Clamtk сообщает эти файлы LibreOffice как возможные угрозы. Они в безопасности? [закрыто]

Вам действительно нужна какая-то система HIDS для работы в сочетании с clamav.

clamav известен как «ложные срабатывания», вы можете легко найти много сообщений в Интернете, свидетельствующих о том, что эти ложные срабатывания могут быть игнорируется ....

НО ...

У Clamav есть механизм для сообщения ложных срабатываний, если вы считаете, что у вас есть ложный позитв - https://www.clamav.net/ reports / fp

Хотя игнорирование ложных срабатываний является обычной практикой, я просто добавлю немного подробностей / предостережений / предложений ...

Вам нужно начать с известной хорошей системы, таких как новая установка. Затем вы устанавливаете и настраиваете какие-то типы HIDS (OSSEC, AIDE, ...).

См. [D4] https://www.clamav.net/reports/fp или Google поиск параметров.

Затем вы запускаете clamv и исследуете ложные срабатывания.

Вы можете определить, установлен ли пакет для установки на новой установке, вы должны предположить, что такие файлы чистые. Вам не нужно делать такое предположение, но затем вы входите в глубокую темную дыру паранойи, и если вы не доверяете репозиториям ubuntu, вы входите в большую часть ног из ворот.

Вы проверяете файл с debsums

sudo debsums -ac

См. Или справочную страницу debsums https://blog.sleeplessbeastie.eu/2015/03/02/how-to-verify-installed-packages/ для Дальнейшие подробности.

Затем вы начинаете с известной хорошей системы, и знаете, что clamav сообщает с чистой, свежей установкой.

Когда вы запускаете clamav, вы можете сравнить его с вашим новым установить через debsums и HIDS.

Вы обновляете HIDS и список clamav известных ложных срабатываний после каждого обновления и установки пакета, подтверждая debsums.

Если у вас есть предупреждение от clamav, вы смотрите на историю файлов в HIDS и debsums, чтобы определить, является ли файл (все еще) неповрежденным / ложным, или если произошли непредвиденные изменения в файлах.

Я полностью понимаю, что я предлагаю, очень громоздко, и многие люди не делайте все эти шаги, но ...

Если вы не собираетесь исследовать, что clamav направляет вас на расследование, зачем вообще запускать clamav?

[D0] Да. Они обнаруживаются как макросы LibreOffice. Макросы могут представлять угрозу безопасности, как и все другое программное обеспечение, но они распространяются как часть установки и проверяются создателями LibreOffice.

Хорошо, когда поиск файла, выделенного clamav (или любого другого AV), - это google для того, что находит AV-движок.

Вам действительно нужна какая-то система HIDS для работы в сочетании с clamav.

clamav известен как «ложные срабатывания», вы можете легко найти много сообщений в Интернете, свидетельствующих о том, что эти ложные срабатывания могут быть игнорируется ....

НО ...

У Clamav есть механизм для сообщения ложных срабатываний, если вы считаете, что у вас есть ложный позитв - https://www.clamav.net/ reports / fp

Хотя игнорирование ложных срабатываний является обычной практикой, я просто добавлю немного подробностей / предостережений / предложений ...

Вам нужно начать с известной хорошей системы, таких как новая установка. Затем вы устанавливаете и настраиваете какие-то типы HIDS (OSSEC, AIDE, ...).

См. [D4] https://www.clamav.net/reports/fp или Google поиск параметров.

Затем вы запускаете clamv и исследуете ложные срабатывания.

Вы можете определить, установлен ли пакет для установки на новой установке, вы должны предположить, что такие файлы чистые. Вам не нужно делать такое предположение, но затем вы входите в глубокую темную дыру паранойи, и если вы не доверяете репозиториям ubuntu, вы входите в большую часть ног из ворот.

Вы проверяете файл с debsums

sudo debsums -ac

См. Или справочную страницу debsums https://blog.sleeplessbeastie.eu/2015/03/02/how-to-verify-installed-packages/ для Дальнейшие подробности.

Затем вы начинаете с известной хорошей системы, и знаете, что clamav сообщает с чистой, свежей установкой.

Когда вы запускаете clamav, вы можете сравнить его с вашим новым установить через debsums и HIDS.

Вы обновляете HIDS и список clamav известных ложных срабатываний после каждого обновления и установки пакета, подтверждая debsums.

Если у вас есть предупреждение от clamav, вы смотрите на историю файлов в HIDS и debsums, чтобы определить, является ли файл (все еще) неповрежденным / ложным, или если произошли непредвиденные изменения в файлах.

Я полностью понимаю, что я предлагаю, очень громоздко, и многие люди не делайте все эти шаги, но ...

Если вы не собираетесь исследовать, что clamav направляет вас на расследование, зачем вообще запускать clamav?

[D0] Да. Они обнаруживаются как макросы LibreOffice. Макросы могут представлять угрозу безопасности, как и все другое программное обеспечение, но они распространяются как часть установки и проверяются создателями LibreOffice.

Хорошо, когда поиск файла, выделенного clamav (или любого другого AV), - это google для того, что находит AV-движок.