Вашият надежден партньор за уеб хостинг от 2008 г. Вземете VPS сега!
поддържа  +373 79 600002
Bulgarian Flag български
Влизам Регистрирай се
Support  +373 79 600002
Bulgarian Flag български
Регистрирай се Влизам
+373 79 600002
Вашият надежден партньор за уеб хостинг от 2008 г. Вземете VPS сега!
Изпробвайте уменията си за всички наши хостинг услуги и получете 15% отстъпка!

Използвайте код на касата:

Skills
18.08.2025
Linux

Какво обикновено е забранено по подразбиране в повечето Linux сървъри?

Когато предоставяте нов Linux сървър – независимо дали става дума за VPS, нает сървър или хоствана в облака виртуална машина – ще забележите, че системата се зарежда в умишлено минималистична и подсилена среда. Това не е пропуск, а целенасочен избор при проектирането. Съвременните дистрибуции на Linux премахват ненужните услуги и функционалности, за да намалят до минимум повърхността на атаките, да пестят системни ресурси и да предоставят на администраторите фин контрол върху това, което е разрешено. По-долу ще разгледаме най-често срещаните функции и услуги, които са деактивирани (или просто отсъстват) по подразбиране, и защо това е от значение както за сигурността, така и за оперативната ефективност.

Влизане в root SSH

Директното влизане в системата root чрез SSH е почти универсално забранено в съвременните сървърни конфигурации на Linux. Позволяването на отдалечен root достъп е очевидна уязвимост: една компрометирана парола е равносилна на пълна собственост върху системата.

Вместо това от администраторите се очаква да влизат в системата с непривилегирован потребител и да увеличават привилегиите си чрез sudo или su.

Проверка:

grep PermitRootLogin /etc/ssh/sshd_config

Трябва да видите:

PermitRootLogin no

Удостоверяване с парола в SSH

На много сървъри, предоставяни в облака, удостоверяването с парола също е забранено, което оставя SSH ключовете като единствен механизъм за удостоверяване. Ключовете са устойчиви на атаки с груба сила и значително повишават летвата за опити за неоторизиран достъп.

Традиционните инсталации на ISO може все още да позволяват влизане с парола, но най-добрата практика е да ги деактивирате незабавно.

Проверка:

grep PasswordAuthentication /etc/ssh/sshd_config

Остарели мрежови протоколи

Остарелите услуги като Telnet, FTP, Rlogin и Rsh отсъстват от съвременните сървърни компилации. Тези протоколи предават пълномощни и данни в чист текст, което ги прави лесни за прихващане.

Те са заменени от:

  • SSH за отдалечен достъп до шел

  • SFTP/FTPS за защитен трансфер на файлове

Проверка за активни услуги:

ss -tulnp

Ако не се появят портове като 21 (FTP) или 23 (Telnet), тези услуги не се изпълняват.

Графични потребителски интерфейси (GUI)

За разлика от дистрибуциите за настолни компютри, сървърните издания не се доставят с GNOME, KDE или други графични среди. Графичният интерфейс консумира памет и процесорни цикли, като същевременно въвежда допълнителни софтуерни зависимости, които могат да разширят отпечатъка върху сигурността.

Очакванията са ясни: сървърите трябва да се управляват чрез CLI през SSH.

Вериги от инструменти за разработка

Компилатори като gcc и помощни програми за изграждане като make умишлено отсъстват в повечето минимални образи на сървъри. Основанието за това е двойно:

  1. Да се намали размерът на базовия образ.

  2. За да се попречи на нападателя, ако получи достъп, да компилира злонамерени двоични файлове в движение.

Проверете дали има GCC:

gcc --version

Ако командата върне резултат not found (не е намерен), веригата от инструменти не е инсталирана.

Инсталирайте ръчно, ако е необходимо:

# Ubuntu/Debiansudo apt update && sudo apt install build-essential# RHEL/AlmaLinuxsudo dnf groupinstall “Инструменти за разработка”

ICMP (Ping)

Повечето Linux сървъри отговарят на ICMP echo заявките по подразбиране, въпреки че някои хостинг доставчици го деактивират на ниво защитна стена. Потискането на ICMP отговорите прави сървъра по-малко видим за мрежовите скенери, но също така пречи на наблюдението и диагностиката.

Тест:

ping вашия_сервър_ip

IPv6

IPv6 е разрешен по подразбиране в съвременните дистрибуции, като Ubuntu, Debian и производните на RHEL. Въпреки това много доставчици на хостинг услуги го деактивират на мрежово ниво, ако не предлагат IPv6 свързаност.

Проверете за IPv6 адреси:

ip a | grep inet6

Заключение

Излезлите от употреба Linux сървъри умишлено се предоставят в защитено, изчистено състояние. Входът в root SSH е забранен, удостоверяването с парола често е ограничено, а старите протоколи са напълно пропуснати. Не се предоставя графична среда, а компилаторите са изключени от базовите компилации.

За разлика от тях, услуги като ICMP и IPv6 остават разрешени по подразбиране, но могат да бъдат ограничени в зависимост от мерките за сигурност на доставчика.

Тази философия на “сигурност по подразбиране, възможност за разширяване по избор” гарантира, че администраторите запазват пълната си власт: сървърът разкрива само това, което е изрично необходимо за неговата роля по предназначение. Това е модел, който максимизира както оперативната сигурност, така и ефективността на работата.

Изпробвайте уменията си за всички наши хостинг услуги и получете 15% отстъпка!

Използвайте код на касата:

Skills

Кой инструмент за Linux е подобен на Putty в Windows?

Ако администрирате Linux/Unix системи от Windows, ви трябват три неща: сигурен терминал, надеждно прехвърляне на файлове и разумно управление на...

Кой инструмент за Linux е подобен на Putty в Windows?

Ако администрирате Linux/Unix системи от Windows, ви трябват три неща: сигурен терминал, надеждно прехвърляне на файлове и разумно управление на...

Как да създадете нов файл в Linux

Създаването на нови файлове е една от най-основните, но съществени задачи при работа със система Linux. Независимо дали управлявате VPS,...