Chi lavora con sistemi GNU/Linux o BSD spesso dà per scontato che “qui i virus non esistano”. In parte è vero: il modello di permessi, la minore esposizione desktop e una comunità attenta rendono questi sistemi storicamente più sicuri. Ma non esenti da minacce.
Perché ha ancora senso usare un antivirus (libero)?
Prevenzione e responsabilità
Scansione di file condivisi: server NAS, condivisioni Samba/NFS, allegati email.
Controllo di sistemi ibridi: ambienti misti con client Windows.
Rilevamento di rootkit o compromissioni locali.
Hardening e audit: strumenti antivirus integrabili in pipeline CI/CD, scansioni su immagini container, ecc.
Difesa da malware specifici per Linux: esempi recenti includono botnet basate su SSH, cryptominer via shell, e ransomware mirati a server Linux.
Strumenti liberi da usare su Linux e BSD
1. ClamAV – Antivirus open source
Licenza: GPL
Tipologia: Scanner antivirus generico
Componenti:
clamscan: scansione manuale o automatizzabileclamd: demone ad alte prestazioni (utile per integrazione server-side)freshclam: aggiorna il database delle firme (signature DB)
Integrazioni:
Server mail (Postfix, Exim, Dovecot)
Nextcloud (via ClamAV app)
CI/CD o cron
Installazione:
sudo apt install clamav clamav-daemonsudo freshclamclamscan -r /homePro:
Completamente libero
Attivamente mantenuto
Ampio supporto a formati compressi
Contro:
Rilevamento malware limitato rispetto a motori proprietari
Nessuna protezione real-time nativa (a meno di integrazioni con
fanotify,inotify, ecc.)
2. Chkrootkit – Rootkit detector semplice
Licenza: GPL
Funzione: Rilevamento rootkit tramite analisi diretta di comandi, binari e processi
Utilizzo:
sudo apt install chkrootkitsudo chkrootkitNota tecnica: rilevamento basato su pattern statici, vulnerabile a falsi positivi/negativi. Va usato con occhio critico.
Adatto per: controlli periodici post-installazione, immagini container, auditing rapido.
3. rkhunter (Rootkit Hunter) – Scanner avanzato per rootkit e modifiche sospette
Licenza: GPL
Funzione:
Verifica integrità file di sistema
Confronto con checksum noti
Rilevamento di backdoor e anomalie
Installazione:
sudo apt install rkhuntersudo rkhunter --updatesudo rkhunter --checkall
Può essere integrato con cron o systemd:
sudo systemctl enable rkhunter.timerPro:
Analisi dettagliata
Log chiari, test personalizzabili
Contro:
Rilevamento statico, richiede manutenzione (aggiornamenti regole e whitelist)
Output da analizzare manualmente
4. Linux Malware Detect (LMD / Maldet) – Scanner per ambienti server (opzionale, solo se vuoi includerlo)
Licenza: GPLv2
Caratteristiche:
Analisi comportamentale basata su signature
Compatibile con ClamAV per potenziamento
Nota: usato in ambienti hosting, ma meno aggiornato. In alternativa si può integrare
ClamAVcon script su misura.
Approccio BSD: strumenti disponibili
FreeBSD:
clamav,chkrootkit,rkhunterdisponibili viapkgo Ports:sudo pkg install clamav chkrootkit rkhunterIntegrazione con
periodic(8)per schedulare controlliOpenBSD:
Approccio “secure by default” → non offre
clamavdi defaultPossibilità di compilazione manuale
Audit tramite strumenti integrati come
syspatch,signify, audit log e sandboxingAutomatizzare e integrare
Esempio: scansione settimanale con
ClamAVvia cron
sudo crontab -e
Aggiungi:
0 3 * * 1 clamscan -r -i /home --log=/var/log/clamav/scan.log
Integrazione in sistemi mail:
Postfix + Amavis + ClamAV
Oppure
clamav-milterper scansioni dirette
Considerazioni finali
La sicurezza su GNU/Linux o BSD non è un dato di fatto, ma un processo continuo.
Usare strumenti liberi e trasparenti consente di:
sapere cosa accade nel sistema
avere controllo sul software utilizzato
evitare dipendenze da vendor opachi o con telemetria inclusa
Anche se nessun antivirus è perfetto, un set minimo di strumenti di rilevamento passivo (ClamAV + rkhunter o chkrootkit) è consigliabile in qualsiasi ambiente responsabile.