Comments 48
Хоть один повод для установки антивируса на linux в студию )
Соответствие PCI DSS. Не то чтобы мы сильно хотим, но айтисеки приходят и клюют печень.
Помимо проверки файлов в аттачах и шарах, отлавливание руткитов, проверка версий ядра. Возможно антивирусный модуль ядра сможет ограничить предоставление рут прав, при внезапном 0day, модификацию файловой системы, вспомните сколько неожиданных уязвимостей было буквально недавно в железе, в стандартной библиотеке libc, Dirty COW… О сколько нам открытий чудных, готовит энтузиазма дух.
Завтра внезапно обнаружится 0-day в sshd - а вы не успели патч накатить. По идее тут-то антивирус пролезающие вредоносные процессы и должен прибивать. Правда, зная как современные антивирусы работают - особо не верится, что в такой ситуации они вас спасут.
Корпораты крупные пользуются в основном rhel, вот и не заметили
Зрители уже поняли что этого верблюда пристрелят и похоронят.
Но тут особо нетерпеливые с галерки интересуются - кто же тот новый герой в сверкающих латах, ради которого расчищают поляну с таким размахом и спецэффектами?
А зачем специалисты по Линус настрочили обновление серверов в любое время?
О сколько раз твердили миру…. Сначала накатываете на тестовые/пре-прод серверы, смотрите что оно хотя-бы «вроде работает», а потом на прод ставите.
Ладно винда, там особо не развернёшься, MS что хочет то и делает, но под Linux-то?
| «Модель Crowdstrike выглядит так: «Мы устанавливаем программное обеспечение на ваши машины в любое время, когда захотим, независимо от того, срочно оно или нет, без его тестирования»
Это сам антивирь обновляется когда захочет, без какой либо возможности это настроить. И не важно на какой ОС он работает, модель обновления для всех одна.
Ну он же не через мировой эфир обновляется. Если других настроек нет, на это "когда захочет" можно повлиять открытием-закрытием ему доступа к серверам с обновлением.
Так себе решение, конечно, но на безрыбье...
Если источник свежих сигнатур и обновлений один, то вот вообще не вариант.
Это не антивирус, это EDR. Он всё время льёт именно в сеть данные с машины.
Никаких локальных он-прем серверов.
https://www.crowdstrike.com/products/faq/
No, CrowdStrike Falcon® delivers next-generation endpoint protection software via the cloud. A key element of “next gen” is reducing overhead, friction and cost in protecting your environment. There is no on-premises equipment to be maintained, managed or updated. The Falcon sensor is unobtrusive in terms of endpoint system resources and updates are seamless, requiring no re-boots. The Falcon web-based management console provides an intuitive and informative view of your complete environment.
MS что хочет то и делает
Ага, например обновляет сторонний антивирус с его серверов по его каналам, коварные какие, понимаешь!
Ну вот у меня Windows обновляет прошивку ноутбука стороннего производителя. Сервера может и свои, но какая разница - прошивка-то тоже сторонняя. Я каждый раз боюсь, что ноутбук превратится в кирпич.
Так отключите. И в любом случае я так и не понял, какое отношение MS имеют к тому, что стороннее ПО, обновлявшееся по собственным механизмам, завалило Windows, кроме того, что Windows - продукт MS. Напороли бы с модулем ядра для Linux (у них есть продукт и для него) - вы бы начали винить, скажем, Red Hat?
У знакомого в соседней организации так окирпичился ноутбук (Lenovo? - точно не помню производителя), Windows LTSB предложила обновление BIOS через свой канал обновления и ноут благополучно не загрузился, только моргал светодиодами при включении. Курение форумов, мануалов и советов по восстановлению ничего не дало и ноут отдали в мастерскую, где его восстановили.
Хотя, пара случаев обновления BIOS через такой способ прошли вполне нормально.
ps. Ноутбук восстановили через прищепку с отпайкой микросхемы биоса, к сожалению у нас паяльной станции до сих пор нет.
доверить винде обновлять биос... мсье знает толк...
Это была win 10 и обновление bios прилетело вместе с пачкой обновлений что-то там со статусом "установить экстренно".
Винда не спрашивает моего мнения. По крайней мере в стандартном состоянии нет возможности выбрать какие обновления ставить, какие нет.
Спрашивает касательно драйверов и прошивок устройств
Мне, например, ни разу не ставила сама ни обновлений BIOS (а они есть), ни драйверов.
Только предлагала на мое усмотрение:
Мне 10-ка pro без спроса и во время т.н. активных часов (время, когда система не ставит несрочные апдейты) обновила дрова видеокарты nvidia прямо в тот момент, когда я смотрел видосики какой-то игрульки в стиме.
А у меня никогда такого не было (у меня дома две машины с 10 Pro - десктоп и ноутбук), и все дрова я ставлю вручную даже не через механизмы 10, а через, например, GeForce Experience или GCC. Потому что я сразу после установки настроил поведение системы так, как нужно мне.
