Действительно ли безопасно отключить clamd?

Я определенно отключил бы его. Не из-за использования памяти особенно, но потому что больше выполнения материала означает, больше сложности означает больше шанса отказа. В частности, выполняя средство сканера AV:

• больше шанса ложно-положительной установки флага обнаружений (в худшем случае, удаляя) что-то Вы не хотите смешанный с;

• возможность, что сам сканер имеет уязвимости системы обеспечения безопасности, потенциально делая Вас более уязвимыми. (Много сканеров имели использование, включая несколько для ClamAV.)

Вид угроз безопасности, с которыми Вы сталкиваетесь на веб-сервере Linux (Внедрения SQL, компромисс пароля учетной записи, произведенные по заказу руткиты и так далее) не является видом рисков, что сканер как Моллюск сможет обнаружить для Вас. Это делает AV особенно плохим компромиссом в Вашем случае. Вы были бы более обеспечены с Системой обнаружения проникновения общего назначения.

Мое представление состоит в том, что 5% тривиальны. Если Вашему веб-серверу на самом деле нужны все 2 ГБ RAM, и Вы действительно не можете сэкономить это 5%, необходимо в другом месте искать улучшения и не вскакивать на clamd. ClamAV обнаружит некоторое невирусное вредоносное программное обеспечение, которое не включено в заявление, что (еще) нет никаких вирусов Linux.

Другое соображение является электронной почтой, независимо от объема. В то время как электронное письмо, зараженное вирусом Windows, может быть непримечательным событием на Linux, необходимо принять во внимание, что система не работает в вакууме. Это подключено ко всему способу других систем, включая машины Windows. Следовательно, зараженное сообщение, обнаруженное как прибывающий из Вашей системы, может и вероятно перечислять Вас на одном или нескольких черных списках. Является ли это реальным беспокойством о Вас, или не только можно решить. Я лично полагаю, что все почтовые системы должны сканировать все сообщения, в и, для вирусов.

Вы увеличите риск заражения, но необходимо уравновесить вещи.

Если

• Вы запускаете Linux,

• сервер для Вашего собственного использования

• Вы не передаете электронную почту или файлы к машинам Windows,

• Вам нужны назад 5% из-за ограниченных ресурсов.

Затем остановите clamd.

Однако я недавно нашел использование Joomla с помощью перекрестных сценариев сайта, работающих на серверах Linux, которые были найдены clamav, таким образом, Linux не неуязвим для всего вредоносного программного обеспечения, которое найдет clamav.

Это не все или ничего все же. Как компромисс Вы могли выполнить clamscan в кроне в течение тихих периодов, например, 3:00.

Что-то как

clamscan --tempdir=/tmp/ --infected --recursive /home | mail -s "Clamscan Report" you@example.com

запустят Вас. Дополнительную информацию см. в странице справочника.

Риск для безопасности является относительной вещью. Clamd выполняет механизм ClamAV на файлах и каталогах.

Где Вы получаете число, что это поднимает так много памяти? Управление памятью Linux может вводить в заблуждение; иногда это просто говорит Вам, что выделяется, но не на самом деле резидентный объект, и Linux обычно довольно хорош о манипулировании приложениями, когда они не активны. Вы будете, вероятно, видеть, что намного больше памяти используется в кэшировании, чем это приложение поднимает.

Лично, я не уничтожил бы его. Это - относительно простой способ добавить другой слой "Душевного спокойствия", и если это не влияет на Вашу производительность системы, значительно затем позволяет Linux сделать свою вещь с руководящей памятью. Если Вы поражаете большую подкачку или дисковую перегрузку, то занимаетесь обрезкой процессов, но действительно в той точке Вы, возможно, должны были бы рассмотреть повышающуюся память вместо этого.

Оборот для выяснения - то, насколько Вам причинит боль, если сайт будет взломан, и Вы не понимаете это. Время для восстановления от резервного копирования, время для распутывания каких-либо черных списков у Вас есть клиенты или другие, которые зависят от доступа к этой системе, которая будет затронута, репутация, и т.д.... это действительно стоит того Вам для уничтожения вредоносного сканера в этом случае? Действительно ли это стоит инвестировать в большую память вместо того, чтобы уничтожить приложение при взвешивании против альтернативы? Это должно дать Вам ответ, в котором Вы нуждаетесь.

Мой ответ, если Вы спросили меня лично этот вопрос, - то, что да, существует угроза безопасности, в которой это дает Вам еще один слой защиты и другой вектор обнаружения потенциальных попыток использования. Действительно ли это - огромная угроза безопасности, я не думал бы так, пока Вы осторожны. Но это увеличивает Ваш риск, как не износ Вашего ремня безопасности увеличивает Ваш риск травмирования или смерть в автокатастрофе, но это не означает, что Вы обречены в следующий раз, когда Вы не делаете этого. Риск ваше дело определять количество в Вашей собственной ситуации.

Если Вы размещаете веб-сайт, Моллюск может дать Вам дальнее обнаружение, что вирус окон присутствует - что-то, что вероятно результат нападения. Я предположил бы, что требуется удалить, сказал, что вирус как можно скорее, для безопасности посетителей сайта (и собственного набора окон в этом отношении), поскольку цель многих взломов состоит в том, чтобы заставить жертву служить злонамеренному содержанию для инфицирования клиента ПК.

IDS (принимающий Вам потрудились читать журналы) НЕ является альтернативой, а скорее чем-то, что могло работать дружно с хостом AV. IPS не является альтернативой также и несет подобные ложные на месте продажи риски для AV.

Как кто-то еще сказал, Вы платите маленькую мудрую RAM цену. Если это будет Вашим собственным сервером, то еще 2 ГБ RAM вряд ли установит Вас назад больше чем десятки $.

Я не работаю, это... вызывает слишком много проблем о сервере большой нагрузки.

Вид угроз безопасности, с которыми Вы сталкиваетесь на веб-сервере Linux (Внедрения SQL, компромисс пароля учетной записи, произведенные по заказу руткиты и так далее) не является видом рисков, что сканер как Моллюск сможет обнаружить для Вас. Это делает AV особенно плохим компромиссом в Вашем случае. Вы были бы более обеспечены с Системой обнаружения проникновения общего назначения.

ЭТОТ ^

Это ничего не находит, я работаю 100 веб-сайтов, и ClamAV почти бесполезен. Я выполняю отдельный сканер каждый однажды в некоторое время и ограничиваю php options/chmod директора и т.д...

All of the other answers for some reason seem to assume that clamd actually scans your system automatically. In reality, clamd does not scan your system on its own. All it does is wait for another process to ask it to scan the system, and thus doesn't do much more then speed up the "clamscan" procedure (since it doesn't have to reload virus definitions on each scan). If you are running a mail or file sharing server and want to scan files as they are passed through, this can be a highly useful optimization. However, if you are like me and simply want to make sure nobody's trying to host Windows malware on your server with a once-daily cronjob scan, clamd is largely unnecessary.

I realize that this is three years old, but it comes in the first few entries when someone searches "what's the point of clamd", "is it safe to turn of clamd" and the like.

1. Эту память использует только служба clamd. Если вы используете clamscan вместо clamscan, вы можете отключить службу:sudo systemctl disable --now clamd #для систем Debian

2. Я рекомендую запускать clams на веб-сервере, но вам может понадобиться новый clamonacc для -сканирование доступа, потому что некоторые простые сканирования в 00:00 мало помогают -хакер уже находится в (у вас есть надежда, что у него нет корневых привилегий-потому что тогда он просто может манипулировать моллюском, если этого не произошло, тогда может помочь запустить его, но помните, что хакер уже находится в www-data)