O Linux realmente precisa do Antivírus (além da varredura de arquivo hospedado)

Sim, é certamente um pedido razoável. O dia em que você nega que sua infraestrutura é vulnerável a ameaças de vírus é o dia em que você perdeu muita credibilidade.

Você precisa ponderar as ramificações (fator de incômodo, possíveis problemas de desempenho, sobrecarga de manutenção) da execução do AV com o valor deste contrato. Se uma empresa estiver listando o AV como um requisito, é provável que outros façam o mesmo no futuro. Se você já estiver executando, estará bem posicionado para conquistar seus negócios.

A probabilidade de um servidor Linux ser infectado por um vírus é muito baixa, não zero. Se isso é uma preocupação para o seu auditor / cliente / qualquer pessoa, então você deve entender isso e determinar se o negócio deles é importante para você. Se o seu negócio vale mais do que os ciclos de CPU e E / S de disco necessários para a digitalização, instale o AV. Se não for, então você deve explicar isso ao seu cliente e pedir-lhe para trazer seu contrato em outro lugar.

Não é uma afirmação irracional, especialmente se esse servidor estiver hospedando arquivos em clientes Windows. Ao instalar o ClamAV (ou qualquer outro), você está protegendo os clientes Windows que acessam seu servidor.

Acho que precisamos colocar o termo "vírus" no contexto.

Se você está falando sobre os binários auto-replicantes que flutuam em torno das redes Windows, então com certeza, a probabilidade de o Linux obter um desses é muito baixa.

Se estamos falando sobre o assunto mais amplo do software malicioso, então o Linux é tudo, menos imune. Servidores Linux não corrigidos e mal configurados são explorados o tempo todo e transformados em bot herders, ou usados para outros fins nefastos. Fingir que essas ameaças não existem é enterrar a cabeça proverbial na areia.

Eu nunca executei um software antivírus em um servidor Linux, pois gosto de pensar que o patch regular e a configuração sã protegerão meus servidores contra 99,99% das ameaças. No entanto, eu certamente consideraria isso neste caso, desde que o software fosse realmente capaz de detectar o tipo de software malicioso que afeta os servidores Linux e não fosse uma simples porta de um conjunto Windows AV.

Não faria mal algum instalar um pacote AV, especialmente porque poderia significar a diferença entre ganhar e perder um contrato.

Talvez mais do que um pacote AV, você precisa considerar um conjunto de detecção de rootkit e o CRON, uma verificação para executar em intervalos regulares. Esteja preparado para falsos positivos também - algumas suítes são mais propensas a falsos positivos do que outras, e até você se acostumar com essas anomalias, pode ser desconcertante.

Peça que eles definam exatamente o conceito de "antivírus" . Com que tipo de ameaças eles estão preocupados?

Se eles não puderem responder (talvez porque eles realmente não tenham ideia do que estão falando e estejam apenas preenchendo uma lista de verificação), pergunte a eles uma lista de programas antivírus aprovados.

Se o requisito for apenas:

You shall have an AV program installed, period.

eles provavelmente não têm ideia do que estão falando. Basta perguntar a eles o que eles esperam que você faça exatamente .

Se o requisito for:

You should regularly check all installed programs (binaries and scripts) for new programs, altered files, or any other sign of pathological file content.

então significa que você pode não precisar do proverbial "AV", e que um script para verificar a integridade do servidor será adequado, mais preciso, mais confiável: nenhum falso positivo se você souber quais arquivos são modificados quando seu servidor está sendo executado normalmente e se você puder soletrar os requisitos de consistência dos arquivos modificados.

Projetar um script verificar a integridade, ou até mesmo configurar alguma ferramenta existente para que ela entenda o específico do seu servidor exigirá trabalho adicional (os programas antivírus são mais compre-depois-instale-depois-esqueça