste problem: wie willst du etwas eindeutig als virus erkennen? ist es nicht möglich, dass bestimmte signaturteile eines viruses auch in gutartiger software enthalten sein können?

was soll dir ein virus unter einem linux system anhaben können und vor allem wie soll er gestartet werden? ich kann mir maximal vorstellen, dass ich sowas per mail bekomme. programme installiere ich nur über portage. nachdem ich nicht als root arbeite könnte der virus max. mein homeverzeichnis zerschiessen. zudem werden programme in den gängigen mailprogrammen sowieso nie automatisch gestartet.

was die firewall betrifft: ich verwende keine wozu auch? mein system bietet nach aussen hin keine dienste an, somit ist es auch nicht nötig soetwas wie einen paketfilter zu installieren. bugfixe werden bei mir sofort eingespielt und mit ein wenig brain v1 sollte das keine probleme geben. somit erübrigt es sich für meine einzelplatzsysteme firewalls und virenscanner einzusetzen.

mfg

masterofmagic

----------

## Ragin

Antivirensoftware nutze ich auch nicht.

Allerdings ist das Risiko, dass irgendwo eine Lücke in einem Code ist, die es dem Virus ermöglichen könnte root Rechte zu bekommen auch nicht unbedingt abwegig...

Ganz so unbedacht würde ich da nicht rangehen...

Irgendeine Möglichkeit findet sich immer...die Frage ist nur, wie lange der Virus bei jedem einzelnen Zeit hätte, bis er nichts mehr anrichten kann (z.Bsp. durch Update Systemnaher Software/Kernel...).

Eine Firewall habe ich zwar noch, allerdings hat diese eher einen Router-Zweck, als dass sie wirklich eine Firewall ist. Es sind bei mir zwar so gut wie alle Ports zu, aber so richtige Angriffsfläche bietet mein Server auch nicht, dass es sich richtiggehend lohnen würde...

----------

## MasterOfMagic

 *Ragin wrote:*   

> Antivirensoftware nutze ich auch nicht.
> 
> Allerdings ist das Risiko, dass irgendwo eine Lücke in einem Code ist, die es dem Virus ermöglichen könnte root Rechte zu bekommen auch nicht unbedingt abwegig...
> 
> Ganz so unbedacht würde ich da nicht rangehen...
> ...

 

ja diese möglichkeit besteht sicherlich. aber da stellt sich die frage ob das durch ne antivirensoftware verhindert werden könnte. denn taucht irgendwo eine sicherheitslücke auf mit der man root rechte erlangen kann, so wird doch sowieso schnellstmöglich ein fix programmiert und die antivirenhersteller müssen ja auch erstmal ihre programme updaten, insofern finde ich dass antivirensoftware obsolete ist, denn wenn der fix erstmal installiert ist, so kann der virus auch nicht mehr wirksam werden.

ist ein system erstmal infiziert so würde ich sowieso das ganze plattmachen und neuinstallieren, es ist einfach nicht mehr vertrauenswürdig

mfg

masterofmagic

----------

## Ragin

Die andere Sache ist halt, dass man durch eine Virensoftware, die sich z.Bsp. regelmäßig updaten würde einen Rechner auch mal unbekümmert laufen lassen kann, ohne ständig den neuesten Fixes hinterher sein zu müssen...

Mit etwas Glück ist der Virus vielleicht nicht ganz so schlimm, oder wird erst zu einem best. Zeitpunkt/mit einem bestimmten Programm aufgerufen...

So ganz beiseite legen würde ich den Gedanken nicht.

Früher hätte auch keiner gedacht, dass es mal solche Viren wie heute geben würde...

Unter Linux wird das vielleicht auch mal kommen.

----------

## MasterOfMagic

sicherlich ist da einiges wahre dabei dran. aber wenn du die letzten grossen virenkatastrophen so betrachtest, dann war da doch das hauptproblem, das auf maschinen patches fehlten, die es schon monate wenn nicht im extremfall jahre zuvor gab und somit auch ohne scanner verhindert hätten werden können. 

ein weiterer punkt wo scanner versagen, ist wenn der virus sich direkt in den speicher schreibt. bestes beispiel dafür ist der sql-slammer virus. ein virenscanner hätte diesen wohl nie erkannt.

ich denke es ist sogar besser wenn man keinen scanner einsetzt, weil man da automatisch vorsichtiger ist. mit scanner wiegt man sich schnell in sicherheit und handelt dann nach dem motto "na ich hab doch einen virenscanner installiert, der sich immer updatet, da kann mir dann schon nichts passieren."

ausserdem ist es sicherlich auch möglich security fixes automatisch upzudaten. ich glaube bei redhat ist das doch sogar der fall, dass man deren update programm auf automatischen betrieb stellen kann.

aber alles in allem kann man sagen, dass die grösste gefahr dann immer noch von dem ausgeht, der vor dem rechner sitzt.

