Bilhete aberto 
+373 79 600002 
Chat ao vivo do Telegram 
F.A.Q 
Português
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
Linux 
SegurançaO Que É Desabilitado por Padrão na Maioria dos Servidores Linux (E Por Que Isso Importa)
Quando você provisiona um servidor Linux novo — seja um VPS, um servidor dedicado, ou uma máquina virtual hospedada na nuvem — o sistema inicia em um ambiente deliberadamente minimalista e endurecido. Isto não é uma omissão ou uma configuração incompleta. É uma filosofia de design intencional incorporada em todas as principais distribuições Linux.
As compilações modernas de servidores Linux eliminam serviços desnecessários, protocolos e interfaces para minimizar a superfície de ataque, conservar recursos do sistema e dar aos administradores controle preciso sobre o que é executado em sua infraestrutura. Compreender o que é desabilitado por padrão — e por quê — é conhecimento fundamental para qualquer administrador de sistemas, engenheiro DevOps ou desenvolvedor gerenciando cargas de trabalho em produção.
Este guia analisa os recursos e serviços mais comuns que são desabilitados ou ausentes por padrão em servidores Linux, explica a lógica de segurança e operacional por trás de cada decisão e mostra exatamente como verificar cada configuração em seu próprio sistema.
Por que “Desabilitado por Padrão” é uma Estratégia de Segurança, Não uma Limitação
O princípio em funcionamento aqui é frequentemente chamado de “seguro por padrão, extensível por escolha.” Em vez de enviar um sistema totalmente funcional e confiar que os administradores o bloqueiem, as distribuições Linux modernas enviam um sistema bloqueado e confiam que os administradores habilitam apenas o que precisam.
Esta abordagem reduz diretamente o risco de configuração incorreta — uma das principais causas de violações de servidor. Todo serviço que não está em execução é um serviço que não pode ser explorado. Todo protocolo que não está habilitado é um protocolo que não pode ser interceptado. Toda porta aberta que não existe é um ponto de entrada que os atacantes não podem sondar.
Com esse contexto estabelecido, vamos examinar cada restrição padrão em detalhes.
1. Login SSH do Root
Status: Desabilitado por padrão em praticamente todas as distribuições modernas de servidores Linux
O login direto do root via SSH é universalmente desabilitado em compilações contemporâneas de servidores Linux — e por uma excelente razão. Permitir acesso remoto ao root cria um único ponto de falha catastrófico: uma senha comprometida dá a um atacante controle completo e irrestrito sobre todo o sistema.
O fluxo de trabalho correto é fazer login como um usuário sem privilégios e escalar privilégios usando sudo ou su apenas quando necessário. Isto cria uma trilha de auditoria, limita o raio de explosão do roubo de credenciais e força ação deliberada antes de executar comandos privilegiados.
Como verificar:
grep PermitRootLogin /etc/ssh/sshd_configSaída esperada em um servidor adequadamente endurecido:
PermitRootLogin noSe você vir PermitRootLogin yes ou PermitRootLogin prohibit-password, revise sua configuração SSH imediatamente e alinhe-a com a política de segurança da sua organização.
Melhor prática:
Crie um usuário administrativo dedicado, adicione-o ao grupo sudo e certifique-se de que PermitRootLogin no está definido antes de implantar qualquer serviço voltado para o público.
2. Autenticação por Senha em SSH
Status: Desabilitado por padrão na maioria dos servidores provisionados na nuvem
Em muitas plataformas em nuvem e ambientes de hospedagem gerenciada, a autenticação por senha SSH é desabilitada completamente no momento do provisionamento. Pares de chaves SSH são o único mecanismo de autenticação aceito.
Esta é uma melhoria significativa de segurança. A autenticação por senha é vulnerável a ataques de força bruta, preenchimento de credenciais e ataques de dicionário. Chaves SSH — particularmente quando protegidas por uma frase-passe — são computacionalmente inviáveis para força bruta com a tecnologia atual.
As instalações tradicionais baseadas em ISO ainda podem permitir logins por senha por padrão, mas a melhor prática é desabilitá-los imediatamente após configurar a autenticação baseada em chave.
