Какво е деактивирано по подразбиране на повечето Linux сървъри (и защо е важно)

Когато подготвите нов Linux сървър — независимо дали е VPS, dedicated server или облачна виртуална машина — системата се стартира в намерено минималистично и защитено окръжение. Това не е надзор или непълна настройка. Това е намерена философия на дизайна, вградена в всяко основно Linux разпределение.

Съвременните Linux сървърни конфигурации премахват ненужни услуги, протоколи и интерфейси, за да минимизират повърхността на атака, запазят системните ресурси и дадат на администраторите точен контрол над това, което работи на техния инфраструктура. Разбирането какво е деактивирано по подразбиране — и защо — е основно знание за всеки системен администратор, DevOps инженер или разработчик, управляващ производствени работни натоварвания.

Това ръководство разглежда най-често срещаните функции и услуги, които са деактивирани или отсъстват по подразбиране на Linux сървърите, обяснява причините за сигурност и операциите зад всяко решение и показва как да проверите всяка настройка на вашата собствена система.

Защо „Деактивирано по подразбиране” е стратегия за сигурност, а не ограничение

Принципът, който работи тук, често се нарича „защитено по подразбиране, разширяемо по избор.” Вместо да доставят напълно функционална система и да разчитат на администраторите да я заключат, съвременните Linux разпределения доставят заключена система и разчитат на администраторите да активират само това, което им е необходимо.

Този подход директно намалява риска от неправилна конфигурация — една от водещите причини за нарушения на сървъра. Всяка услуга, която не работи, е услуга, която не може да бъде експлоатирана. Всеки протокол, който не е активиран, е протокол, който не може да бъде прихванат. Всеки отворен порт, който не съществува, е точка на вход, която нападателите не могат да сондират.

С този контекст установен, нека разгледаме всяко ограничение по подразбиране в детайл.

1. Root SSH вход

Статус: Деактивирано по подразбиране на практически всички съвременни Linux сървърни разпределения

Преки root вход чрез SSH е универсално деактивиран в съвременните Linux сървърни конфигурации — и по отличен причини. Позволяването на отдалечен root достъп създава една катастрофална точка на отказ: една компрометирана парола дава на нападателя пълен, неограничен контрол над цялата система.

Правилният работен процес е да влезете като непривилегиран потребител и да повишите привилегиите, използвайки sudo или su само когато е необходимо. Това създава одитен запис, ограничава радиуса на щетите от кражба на удостоверения и принуждава намеренно действие преди изпълнението на привилегирани команди.

Как да проверите:

grep PermitRootLogin /etc/ssh/sshd_config

Очакван резултат на правилно защитен сървър:

PermitRootLogin no

Ако видите PermitRootLogin yes или PermitRootLogin prohibit-password, преглеждайте вашата SSH конфигурация незабавно и приведете я в съответствие с политиката за сигурност на вашата организация.

Най-добра практика:

Създайте посветен административен потребител, добавете го към групата sudo и уверете се, че PermitRootLogin no е зададен преди развертаване на всяка публично достъпна услуга.

2. Удостоверяване с парола в SSH

Статус: Деактивирано по подразбиране на повечето облачни подготвени сървъри

На много облачни платформи и управлявани хостинг среди, SSH удостоверяването с парола е напълно деактивирано при подготовката. SSH двойките ключове са единственият приемлив механизъм за удостоверяване.

Това е значително подобрение на сигурността. Удостоверяването с парола е уязвимо на атаки с груба сила, пълнене на удостоверения и атаки на речник. SSH ключовете — особено когато са защитени с парола — са изчислително невъзможни за атака с груба сила със съвременната технология.

Традиционните инсталации на базата на ISO могат все още да позволяват парола входове по подразбиране, но най-добрата практика е да ги деактивирате веднага след настройване на удостоверяването на базата на ключ.

Как да проверите:

grep PasswordAuthentication /etc/ssh/sshd_config

Очакван резултат:

PasswordAuthentication no

Как да деактивирате удостоверяването с парола:

Редактирайте /etc/ssh/sshd_config и задайте:

PasswordAuthentication no
PubkeyAuthentication yes

След това презаредете SSH демона:

# Ubuntu/Debian
sudo systemctl reload ssh

# RHEL/AlmaLinux/Rocky Linux
sudo systemctl reload sshd

> Внимание: Винаги потвърдете, че вашият SSH ключ работи преди деактивирането на удостоверяването с парола, или рискувате да се заключите от сървъра.

3. Наследени и незашифровани мрежови протоколи

Статус: Отсъстват от съвременните сървърни конфигурации

Услуги като Telnet, FTP, Rlogin и Rsh не са инсталирани на съвременните Linux сървърни образи. Тези протоколи са проектирани в епоха, преди криптирането да е приоритет. Те предават удостоверения, команди и данни в открит текст — което ги прави тривиално лесни за прихващане с пакетен анализатор на всеки мрежов сегмент между клиент и сървър.

Тези протоколи са замествани от защитени алтернативи:

Как да проверите, че няма наследени услуги, които работят:

ss -tulnp

Ако портовете 21 (FTP) или 23 (Telnet) не се появяват в резултата, тези услуги не са активни. Ако се появят, разследвайте незабавно и премахнете или деактивирайте ги, освен ако няма конкретно, оправдано изискване.

