【完 全 解 析】Linux到底需不需要反恶意软件？

莉塔林Rita

嗨大家好又是我（观众：你谁？）。





首先 在 前文 强调 一件事：

通常 来说，我们 所说的 Linux，其 实 是 “Linux内核”。

那我们 平时用的 Linux系统 是 怎么回事？答案 很简单：Linux内核 （ 可能是 主线版本，也可能是 基于某个特定版本 做维 护的“ 发行版内核”）+包管 理器+各种各样的 GNU工 具链= 一 个完 整的、可用 的“Linux发行版”。

没错，因此 我们事 实上用的是 “Linux发行 版”而不是“Linux”这个“本体”——因为只有内核你 什么都做不了的 亲。

发这个 帖子是因为有 个月经问题： 求求 别人给自 己 一个Linux杀 毒软件（下文以“反恶意软 件”称呼，“反恶意 软件”是一个 宽泛概 念，涵 盖 EPP EDR 等等 ）。





首先说桌面平台：

大部分Linux发行版桌面 平台 用户属于技术水平 较 高的那群，当然，也有技术 水平不是那么高的人（例如一些单位的员工）。

但其实对于桌面平台 ，你装反恶意软件其实属于 自己给自己找麻烦，因为Linux发行 版的安全性实际上并不是建立在什么“习惯安全”之类的地方，而是另外两件事：

1.混乱的生态系统 （系统 生态安 全）。

2.大部分软件为开放源代码，因此其他人可以很快发现后 门或者安全漏洞。

第二 点无需多言，第一点是什么 意思呢？是这样 的：

Linux的“生态安全” ，建立在每个人都有一组不 同的发行版、 软件配置、内核 配置，这样 做导致攻击者很难制造一款“通用恶意软件”来爆杀所有Linux用户。

有点类似于生物 学上的概念：在生物学 中，一个种 群内突变个 体 越多 （种 群 多样 性），那么 这个 种 群就 更难被摧 毁。

而Linux生 态系统的四分五裂（一些人称 为“碎片化”）其实就是这样。尽 管对于那些习惯了什么都 要“一致”的开发者很不舒服，但也正是这样的 多样性导致大部 分恶意软件作者放 弃钻 研 Linu x恶意 软件。

所以如果你是桌面用户 ，你用个 冷门 的发 行版 就足 够让恶意软件作者 抱头 痛 哭 了。

实在不行，你还可以自己给内核或者用户态工 具改改，从而用生 态优 势劝 退攻击 者。

这在安全技术上叫做“不常见配置”，这也是用于应对资源富裕但不太认真的对手的策略。





那么 IoT设备、服 务器、企业内  部又说 存在恶 意软件 需要反 恶意软 件？这是怎么回 事？

很好，这就是 重点：IoT设备 之类的，是做不了 “碎片生态”的；最多一个厂商一 个样，不可能每个设备都是碎片的 ，商业公司可做不 到这个。

这还不是最坏的，由于商业公司内部运维问题（4000的工资干嘛做400000的活？），这些软件基本上不会得到及时更新。

而这里就让恶意软件作 者重新燃起了希望的火焰（建议 给他们灭火）。
在这个场景中，为了方便开 发和维护（10000的 工资干嘛要做1 00000的活？） ，IoT、企业内部服务器/桌面 机，是绝对不会每台设备都是碎片的（换言之，这回到了Windows 的问题：只要能在你的电脑跑起 来的 恶意软件，就有很大把握可 以在其他Window s计算机运行）。

因此，恶意软件作者是有动力研究在这些比较“一致”的环境下的恶意软件（并且现实中已经出现了）。
外加，一些Linux反恶意软件，是为了市场营销为目的而开发的，其实际能力无法测定更无法保证——因为仅出售给特定行业。

而在这里结论就是：企业内部的服务器或者桌面机，可以且有必要购买商业化反恶 意软件进行保护，但保护效果请别太多指望——因为这个问题约等于你 在问我“OO能不能保 证我们单位那台暴露在公网的W indows Server 2003R2 32位版 本系统不被攻击”，我相信你有数。

外加，一些Linux反 恶意软件，是以市 场营销 为目的而开发 的，其实际能力无法测定更 无法保证——因为仅 出售 给特定行 业。

而这里还有另一个问题 就是：IoT设备受限于自身硬件 资源，它们无法内置这么庞大的东西（大部 分IoT设 备的闪 存只有256 M左 右 ）。这意味 着安全技术必 须从构建的那一刻就 开始做。

因此，IoT设备的安全技术，依赖于 开发者是否真爱他的工作、或 者工资是否到位——因为要求开发者构建合理的 安全IoT操作系统，按照人 才 市场 均价大概在 5W起步的 月工资（指：熟悉各种安全技 术并且有至 少五年的IoT安全 实战经验）。




