Спестете 15% от всички хостинг услуги

Тествай уменията си и получи Отстъпка за всеки хостинг план

Използвайте код: Skills За начало
Заглавия
Linux Защита

Какво е деактивирано по подразбиране на повечето Linux сървъри (и защо е важно)

Когато осигурите нов Linux сервър — независимо дали е VPS, dedicated server, или облачна виртуална машина — системата се стартира в намерено минималистично и укрепено окръжение. Това не е надзор или непълна настройка. Това е намерена философия на проектиране, вградена във всяко основно Linux разпределение.

Съвременните Linux сървърни конфигурации премахват ненужни услуги, протоколи и интерфейси, за да минимизират повърхността на атака, да запазят системните ресурси и да дадат на администраторите прецизен контрол върху това, което работи на тяхната инфраструктура. Разбирането какво е деактивирано по подразбиране — и защо — е основно знание за всеки системен администратор, DevOps инженер или разработчик, управляващ производствени работни натоварвания.

Това ръководство разглежда най-често срещаните функции и услуги, които са деактивирани или отсъстват по подразбиране на Linux сървърите, обяснява причините за сигурност и оперативност зад всяко решение и ви показва точно как да проверите всяка настройка на вашата собствена система.

Защо „Деактивирано по подразбиране” е стратегия за сигурност, а не ограничение

Принципът, който работи тук, често се нарича „сигурно по подразбиране, разширяемо по избор.” Вместо да доставят напълно функционална система и да разчитат на администраторите да я заключат, съвременните Linux дистрибуции доставят заключена система и разчитат на администраторите да активират само това, което им е необходимо.

Този подход директно намалява риска от неправилна конфигурация — една от водещите причини за нарушения на сървърите. Всяка услуга, която не работи, е услуга, която не може да бъде експлоатирана. Всеки протокол, който не е активиран, е протокол, който не може да бъде прихванат. Всеки отворен порт, който не съществува, е точка на влизане, която нападателите не могат да сондират.

С този контекст установен, нека разгледаме всяко ограничение по подразбиране в детайли.

1. Root SSH Login

Status: Disabled by default on virtually all modern Linux server distributions

Direct root login via SSH is universally disabled in contemporary Linux server builds — and for excellent reason. Allowing remote root access creates a single catastrophic failure point: one compromised password gives an attacker complete, unrestricted control over the entire system.

The correct workflow is to log in as a non-privileged user and escalate privileges using sudo or su only when necessary. This creates an audit trail, limits the blast radius of credential theft, and forces deliberate action before executing privileged commands.

How to verify:

grep PermitRootLogin /etc/ssh/sshd_config

Expected output on a properly hardened server:

PermitRootLogin no

If you see PermitRootLogin yes or PermitRootLogin prohibit-password, review your SSH configuration immediately and align it with your organization's security policy.

Best practice:

Create a dedicated administrative user, add it to the sudo group, and ensure PermitRootLogin no is set before deploying any public-facing service.

2. Удостоверяване с парола в SSH

Статус: Деактивирано по подразбиране на повечето облачни сървъри

На много облачни платформи и управлявани хостинг среди, SSH удостоверяването с парола е напълно деактивирано при провизиониране. SSH двойки ключове са единственият приемлив механизъм за удостоверяване.

Това е значително подобрение на сигурността. Удостоверяването с парола е уязвимо на атаки с грубо налягане, попълване на учетни данни и атаки със словник. SSH ключовете — особено когато са защитени с парола — са изчислително невъзможни за атака с грубо налягане със съвременната технология.

Традиционните инсталации на базата на ISO все още могат да позволяват влизане с парола по подразбиране, но най-добрата практика е да ги деактивирате веднага след настройване на удостоверяването на базата на ключ.

Как да проверите:

grep PasswordAuthentication /etc/ssh/sshd_config

Очакван резултат:

PasswordAuthentication no

Как да деактивирате удостоверяването с парола:

Редактирайте /etc/ssh/sshd_config и задайте:

PasswordAuthentication no
PubkeyAuthentication yes

След това презаредете SSH демона:

# Ubuntu/Debian
sudo systemctl reload ssh

# RHEL/AlmaLinux/Rocky Linux
sudo systemctl reload sshd

> Внимание: Винаги потвърдете, че вашият SSH ключ работи, преди да деактивирате удостоверяването с парола, или рискувате да се заключите от сървъра.

