Ogni tanto qualcuno mi chiede: “Ma sul server non metti #clamav?

snow@snowfan.it

Ogni tanto qualcuno mi chiede: “Ma sul server non metti #clamav? ... sul server?

No. E no, non sono impazzito 😅

L’idea di fondo è semplice: sull’80% dei server Linux ClamAV è poco più che un placebo tecnico.

ClamAV nasce per:

– fare da filtro antivirus su mail server e gateway
– trovare soprattutto malware per Windows
– lavorare in modo reattivo: firma nuova → aggiornamento → scansione

Su un server “normale”, che non fa da file-server per PC Windows e non consegna mail a client insicuri, ClamAV finisce per:

– macinare CPU e I/O a caso
– scansionare binari di sistema installati dai repo ufficiali
– dare un’illusione di sicurezza (“tanto c’è l’antivirus…”)

Il punto è che i problemi veri su un server non sono i virus anni ’90 nei file, ma:
– servizi esposti male (SSH aperto ovunque, pannelli admin ovunque)
– software non aggiornato
– webapp buggate
– permessi e ruoli messi a caso
– password riutilizzate o troppo deboli
– niente log, niente monitoraggio, niente backup

Se devo scegliere dove mettere tempo e risorse, preferisco di gran lunga:

– aggiornare regolarmente il sistema
– avere backup testati e fuori dal server
– configurare bene firewall e reverse proxy
– usare chiavi SSH invece delle password
– limitare i servizi solo a ciò che serve davvero
– tenere d’occhio i log con strumenti seri

ClamAV ha senso solo in casi specifici, tipo:

– mail server che filtra allegati per utenti Windows
– file server dove i client scaricano roba e voglio mettere una barriera in più

Su tutto il resto, il “mettere l’antivirus sul server Linux” è più un’abitudine mentale che una reale misura di sicurezza.

Morale:

meno placebo, più buone pratiche. I server ringraziano, anche le CPU 😉