웹 서버에 바이러스 백신을 설치하십시오. 이것이 좋은 생각입니까?


14

방금 Windows 2008 Standard Edition의 전용 서버를 받았으며 웹 응용 프로그램을 실행하기 위해 필요한 구성을 수행하려고합니다.

웹 서버에 바이러스 백신을 설치하는 것이 좋은 생각입니까? 앱에서 사용자는 이미지를 제외한 파일을 업로드 할 수 없으며 서버에 저장되기 전에 앱 코드에서 이미지인지 확인했습니다. 앱 성능에 영향을 미치거나 앱에 문제를 일으키지 않기 위해 바이러스 백신을 설치하지 않는 것이 좋습니다. 이렇게하면 아무것도 놓칠 수 있습니까?

감사


저장하기 전에 파일이 앱 코드에서 이미지인지 확인한다고 말하면 업로드 한 파일이 앱이 표시되기 전에 임시 디렉토리에 있다는 것을 의미합니까? 어떤 경우에는 확인 하기 전에 서버에 이미 있습니다! 어떤 웹 서버를 사용하고 있습니까?
Steve Folly

실제로 이미지는 메모리에서 확인되며 임시 폴더에 저장되지 않습니다. 앱에서 확인을 통과 한 경우에만 디스크에 저장됩니다. 저는 IIS를 사용하고 있습니다. ASP.NET 앱입니다.
Mee

또한 파일을 임시 폴더에 저장했지만 실행하지 않아도 문제가 발생하지 않습니다. 그러나 이것은 다시 사실이 아닙니다.
Mee

답변:


18

잘 운영되는 웹 서버는 IMHO에 상업용 안티 바이러스 (AV) 패키지가 설치되어 있지 않아야합니다. AV 패키지가 최적화 된 Office 매크로 바이러스 및 대량 시장 트로이 목마는 웹 서버의 문제와 잘 맞지 않습니다.

당신이해야 할 일은 :

  1. 입력 유효성 검사에 절대적으로 집착하십시오. 예 : 사용자가 사이트에 악성 콘텐츠 (바이러스, SQL 삽입 등)를 업로드 할 수 없습니다. 크로스 사이트 스크립팅 공격 등에 취약하지 않습니다.
  2. 최신 보안 업데이트로 서버를 최신 상태로 유지하고 모범 사례에 따라 구성하십시오. Microsoft의 보안 툴킷 과 같은 것을보십시오 .
  3. 별도의 방화벽이 있습니다. 침입과 관련하여 많은 도움이되지는 않지만 잘못 구성된 네트워크 서비스에 대한 또 다른 방어 계층을 추가하고 간단한 DOS 공격에 도움이됩니다. 또한 원격 관리 가능성 등을 잠그는 데 많은 도움이됩니다.
  4. 설치 호스트 침입 탐지 시스템 유서 깊은의 라인을 따라, 서버에 (H-IDS)를 트립 와이어 .

용어에 대해 많은 혼란이 있으며, 단어는 종종 여러 가지 방식으로 사용됩니다. 분명히, 여기서 H-IDS의 의미는 다음과 같습니다.

  • 컴퓨터 서비스
  • 컴퓨터의 모든 실행 파일을 지속적으로 체크섬합니다.
  • 실행 파일이 추가 될 때마다 경고가 발생 하거나 (허가없이) 수정합니다.

실제로 좋은 H-IDS는 파일 권한 모니터링, 레지스트리 액세스 등과 같은 것보다 조금 더 많은 것을 수행하지만 위의 내용은 요점을 얻습니다.

호스트 침입 탐지 시스템은 제대로 설정되지 않으면 많은 잘못된 오류가 발생할 수 있기 때문에 일부 구성이 필요합니다. 그러나 일단 가동되면 AV 패키지보다 더 많은 침입이 발생합니다. 특히 H-IDS는 상업용 AV 패키지가 감지하지 못하는 독특한 해커 백도어를 감지해야합니다.

H-IDS는 서버 부하도 가벼워 지지만 두 번째 이점입니다. 주요 이점은 더 나은 탐지 속도입니다.

이제 자원이 제한되어 있다면; 상업용 AV 패키지와 아무것도하지 않는 경우 AV를 설치합니다 . 그러나 이상적이지 않다는 것을 알아야합니다.


감사. AV 설치를 권장하지는 않지만 웹 서버를 관리하는 것은 이번이 처음인데 누락 된 것이 있을까 걱정이되었습니다. AV 없이는 더 나아질 것 같아요. 서버에서 실행하는 것에 더주의를 기울일 것입니다.
Mee

1

때에 따라 다르지. 알 수없는 코드를 실행하지 않으면 불필요 할 수 있습니다.

바이러스에 감염된 파일이 있으면 파일 자체는 하드 드라이브에있는 동안 무해합니다. 일단 실행하면 해 롭습니다. 서버에서 실행되는 모든 것을 제어합니까?

약간의 변형은 파일 업로드입니다. 그들은 당신의 서버에 해를 끼치 지 않습니다-내가 조작 한 이미지 또는 트로이 목마 감염 .exe를 업로드하면 아무 것도 발생하지 않습니다 (실행하지 않으면). 그러나 다른 사람이 감염된 파일을 다운로드하면 (또는 조작 된 이미지가 페이지에서 사용되는 경우) PC가 감염 될 수 있습니다.

귀하의 사이트는 사용자가 업로드 할 수있는 경우 아무것도 표시하거나 다른 사용자가 다운로드되는 웹 서버에 바이러스 스캐너를 설치하거나 모든 파일을 검색하여 네트워크에 "바이러스 검색 서버"의 일종이 중 하나에, 당신은 할 수 있습니다.

