[FRsAG] Sécurité opérationnelle : antivirus GNU/Linux et *BSD

Maxime DERCHE maxime at mouet-mouet.net
Mar 19 Oct 18:48:46 CEST 2021


Bonjour,

Le 19/10/2021 à 12:08, Xavier Beaudouin via FRsAG a écrit :
> Hello Maxime,
> 
>> Contexte : travailleur indépendant dans le domaine de la sécurité informatique,
>> avec
>> le besoin de protéger "correctement" à la fois une infrastructure auto-hébergée
>> (OpenBSD) essentiellement pour du web et du mail, des postes de travail fixes
>> et/ou
>> mobiles (Fedora) ainsi qu'une flotte mobile (Android).
>>
>> J'aimerais faire le tour des produits disponibles sur la fonction
>> antivirus/antimalware pour à la fois des points d'entrée et des serveurs,
>> sachant que
>> je fais bien la séparation entre les deux catégories (mais si je peux avoir un
>> même
>> produit pour les protéger toutes, ce serait pas plus mal).
>>
>> Je comprends que côté serveur, le cas OpenBSD sera peu traité par les grands
>> produits
>> propriétaires/fermés commerciaux, ce qui me laisse essentiellement ClamAV, et
>> peut-être Sophos ?
> 
> Tu peux peut-être faire tourner certains produits proprio en emulation linux.
> Mais saches qu'un bon clamav bien foutu te fera plus de bien qu'un truc proprio
> porté sous linux qui ne sera pas très bien mis a jour à cause du fait que Linux
> est encore plus ou moins peu utilisé vs windowz...
> 
> D'autre part pour un mail je te conseille de scan non seulement l'entrant mais AUSSI
> le sortant... Ca évite des surprises.

Oui je vérifie évidemment l'entrant et le sortant, simple à configurer depuis rspamd. 
Mais la messagerie n'est qu'un point parmi d'autres.

Je ne suis pas certain que techniquement le moteur de ClamAV soit compétitif face aux 
grands noms de l'antimalware, vu la course à l'armement qui sévit dans ce marché 
depuis plusieurs décennies aujourd'hui.

Par contre du coup :
   * est-ce que les versions GNU/Linux des grands produits propriétaires/fermés 
commerciaux de l'antimalware embarquent l'intégralité des fonctions de leur version 
Windows et/ou MacOS ?
   * les jeux de règles commerciaux pour ClamAV valent-ils le coup par rapport aux 
jeux de règles communautaires ? et aux bases virales des produits commerciaux ?

>> applications web (pour scanner les uploads, typiquement). Auriez-vous des
>> retours sur
>> ClamAV ?
> 
> Sur cette partie selon le serveur web que tu as, il y a des modules... ou
> trucs qui peuvent scanner après upload.
> Attention au DoS qui peux arriver si tu ne fait pas une queue entrante...

Je m'attendais à un contrôle au niveau applicatif, pas au niveau du serveur web, mais 
pourquoi pas, j'ajoute à ma liste de recherche.

> Personnellement une bonne hygiene de vie, marche aussi bien que ces paliatifs que sont
> les antivirus.

Dans mon cas je t'assure que le niveau d'hygiène est important, mais il ne l'est 
jamais assez, donc l'antimalware n'est pas un palliatif, c'est un outil de gestion du 
risque pour le jour où j'ai pas vu arriver le drame. :)



Bien cordialement,
-- 
Maxime DERCHE
OpenPGP public key ID : 0xAE5264B5
OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5
<https://www.mouet-mouet.net/maxime/blog/>


Plus d'informations sur la liste de diffusion FRsAG