Serve un antivirus su Linux? Guida onesta 2026
«Mi serve un antivirus su Linux?» è una delle domande di sicurezza più frequenti tra gli utenti Linux — e la risposta onesta è dipende da cosa fa la macchina, non solo dal sistema operativo. Per un normale computer desktop personale, uno scanner di virus tradizionale aggiunge molto poco. Per un file server, un gateway di posta o qualsiasi sistema che convive con macchine Windows, l’antivirus ha un ruolo reale e preciso.
Questa guida offre la versione onesta: perché il desktop Linux è relativamente poco esposto, dove l’antivirus conta davvero, gli strumenti open-source realmente usati e le difese a livelli che ti proteggono molto meglio di uno scanner di firme.
Affianca la nostra guida all’hardening di Linux e la nostra spiegazione su cos’è il malware.
Il vero rischio di malware su Linux deriva soprattutto da pacchetti non affidabili più che dai virus, ed è proprio per questo che vale la pena sapere se l’AUR è sicuro.
La risposta breve
Per un utente desktop normale, quasi certamente non ti serve un antivirus residente e sempre attivo su Linux. Le ragioni sono strutturali, non magiche:
- Il software arriva da repository firmati. Su Linux installi dal gestore di pacchetti della tua distribuzione, dove i pacchetti sono firmati crittograficamente e revisionati. Raramente scarichi ed esegui file
.exea caso dal web — il principale vettore d’infezione su Windows di consumo. - La separazione dei privilegi è imposta per impostazione predefinita. Un programma eseguito con il tuo utente normale non può modificare il sistema senza scalare a root tramite
sudo. Il malware che finisce nella tua cartella personale non può riscrivere di nascosto i binari di sistema. - Una base di utenti più piccola e tecnica. La piccola quota di mercato del desktop Linux lo rende un bersaglio meno attraente per il malware di massa che inonda Windows.
- In ogni caso, nessun antivirus di terze parti rileva bene le minacce del desktop Linux. Le minacce realistiche oggi sul desktop Linux — estensioni del browser malevole, phishing, compromissione della catena di fornitura di un pacchetto — in gran parte non sono il genere di cosa che uno scanner di firme rileva.
Niente di tutto ciò significa che Linux sia immune. Significa che la difesa giusta per un desktop è l’hardening a livelli e le buone abitudini, non uno scanner di virus.
Quando l’antivirus conta davvero su Linux
Ci sono situazioni concrete in cui eseguire un antivirus su un sistema Linux non è manutenzione facoltativa ma un requisito reale:
- File server e archiviazione condivisa. Un server Samba o NFS può conservare file innocui per Linux ma pericolosi per i client Windows che li scaricano. Scansionare i caricamenti protegge le altre macchine, non il server stesso.
- Server e gateway di posta. Un server di posta Linux gestisce abitualmente allegati diretti a Windows. Scansionare la posta in entrata al gateway è prassi standard — uno degli usi originari e maggiori di ClamAV.
- Server web che accettano caricamenti. Qualsiasi server in cui gli utenti caricano file dovrebbe scansionarli prima di archiviarli o servirli.
- Reti aziendali miste. Se una macchina Linux è un hub da cui i computer Windows prelevano file, può diventare un vettore passivo di malware Windows anche se questo non viene mai eseguito su Linux.
- Conformità. Alcune normative e audit richiedono semplicemente la presenza di uno strumento anti-malware, a prescindere dal profilo di rischio tecnico.
Il filo conduttore: su Linux, l’antivirus serve più spesso a proteggere altre macchine a valle, o a soddisfare un requisito esterno — non a difendere il desktop Linux che hai davanti.
Gli strumenti reali
Se devi davvero scansionare, questi sono gli strumenti open-source che fanno realmente il lavoro. Nessuno è un prodotto di consumo appariscente, ed è proprio questo il punto.
| Strumento | Cosa fa | Uso tipico |
|---|---|---|
| ClamAV | Scanner di virus open-source basato su firme | Scansioni su richiesta, gateway posta/file |
| rkhunter | Cacciatore di rootkit / backdoor | Controlli periodici di integrità sui server |
| chkrootkit | Rilevatore leggero di firme di rootkit | Secondo parere rapido sui rootkit |
| AIDE | Monitoraggio dell’integrità dei file | Rilevare modifiche inattese ai file di sistema |
ClamAV
ClamAV è lo scanner di virus open-source di riferimento su Linux. È più prezioso come scanner all’accesso su un server di posta o di file, ma puoi anche eseguirlo su richiesta su un desktop.
