Na linuxu, ki je v rabi delovne postaje ali strežnika, ne uporabljam antivirusnih programov.
Te smo uporabljali le, če je bil linux v vlogi mail serverja (da je filtriral viruse v mailih, ki so prehajali skozenj na wirusdows kliente).
Ali pa, če je bil linux uporabljen kot NAS, samba server spet za wirusdows delovne postaje.
V ta namen je pogosto služil tudi clamAV. Zanimivo je bilo, da si poleg virus definicij za clamAV lahko dobil tudi spam definicije in je poleg virusov filtriral tudi to svinjarijo.
Native virusi za linux so redkejši od nog pri kači. Pogostejši so rootkiti.
Tako proti enim in drugim se je mogoče boriti z bolj logičnimi in učinkovitimi načini.
Na primer, okolje kjer teče storitev narediš read-only. Za write pa pustiš ločeno nadzorovan prostor, ki nima in ne more imeti izvršljive kode.
To se lahko naredi z različnimi prijemi: read-only mount, ISO image mount, extended attributes na fs, docker containers, ...
S tem nihče ne more spackati kode (spremeniti ali namestiti programov). V podatke pa je težje namestiti kaj izvršljivega, še težje pa tisto potem zagnati. Seveda pa je treba na podatke tudi paziti.
Še najmanj truda, da vsem od zunaj izpostavljenim stvarem enostavno narediš: chattr +i in zadeva je read-only tudi za root (dokler ne spremeniš atributa, na kar malokdo pomisli).
Ni nemogoče spremeniti (če imaš ustrezen dostop), tako da ni 100% zaščita, ampak do zdaj še nisem zlonamerne kode, ki bi to naredila.
Fini so tudi dockerji (laufa menda tudi na wirusdows). Ampak to zahteva že ustrezno zasnovo aplikacije. Če kdo kaj naserje v kontejner, samo rebootneš in je stvar spet čista.
Seveda pa je treba potem najti še luknjo, skozi katero je sploh prišlo do sr***ja, da se stvar ne ponavlja.