----------

## Ragin

Der Aspekt, dass man sich in Sicherheit wiegt ist sicherlich bei vielen gegeben und dass die meisten Sachen durch fehlende Fixes hervorgerufen wurden stimmt auch. Aber einiges (und wenn es nur kleine "Nerv-Viren" sind, kann man von der Gefahr her eindämmen.

Ein autom. Update sollte man bei Gentoo z.Bsp. auch über einen Cron-Job machen können...

Einfach nachts ein sync und ein -u world und schon sollte das ja laufen.

----------

## wudmx

also um es mal zusammenfassend darzustellen: ihr beovrzugt ein woechentliches updaten um auf dem neuesten stand zu bleiben und um somit sicherheitsloecher zu schließen! klingt vernuenftig, tu ich ja auch :-)

ich werde nach em abi vielleicht mal hier eine AV-software installieren, aus interesse wegen! 

und dass sich viele user, die eine laufen haben, gleich unangreifbar fuehlen find ich auch naiv, denn heutzutage ist man vor keinem mehr sicher! 

um die diskussino noch ein bisschen anzuheizen: was fuer eine firewall benutzt ihr denn? wie schon oben beschreiben hat, nur eine firewall als router? was fuer regeln habt ihr (braucht jetzt keine iptables-regeln hier reinschreiben!)?

danke fuer die postings schon mal

----------

## Ragin

Bei mir läuft halt IPTABLES mit ein paar FORWARD / PREROUTE Regeln, um das Masquerading und den gesamten internen "Internetverkehr" sicher zu stellen und zusätzlich sind noch alle Highports (bis auf ein paar, die ich benötige), sowie alle normalen ausser 21, 22, 80, 443... gesperrt.

Als Alternative (ich habs teilweise auch drin), kannst du noch die icmp Sachen sperren, um zum Beispiel für Portscanner und Pings "unsichtbar" zu bleiben.

Gerade wenn man den den Server eigentlich 24/7 laufen und keinen grossen IP-Wechsel hat ist das teilweise ganz nett.

----------

## Antimon

Also unter Linux hab ich eigentlich kaum Angst vor Viren. Aber ein Virenscanner ist doch recht praktisch, um die eintreffenden Mails zu untersuchen, die dann von den Windoof Clients abgeholt werden. Da ist das nämlich eher ein Problem. Und wenn ich auch kein blödes Outlook Mail einsetze, was ziemlich unsicher ist, so ist es doch praktisch, die Virenmails vorher auszufiltern. Erstens muss ich die dann nicht nachträglich löschen, zweitens springt mein Virenscanner ned an und drittens ist die kleine, aber trotzdem vorhandene Gefahr, dass ich aus Versehen eine Viren-Mail öffne, vorhanden. Und so ein Virenscanner unter Linux ist schnell eingerichtet und das ist mir lieber, als der Gefahr, einen Virus einzufangen, ausgesetzt zu sein.

Okay, klar erkennt der Virenscanner nicht immer sofort alle Viren, die Updates der Hersteller hinken immer hinterher... aber bis sich ein Virus verbreitet hat, dauert das auch seine Zeit, also hält sich das in Grenzen.

Eine Restgefahr bleibt natürlich immer, aber wie sage ich so gern "No Risk, no Fun"  :Wink: 

----------

## Basti_litho

so, um mal die eigentliche frage zu beantworten:

ich setzt (nach lesen der aktuellen c't ) den "BitDefender" ein - ist für linux natürlich kostenlos  :Very Happy: .

Hat leider noch kleine schwierigkeiten/fehler - 

1. die "--update" option ist nicht aufgelistet - funktioniert aber.

2. der server der in der bdc.ini eingetragen ist funktioniert nicht - muss man ändern in "http://upgrade3.bitdefender.com/update7"

3. am besten man gibt die option "--all" an, damit er wirklich arbeitet - in der kurz hilfe ist zwar die rede von "-log all files" - was aber ein fehler ist - soll bei der nächsten version geändert werden (sollte eigentlich heißen "-scan all files (not only this extension)"

Edit: warum ich die verschiedenen viren-scanner für linux ausprobiere?:

http://www.f-prot.com/support/linux_faq/105.html

MfG

----------

## toskala

weissnich, ich benutz diverse *nixe jetz seit vielen jahren und ich hab privat seither nie antiviren software eingesetzt und bin damit auch nie schlecht gefahren.

firewall, ja auf meinem router hab ich das, was auch durchaus sinnvoll ist. aber recht simple regeln mit ipchains oder iptables genügen da vollkommen, ich meine du weisst ja in der regel wer im lan hockt (bei mir bins nur ich) und der person vertrau ich ja.

und von aussen bin ich halt recht restriktiv, wenn partout irnkwas nich klappt mach ich halt nen port auf.

aber ansonsten brauchst eigentlich keine antiviren software wenn du nich deppenhaft jeden code als root ausführst den du irnkwo findest. der gesunde menschenverstand ist unter linux noch schutz genug.