# Debian / Ubuntu
sudo apt install clamav clamav-daemon
# Fedora
sudo dnf install clamav clamd
# Aggiorna il database delle firme, poi scansiona una cartella
sudo freshclam
clamscan -r --infected /home/tuoutente/ScaricatiLe firme di ClamAV sono costruite in gran parte attorno al malware Windows, che è esattamente ciò che vuoi su un gateway che protegge client Windows. Rileverà relativamente poco che colpisce direttamente il desktop Linux — di nuovo, per progettazione.
rkhunter e chkrootkit
Questi strumenti cercano rootkit — malware progettato per nascondersi, che approfondiamo nella nostra spiegazione sui rootkit. Confrontano i binari di sistema e firme note con un database di modifiche sospette.
sudo apt install rkhunter chkrootkit
sudo rkhunter --update
sudo rkhunter --check --skip-keypress
sudo chkrootkitDue precisazioni oneste. Primo, entrambi gli strumenti producono falsi positivi — avvisi normali su un sistema sano — quindi il loro output va interpretato, non temuto. Secondo, un rootkit che ha compromesso del tutto il kernel può mentire a qualsiasi strumento eseguito su quello stesso kernel. Per un sistema che sospetti davvero compromesso, l’approccio affidabile è scansionarne il disco da un supporto di avvio fidato separato, oppure cancellare e reinstallare.
AIDE
AIDE (Advanced Intrusion Detection Environment) acquisisce un’istantanea di riferimento del tuo filesystem e ti dice cosa è cambiato da allora. Su un server, una modifica inattesa a un binario di sistema è un forte segnale che qualcosa non va — una domanda diversa e spesso più utile di «questo corrisponde a una firma di virus nota?».
Cosa protegge un desktop Linux meglio di un antivirus
Se uno scanner di virus è lo strumento principale sbagliato per un desktop, qual è quello giusto? La difesa a livelli. Ciascuna di queste misure fa più per un utente normale di uno scanner di firme:
- Tieni il sistema aggiornato. La difesa più efficace è applicare le patch. Gli aggiornamenti di sicurezza automatici chiudono le vulnerabilità su cui contano gli attacchi reali.
- Installa software solo da fonti fidate. I repository della tua distribuzione e i Flatpak verificati — non script casuali riversati in una shell né file
.debdai forum. - Isola le applicazioni a rischio. Confina browser e lettori multimediali affinché un’app compromessa non raggiunga il resto dei tuoi file. Vedi le nostre guide a Firejail e sandboxing su Linux.
- Lavora come utente normale; usa sudo con intenzione. Non navigare né lavorare mai come root. La separazione dei privilegi è la tua barriera integrata più forte.
- Rinforza kernel e servizi. Controllo degli accessi obbligatorio (AppArmor o SELinux), un firewall e la disattivazione dei servizi inutilizzati. La nostra guida all’hardening di Linux percorre questi livelli.
- Difenditi dalle minacce realistiche. Per la maggior parte degli utenti desktop, il rischio reale è il phishing e i siti malevoli, non un file virale — blocca i domini malevoli a livello di rete e resta attento all’ingegneria sociale.
Questo modello a livelli spiega anche perché «Linux è più sicuro di Windows?» sia un’impostazione sbagliata — entrambi possono essere rinforzati o lasciati esposti. Li confrontiamo direttamente in sicurezza Linux vs Windows.
FAQ
D: Linux ha bisogno di un antivirus? R: Per un computer personale tipico, no — la separazione dei privilegi, i repository firmati e una superficie d’attacco ridotta rendono poco utile uno scanner residente. L’antivirus conta soprattutto sui server Linux che gestiscono file o posta per macchine Windows, dove il suo compito è proteggere quei client a valle. La difesa desktop migliore resta aggiornamenti, isolamento e buone abitudini.
D: Linux può prendere virus? R: Linux non è immune. Esiste malware per Linux — diretto soprattutto a server, dispositivi IoT e servizi esposti — e un utente può comunque essere vittima di phishing o eseguire un pacchetto compromesso. Ma i classici virus desktop autopropaganti, contro cui è stato costruito l’antivirus di consumo, sono rari su Linux. Le minacce realistiche sono phishing, estensioni malevole e compromissione della catena di fornitura.
D: ClamAV è sufficiente? R: ClamAV è lo scanner open-source di riferimento ed è adatto al suo compito principale: scansionare posta e file su un gateway per proteggere client Windows. Come prodotto di «protezione in tempo reale» per il desktop è limitato, e le sue firme pendono verso il malware Windows. Usalo per scansioni su richiesta e gateway server, non come sostituto dell’hardening del computer.
D: Come scansiono un sistema Linux alla ricerca di malware?
R: Installa ClamAV ed esegui sudo freshclam poi clamscan -r sulla cartella da controllare. Per i rootkit, esegui rkhunter --check e chkrootkit. Interpreta gli avvisi con attenzione — entrambi gli strumenti producono falsi positivi — e se sospetti davvero una compromissione profonda, scansiona il disco da un supporto di avvio fidato separato, oppure reinstalla.
D: Qual è la migliore protezione per un desktop Linux? R: La difesa a livelli batte qualsiasi prodotto singolo: aggiornamenti di sicurezza rapidi, software solo da repository fidati, isolamento per browser e app a rischio, controllo degli accessi obbligatorio (AppArmor/SELinux), un firewall e attenzione al phishing. Uno scanner di firme è molto in basso in questa lista per un desktop.