Ключевые выводы
Антивирусное программное обеспечение для Linux существует и служит для выявления и изоляции файлов со злым умыслом посредством статического и динамического анализа. Система разрешений и дизайн Linux затрудняют заражение всей системы вредоносным ПО, что снижает потребность в антивирусном программном обеспечении на настольных компьютерах. Центральные репозитории Linux для распространения программного обеспечения, а также требование явного разрешения на обработку файлов как исполняемых файлов обеспечивают дополнительные уровни защиты от вредоносных альтернатив. Регулярные обновления и осторожное управление файлами имеют решающее значение для обеспечения безопасности в Linux.
Антивирусы для Windows уже несколько десятилетий являются крупным бизнесом, и существует целая экосистема компаний, занимающихся защитой ПК с Windows. Microsoft даже поставляет собственный антивирус — Защитник Windows — по умолчанию вместе с Windows. А вот вопрос о том, нужен ли антивирус для Linux, существует почти так же давно. В этом обсуждении много нюансов, и распространенные утверждения о том, что вирусов и антивирусного программного обеспечения для Linux просто не существует, являются ложными.
Что такое антивирус?
Антивирус отслеживает двоичные файлы и запущенные процессы на предмет вредоносного поведения.
Антивирусы — это большая тема, и не всегда ясно, чего люди могут ожидать от антивируса. Это усложняется различиями между продуктами, поскольку некоторые из них обладают уникальными функциями, а также разрастанием антивирусного программного обеспечения в последние годы (перетекающим во все виды защиты браузеров и веб-идентификаторов). Вы можете условно разделить функции антивируса на три категории.
Статический анализ
Традиционно антивирус регулярно сканирует ваш компьютер для выявления файлов с известными вредоносными намерениями или сигнатурами. Они могут сделать это, сравнивая хэши файлов или анализируя системные вызовы, включенные в двоичный файл приложения, в поисках заведомо вредоносных фрагментов кода. Как только антивирус обнаружит эти файлы, он сможет изолировать их и остановить их выполнение на вашем компьютере. Этот процесс сканирования файлов на вашем компьютере представляет собой разновидность статического анализа.
Динамический анализ
Некоторые антивирусные программы также могут анализировать работающее программное обеспечение на вашем компьютере. Это важно, поскольку современные вирусы часто сложнее, чем один двоичный файл, скрывающийся где-то в файле, и их трудно удалить, вставив себя в другие приложения, в несколько мест в оперативной памяти, в системных файлах и на диске. Этот процесс анализа работающего программного обеспечения известен как динамический анализ и выполняет действия, аналогичные статическому анализу — отслеживает системные вызовы, события и использование диска на предмет вредоносных моделей поведения, иногда называемых IOC (индикаторы компрометации). Более продвинутый антивирус, использующий эти инструменты, может не просто идентифицировать существующие вирусы, но использовать передовые системы обнаружения вторжений и модели ML/AI для обнаружения новых или случайных моделей потенциально вредоносного поведения.
Многие антивирусы включают дополнительные функции, больше предназначенные для вашей общей защиты, чем для остановки вредоносного ПО, когда оно окажется на вашем компьютере. Эти дополнительные функции могут также сканировать загрузки или веб-страницы в режиме реального времени на наличие вредоносного контента (например, веб-майнеров биткойнов) или отслеживать входящий/исходящий сетевой трафик на предмет известных шаблонов вредоносного трафика (например, атак DOS или ботнетов). Они также могут блокировать известные вредоносные IP-адреса или серверы управления и контроля на наличие вредоносного ПО, сканировать электронную почту, защищать от программ-вымогателей, предлагать VPN или защиту от кражи личных данных в Интернете или мониторинг учетных данных.
Современные вирусы трудно удалить
К сожалению, современные вирусы могут быть чрезвычайно сложными, и их практически невозможно удалить. Вот почему обычно рекомендуется регулярно создавать резервные копии файлов и восстанавливать компьютеры, зараженные вредоносным ПО, с нуля.
