在大多数Linux服务器上,默认情况下通常禁用的是什么?
当您配置一台全新的 Linux 服务器时——无论是 VPS、裸金属 专用服务器,还是云托管的 虚拟机——您会注意到系统启动进入一个故意简约和强化的环境。这不是一个疏忽,而是一个有意的设计选择。现代的 Linux 发行版剥离了不必要的服务和功能,以最小化攻击面,节省系统资源,并给予管理员对启用内容的细粒度控制。下面我们将分析默认情况下禁用(或根本不存在)的最常见功能和服务,以及这对安全性和操作效率的重要性。
根 SSH 登录
在当代 Linux 服务器构建中,直接通过 SSH 进行根登录几乎是普遍禁用的。允许远程根访问是一个明显的漏洞:一个被攻破的密码就等于完全控制系统。
相反,管理员应该使用非特权用户登录,并通过 sudo 或 su 提升权限。
验证:
您应该看到:
SSH 中的密码认证
在许多云配置的服务器上,密码认证也被禁用,留下 SSH 密钥 作为唯一的认证机制。密钥抵抗暴力攻击,并显著提高了未授权访问尝试的门槛。
传统的 ISO 安装可能仍然允许密码登录,但最佳实践是立即禁用它们。
验证:
已弃用的网络协议
现代服务器构建中缺少传统服务,如 Telnet、FTP、Rlogin 和 Rsh。这些协议以明文传输凭据和数据,使其容易被拦截。
它们已被以下协议取代:
SSH 用于远程 shell 访问
SFTP/FTPS 用于安全文件传输
检查活动服务:
如果端口 21(FTP)或 23(Telnet)未出现,则这些服务未在运行。
图形用户界面 (GUI)
与桌面发行版不同,服务器版本不附带 GNOME、KDE 或其他图形环境。GUI 消耗内存和 CPU 周期,同时引入额外的软件依赖,这可能扩大安全足迹。
期望是明确的:服务器应通过 CLI 通过 SSH 进行管理。
开发工具链
编译器如 gcc 和构建工具如 make 在大多数最小化服务器镜像中故意缺失。其理由有两个:
减少基础镜像大小。
防止攻击者在获得访问权限后即时编译恶意二进制文件。
检查 GCC 是否存在:
如果命令返回 未找到,则工具链未安装。
如有需要手动安装:
ICMP (Ping)
大多数 Linux 服务器默认响应 ICMP 回显请求,尽管一些托管提供商在防火墙级别禁用它。抑制 ICMP 回复使服务器在网络扫描中不那么可见,但这也会干扰监控和诊断。
测试:
IPv6
在现代发行版如 Ubuntu、Debian 和 RHEL 衍生版中,IPv6 默认启用。然而,如果托管提供商不提供 IPv6 连接,则许多提供商在网络级别禁用它。
检查 IPv6 地址:
结论
开箱即用的 Linux 服务器故意以安全、精简的状态配置。根 SSH 登录被禁用,密码认证通常受到限制,传统协议被完全省略。没有提供图形环境,编译器也被排除在基础构建之外。
相比之下,像 ICMP 和 IPv6 这样的服务默认保持启用,但可能会根据提供商的安全态度受到限制。
这种“默认安全,按需扩展”的理念确保了管理员保留完全的自主权:服务器仅暴露其预期角色所明确要求的内容。这是一种最大化操作安全性和性能效率的模型。