4. Графични потребителски интерфейси (GUI)

Статус: Не са инсталирани на сървърни издания

Сървърните разпределения — включително Ubuntu Server, Debian, AlmaLinux, Rocky Linux и CentOS Stream — не се доставят с графични работни среди като GNOME, KDE Plasma или XFCE. Това е намерено и добре обосновано решение.

GUI среда:

• Консумира значителни RAM и CPU ресурси, които трябва да бъдат посветени на работни натоварвания
• Въвежда голям брой допълнителни софтуерни пакети, всеки от които представлява потенциална уязвимост
• Е напълно ненужна за администрирането на сървъра, което се извършва чрез командния ред чрез SSH

Очакванието е недвусмислено: сървърите се управляват чрез CLI. Ако се намерите в ситуация, в която искате графичен интерфейс на производствен сървър, това обикновено е сигнал, че процес или работен процес трябва да бъде преразгледан.

> Забележка: Инструменти като VPS контролни панели — като cPanel, Plesk или DirectAdmin — осигуряват уеб-базирани графични интерфейси за управление без да се изисква пълна работна среда на настолния компютър да бъде инсталирана на сървъра.

5. Развойни верижки и компилатори

Статус: Не са инсталирани в минимални сървърни образи

Компилатори като gcc и инструменти за изграждане като make, cmake и autoconf са намерено отсъстват от повечето минимални Linux сървърни образи. Причините са две:

1. Намален размер на образа: Минимални образи се развертават по-бързо, са по-лесни за резервно копиране и консумират по-малко ресурси.
2. Защита на сигурността: Ако нападателят получи достъп до сървър, отсъствието на компилатор предотвратява компилирането на злонамерени двоични файлове или код за експлоатация директно на системата. Това е смислено препятствие в много вериги на атаки.

Как да проверите:

gcc --version

Ако верижката не е инсталирана, ще видите:

-bash: gcc: command not found

Как да инсталирате, ако е необходимо:

# Ubuntu/Debian
sudo apt update && sudo apt install build-essential

# RHEL/AlmaLinux/Rocky Linux
sudo dnf groupinstall "Development Tools"

Инсталирайте инструменти за разработка само на сървъри, където компилирането е истинско оперативно изискване — като сървъри за изграждане или развойни среди — и избягвайте инсталирането им на производствени приложения или сървъри на база данни.

6. ICMP (отговори на Ping)

Статус: Активирано по подразбиране на ниво ОС; често ограничено на ниво мрежа/firewall

Linux сървърите отговарят на ICMP echo заявки (ping) по подразбиране на ниво операционна система. Въпреки това, много хостинг доставчици и облачни платформи блокират ICMP на ниво мрежов firewall или група за сигурност, което прави сървърите недостижими за ping, дори когато работят напълно.

Потискането на ICMP отговорите прави сървър по-малко открит по време на сканиране на мрежова разузнавателна дейност. Въпреки това, това също усложнява законното мониториране и диагностика — инструменти като ping и traceroute разчитат на ICMP, за да работят правилно.

Как да тествате:

ping your_server_ip

Как да блокирате ICMP на ниво ОС, използвайки iptables (ако е необходимо):

sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

Решението да блокирате ICMP трябва да бъде взето намерено, претеглящи маргиналната полза за сигурност срещу оперативната цена на работните процеси за мониториране и отстраняване на неизправности.

7. IPv6

Статус: Активирано по подразбиране в повечето разпределения; може да бъде ограничено на ниво доставчик

IPv6 е активирано по подразбиране в съвременните Linux разпределения, включително Ubuntu, Debian, Fedora и RHEL производни. Въпреки това, много хостинг доставчици деактивират IPv6 на ниво мрежа, ако техния инфраструктура не го поддържа, което означава, че ОС може да бъде конфигурирана за IPv6, но сървърът няма да има маршрутизируем IPv6 адрес.

Как да проверите за IPv6 адреси:

ip a | grep inet6

Ако само ::1 (адресът на обратната връзка) се появи, IPv6 не е конфигуриран на ниво мрежа, дори ако е активиран в ОС.

Ако вашето работно натоварване не изисква IPv6 и вашия доставчик не го предлага, можете да го деактивирате на ниво ядро, като добавите следното към /etc/sysctl.conf:

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

След това приложете промяната:

sudo sysctl -p

8. Ненужни системни услуги и демони

Статус: Варира в зависимост от разпределението; минимални инсталации деактивират повечето неосновни услуги

Отвъд елементите, изброени по-горе, минимални Linux сървърни инсталации обикновено деактивират или пропускат редица услуги, които присъстват на настолни или пълнофункционални конфигурации:

• Bluetooth — неуместно на сървърите; не е инсталирано
• Avahi/mDNS — локално мрежово откритие; ненужно и потенциално проблем за сигурност на сървърите
• Cups (печат) — няма случай на употреба на сървър
• ModemManager — неуместно на сървърния хардуер
• NetworkManager — често замествано от systemd-networkd или ръчна конфигурация на netplan на сървърите

Как да одитирате работещите услуги:

systemctl list-units --type=service --state=running

Преглеждайте този списък периодично и деактивирайте всяка услуга, която не служи на документирана цел на този конкретен сървър.

Практически контролен списък за сигурност за новоподготвен Linux сървър

След подготовката на нов сървър — независимо дали е споделен уеб хостинг надграден на VPS или напълно нов dedicated server — преминете през този контролен списък, за да потвърдите вашата базова позиция на сигурност: