极客技术博客’s Blog
·
Linux 服务器默认禁用的功能详解:为何禁用、常见实践与最佳实践
💡
原文中文,约11300字,阅读约需27分钟。
📝
内容提要
本文总结了Linux服务器默认禁用的功能,如网络服务、用户认证和文件权限,强调“最小权限原则”以提高安全性。理解这些默认设置有助于安全配置和维护服务器,降低攻击面和风险。
🎯
关键要点
- Linux服务器默认禁用的功能包括网络服务、用户认证、文件权限和内核特性。
- 强调“最小权限原则”,仅启用核心功能,禁用非必要组件以提高安全性。
- 默认禁用Telnet服务以防止明文传输导致的中间人攻击。
- FTP服务默认禁用,建议使用SFTP或FTPS替代。
- Web服务器(如Apache、Nginx)默认禁用,避免不必要的资源占用和安全漏洞。
- VNC和RDP服务默认禁用,建议通过SSH命令行管理服务器。
- 未使用的网络端口默认禁用,减少被恶意扫描的风险。
- Root账户远程登录默认禁用,防止暴力破解风险。
- SSH密码认证在部分发行版中默认禁用,强制使用密钥认证。
- 空密码账户和guest账户默认禁用,防止未授权访问。
- 系统账户的管理应定期审计,删除或锁定无用账户。
- 文件系统权限严格控制,防止未授权读写。
- SUID/GUID位的非必要程序默认禁用,减少权限提升风险。
- 默认严格的umask配置确保新文件权限安全。
- 内核模块和特性默认禁用以减少资源占用和漏洞风险。
- IPv6协议在许多服务器中默认禁用,避免配置混乱。
- ICMP回显请求(Ping)默认禁用,防止网络扫描。
- 日志和审计服务默认禁用以减少资源消耗,需根据需求启用。
- 非必要服务(如打印服务、邮件服务)默认禁用,进一步减少攻击面。
- Linux服务器的安全配置应理解默认设置的设计逻辑,合理调整以提升安全性。
❓
延伸问答
Linux服务器默认禁用哪些网络服务?
Linux服务器默认禁用Telnet、FTP、Web服务器(如Apache、Nginx)、VNC和RDP服务。
为什么Linux服务器禁用Telnet服务?
Telnet服务因明文传输数据,容易受到中间人攻击,因此默认禁用。
什么是最小权限原则,它在Linux服务器中如何应用?
最小权限原则是仅启用核心功能,禁用非必要组件,以减少攻击面和风险。
Linux服务器如何处理SSH密码认证?
部分Linux发行版默认禁用SSH密码认证,强制使用密钥认证以提高安全性。
为什么要禁用空密码账户和guest账户?
空密码账户和guest账户易被攻击者利用,导致未授权访问,因此默认禁用。
Linux服务器的文件系统权限是如何控制的?
Linux服务器通过严格的umask配置和文件权限控制,防止未授权读写。
➡️
