É seguro desativar o clamd?

Todas as outras respostas, por algum motivo, parecem supor que o clamd realmente verifica seu sistema automaticamente. Na realidade, o clamd não não verifica o seu sistema sozinho. Tudo o que ele faz é esperar que outro processo solicite a varredura do sistema e, portanto, não faça muito mais do que acelerar o procedimento "clamscan" (já que não é necessário recarregar as definições de vírus em cada varredura). Se você estiver executando um servidor de compartilhamento de mensagens ou de arquivos e quiser verificar os arquivos conforme eles são passados, isso pode ser uma otimização altamente útil. No entanto, se você é como eu e simplesmente quer ter certeza de que ninguém está tentando hospedar malware do Windows em seu servidor com uma varredura de cron inventários uma vez por dia, o clamd é amplamente desnecessário.

Eu percebo que isso é de três anos, mas vem nas primeiras entradas quando alguém pesquisa "qual é o ponto do clamd", "é seguro desligar o clamd" e coisas do tipo.

Eu definitivamente desabilitá-lo. Não por causa do uso de memória em particular, mas porque mais coisas em execução significa mais complexidade significa mais chance de falha. Em particular, executar um scanner AV significa:

• mais chance de detecções de falso positivo sinalizarem (no pior dos casos, exclusão) algo com o qual você não quer mexer;

• a possibilidade de o próprio scanner ter vulnerabilidades de segurança, potencialmente tornando-o mais vulnerável. (Muitos scanners tiveram exploits, incluindo vários para o ClamAV).

O tipo de risco à segurança que você enfrenta em um servidor web Linux (injeções SQL, comprometimento de senha de conta, rootkits customizados e assim por diante) não são o tipo de risco que um scanner como o Clam poderá detectar para você. Isso torna o AV um compromisso particularmente ruim no seu caso. Você ficaria melhor com um sistema de detecção de invasão de uso geral.

Minha opinião é que 5% é trivial. Se o seu servidor web realmente precisa de todos os 2GB de RAM e você realmente não pode poupar 5%, você deve procurar melhorias em outros lugares e não saltar no clamd. O ClamAV detectará alguns malwares que não sejam vírus, o que não está incluído na alegação de que não há vírus no Linux (ainda).

Outra consideração é o email, independentemente do volume. Embora um e-mail infectado com um vírus do Windows possa ser um não evento no Linux, você deve ter em mente que seu sistema não está funcionando no vácuo. Está ligado a todo o tipo de outros sistemas, incluindo máquinas Windows. Consequentemente, uma mensagem infectada detectada como proveniente de seu sistema pode, e provavelmente o colocará listado em uma ou mais listas de bloqueio. Se isso é uma preocupação real para você ou não apenas você pode decidir. Pessoalmente, acredito que todos os sistemas de e-mail devem verificar todas as mensagens, dentro e fora, quanto a vírus.

Você aumentará o risco de infecção, mas precisará ponderar as coisas.

Se

• você está executando o Linux,

• o servidor é para seu próprio uso

• você não está passando e-mails ou arquivos para máquinas Windows,

• você precisa dos 5% de volta devido a recursos limitados.

Em seguida, pare o clamd.

No entanto, descobri recentemente que o Joomla explora o uso de scripts entre sites executados em servidores Linux que foram encontrados pelo clamav, para que o Linux não fique imune a todos os malwares que o clamav encontrará.

Não é um tudo ou nada embora. Como um compromisso você poderia executar um clamscan no cron durante períodos de silêncio, por exemplo, 3am.

Algo como

clamscan --tempdir=/tmp/ --infected --recursive /home | mail -s "Clamscan Report" [email protected]

você vai começar. Veja a página do manual para mais detalhes.

Os riscos de segurança são uma coisa relativa. Clamd está executando o mecanismo do ClamAV em arquivos e diretórios.

Onde você está percebendo que está ocupando tanta memória? O gerenciamento de memória do Linux pode ser enganoso; às vezes é apenas dizer a você o que é alocado, mas na verdade não é residente, e o Linux geralmente é muito bom em manipular aplicativos quando eles não estão ativos. Você provavelmente verá que muito mais memória é usada no armazenamento em cache do que este aplicativo está ocupando.

Pessoalmente, eu não o mataria. É uma maneira relativamente simples de adicionar outra camada de "Peace of Mind", e se não estiver impactando significativamente o desempenho do sistema, deixe o Linux fazer o gerenciamento da memória. Se você está sofrendo muita troca de dados ou troca de discos, veja os processos de corte, mas, na verdade, talvez seja necessário considerar o aumento de memória.

O outro lado para perguntar é o quanto ele vai te machucar se o site for hackeado e você não perceber. Hora de restaurar a partir do backup, o tempo para desvendar qualquer lista negra, você tem clientes ou outros que dependem do acesso a este sistema que será afetado, reputação, etc ... é realmente vale a pena para você matar o scanner de malware em que caso? Vale a pena investir em mais memória ao invés de matar o aplicativo, quando pesado contra a alternativa? Isso deve lhe dar a resposta que você precisa.

Minha resposta, se você me perguntou pessoalmente, esta pergunta é que sim, há um risco de segurança, pois isso oferece mais uma camada de proteção e outro vetor para descobrir possíveis tentativas de exploração. É um enorme risco de segurança, eu não penso assim, contanto que você seja cuidadoso. Mas aumenta o risco, assim como não usar o cinto de segurança aumenta o risco de ferimentos ou morte em um acidente de carro, mas isso não significa que você está condenado na próxima vez que não o fizer. O risco depende de você quantificar em sua própria situação.

Se você estiver hospedando um site, o Clam pode alertá-lo antecipadamente de que um vírus do Windows está presente - algo que é provavelmente o resultado de um ataque. Gostaria de sugerir que você gostaria de remover o referido vírus o mais rápido possível, para a segurança dos visitantes do seu site (e seu próprio kit do Windows), já que o objetivo de muitos hacks é fazer com que a vítima forneça conteúdo malicioso para infectar PCs clientes.

O IDS (supondo que você se incomode em ler os logs) NÃO é uma alternativa, mas sim algo que poderia funcionar em conjunto com o host AV. O IPS também não é uma alternativa e carrega riscos de falsidade semelhantes para o AV.

Como alguém disse, você está pagando um preço baixo por RAM. Se este é o seu próprio servidor, é improvável que outro 2Gb de RAM o prenda mais do que dezenas de $.

Eu não o executo ... causa muitos problemas em um servidor de carga pesada.

O tipo de risco à segurança que você enfrenta em um servidor web Linux (injeções SQL, comprometimento de senha de conta, rootkits customizados e assim por diante) não são o tipo de risco que um scanner como o Clam poderá detectar para você. Isso torna o AV um compromisso particularmente ruim no seu caso. Você ficaria melhor com um sistema de detecção de invasão de uso geral.

ISTO

Ele não encontra nada, eu executo centenas de sites e o ClamAV é quase inútil. Eu corro um scanner separado de vez em quando e limito as opções php / chmod dirs, etc ...