Как закрыть порты в Linux?
У меня есть какой-то вопрос в закрытии порта, я думаю, что у меня есть некоторые странные вещи.
Когда я использую выполнить
это показывает, что порт 23 / TCP открыт.
Но когда я выполню
это показывает, что порт 23 / tcp закрыт.
Какой из них является правдой? Я хочу закрыть этот порт на всей моей системе, как я могу это сделать?
Nmap — отличный сканер портов, но иногда вам хочется чего-то более авторитетного. Вы можете спросить ядро, какие процессы имеют какие порты открывать, используя netstat утилиту:
Варианты, которые я дал:
- -t Только TCP
- -l Только прослушивающие порты
- -n Не ищите имена сервисов и хостов, просто отображайте номера
- -p Показать информацию о процессе (требуется привилегия root)
В этом случае мы можем видеть, что sshd прослушивает любой 0.0.0.0 порт интерфейса ( ) 22 и cupsd прослушивает 127.0.0.1 порт 631 loopback ( ). Ваш вывод может показать, что telnetd имеет локальный адрес 192.168.1.1:23 , то есть он не будет отвечать на соединения на адаптере обратной связи (например, вы не можете telnet 127.0.0.1 ).
Существуют и другие инструменты, которые отображают аналогичную информацию (например, lsof или /proc ), но netstat является наиболее широко доступным. Это даже работает на Windows ( netstat -anb ). Netstat в BSD немного отличается: вам придется использовать sockstat (1) для получения информации о процессе.
Если у вас есть идентификатор процесса и имя программы, вы можете найти процесс и убить его, если хотите закрыть порт. Для более детального управления вы можете использовать брандмауэр (iptables в Linux), чтобы ограничить доступ только определенными адресами. Возможно, вам придется отключить запуск службы. Если PID в Linux означает «-», это, вероятно, процесс ядра (например, это характерно для NFS), так что удачи в выяснении, что это такое.
Примечание: я сказал «авторитетный», потому что вам не мешают условия сети и брандмауэры. Если вы доверяете своему компьютеру, это здорово. Однако, если вы подозреваете, что вас взломали, вы не сможете доверять инструментам на своем компьютере. Замена стандартных утилит (а иногда даже системных вызовов) на те, которые скрывают определенные процессы или порты (или руткиты), является стандартной практикой для злоумышленников. Лучше всего на этом этапе сделать криминалистическую копию вашего диска и восстановить ее из резервной копии; затем используйте копию, чтобы определить, как они вошли, и закройте ее.
Источник
Как закрыть порты в Linux?
У меня есть вопрос в закрытии порта, я думаю, что у меня есть некоторые странные вещи.
Когда я использую execute
он показывает, что открыт порт 23 /TCP.
Но когда я выполняю
показывает, что порт 23 /tcp закрыт.
Какое из них верно? Я хочу закрыть этот порт на всей моей системе, как я могу это сделать?
4 ответа
Nmap — отличный сканер портов, но иногда вам нужно что-то более авторитетное. Вы можете спросить ядро, какие процессы открывают порты, используя утилиту netstat :
Параметры, которые я дал:
- -t Только TCP
- -l Только для прослушивающих портов
- -n Не искать имена сервисов и хостов, просто отображать числа
- -p Показать информацию о процессе (требуется привилегия root)
В этом случае мы видим, что sshd прослушивает любой интерфейс ( 0.0.0.0 ) порт 22, а cupsd прослушивает loopback ( 127.0.0.1 ). Вы можете показать, что telnetd имеет локальный адрес из 192.168.1.1:23 , то есть он не будет отвечать на соединения на петлевом адаптере (например, вы не можете telnet 127.0.0.1 )
Существуют и другие инструменты, которые будут отображать аналогичную информацию (например, lsof или /proc ), но netstat является наиболее широко доступным. Он работает даже в Windows ( netstat -anb ). BSD netstat немного отличается: вам нужно будет использовать sockstat (1) , чтобы получить информацию о процессе.
Как только у вас есть идентификатор процесса и имя программы, вы можете найти процесс и убить его, если хотите закрыть порт. Для более тонкого управления вы можете использовать брандмауэр (iptables для Linux) для ограничения доступа только к определенным адресам. Возможно, вам придется отключить запуск службы. Если PID является «-» в Linux, это, вероятно, процесс ядра (это часто встречается с NFS, например), так что удачи, узнав, что это такое.
Примечание. Я сказал «авторитетный», потому что вам не мешают сетевые условия и брандмауэры. Если вы доверяете своему компьютеру, это здорово. Однако, если вы подозреваете, что вас взломали, вы не сможете доверять инструментам на своем компьютере. Замена стандартных утилит (а иногда и системных вызовов) теми, которые скрывают определенные процессы или порты (руткиты a.k.a.), является стандартной практикой среди злоумышленников. Лучше всего на этом этапе сделать криминалистическую копию вашего диска и восстановить из резервной копии; затем используйте копию, чтобы определить, как они вошли и закрыть ее.
