Virenscanner unter Linux

Nepenthes

Ensign
Registriert
Jan. 2008
Beiträge
168
Hallo Zusammen!
Ich habe jetzt mal Linux Nobara auf einem alten Rechner installiert, damit ich mich mal eins zu eins mit Linux anfreunden kann, und nicht nur in Virtualbox.
Das Ziel wäre eigentlich das ich Windows so in 1-2 Jahre nicht mehr bnötige.
Das heisst natürlich auch das nach dem angewöhnen E-Banking und co. darüber ausgeführt werden.
Meine Frage wäre jetzt, was für ein Schutzprogramm benutzt Ihr?
Ich drehe mich im Moment auf Google im Kreis, ich finde zwar immer wieder etwas, aber die meisten Beiträge sind schon einige Jahre alt, und somit nicht mehr für die heutige Zeit passend.
Als Anfänger ist es fast unmöglich festzustellen ob man Safe ist, deshalb möchte ich ein Antivirenprogramm haben, auch wenn es immer wieder heisst dass, das unter Linux nicht notwendig ist.
Vielen Dank schon mal für Eure Antworten.
 
Nepenthes schrieb:
Meine Frage wäre jetzt, was für ein Schutzprogramm benutzt Ihr?
Aktuell nutze ich Linux headless (Ubuntu, Debian, Kalilinux) als VMs in Proxmox -> ohne einen Virenscanner.

Sonst vielleicht ClaimAV. Aber mit dem Thema hatte ich bisher nicht den Beard sich mit zu beschäftigen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: GTrash81
Es gibt ClamAV, von anderen Virenscannern für Linux habe ich noch nicht gehört.
 
Virenscanner unter Linux werden normalerweise nur genutzt, um verbundene Windows-Clients zu schützen (wenn der Linux-Rechner z.B. ein Mail-Server o.Ä. ist). ubuntuuser schreibt zu ClamAV:
ClamAV eignet sich aber trotzdem sehr gut für heterogene Umgebungen (z.B. parallele Installationen von GNU/Linux und Windows, in denen Dateien unter GNU/Linux heruntergeladen und geprüft werden, bevor sie an Windows "weitergereicht" werden), zum Prüfen von Mailanhängen oder zum Einsatz in Kombination mit Dritt-Programmen wie z.B. Samba oder einem Mail-Server.
Für das Linux-System selbst ist solche Software eher überflüssig.
 
  • Gefällt mir
Reaktionen: Pummeluff, Kuristina und Lotsenbruder
Von Trendmicro gab (oder gibt?) es einen AV für Linux. Kann aber sein, dass es den aber nur für Firmenumgebungen gibt.

+1 für ClamAV
 
Ach doch.
Es gibt schon Hersteller die Produkte für Linux anbieten. Kaspersky z.B. oder TrendMicro.

ClamAV allein ist sinnfrei. Scannt nicht on-demand und nur lokale Dateien. Nutzbar also wenn Dateien von/nach Windows.

Ansonsten auch bei Linux ist das Absichern des Browsers mehr im Vordergrund.
 
  • Gefällt mir
Reaktionen: GTrash81
gegen wen oder was willst du dich denn schützen?!?

"früher" war das ganz einfach, da kamen Programme auf Diskette (später CD und DVD) ins Haus und ein Virenscanner hat die Dateien Stück für Stück stumpf mit bekannten, schädlichen Binär-Codes verglichen.

heute ist das ja nicht mehr so einfach, da kommen "mehr oder weniger" ausführbare Daten auf den Rechner. Das kann auch ein Bild sein, das beim Betrachten mit dem Viewer XYZ (der vielleicht standardmäßig als externes Program im Browser so eingestellt ist) einen Speicherüberlauf provoziert und dadurch ermöglicht, dass Code ausgeführt wird, der wieder etwas anstellt, um an mehr Rechte zu kommen.

was soll ein Virenscanner dagegen tun? Der kommt i.d.R. gar nicht an die Daten heran.
der erste Schutz ist ein aktueller Browser.
der zweite die besuchten Web-Seiten, wenn du dir sicher bist, dass du per HTTPS mit deiner Bank verbunden bist, dann muss ja schon die Web-Seite der Bank gehackt worden sein, wenn sie dir Viren schicken will. Das ist bei der Bank eher unwahrscheinlich, bei den tausend (externen) Werbebannern gängiger Web-Seiten ist das natürlich etwas anderes.

sinnfrei bis sogar gefährlich halte ich, sich einen auf Linux laufenden Virenscanner zu holen, der nur nach Windows Viren sucht. Ok, im ersten Schritt ist das nur sinnfrei, nur wenn man sich dann einbildet, man hätte etwas für den Schutz getan, dann fängt es an gefährlich zu werden.

ich weiß jetzt gar nicht, wie es um SELinux bei den gängigen Distributionen steht und wie gut da inzwischen die Pattern gepflegt werden? Damit kann man dann verhindern, dass Programme System Calls aufrufen, die sie eigentlich nicht benötigen.
 