所以给这个月经问题下一个结论：

如果你不是 什么企 业内部IT、你也没有 必要“保 持软件配置一致”、你甚至也 不是一台服务器，那么你 研究怎么 装一个反 恶意软件不如研 究一下怎 么提高自 己的 知 识 水 平。
因 为万事依靠别人（懒惰伸进 大脑，伸手 代 替思 考）的话，最后 你会发现别人才是最危险的（请 善用搜索引擎，搜索“反恶意软件 漏洞”这个关键词，建议用英语搜索）。

如果你是企业内部IT管理员，或者你就是IoT开发者，请大胆的跟你的公司谈谈工资问题——因为一个给不了员工与其身份和能力匹配的工资的公司、或者不尊重员工的价值的公司，是没有任何为他工作的义务的。然后再考虑你需不需要反恶意软件。




凡事都有的特例，目前需要更多研究：

Wine、Proton、Crossover，这类“模拟Windows环境，以执行Windows软件”的应用程序，可能会引入Windows恶意软件在Linux上成功执行的问题。

例如：在Ubuntu(实体机)上运行有害版的Windows XP Horror_哔哩哔哩_bilibili

本部分需要更多研究和思考，但我很困。

莉塔林Rita

StarlitFuture 发表于 2025-1-17 09:40
Linux不需要杀毒软件，一是Linux软件默认运行在User Group下，用到Root的软件风毛菱角，天生安全性就强，二 ...

更生草的原因是：生态环境碎片化导致做恶意软件无利可图，因为根本就做不了一个真正的“通用恶意软件”，但恶意软件开发者依赖于能够快速侵入大量设备来赚钱。

因此导致基本上来Linux上做软件的，都是APT组织。
PS：通用恶意软件作者和APT组织的区别就是“四千块的工资我玩什么命”和“四千块的奖金我不拿白不拿”。

寒城魅影

mac os，用的卡巴斯基，首页统计里面，也显示不少拦截。

莉塔林Rita

寒城魅影 发表于 2025-1-14 16:16
mac os，用的卡巴斯基，首页统计里面，也显示不少拦截。

macOS和Windows一样，都属于“生态系统高度统一”，因此存在同样的风险。

但macOS管的比Windows严就是了。

寒城魅影

莉塔林Rita 发表于 2025-1-14 16:17
macOS和Windows一样，都属于“生态系统高度统一”，因此存在同样的风险。

但macOS管的比Windows严就是 ...

我的办公电脑，麒麟10，就没装。
阉割版，没有安卓。
这电脑除了上网，wps，没啥用。
微信也很不好用。
更新最快，适配最好的竟然是qq。

ELOHIM

https://securelist.com/vulnerability-report-q1-2024/112554/


根据链接数据说明，个人认为Linux操作系统需要安全软件。
因为没有绝对安全的操作系统，外加人的漏洞是最难防范的。

莉塔林Rita

ELOHIM 发表于 2025-1-14 23:29
https://securelist.com/vulnerability-report-q1-2024/112554/

这篇文章里提到的是漏洞利用，漏洞需要的是补丁和操作系统安全硬化，反恶意软件无法对漏洞利用提供实质性帮助。

qxyokok

如果你是企业内部IT管理员，或者你就是IoT开发者，请大胆的跟你的公司谈谈工资问题——因为一个给不了员工与其身份和能力匹配的工资的公司、或者不尊重员工的价值的公司，是没有任何为他工作的义务的。然后再考虑你需不需要反恶意软件。
----------------------------
8年前，我曾经这么做过。在谈完之后，老板让我别干了，通知人力尽快辞退。并在找工作的过程中，提到上述内容或者表露出上述含义，面试的对方往往就会脸一黑然后没了下文。屡屡碰壁让我明白了，可能IT管理员这个岗位，大部分只愿意给四千，给不了员工与其身份和能力匹配的工资是业界常态，就此心碎。

popu111

你 打字 带空 格

我觉得无论用啥系统，最本质的安全漏洞确实还是人。所以需不需要杀软其实本质在于，你怎么去用你的设备。
如果你是一个普通用户日用设备，我认为无论如何是需要装的。
如果你的设备专机专用没有其他威胁面，那我觉得装不装完全看个人洁癖。

比如一般来说不会有人给远程入口机（指表面go）装杀软吧

神龟Turmi

popu111 发表于 2025-1-15 19:13
你 打字 带空 格

我觉得无论用啥系统，最本质的安全漏洞确实还是人。所以需不需要杀软其实本质在于，你 ...

等保：是设备吗？是？那还不装？
就像现在国内99%的EV SSL销量都来自等保需求 于是你就能看到很抽象的明明解析在内网的域名结果是个EV SSL

popu111

神龟Turmi 发表于 2025-1-15 20:04
等保：是设备吗？是？那还不装？
就像现在国内99%的EV SSL销量都来自等保需求 于是你就能看到很 ...

等保属于一刀切