Linux-система имеет так называемый loopback-интерфейс, который предназначен для внутренней связи. Его имя хоста localhost , а его IP-адрес: 127.0.0.1 .
При запуске nmap на localhost , вы фактически запускаете portscan на интерфейсе loopback виртуальный . 192.168.1.1 — это IP-адрес вашего физического (скорее всего eth0 ).
Итак, вы запускаете nmap на двух разных сетевых интерфейсах, поэтому в открытых портах есть разница. Они оба верны.
Если у вас открыт TCP-порт 23, вполне вероятно, что вы используете сервер telnet (что не очень хорошо к его отсутствию шифрования), или у вас на вашем компьютере есть какой-то троянский конь.
Чтобы «закрыть» порт, вы можете использовать iptables
Если работает служба и прослушивает порт 23, возможно, более чистым будет остановить процесс, который прослушивает порт 23 ( вероятно, telnet ), чем для его запуска, а закрыть или заблокировать порт 23, используя iptables
Когда процесс прослушивания не выполняется на порту, даже при отсутствии блока межсетевого экрана любая попытка подключения к нему должна приводить к немедленному «отказу подключения» ( ECONNREFUSED до connect(2) )
Один из способов найти процесс (и его pid), который прослушивает порт 23, если есть такой процесс, это:
В приведенном выше -i перечислены открытые интернет-порты (как UDP, так и TCP), а -P запрещает перевод портов в имена сервисов ( через /etc/services )
После того, как вы обнаружили, что запущенный процесс прослушивает порт 23, вы можете выяснить, как это началось, посмотрев на дерево процессов (например, pstree ). Если его родительский код init (очень вероятно), вы можете рекурсивно искать имя процесса в /etc . например:.
Это должно привести вас к лучшему способу отключить его от работы в 1-м месте.
Источник
Как найти и закрыть открытый порт в linux
Итак, вы являетесь сетевым администратором, и у вас есть несколько машин Linux в вашей сети или дата-центре. Вы обнаружили странный трафик и вам требуется его определить. Возможно ли, что трафик использует открытый порт на машине? Если так, где находится порт и как вы его закроете?
На машинах с Linux эта задача на самом деле довольно проста. Я хочу показать вам, как найти открытый порт и закрыть его. Я буду демонстрировать на Ubuntu Server 18.04, хотя процесс будет схожим во многих дистрибутивах, единственное отличие будет в том, как закрыть порт.
Как найти открытый порт
К счастью, вам не нужно устанавливать какое-либо программное обеспечение, чтобы сделать эту работу. Почему? Потому что мы будем использовать команду ss (так как netstat устарел) для просмотра портов прослушивания на вашем сервере. Это будет сделано полностью из командной строки, поэтому либо войдите на свой сервер, либо используйте безопасную оболочку для доступа. Когда вы получите приглашение bash, введите команду:
Возможны следующие варианты:
-t Показать только сокеты TCP в Linux
-u Показать только сокеты UDP в Linux
-l Показать прослушивающие сокеты (например, TCP-порт 22 открыт SSHD-сервером)
-p Список имен процессов, которые открывали сокеты
-n Не разрешать имена сервисов
Вывод команды будет перечислять только прослушиваемые порты.
Наши открытые порты
Как видите, на этой машине имеется только несколько открытых портов (53, 22, 631, 445, 3306, 11211, 80, 8080).
Если вы не уверены, какой порт соответствует какой службе, вы всегда можете узнать это в файле /etc/services. Прочитайте этот файл с помощью команды:
Вы должны увидеть список всех портов, доступных для Linux.
Какой порт linux соответствует какой службе
Как закрыть порт
Скажем, вы размещаете веб-сервер на компьютере, но не хотите прослушивать порт 8080. Вместо этого вы хотите, чтобы трафик проходил только через порты 80 (HTTP) и 443 (HTTPS). Чтобы закрыть порт 8080, мы будем использовать команду ufw (Uncomplicated FireWall) следующим образом:
Вы должны увидеть, что правила были обновлены, а порт заблокирован. Если вы обнаружите, что блокирование этого порта вызывает проблемы со службой или приложением, вы можете снова открыть его с помощью команды:
И это все, что нужно для поиска и закрытия открытого порта на Ubuntu. Этот процесс должен работать в большинстве дистрибутивов, единственное предостережение — как вы блокируете порт, так как не каждый дистрибутив использует ufw. Если выбранный вами дистрибутив использует другую команду для блокировки портов (например, sudo iptables -A INPUT -p tcp —destination-port 80 -j DROP), убедитесь, что вы знаете, как выполнить эту задачу на своем сервере.
Источник
Как закрыть порты в Linux?
У меня есть вопрос в закрытом порту, я думаю, что у меня есть некоторые странные вещи.