세 번째 옵션은 안티 바이러스를 설치하지만 사용량이 적을 때 예약 검색을 위해 온 액세스 검색을 비활성화하는 것입니다.

이 답을 180도 돌리려면 보통 미안보다 안전하는 것이 좋습니다. 웹 서버에서 작업하는 경우 실수로 잘못된 파일을 클릭하여 혼란을 겪기 쉽습니다. 물론, 파일을 건드리지 않고 RDP를 통해 무언가를 수행하기 위해 천 번에 연결할 수 있지만 1001 번째는 실수로 해당 exe를 실행하고 후회하게됩니다. 인터넷에서 코드를 작성)하고 전체 네트워크에서 집중적 인 법의학을 수행해야합니다.


AV 없이도 할 수있는 또 다른 훌륭한 답변입니다.
Mee

1

그것이 Windows 기반이라면 당신이 말한 것입니다. 또한 일부 형태의 호스트 침입 탐지 (서버에서 변경되는 파일을 모니터링 / 오디오하고 변경 사항을 경고하는 프로그램)를 찾습니다.

그냥 있기 때문에 당신이 서버의 파일을 변경하지 않는 원격 서버에서 변경 파일에 다른 사람을 수있는 버퍼 오버 플로우 또는 취약점이없는 것은 아닙니다.

취약점이있을 경우, 익스플로잇이 있다는 사실은 일반적으로 발견과 수정 사이의 시간 내에 알려져 있으며, 수정을 받고 적용 할 때까지 시간이 있습니다. 당시에는 일반적으로 사용 가능한 자동화 된 형태의 공격이 있으며 스크립트 키즈는 봇 네트워크를 확장하기 위해이를 실행하고 있습니다.

새로운 악성 코드 생성, 악성 코드 배포, 샘플이 AV 회사로 이동, AV 회사 분석, AV 회사에서 새 서명 출시, 서명 업데이트, "안전", 반복주기 이후의 AV에도 영향을 미칩니다. "접종"하기 전에 자동으로 확산되는 창이 여전히 있습니다.

이상적으로는 TripWire 또는 유사한 기능과 같이 파일 변경을 확인하고 경고하는 것을 실행하고 시스템이 손상되면 로그가 변경되지 않도록 사용과 분리 된 다른 컴퓨터에 로그를 보관할 수 있습니다. 문제는 파일이 새 파일 또는 변경된 파일로 탐지되면 이미 감염되었으며 감염된 경우 나 침입자가 컴퓨터에 다른 변경 사항이 없음을 믿기에는 너무 늦다는 것입니다. 누군가 시스템을 해독 한 경우 다른 바이너리를 변경했을 수 있습니다.

그런 다음 체크섬과 호스트 침입 로그 및 루트킷 및 대체 데이터 스트림 파일을 포함하여 모든 것을 정리 한 자신의 기술을 신뢰할 수 있습니까? 또는 침입 로그가 최소한 언제 발생했는지 알려 주어야하므로 "모범 사례"를 수행하고 백업에서 데이터를 지우고 복원합니까?

서비스를 실행하는 인터넷에 연결된 모든 시스템은 잠재적으로 악용 될 수 있습니다. 시스템이 인터넷에 연결되어 있지만 실제로는 서비스를 실행하지 않는 경우 가장 안전하다고 말할 수 있습니다. 웹 서버는이 범주에 속하지 않습니다 :-)


0

예, 항상 요 수퍼 유저의 답변 인용 :

인터넷에 연결되어있는 컴퓨터에 연결되어 있다면 절대 가능합니다.

사용 가능한 많은 옵션이 있습니다. 나는 개인적으로 McAfee 나 Norton을 좋아하지 않지만, 저기 있습니다. 도 있습니다 AVG , F- 시큐어 , ClamAV를 (는 Win32 포트가 더 이상 활성화되어 있지만), 그리고 나는 확실히 수백 더 해요 :)

Microsoft는 하나의 작업도 진행 중입니다. 베타 버전이 아직 베타 버전인지는 모르겠지만 존재합니다.

@ J Pablo가 언급 한 ClamWin .


2
귀하의 답변에 감사하지만 .. 이것은 Windows 서버가 아니며 웹 서버이므로 성능이 가장 중요합니다. 안티 바이러스 소프트웨어는 액세스 한 모든 파일을 검사합니다. 방문자가 요청한 모든 파일 안티 바이러스를 설치해야하는 적절한 이유가 필요하며 일반적인 컴퓨터 보안 지침 외에 성능에 문제가 발생할 위험이 있습니다.

제대로 구성된 경우 액세스 한 모든 파일을 검사하지는 않으며 파일이 제공 될 때 액세스 할 때 파일을 검사 할 이유가 없습니다.
warren

1
@ unknown-Performance가 웹 서버에서 가장 중요합니까? 참고로, 사용 가능한 오버 헤드가 너무 낮아서 파일 스캔을위한 몇 가지 CPU주기를 압박하면 네트워크를 통해 최종 사용자의 경험에 영향을 줄 경우 응용 프로그램 설정 방법에 다른 문제가있을 수 있습니다 쪽으로.
바트 실버 스트림

@ warren, 액세스 스캔에서 원하는 디렉토리를 제외 할 수 있다는 것을 알고 있지만,이 경우 AV를 처음 설치하는 시점은 무엇입니까? 사용자가 스캔하지 않고 파일을 계속 업로드 할 수 있다면 서버에서 AV를 실행할 필요가 없습니다.
Mee

2
바이러스 백신 소프트웨어와 관련하여 @Bart는 파일 스캔에 몇 번의 CPU 사이클이 걸리므로 사용자 만 사용하는 개인용 컴퓨터의 속도가 느려지므로 수백 또는 수천 명의 사람들이 액세스하는 웹 서버에 대해 어떻게 생각하십니까?
Mee
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.