3. Наследствени и незашифровани мрежови протоколи

Статус: Отсъстват в съвременните сървърни конфигурации

Услуги като Telnet, FTP, Rlogin и Rsh не са инсталирани в съвременните Linux сървърни образи. Тези протоколи бяха проектирани в епоха, преди криптирането да е приоритет. Те предават удостоверения, команди и данни в открит текст — което ги прави тривиално лесни за прихващане с пакетен анализатор на всеки мрежов сегмент между клиент и сървър.

Тези протоколи са замествани от защитени алтернативи:

Наследствен протоколЗащитена замяна
Telnet (порт 23)SSH (порт 22)
FTP (порт 21)SFTP или FTPS
Rlogin / RshSSH

Как да проверите, че няма активни наследствени услуги:

ss -tulnp

Ако портовете 21 (FTP) или 23 (Telnet) не се появяват в резултата, тези услуги не са активни. Ако се появяват, разследвайте незабавно и премахнете или деактивирайте ги, освен ако няма конкретно, обосновано изискване.

4. Графични потребителски интерфейси (GUI)

Статус: Не е инсталиран на серверни издания

Серверните дистрибуции — включително Ubuntu Server, Debian, AlmaLinux, Rocky Linux и CentOS Stream — не идват с графични работни среди като GNOME, KDE Plasma или XFCE. Това е умишлен и добре обоснован избор.

GUI среда:

  • Консумира значителни RAM и CPU ресурси, които трябва да бъдат посветени на работните натоварвания
  • Въвежда голям брой допълнителни софтуерни пакети, всеки от които представлява потенциална уязвимост
  • Е напълно ненужна за администриране на сървъра, което се извършва чрез командния ред над SSH

Очакванието е недвусмислено: сървърите се управляват чрез CLI. Ако се окажете, че искате графичен интерфейс на производствен сървър, това обикновено е сигнал, че процес или работен поток трябва да бъдат преразглеждани.

> Забележка: Инструменти като VPS Control Panels — като cPanel, Plesk или DirectAdmin — предоставят уеб-базирани графични интерфейси за управление без да е необходимо пълна работна среда да бъде инсталирана на сървъра.

5. Development Toolchains and Compilers

Status: Not installed in minimal server images

Compilers such as gcc and build utilities such as make, cmake, and autoconf are intentionally absent from most minimal Linux server images. The rationale is twofold:

  1. Reduced image size: Minimal images are faster to deploy, easier to back up, and consume fewer resources.
  2. Security hardening: If an attacker gains access to a server, the absence of a compiler prevents them from compiling malicious binaries or exploit code directly on the system. This is a meaningful obstacle in many attack chains.

How to verify:

gcc --version

If the toolchain is not installed, you will see:

-bash: gcc: command not found

How to install if required:

# Ubuntu/Debian
sudo apt update && sudo apt install build-essential

# RHEL/AlmaLinux/Rocky Linux
sudo dnf groupinstall "Development Tools"

Install development tools only on servers where compilation is a genuine operational requirement — such as build servers or development environments — and avoid installing them on production application or database servers.

6. ICMP (Ping Responses)

Статус: Активирано по подразбиране на ниво ОС; често ограничено на ниво мрежа/firewall

Linux сървърите отговарят на ICMP echo заявки (ping) по подразбиране на ниво операционна система. Въпреки това, много хостинг доставчици и облачни платформи блокират ICMP на ниво мрежа firewall или security group, което прави сървърите недостижими за ping дори когато работят напълно нормално.

Потискането на ICMP отговорите прави сървърът по-малко открит по време на сканиране при мрежова разузнавка. Въпреки това, това също усложнява легитимното мониториране и диагностика — инструменти като ping и traceroute разчитат на ICMP за правилното функциониране.

Как да тестирате:

ping your_server_ip

Как да блокирате ICMP на ниво ОС с помощта на iptables (ако е необходимо):

sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

Решението да блокирате ICMP трябва да бъде взето съзнателно, като се претегли маргиналната полза за сигурност срещу оперативните разходи за мониториране и отстраняване на неизправности.