Como verificar:
grep PasswordAuthentication /etc/ssh/sshd_configSaída esperada:
PasswordAuthentication noComo desabilitar autenticação por senha:
Edite /etc/ssh/sshd_config e defina:
PasswordAuthentication no
PubkeyAuthentication yesDepois recarregue o daemon SSH:
# Ubuntu/Debian
sudo systemctl reload ssh
# RHEL/AlmaLinux/Rocky Linux
sudo systemctl reload sshd> Aviso: Sempre confirme que sua chave SSH está funcionando antes de desabilitar a autenticação por senha, ou você corre o risco de se trancar fora do servidor.
3. Protocolos de Rede Legados e em Texto Claro
Status: Ausentes em compilações modernas de servidores
Serviços como Telnet, FTP, Rlogin e Rsh não são instalados em imagens modernas de servidores Linux. Esses protocolos foram projetados em uma era anterior à criptografia ser uma prioridade. Eles transmitem credenciais, comandos e dados em texto claro — tornando-os trivialmente fáceis de interceptar com um analisador de pacotes em qualquer segmento de rede entre cliente e servidor.
Esses protocolos foram substituídos por alternativas seguras:
| Protocolo Legado | Substituição Segura |
|---|---|
| Telnet (porta 23) | SSH (porta 22) |
| FTP (porta 21) | SFTP ou FTPS |
| Rlogin / Rsh | SSH |
Como verificar se nenhum serviço legado está em execução:
ss -tulnpSe as portas 21 (FTP) ou 23 (Telnet) não aparecerem na saída, esses serviços não estão ativos. Se aparecerem, investigue imediatamente e remova ou desabilite-os a menos que haja um requisito específico e justificado.
4. Interfaces Gráficas do Usuário (GUI)
Status: Não instaladas em edições de servidor
As distribuições de servidor — incluindo Ubuntu Server, Debian, AlmaLinux, Rocky Linux e CentOS Stream — não vêm com ambientes de desktop gráficos como GNOME, KDE Plasma ou XFCE. Esta é uma escolha deliberada e bem fundamentada.
Um ambiente GUI:
- Consome RAM e recursos de CPU significativos que devem ser dedicados a cargas de trabalho
- Introduz um grande número de pacotes de software adicionais, cada um dos quais representa uma vulnerabilidade potencial
- É completamente desnecessário para administração de servidor, que é realizada via linha de comando sobre SSH
A expectativa é inequívoca: servidores são gerenciados através da CLI. Se você se encontrar querendo uma interface gráfica em um servidor de produção, isso geralmente é um sinal de que um processo ou fluxo de trabalho precisa ser reconsiderado.
> Nota: Ferramentas como Painéis de Controle VPS — como cPanel, Plesk ou DirectAdmin — fornecem interfaces de gerenciamento gráficas baseadas na web sem exigir que um ambiente de desktop completo seja instalado no servidor.
5. Cadeias de Ferramentas de Desenvolvimento e Compiladores
Status: Não instalados em imagens mínimas de servidor
Compiladores como gcc e utilitários de compilação como make, cmake e autoconf estão intencionalmente ausentes da maioria das imagens mínimas de servidores Linux. A lógica é dupla:
- Tamanho de imagem reduzido: Imagens mínimas são mais rápidas de implantar, mais fáceis de fazer backup e consomem menos recursos.
- Endurecimento de segurança: Se um atacante ganhar acesso a um servidor, a ausência de um compilador impede que ele compile binários maliciosos ou código de exploração diretamente no sistema. Este é um obstáculo significativo em muitas cadeias de ataque.
Como verificar:
gcc --versionSe a cadeia de ferramentas não estiver instalada, você verá:
-bash: gcc: command not foundComo instalar se necessário:
# Ubuntu/Debian
sudo apt update && sudo apt install build-essential
# RHEL/AlmaLinux/Rocky Linux
sudo dnf groupinstall "Development Tools"Instale ferramentas de desenvolvimento apenas em servidores onde a compilação é um requisito operacional genuíno — como servidores de compilação ou ambientes de desenvolvimento — e evite instalá-las em servidores de aplicação ou banco de dados de produção.
6. ICMP (Respostas de Ping)
Status: Habilitado por padrão no nível do SO; frequentemente restrito no nível de rede/firewall
Os servidores Linux respondem a solicitações de eco ICMP (ping) por padrão no nível do sistema operacional. No entanto, muitos provedores de hospedagem e plataformas em nuvem bloqueiam ICMP no firewall de rede ou no nível do grupo de segurança, tornando os servidores aparentemente inacessíveis ao ping mesmo quando estão totalmente operacionais.