Это привело к снижению эффективности антивирусов и является одной из причин, почему сейчас трудно купить «чистый» антивирус. Эффективно удалить установленные вирусы очень сложно, даже невозможно. Большинство антивирусных компаний сейчас сосредоточены на перекрестных продажах других защитных продуктов в дополнение к антивирусам.
Запускаются ли вирусы в Linux?
Модель и дизайн разрешений Linux затрудняют проникновение вредоносных программ
Вирусы работают в Linux. Linux запускает программное обеспечение, такое же, как Windows и другие операционные системы, и это программное обеспечение может быть вредоносным. Однако архитектура Linux резко сокращает количество векторов атаки.
Linux защищен разрешениями
Система разрешений Linux не позволяет пользователям выполнять операции с системными файлами или файлами, принадлежащими другим пользователям, без разрешения. Даже пользователям с доступом sudo необходимо будет ввести свой пароль, прежде чем повышать свои привилегии.
Это обеспечивает более строгую границу безопасности, чем в Windows, между системными файлами и файлами пользовательского пространства, что затрудняет заражение всей системы вредоносному файлу, загруженному и открытому через почтовый клиент или веб-браузер. Граница этих разрешений также является причиной того, что запускать какие-либо службы или процессы от имени пользователя root в Linux, как правило, является плохой идеей, а те, кто это делает, могут добровольно снизить уровень своих разрешений (т. е. запуститься как пользователь root, чтобы настроить себя, а затем передать свои права другому пользователю). пользователя), чтобы защитить систему в случае взлома.
Файлы не являются исполняемыми файлами по умолчанию в Linux
Еще одним ключевым отличием, которое помогает защитить Linux, является специальное включение флага исполняемого файла. Файлы по умолчанию не являются исполняемыми в Linux, в отличие от Windows. Это означает, что файлам необходимо предоставить явное разрешение, чтобы их можно было рассматривать как исполняемый файл, что добавляет еще один уровень защиты загружаемых файлов.
Программное обеспечение упаковывается централизованно.
Еще одним важным историческим отличием, которое снизило уязвимость систем Linux к атакам, являются их центральные репозитории для программного обеспечения. Большинство дистрибутивов Linux поставляются с менеджером пакетов, например apt или yum, который обращается к официальным центральным репозиториям встроенного программного обеспечения и делает его доступным для загрузки. Эти пакеты подписываются и проверяются индивидуально, что затрудняет их скрытую замену вредоносными альтернативами в репозиториях. Это гораздо более безопасный метод распространения программного обеспечения, чем в Windows, где многие приложения и настройки просто загружаются в виде туманных файлов .exe из широкого Интернета. Большинству этих пакетов требуется разрешение UAC (контроль учетных записей пользователей) для установки — в обход уже несуществующей границы безопасности Windows в UAC (хотя вскоре это может быть улучшено с появлением команды sudo в Windows).
Стоит ли устанавливать антивирус в Linux?
Мы бы не стали заморачиваться на рабочем столе
Для использования на настольном компьютере вам, как правило, не понадобится специальный антивирус под управлением Linux. Система разрешений значительно усложняет злоумышленнику получение значительного контроля над машиной, а значительно меньшая доля рынка означает, что количество активных атак также меньше. Скорее всего, у вас не возникнет проблем без антивируса в Linux, хотя это не значит, что вам не следует принимать меры безопасности. Не предоставляйте разрешения на выполнение загруженным файлам, если они не из надежного источника, и проверяйте все сценарии, которые вы используете для загрузки программ. Кроме того, убедитесь, что ваша машина с Linux регулярно обновляется.
Linux — отличный выбор для обеспечения безопасности
В целом, Linux — отличный выбор, если вы беспокоитесь о безопасности среды рабочего стола. Вредоносному ПО, как правило, гораздо труднее скомпрометировать хорошо обслуживаемую систему Linux, чем эквивалентную машину с Windows. Обычно вам не нужно беспокоиться об установке антивируса в Linux. Регулярное обновление вашего компьютера и внимательное отношение к файлам, которые вы загружаете, запускаете и которым предоставляете разрешение, станут гораздо более эффективным средством обеспечения безопасности вашей системы.
