Ваш надійний партнер з веб-хостингу з 2008 року. Отримати VPS зараз!
Підтримка  +373 79 600002
Ukrainian Flag Українська
Логін Зареєструватися
Support  +373 79 600002
Ukrainian Flag Українська
Зареєструватися Логін
+373 79 600002
Ваш надійний партнер з веб-хостингу з 2008 року. Отримати VPS зараз!
Перевірте свої навички на всіх наших хостингових послугах та отримайте знижку 15%!

Використовуйте код під час оформлення замовлення:

Skills
18.08.2025
Linux

Що зазвичай вимкнено за замовчуванням на більшості серверів Linux?

Коли ви встановлюєте новий сервер Linux – чи то VPS, чи то виділений сервер, чи то віртуальну машину, розміщену у хмарі – ви помітите, що система завантажується у навмисно мінімалістичному та жорсткому середовищі. Це не недогляд, а навмисний вибір при проектуванні. Сучасні дистрибутиви Linux прибирають непотрібні сервіси та функції, щоб мінімізувати поле для атак, зберегти системні ресурси і дати адміністраторам можливість тонкого контролю над тим, що ввімкнено. Нижче ми розглянемо найпоширеніші функції та служби, які вимкнені (або просто відсутні) за замовчуванням, і чому це важливо як для безпеки, так і для ефективності роботи.

Привілейований вхід по SSH

Прямий вхід від імені користувача root через SSH майже повсюдно вимкнено в сучасних збірках серверів Linux. Дозвіл віддаленого доступу до прав суперкористувача є кричущою вразливістю: один скомпрометований пароль прирівнюється до повного володіння системою.

Замість цього адміністратори повинні входити в систему від імені непривілейованого користувача і підвищувати привілеї за допомогою sudo або su.

Перевірка:

grep PermitRootLogin /etc/ssh/sshd_config

Ви повинні побачити:

PermitRootLogin no

Автентифікація за допомогою пароля в SSH

На багатьох хмарних серверах автентифікація за допомогою пароля також вимкнена, і єдиним механізмом автентифікації залишаються ключі SSH. Ключі стійкі до атак грубої сили і значно підвищують планку для спроб несанкціонованого доступу.

Традиційні інсталяції ISO все ще можуть дозволяти вхід за паролем, але найкращою практикою є негайне вимкнення такого входу.

Перевірка:

grep PasswordAuthentication /etc/ssh/sshd_config

Застарілі мережеві протоколи

Застарілі сервіси, такі як Telnet, FTP, Rlogin і Rsh, відсутні в сучасних збірках серверів. Ці протоколи передають облікові дані та дані у вигляді відкритого тексту, що робить їх тривіальними для перехоплення.

Вони були витіснені:

  • SSH для віддаленого доступу до командного інтерпретатора

  • SFTP/FTPS для безпечної передачі файлів

Перевірте наявність активних служб:

ss -tulnp

Якщо порти 21 (FTP) або 23 (Telnet) не відображаються, ці служби не працюють.

Графічні інтерфейси користувача (GUI)

На відміну від дистрибутивів для настільних комп’ютерів, серверні версії не постачаються з GNOME, KDE або іншими графічними середовищами. Графічний інтерфейс споживає пам’ять і процесорні цикли, створюючи додаткові програмні залежності, які можуть збільшити ризик для безпеки.

Очікування зрозумілі: серверами слід керувати за допомогою CLI через SSH.

Інструментарій для розробки

Компілятори, такі як gcc, та утиліти збірки, такі як make, навмисно відсутні у більшості мінімальних образів серверів. Це зумовлено двома причинами:

  1. Зменшити розмір базового образу.

  2. Щоб не дати зловмиснику, якщо він отримає доступ, скомпілювати шкідливі двійкові файли “на льоту”.

Перевірте наявність GCC:

gcc --version

Якщо команда повертає не знайдено, набір інструментів не встановлено.

Якщо потрібно, встановіть його вручну:

# Ubuntu/Debiansudo apt update && sudo apt install build-essential# RHEL/AlmaLinuxsudo dnf groupinstall “Development Tools”

ICMP (Ping)

Більшість серверів Linux за замовчуванням відповідають на ехо-запити ICMP, хоча деякі хостинг-провайдери відключають цю функцію на рівні брандмауера. Придушення відповідей ICMP робить сервер менш видимим для мережевого сканування, але це також заважає моніторингу та діагностиці.

Перевірте:

ping ваш_сервер_ip

IPv6

IPv6 в сучасних дистрибутивах, таких як Ubuntu, Debian і похідні RHEL, увімкнено за замовчуванням. Однак багато хостинг-провайдерів відключають його на мережевому рівні, якщо вони не пропонують підключення за протоколом IPv6.

Перевірте наявність адрес IPv6:

ip a | grep inet6

Висновок

Готові сервери Linux навмисно надаються в безпечному, урізаному стані. Root SSH-логін вимкнено, автентифікація за допомогою пароля часто обмежена, а застарілі протоколи повністю відсутні. Графічне середовище не надається, а компілятори виключені з базових збірок.

Натомість такі сервіси, як ICMP та IPv6, залишаються увімкненими за замовчуванням, але можуть бути обмежені залежно від політики безпеки провайдера.

Ця філософія “безпечно за замовчуванням, розширюється за бажанням” гарантує, що адміністратори зберігають повну свободу дій: сервер розкриває лише те, що явно потрібно для його призначення. Ця модель максимізує як операційну безпеку, так і ефективність роботи.

Перевірте свої навички на всіх наших хостингових послугах та отримайте знижку 15%!

Використовуйте код під час оформлення замовлення:

Skills

Шпаклівка у Windows схожа на який інструмент Linux?

Якщо ви адмініструєте системи Linux/Unix з Windows, вам потрібні три речі: безпечний термінал, надійна передача файлів і розумне керування ключами....

Шпаклівка у Windows схожа на який інструмент Linux?

Якщо ви адмініструєте системи Linux/Unix з Windows, вам потрібні три речі: безпечний термінал, надійна передача файлів і розумне керування ключами....

Як створити новий файл у Linux

Створення нових файлів – одне з найпростіших, але дуже важливих завдань при роботі в системі Linux. Незалежно від того, чи...