对于服务器操作系统来说,对外暴露一些不必要的端口都是非常危险的。因此,在管理服务器的时候,知道开放了哪些服务器端口对于运维人员来说算是一项基本技能。下面我们来看看,怎么知道服务器开放了哪些端口。
工具/原料
CentOS7
一、在本机上查看
1、在CentOS主机上查看当前主机在监听哪些端口的命令是netstat,常用的命令是:netstat -tlunp这个命令会显示出当前主机打开的所有端口,显示结果如下所示,从图中可以看到目前主机上开放的端口tcp端口的22和25,upd的68号端口
2、而端口名称后面关联了对应的进程名称,如下面图中所示。这里需要注意的是,如果你的服务器是公网渲舫蒇芘服务器,你在公网上开放了22号端口,那么你的主机就会被公网上很多扫缛傍晷情描器扫描,然后尝试爆破你的账号密码,来黑掉你的服务器。解决方法一般是通过修改特定服务监听的端口,如下面第二张图中所示,修改后的sshd进程监听的端口有22和63213端口,那么我把这个端口暴露出去,被扫描的纪律就小很多了。
3、上面这个命令查看的是服务器上的进程对外监听的端口,但是在CentOS7中,默认会打开firewalld防火墙,如果防火墙打开后,默认情况下只会监听在22号端口,也就是说主机对外暴露的端口只有22。如下面图中所示,查看防火墙开放端口的命令是iptables-save结果如下面第二张图中所示:
4、如果想增加对外开放的端口,就需要通过防譬挝钣苈火墙的管理命令firewalld-cmd,例如我想开放80端口,那么命令就是:firewall-cmd --zon髫潋啜缅e=public --add-port=80/tcp --permanentfirewall-cmd --reload第一条命令是添加端口,第二条命令是重载防火墙。
5、看到sucess字样后,再使用iptables-save命令查看端口,可以看到,对外放开的端口增加了80.
6、如果你的服务器是内网服务器,那么是基本上你的服务器端口只会向内网放开,而不会向公网开放,如果想对公网开放,那么必须通过端口映射来实现,如下面图中所示,在服务器前端再加了一层防火墙。
7、以我使用的一款防火墙为例,登录以后,进入到管理页面,点击高级选项。然后点击里面的端口映射,就可以看到第二张图中所示的内容,会显示外部端鄹绦谟嚣口,内部服务器IP,内部端口。如果将防火墙上的8000端口映射到内部某台服务器的8000端口,那么对外开放的就是8000端口。但是如果把防火墙上的8000端口映射到内部服务器的22端口,那么实际暴露的就是22号端口。以上就是在CentOS 7主机上查看开放端口的所有内容。
二、在其他主机上通过软件侦测
1、在CentOS 7上有一个比较好用的端口侦测工具叫做nmap,首先看你的主机上是否安装了这个工具,命令是:rpm -qa | grep nmap如果安装了,那么就会显示对应的安装包。
2、安装完成了以后,就可以使用这个命令来扫描了,扫描的命令格式是:nmap ip_addressip_address就是你要扫描的主机IP地址。如下面图中所示:很快就会显示出这台CentOS7虚拟机对外暴露的端口了,而且注意,这是实际对外暴露的端口。