----------

## swain

ich denke auch das es nicht "so" ein thema unter unix ist..

bei meinem Mailserver setze ich f-prot für die mails ein, findet zwar nicht alles, aber ist ok und alle leute die den mitbenutzen freuen sich  :Smile:  Das sind immerhin ca. 30 Leute mit nem volumen von 2 GB per Mails im Monat (mit Mailinglisten).

Den Samba habe ich auch schon etwas "modifiziert" er nimmt nicht alles an usw. und einmal in der Nacht läuft da der f-prot drüber.

Was die Firewall angeht, von aussen kommend ist alles zu, ausnahme 443 und 80 ... alles andere is "geschlossen" auch auf icmp basis.

Warum ? Weil ich es lernen wollte für die Arbeit  :Smile: 

----------

## slyzer

Wenn Anitvirus, dann auch Open Source, wer weiss was dieses propritäre Zeugs für Türen offen hat. Ich hab vor kurzem clamav entdeckt, ist Open Source und hat auch eine sehr große Virenliste.

Ich verwende den Scanner nur in Verbindung mit meinem Mailserver (Postfix) ein, so kann gar nix erst vom Netz über Mail reinkommen.

Das clamav ebuild im Portage tree hat ein paar kleine Fehler, ich hab da ein korrigiertes in Bugzilla gesetzt: https://bugs.gentoo.org/show_bug.cgi?id=19756

cu

 slyzer

----------

## hook

viren für linux gibt's nuhr 5 bis 8 und keins ist eigentlich im netz im momment (die wahren nuhr gemacht um zu zeigen dass es viren für linux überhaupt geben kann)

wenn du UMBEDINKT ein AV program haben musst (weil du noch andere nicht *nix boxen hast auf dem selben netz, weil du paranoide bist...), dann empfele ich Sophos anti-virus (hat alle viren die es überhaupt gibt für alle platformen und rennt ganz gut auf 'ner linuxbox)

firewall? ein wort: iptables

 :Very Happy: 

----------

## moe

Ragin schrob:

 *Quote:*   

> kannst du noch die icmp Sachen sperren, um zum Beispiel für Portscanner und Pings "unsichtbar" zu bleiben. 

 

Das soll sich aber eher gegenteilig auswirken hab ich gehört. Wenn es zu einer IP/Port keinen Rechner gibt kommt eine Fehlermeldung, kommt dagegen garkeine Antwort sitzt da garantiert jmd. und sperrt ICMP.. Was der wohl zu verstecken hat?

Gruss Maurice

----------

## MasterOfMagic

 *moe wrote:*   

> Ragin schrob:
> 
>  *Quote:*   kannst du noch die icmp Sachen sperren, um zum Beispiel für Portscanner und Pings "unsichtbar" zu bleiben.  
> 
> Das soll sich aber eher gegenteilig auswirken hab ich gehört. Wenn es zu einer IP/Port keinen Rechner gibt kommt eine Fehlermeldung, kommt dagegen garkeine Antwort sitzt da garantiert jmd. und sperrt ICMP.. Was der wohl zu verstecken hat?
> ...

 

hm das kannst du mit iptables doch nett umbiegen mit nem reject und und ner custom icmp message

----------

## hook

ich sag's doch: es gibt keinen besseren firewall als gut configurierte iptables  :Very Happy: 

----------

## Ragin

 *moe wrote:*   

> Das soll sich aber eher gegenteilig auswirken hab ich gehört. Wenn es zu einer IP/Port keinen Rechner gibt kommt eine Fehlermeldung, kommt dagegen garkeine Antwort sitzt da garantiert jmd. und sperrt ICMP.. Was der wohl zu verstecken hat?
> 
> 

 

Wenn man aber keinen offiziellen Serverdienst anbietet kann die IP auch einfach nicht vergeben sein.

Bei den meisten Portscannern zum Beipspiel wird die IP als nicht vergeben erkannt und somit übergangen. Also haben die kleinen Scriptkiddys auch keine Chance überhaupt erst mit irgendwelchen Sinnlosen Attacken anzufangen, da sie nix finden.

Und die Chance, dass jemand versucht einen Privaten Rechner zu hacken ist eher gering.

Unter Windows (gerade 9x) war das ja nie ein Thema, wodurch man sich hier und da mal nen Spass erlauben konnte, aber wenns schwieriger wird, lohnt sich der Aufwand auch nicht, ausser man hat einen "driftigen Grund"...

----------