Nepenthes schrieb:
Meine Frage wäre jetzt, was für ein Schutzprogramm benutzt Ihr?
Mein Schutzprogramm heißt Backup, aktuellste Software, Firewall, Container und Isolation. Es gibt keine Notwendigkeit für einen (zusätzlichen) Virenscanner.
 
  • Gefällt mir
Reaktionen: dasBaum_CH
BFF schrieb:
Es gibt schon Hersteller die Produkte für Linux anbieten. Kaspersky z.B. oder TrendMicro.
Ist eben immer auch ne Frage, wie gut die sind. Vermutlich kann man das nicht mit deren Windows-Pendants vergleichen. Was Windows angeht, so existieren halt etablierte Strukturen und Techniken, um Bedrohungen entsprechend zu analysieren etc.
Wenn jetzt eine Schadsoftware auftauchen würde, die eine signifikante Bedrohung für Linux-Rechner da ist, ist halt die Frage, ob dann entsprechende Erkennungssignaturen dann auch zeitnah ausgerollt werden.

BFF schrieb:
ClamAV allein ist sinnfrei. Scannt nicht on-demand und nur lokale Dateien.
Was heißt für Dich on-demand?
Und was ist das Problem, das es nur auf lokale Dateien beschränkt ist?

Mickey Mouse schrieb:
Damit kann man dann verhindern, dass Programme System Calls aufrufen, die sie eigentlich nicht benötigen.
Üblicherweise macht man das nicht mit SELinux, sondern mit seccomp-bpf. SELinux ist in erster Linie Mandatory Access Control.

Mickey Mouse schrieb:
Der kommt i.d.R. gar nicht an die Daten heran.
der erste Schutz ist ein aktueller Browser.
Was man zusätzlich noch machen kann ist, fürs Onlinebanking und andere sensible Dinge eine extra Browser-Instanz zu verwenden. Falls dann doch mal von einer bösen Seite der Browser übernommen wurde, kann der nicht so ohne Weiteres beim Banking Schaden anrichten.
 
andy_m4 schrieb:
Üblicherweise macht man das nicht mit SELinux, sondern mit seccomp-bpf. SELinux ist in erster Linie Mandatory Access Control.
naja, "üblicherweise" würde ich nicht gerade sagen...
ich meinte mit SELinux SELinux selber und z.B. App-Armor & Co. und das wird üblicherweise eingesetzt.

andy_m4 schrieb:
Was man zusätzlich noch machen kann ist, fürs Onlinebanking und andere sensible Dinge eine extra Browser-Instanz zu verwenden. Falls dann doch mal von einer bösen Seite der Browser übernommen wurde, kann der nicht so ohne Weiteres beim Banking Schaden anrichten.
sehr halbherzig, dann kann man lieber gleich eine separate Sandbox, statt nur eine "andere Browser Instanz", verwenden.
 
Es stellt sich mir die Frage, was der TE will.
Mit der c't Desinfect gibt es ein paar Scanner für Linux, die aber mit ihren Signaturen Jagd auf Window-Schädlinge machen (z.b. auch auf Sambe-Freigaben für die Windows-Welt) und nicht gedacht sind, ein Linux System zu scannen.

Wenn ein Scanner gesucht ist, der FÜR Linux gedacht ist, dann fällt mir auch nur ClamAV ein.
 
Nepenthes schrieb:
Meine Frage wäre jetzt, was für ein Schutzprogramm benutzt Ihr?

Unter Linux überhaupt keins, weil unnötig.

Für Unternehmen, die Compliance-Vorgaben erfüllen müssen, gibt es entsprechende Enterprise Software, z.B. von Trendmicro. Die kannst du mit Geld bewerfen, wenn es dir das gute Gefühl wert ist.
 