7. IPv6

Статус: Активиран по подразбиране в повечето дистрибуции; може да бъде ограничен на ниво доставчик

IPv6 е активиран по подразбиране в съвременните Linux дистрибуции, включително Ubuntu, Debian, Fedora и RHEL производни. Въпреки това, много хостинг доставчици деактивират IPv6 на ниво мрежа, ако тяхната инфраструктура не го поддържа, което означава, че ОС може да бъде конфигурирана за IPv6, но сървърът няма да има маршрутизируем IPv6 адрес.

Как да проверите IPv6 адресите:

ip a | grep inet6

Ако се появи само ::1 (адресът на обратната връзка), IPv6 не е конфигуриран на ниво мрежа, дори ако е активиран в ОС.

Ако вашето работно натоварване не изисква IPv6 и вашият доставчик не го предлага, можете да го деактивирате на ниво ядро, като добавите следното към /etc/sysctl.conf:

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

След това приложете промяната:

sudo sysctl -p

8. Ненужни системни услуги и демони

Статус: Варира в зависимост от дистрибуцията; минималните инсталации деактивират повечето неосновни услуги

Освен елементите, изброени по-горе, минималните инсталации на Linux сървър обикновено деактивират или пропускат редица услуги, които присъстват на десктоп или пълнофункционални версии:

  • Bluetooth — неуместно на сървъри; не е инсталирано
  • Avahi/mDNS — локално мрежово откритие; ненужно и потенциално рисково за сигурността на сървъри
  • Cups (печат) — няма случай на употреба на сървър
  • ModemManager — неуместно на сървърния хардуер
  • NetworkManager — често замествано от systemd-networkd или ръчна netplan конфигурация на сървъри

Как да одитирате работещите услуги:

systemctl list-units --type=service --state=running

Преглеждайте този списък периодично и деактивирайте всяка услуга, която не служи на документирана цел на този конкретен сървър.

Практическа контролна листа за сигурност на новоснабден Linux сервър

След снабдяване на нов сервър — независимо дали е споделен уеб хостинг надграден на VPS или напълно нов дедициран сервър — преминете през тази контролна листа, за да потвърдите вашата базова позиция по отношение на сигурността:

ПроверкаКомандаОчакван резултат
Root SSH входgrep PermitRootLogin /etc/ssh/sshd_configno
Удостоверяване с паролаgrep PasswordAuthentication /etc/ssh/sshd_configno
Отворени портовеss -tulnpВидими само очаквани портове
GCC инсталиранgcc --versioncommand not found (освен ако не е необходимо)
Работещи услугиsystemctl list-units --type=service --state=runningСамо необходими услуги
Статус на IPv6`ip agrep inet6`Както се очаква за вашата среда

Избор на правилната хостинг среда за вашите изисквания за сигурност

Позицията по подразумеване за сигурност на вашия сървър също се влияе от хостинг средата, която избирате. A VPS with cPanel осигурява управляван, уеб-базиран интерфейс, който опростява администрирането, като запазва основния модел за сигурност на Linux. A dedicated server ви дава пълен контрол над всеки слой на стека, от фърмуер до приложение.

За екипи, които стартират SSL-защитени уеб приложения, свързването на вашия сървър с правилно конфигуриран SSL certificate е съществено допълнение към укрепването на ниво сървър — криптиране на данни при преноса точно както SSH ключ аутентификацията защитава достъпа до самия сървър.

Заключение

Linux серверите се предоставят в намерено защитено, опростено състояние. SSH достъпът на root е деактивиран. Удостоверяването с парола е ограничено или елиминирано. Липсват наследени протоколи с открит текст. Не е инсталирана графична среда. Компилаторите и инструментите за компилиране са изключени от базовите образи.

За разлика от това, услуги като ICMP отговори и IPv6 остават активирани на ниво операционна система по подразбиране, но често се ограничават на мрежово ниво или на ниво firewall в зависимост от инфраструктурата на доставчика и неговата позиция по отношение на сигурността.

Тази философия на „защитено по подразбиране, разширяемо по избор” гарантира, че администраторите запазват пълен контрол над своята среда. Сървърът разкрива само това, което е изрично необходимо за неговата предназначена роля — нищо повече. Всяка услуга, която активирате, всеки порт, който отворите, и всеки пакет, който инсталирате, е съзнателно решение с документирано обоснование.

Тази дисциплина е основата на оперативната сигурност. Това не е ограничение на Linux серверите. Това е именно това, което ги прави платформата на избор за производствена инфраструктура по целия свят.