Imprimir

Antivirus en Linux

Esta es una pregunta que se hace mucha gente que usa Linux: "¿tengo que instalar un antivirus?" Como la respuesta es no, muchos usuarios creen que Linux es un Sistema Operativo completamente seguro y no utilizan ningún tipo de protección en sus máquinas, lo que es un error: aunque es cierto que no es necesario instalar un antivirus, un ordenador Linux mal configurado es hackeable y puede verse afectado por amenazas procedentes de Internet.

Básicamente debemos protegernos de dos cosas:

  1. virus: término genérico que se refiere a todo tipo de programas maliciosos: virus, gusanos, troyanos, backdoors, spyware, etc.
  2. accesos no autorizados: intrusos.
  • Los virus no son un problema en Linux (ni en ningún Sistema Operativo UNIX-like, como Mac o BSD). Son prácticamente inexistentes, tan sólo existen prototipos. ¿Y por qué no hay virus en Linux cuando en el "mundo Windows" son una amenaza constante? Por un único motivo: porque tradicionalmente tanto los programadores como los usuarios de los sistemas UNIX han considerado la seguridad como una prioridad. Mientras que cualquier imbécil es capaz de producir malware para Windows: por algo será.

    ¿Es cierto que en Linux no hay virus porque lo usa poca gente?

    No, no es ese el motivo. Aunque algunos dicen que en Linux no hay virus porque tiene pocos usuarios y no sufre ataques esto no es cierto: los programas más atacados (con diferencia) son los servidores web (Apache, etc.), el servidor DNS Bind y los servidores de correo (Exim, Sendmail...). Es el modelo de desarrollo de estos programas lo que los hace muy, muy difíciles de atacar ya que todos son software libre, corren bajo Linux e implementan seguridad por diseño.

  • En cambio los accesos no autorizados sí son una amenaza en Linux. Errores de configuración o bugs en el software pueden tener como consecuencia accesos no autorizados a nuestra máquina, cuyas consecuencias pueden ser muy graves si el atacante consigue permisos de root y nos instala un rootkit (software diseñado para esconder las acciones del intruso y permitirle conservar el acceso al sistema).

Medidas de seguridad

Para protegernos de virus y accesos no autorizados debemos tomar varias medidas:

Equivalencias en Windows: AVG + Spybot.

  1. usuarios:
    • no hacer login como root
    • no ejecutar determinados programas como root (navegar, correo, etc.).
    • usar contraseñas fuertes.
  2. software:
    • tener el sistema actualizado: la mayoría de intrusiones se producen como consecuencia de vulnerabilidades conocidas en sistemas no actualizados.
    • instalar sólo software obtenido de fuentes fiables.
  3. redes:
    • tener un firewall activado (política por defecto DENEGAR).
    • usar sólo protocolos seguros para administración remota (SSH).
    • detener los servicios que no sean necesarios. Configurar cuidadosamente los servidores que tengamos y auditar la seguridad de la red con Nessus.
    • si tenemos servidores de correo y de archivos, instalaremos antivirus para impedir la propagación de virus que afectan a ordenadores Windows.
    • utilizar detectores de rootkit:
      • Chkrootkit (Check Rootkit, chkrootkit.org, paquete chkrootkit): programa para consola que examina los ficheros de sistema buscando rootkits conocidos. La mejor manera de emplear chkrootkit es ejecutarlo desde cron, con una línea como:
        0 3 * * * /usr/sbin/chkrootkit
      • Rkhunter (Rootkit Hunter, rkhunter.sourceforge.net, paquete rkhunter): herramienta que escanea rootkits, backdoors y exploit locales.

      Es muy recomendable leer algún manual bueno de seguridad en redes:

  4. hacer backups.
  5. monitorizar:
    • procesos: top.
    • memoria: free.
    • uso de discos: df.
    • puertos: netstat, nmap.
    • tráfico de red: ethereal, snort.
    • logs.
    • archivos: existen programas que monitorizan los archivos de nuestra máquina. Toman una foto del sistema creando una base de datos de los archivos que después se utiliza para verificar su integridad, chequear inconsistencias y comprobar si las modificaciones han sido causadas por un atacante.

Deja un comentario