Когда я использую выполнение
он показывает, что 23 / TCP-порт открыт.
Но когда я выполняю
он показывает, что порт 23 / tcp закрыт.
Какое из них верно? Я хочу закрыть этот порт на всей моей системе, как я могу это сделать?
Nmap – отличный сканер портов, но иногда вам нужно что-то более авторитетное. Вы можете спросить ядро, какие процессы открывают порты с помощью утилиты netstat :
Варианты, которые я дал:
- -t только TCP
- -l Только прослушивание портов
- -n Не искать службы и имена хостов, просто отображать номера
- -p Показать информацию о процессе (требуется привилегия root)
В этом случае мы можем видеть, что sshd прослушивает любой порт ( 0.0.0.0 ) 22, а cupsd прослушивает порт loopback ( 127.0.0.1 ) 631. Ваш вывод может показать, что telnetd имеет локальный адрес 192.168.1.1:23 , что означает, что он не будет отвечать на соединения на кольцевом адаптере (например, вы не можете telnet 127.0.0.1 ).
Существуют и другие инструменты, которые будут отображать аналогичную информацию (например, lsof или /proc ), но netstat является наиболее широко доступным. Он даже работает на Windows ( netstat -anb ). BSD netstat немного отличается: вам нужно будет использовать sockstat (1), чтобы получить информацию о процессе.
Когда у вас есть идентификатор процесса и имя программы, вы можете найти процесс и убить его, если хотите закрыть порт. Для более тонкого управления вы можете использовать брандмауэр (iptables для Linux) для ограничения доступа только к определенным адресам. Возможно, вам придется отключить запуск службы. Если PID является «-» в Linux, это, вероятно, процесс ядра (это часто встречается с NFS, например), так что удачи, узнав, что это такое.
Примечание. Я сказал «авторитетный», потому что вам не мешают сетевые условия и брандмауэры. Если вы доверяете своему компьютеру, это здорово. Однако, если вы подозреваете, что вас взломали, вы не сможете доверять инструментам на своем компьютере. Замена стандартных утилит (а иногда и системных вызовов) теми, которые скрывают определенные процессы или порты (ака руткитов), является стандартной практикой среди злоумышленников. Лучше всего на этом этапе сделать криминалистическую копию вашего диска и восстановить из резервной копии; затем используйте копию, чтобы определить, как они вошли и закрыть ее.
Система Linux имеет так называемый интерфейс loopback, который предназначен для внутренней связи. Его имя хоста – localhost а его IP-адрес – 127.0.0.1 .
Когда вы запускаете nmap на localhost , вы фактически запускаете portscan на виртуальном кольцевом интерфейсе. 192.168.1.1 – это IP-адрес вашего физического (скорее всего, eth0 ) интерфейса.
Таким образом, вы запускаете nmap на двух разных сетевых интерфейсах, поэтому в открытых портах есть разница. Они оба верны.
Если у вас открыт TCP-порт 23, вполне вероятно, что у вас работает сервер telnet (что не очень хорошо из-за отсутствия шифрования), или у вас на вашем компьютере есть какой-то троянский конь.
Чтобы «закрыть» порт, вы можете использовать iptables
Если вы делаете nmap localhost , это говорит вам о другой ситуации: некоторые программы на Linux работают как сервер, хотя они используются только локально. Это связано с тем, что другие программы используют их как сервер, к которому они подключаются. Поэтому оба ответа верны, поскольку вы задаете что-то другое.
Порт 23 используется для telnet. Обычно больше не используется. Попробуйте сделать nmap -sV 192.168.1.1 чтобы узнать, какая программа открывает порт.
(192 … является IP локальной сетью, поэтому результат nmap также даст другой результат из-за возможных настроек брандмауэра и т. Д.).
Если у вас есть служба, работающая и прослушивающая на порте 23, возможно, более чистая, чтобы остановить процесс, который слушает порт 23 (вероятно, telnet ), чем поддерживать его работу и закрывать или блокировать порт 23 с помощью iptables .
Если на порту нет процесса прослушивания, даже при отсутствии блока брандмауэра любая попытка подключения к нему должна привести к немедленному « ECONNREFUSED connect(2) » ( ECONNREFUSED для connect(2) )
Один из способов найти процесс (и его pid), который прослушивает порт 23, если есть такой процесс, заключается в следующем:
В приведенных выше списках открытых интернет-портов (как UDP, так и TCP) и -P запрещает перевод портов в имена сервисов (через /etc/services )
После того как вы обнаружили, что запущенный процесс прослушивает порт 23, вы можете выяснить, как это началось, посмотрев на дерево процессов (скажем, pstree ). Если его родительский init (очень вероятно), вы можете рекурсивно искать имя процесса в /etc например:
Это должно привести вас к лучшему способу отключить его от работы в 1-м месте.
Источник