  • Gefällt mir
Reaktionen: madmax2010
alle paar Tage dnf upgrade --refresh
Dazu Firefox+ ublock origin
und der Virenscanner wird obsolet

BFF schrieb:
Es gibt schon Hersteller die Produkte für Linux anbieten. Kaspersky z.B. oder TrendMicro.
Welcher der beiden hat es nochmal geschafft versehentlich WIndows Schadsoftware unter Linux lauffähig zu bekommen?

Von Compliance dingen abgesehen, richten diese Tools mehr Schaden als Nutzen an. Einfach ignorieren, dass es sie gibt und glücklich sein
 
  • Gefällt mir
Reaktionen: Lotsenbruder
Ich denke auch bei Linux ist es ein Sicherheitskonzept... selinux/apparmor+user/groups/sudo+iptables+fail2ban+ssh-key-login usw usf. je nach aufgabe des systems gibt es verschiedene sicherheitskomponenten. Das ist auch ein Teil des Vertrauens in "deinen" Distributor, das der das OOB hinbekommt.
 
Vielleicht noch ein paar relevante Vergleiche, warum das Thema Virenscanner bei Linux anders einzustufen ist.
Denn auch bei Windows hat der klassische Virenscanner nicht mehr die selbe Relevanz wie noch vor 20 Jahren.

Die erste und wichtigste Frage ist, wie kommt überhaupt ausführbarer Code auf das System.

In Windows ist es Gang und Gebe sich ausführbare (idr. exe) Dateien aus allen möglichen Quellen zu beziehen. Downloads aus dem Internet. Installer von USB-Sticks von Freunden und Bekannten.

Bei Linux beziehen die normalen Desktop-Nutzer eigentlich ihre komplette Software aus dem Repositorien der Distribution plus ggf. 2 drei weitere aber ebenso Verwaltete Quellen wie Flatpack oder Snap.

Sprich bei Linux kommt die Software bereits aus einer Quelle der man nun mal vertrauen muss, aber diese Quelle hat dank überwiegend openSource-Software auch die Möglichkeit dieses Vertrauen zu rechtfertigen.
Das was nicht openSource in den Repositorys ist, ist wenig, und wird trotzdem vom Bekannten Herstellern direkt bezogen und eingebunden.

Schadsoftware über Dateianhänge und umniöse Downloads sind somit eher ungewöhnlich. Dennoch kann man mit Linux wie mit Windows natürlich trotzdem Schadsoftware erhalten.
Sei es beim Herunterladen und ausführen von Skripten, Installationen von GitHub-Quellen es gibt viele Schadquellen, nur
  1. muss man solche Dateien in Linux erst explizit ausführbar machen.

  2. selbst danach fragen solche Dateien in Linux wie Windows (seit Vista mit UAC) nach den Privilegien um kritische Operationen ausführen zu können.

  3. Würden solche Schadcodes in der Regel auf beiden OS nicht durch Virenscanner gefunden werden können. Diese arbeiten ja damit bekannte Virensignaturen (Codemuster) in bereits Compilierter Software zu identifizieren. Virenscanner Adressierten damit explizit das Windows Problem, dass Ausführbarer Code vom Benutzer selbst auf das System geladen wurde, einfach weil dies bei Windows die ohnehin gängige Methode war Software zu installieren.
In der Hinsicht hat Arch mit dem AUR ein vergleichbares Problem, einfach weil es hier eine Softwarequelle gibt, die nur bedingt Vertrauensvoll ist. Mit dem Unterschied, dass es 100% openSource ist und man an sich angehalten ist mindestens die pkgbuild Files zu Prüfen, die offenlegen welche Dateien und Verzeichnisse bei Installation angefasst werden. Wer das gar nicht macht, und auch keine Bewertungen prüft hat schon ein erhebliches Risiko. Ob es Virenscanner gibt, die dagegen helfen würden ist aber Fragwürdig. Da es nur diese eine Quelle ist würde bei jedem bekanntwerden von Schadcode die Quelle bereinigt werden und nicht erst die Betroffenen Zielsysteme.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: P. Schloenzke
Mein Unternehmen fordert auch als Voraussetzung für "Homeoffice" am eigenen PC, dass man unterschreibt einen Virenscanner zu nutzen und diesen angibt. Bereitgestellt bekommt man nichts. Das war der einzige Grund warum ich mir ClamAV überlegt habe, auch wenn der in der Praxis eher nutzlos wäre.
Muss ich befürchten, dass ich schon durch die Installation eine Sicherheitslücke aufmache?
 
Zurück
Oben