Suprimir respostas ICMP torna um servidor menos detectável durante varreduras de reconhecimento de rede. No entanto, também complica o monitoramento e diagnósticos legítimos — ferramentas como ping e traceroute dependem de ICMP para funcionar corretamente.
Como testar:
ping your_server_ipComo bloquear ICMP no nível do SO usando iptables (se necessário):
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROPA decisão de bloquear ICMP deve ser tomada deliberadamente, pesando o benefício marginal de segurança contra o custo operacional para fluxos de trabalho de monitoramento e solução de problemas.
7. IPv6
Status: Habilitado por padrão na maioria das distribuições; pode ser restrito no nível do provedor
IPv6 é habilitado por padrão em distribuições Linux modernas incluindo Ubuntu, Debian, Fedora e derivados RHEL. No entanto, muitos provedores de hospedagem desabilitam IPv6 no nível de rede se sua infraestrutura não o suportar, significando que o SO pode estar configurado para IPv6 mas o servidor não terá um endereço IPv6 roteável.
Como verificar endereços IPv6:
ip a | grep inet6Se apenas ::1 (o endereço de loopback) aparecer, IPv6 não está configurado no nível de rede mesmo que esteja habilitado no SO.
Se sua carga de trabalho não requer IPv6 e seu provedor não o oferece, você pode desabilitá-lo no nível do kernel adicionando o seguinte a /etc/sysctl.conf:
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1Depois aplique a alteração:
sudo sysctl -p8. Serviços de Sistema Desnecessários e Daemons
Status: Varia por distribuição; instalações mínimas desabilitam a maioria dos serviços não essenciais
Além dos itens listados acima, as instalações mínimas de servidores Linux normalmente desabilitam ou omitem uma série de serviços que estão presentes em compilações de desktop ou totalmente funcional:
- Bluetooth — irrelevante em servidores; não instalado
- Avahi/mDNS — descoberta de rede local; desnecessário e potencialmente uma preocupação de segurança em servidores
- Cups (impressão) — sem caso de uso em um servidor
- ModemManager — irrelevante em hardware de servidor
- NetworkManager — frequentemente substituído por
systemd-networkdou configuração manual denetplanem servidores
Como auditar serviços em execução:
systemctl list-units --type=service --state=runningRevise esta lista periodicamente e desabilite qualquer serviço que não sirva a um propósito documentado naquele servidor específico.
Lista de Verificação Prática de Segurança para um Servidor Linux Recém Provisionado
Após provisionar um novo servidor — seja hospedagem web compartilhada atualizada para um VPS ou um novo servidor dedicado — execute esta lista de verificação para confirmar sua postura de segurança de linha de base:
| Verificação | Comando | Resultado Esperado | |
|---|---|---|---|
| Login SSH do root | grep PermitRootLogin /etc/ssh/sshd_config | no | |
| Autenticação por senha | grep PasswordAuthentication /etc/ssh/sshd_config | no | |
| Portas abertas | ss -tulnp | Apenas portas esperadas visíveis | |
| GCC instalado | gcc --version | command not found (a menos que necessário) | |
| Serviços em execução | systemctl list-units --type=service --state=running | Apenas serviços necessários | |
| Status IPv6 | `ip a | grep inet6` | Conforme esperado para seu ambiente |
Escolhendo o Ambiente de Hospedagem Certo para Seus Requisitos de Segurança
A postura de segurança padrão do seu servidor também é influenciada pelo ambiente de hospedagem que você escolhe. Um VPS com cPanel fornece uma interface gerenciada e baseada na web que simplifica a administração enquanto preserva o modelo de segurança Linux subjacente. Um servidor dedicado bare-metal oferece controle total sobre cada camada da pilha, do firmware ao aplicativo.
Para equipes executando aplicações web protegidas por SSL, emparelhar seu servidor com um certificado SSL adequadamente configurado é um complemento essencial ao endurecimento no nível do servidor — criptografando dados em trânsito assim como a autenticação de chave SSH protege o acesso ao servidor.
Conclusão
Os servidores Linux prontos para uso são provisionados em um estado deliberadamente seguro e simplificado. O login SSH do root é desabilitado. A autenticação por senha é restrita ou eliminada. Protocolos legados em texto claro estão ausentes. Nenhum ambiente gráfico é instalado. Compiladores e ferramentas de compilação são excluídos de imagens base.
Em contraste, serviços como respostas ICMP e IPv6 permanecem habilitados no nível do SO por padrão, mas são frequentemente restritos no nível de rede