Я тоже ставлю все дрова вручную. Но есть нюансы (ц).
А вот за эту настройку благодарю:
Hidden text
Знал бы, что она именно про дрова, а не про какие-то "приложения", — выключил бы.
Кстати, в списке Optional updates у меня годами висят 4 майкрософтовских обновления сторонних драйверов, которые я не собираюсь применять и которые винда сама тоже не раскатывает, а только предлагает. Так что как всё это вместе соотносится между собой — загадка.
Спрашивает касательно драйверов и прошивок устройств
У меня здесь выбрано "нет". Но прошивки всё равно качаются.
Так вроде прищепка нужна для того, чтобы не отпаивать микросхему?
О, мне так Леново сделало на Ubuntu. Не окирпичило, откатилось, но теперь все обновления прошивки встряли уже года два. Есть официальная рекомендация как победить, которая начинается с того что нужна Windows. :)
Да как бы винда в домене прекрасно настраивается на что угодно, от установки обновлений со своего сервера до игнорирования всего этого вообще. Но антивирусы не используют канал обновлений ОС, а загружают свои модули сами и делают это часто (вплоть до нескольких раз в день). Тот же каспер, например, заявляет об устаревших базах спустя сутки после их выхода, вывешивая предупреждение, что компьютер под угрозой.
При этом, нормативные документы по ИБ требуют поддерживать антивирус в обновлённом состоянии, и даже если у админов есть техническая возможность откладывать обновление (не все антивирусы вообще позволяют такое настроить), они не будут этого делать. За иностранные компании не скажу, но у меня на работе запрещено эксплуатировать компьютеры, на которых антивирус не обновлялся более трёх дней, и если обновления по какой-то причине не прошли, вход с пользовательских аккаунтов блокируется и надо звать ИБшников, чтобы они чинили антивирь.
в такой ситуации с моей точки зрения виноваты глупые ИБшники, которые не слушая админов врубают автоапдейты такого уровня...
реально единственный адекватный и правильный вариант - это вначале тест обнов, потом постепенное обновление всех нужных машин "кусками"
если ИБшники этого не понимают или не хотят так делать - нафиг их, а то ответственности за ИТ они не несут, а диктовать что и как делать - так в первых рядах...
такой ситуации с моей точки зрения виноваты глупые ИБшники
ИБшники не глупые. Они прекрасно понимают, что если они такое безобразие разрешат, им прилетит по шапке.
Вот, думаю, проблема в том, что обратные ситуации никто в деньгах не подсчитывает. Что из-за инструкций ИБ простоев было ориентировочно на Х млн руб, снижение производительности пользователей на Y млн руб, невозможность некоторых фич на Z млн руб. В итоге сейчас получается система, которая оптимизируется только в одну сторону, не учитывая затраты.
Каждый "винтик" в системе работает на свой личный рейтинг, который определяется действующими правилами, утвержденными "самыми главными".
У безопасников есть свои утвержденные правила и вытекающие из этих правил интересы, которым (и правилам, и интересам) они следуют. И им по барабану, принесет это компании убыток или прибыль. Безопасники некомпетентны делать соответствующие расчеты. То же можно сказать и про остальных сотрудников компании, весьма часто включая самые высокие слои управленцев. Другой вопрос, что некоторые из этих других могут и посчитать, но часто это не в их интересах со всеми вытекающими.
А что мешает под виндой сделать тестовую группу рабочих машин/серверов? Насколько я знаю, это нормальная практика, если админы более-менее грамотные.
А что мешает под виндой сделать тестовую группу рабочих машин/серверов?
Как и большинству челочеческих начинаний — жаба. Жаба never changes.
на он prem linux заказчика стоял CrowdStrike, примерно 2 месяца раза 2 в неделю стабильно сервера висли. Благо что это были тестовые, но разработку замедляло, потому что просто так взять и перезагрузить прав не было, а иначе проблема не решалась
Когда-то типичная для Винды практика решения проблем методом "выйти - войти" даже породила анекдоты, что это универсальный способ починки всего на свете, даже заглохшего автомобиля. Но теперь Майкрософт пошел еще дальше:
Эксперты из Microsoft пояснили СМИ, что для исправления «синего экран смерти» (BSOD) из-за CrowdStrike нужно просто перезагрузить компьютер 15 раз подряд.
MS нигде не рекомендовала чего-то перезагружать по 15 раз. Они рекомендовали просто перезагрузить для входа в safe boot или отката. Кто-то из клиентов, использующих Azure с виртуалками, сообщил про 15 раз (причем непонятно, реально там 15 или просто было сказано в духе "сорок раз перезагрузил"). Журналажники потащили. Что характерно, опровержение по вашей же ссылке в комментариях, как и ссылка на оригинальное сообщение MS, но вы радостно улюлюкая продолжаете распространять журналажную утку. Браво.
CrowdStrike сломал Debian и Rocky Linux в апреле и мае, но никто не заметил, а ИБ-разработчики не торопились с патчем