𝕊𝕟𝕠𝕨 :tux: :Debian: :gnu:@snow@snowfan.it
Ogni tanto qualcuno mi chiede: “Ma sul server non metti #clamav? ... sul server?
No. E no, non sono impazzito 😅
L’idea di fondo è semplice: sull’80% dei server Linux ClamAV è poco più che un placebo tecnico.
ClamAV nasce per:
– fare da filtro antivirus su mail server e gateway
– trovare soprattutto malware per Windows
– lavorare in modo reattivo: firma nuova → aggiornamento → scansione
Su un server “normale”, che non fa da file-server per PC Windows e non consegna mail a client insicuri, ClamAV finisce per:
– macinare CPU e I/O a caso
– scansionare binari di sistema installati dai repo ufficiali
– dare un’illusione di sicurezza (“tanto c’è l’antivirus…”)
Il punto è che i problemi veri su un server non sono i virus anni ’90 nei file, ma:
– servizi esposti male (SSH aperto ovunque, pannelli admin ovunque)
– software non aggiornato
– webapp buggate
– permessi e ruoli messi a caso
– password riutilizzate o troppo deboli
– niente log, niente monitoraggio, niente backup
Se devo scegliere dove mettere tempo e risorse, preferisco di gran lunga:
– aggiornare regolarmente il sistema
– avere backup testati e fuori dal server
– configurare bene firewall e reverse proxy
– usare chiavi SSH invece delle password
– limitare i servizi solo a ciò che serve davvero
– tenere d’occhio i log con strumenti seri
ClamAV ha senso solo in casi specifici, tipo:
– mail server che filtra allegati per utenti Windows
– file server dove i client scaricano roba e voglio mettere una barriera in più
Su tutto il resto, il “mettere l’antivirus sul server Linux” è più un’abitudine mentale che una reale misura di sicurezza.
Morale:
meno placebo, più buone pratiche. I server ringraziano, anche le CPU 😉
