Какво обикновено е забранено по подразбиране в повечето Linux сървъри?

Когато предоставяте нов Linux сървър – независимо дали става дума за VPS, нает сървър или хоствана в облака виртуална машина – ще забележите, че системата се зарежда в умишлено минималистична и подсилена среда. Това не е пропуск, а целенасочен избор при проектирането. Съвременните дистрибуции на Linux премахват ненужните услуги и функционалности, за да намалят до минимум повърхността на атаките, да пестят системни ресурси и да предоставят на администраторите фин контрол върху това, което е разрешено. По-долу ще разгледаме най-често срещаните функции и услуги, които са деактивирани (или просто отсъстват) по подразбиране, и защо това е от значение както за сигурността, така и за оперативната ефективност.

Влизане в root SSH

Директното влизане в системата root чрез SSH е почти универсално забранено в съвременните сървърни конфигурации на Linux. Позволяването на отдалечен root достъп е очевидна уязвимост: една компрометирана парола е равносилна на пълна собственост върху системата.

Вместо това от администраторите се очаква да влизат в системата с непривилегирован потребител и да увеличават привилегиите си чрез sudo или su.

Проверка:

Трябва да видите:

Удостоверяване с парола в SSH

На много сървъри, предоставяни в облака, удостоверяването с парола също е забранено, което оставя SSH ключовете като единствен механизъм за удостоверяване. Ключовете са устойчиви на атаки с груба сила и значително повишават летвата за опити за неоторизиран достъп.

Традиционните инсталации на ISO може все още да позволяват влизане с парола, но най-добрата практика е да ги деактивирате незабавно.

Проверка:

Остарели мрежови протоколи

Остарелите услуги като Telnet, FTP, Rlogin и Rsh отсъстват от съвременните сървърни компилации. Тези протоколи предават пълномощни и данни в чист текст, което ги прави лесни за прихващане.

Те са заменени от:

• SSH за отдалечен достъп до шел

• SFTP/FTPS за защитен трансфер на файлове

Проверка за активни услуги:

Ако не се появят портове като 21 (FTP) или 23 (Telnet), тези услуги не се изпълняват.

Графични потребителски интерфейси (GUI)

За разлика от дистрибуциите за настолни компютри, сървърните издания не се доставят с GNOME, KDE или други графични среди. Графичният интерфейс консумира памет и процесорни цикли, като същевременно въвежда допълнителни софтуерни зависимости, които могат да разширят отпечатъка върху сигурността.

Очакванията са ясни: сървърите трябва да се управляват чрез CLI през SSH.

Вериги от инструменти за разработка

Компилатори като gcc и помощни програми за изграждане като make умишлено отсъстват в повечето минимални образи на сървъри. Основанието за това е двойно:

1. Да се намали размерът на базовия образ.

2. За да се попречи на нападателя, ако получи достъп, да компилира злонамерени двоични файлове в движение.

Проверете дали има GCC:

Ако командата върне резултат not found (не е намерен), веригата от инструменти не е инсталирана.

Инсталирайте ръчно, ако е необходимо:

ICMP (Ping)

Повечето Linux сървъри отговарят на ICMP echo заявките по подразбиране, въпреки че някои хостинг доставчици го деактивират на ниво защитна стена. Потискането на ICMP отговорите прави сървъра по-малко видим за мрежовите скенери, но също така пречи на наблюдението и диагностиката.

Тест:

IPv6

IPv6 е разрешен по подразбиране в съвременните дистрибуции, като Ubuntu, Debian и производните на RHEL. Въпреки това много доставчици на хостинг услуги го деактивират на мрежово ниво, ако не предлагат IPv6 свързаност.

Проверете за IPv6 адреси:

Заключение

Излезлите от употреба Linux сървъри умишлено се предоставят в защитено, изчистено състояние. Входът в root SSH е забранен, удостоверяването с парола често е ограничено, а старите протоколи са напълно пропуснати. Не се предоставя графична среда, а компилаторите са изключени от базовите компилации.

За разлика от тях, услуги като ICMP и IPv6 остават разрешени по подразбиране, но могат да бъдат ограничени в зависимост от мерките за сигурност на доставчика.

Тази философия на “сигурност по подразбиране, възможност за разширяване по избор” гарантира, че администраторите запазват пълната си власт: сървърът разкрива само това, което е изрично необходимо за неговата роля по предназначение. Това е модел, който максимизира както оперативната сигурност, така и ефективността на работата.