Linux端口管理指南：详解端口开启、关闭及安全配置

日期：2025-01-08 20:48:05 作者：创始人浏览：0

proxylinux

Linux打开端口命令？

1.使用netstat-apn检查哪些端口被打开。

2.停止端口号：iptables-AINPUT-ptcp--drop端口号-jDROP，iptables-AOUTPUT-ptcp--dport

端口号-jDROP。

3.开放端口号：iptables-AINPUT-ptcp--dport端口号-jACCEPT。

4.下面介绍如何使用Linux打开端口命令。
nc-lp22（打开端口22，即telnet），netstat-a|grep22（检查端口22是否打开）。

5.Linux打开每个端口的端口命令。

停止端口号：iptables-AINPUT-ptcp--drop端口号-jDROP，iptables-AOUTPUT-ptcp--dport

端口号-jDROP。

详细信息：

liunx常用端口详细说明：

1.端口：7

服务：Echo

描述：当很多人搜索FraggleAmplifiers时，您可能会看到通过X.X.X.0和X.X.X.255发送的信息。

2.端口：21

服务：FTP

说明：FTP服务器开放的端口，用于上传和下载。
最常见的攻击者使用它来寻找打开匿名FTP服务器的方法。
这些服务器带有可读可写的目录。
木马DollyTrojan、Fore、InvisibleFTP、WebEx、WinCrash和BladeRunner打开的端口。

3.端口：22

服务：Ssh

说明：PcAnywhere建立的TCP与此端口之间的连接可能会导致ssh发现。
这项服务有几个弱点。
许多使用RSAREF库的版本如果以特定模式配置，将会存在多个漏洞。

4.端口：23

服务：Telnet

描述：远程登录入侵者正在搜索远程登录Unix服务。
在大多数情况下，将扫描此端口以查找计算机正在运行的操作系统。
完成了。
入侵者还可以通过其他技术找到密码。
TinyTelnetServer木马打开此端口。

5.端口：25

服务：SMTP

描述：SMTP服务器开放的端口，用于发送电子邮件。
入侵者寻找SMTP服务器来传递垃圾邮件。
入侵者的帐户被锁定，他们需要连接到高带宽电子邮件服务器才能将简单的消息传递到不同的地址。
TrojanAntigen、EmailPasswordSender、Hebucosida、ShrilitzStealth、WinPC和WinSpy均开放此端口。

6.端口：53

服务：DomainNameServer（DNS）

描述：DNS服务器开放的端口，入侵者可能会尝试进行区域传输（TCP）、DNS（UDP）欺骗或隐藏其他通讯。
因此防火墙经常过滤或记录此端口。

7.端口：80

服务：HTTP

描述：用于网页浏览。
木马执行器打开此端口。

8.端口：102

服务：MessageTransferAgent(MTA)-X.400overTCP/IP

描述：消息传输代理。

9.端口：110

服务：POP3

说明：POP3（邮局协议）服务器开放此端口接收邮件客户端服务器端邮件访问服务。
至少有20个与用户名和密码交换缓冲区相关的漏洞，这意味着入侵者实际上可以登录系统。
缓冲区溢出错误

10。
端口：137、138、139

服务：NETBIOSNameService

注意：137和138是通过网上邻居139的UDP端口。
传输文件时：通过此端口的传入连接尝试获取NetBIOS/SMB服务。
该协议用于Windows文件和打印机共享以及SAMBA。
,WINSRegistration也使用它。

11.端口：143

服务：InterimMailAccessProtocolv2

注意：与POP3一样，许多IMAP服务器都存在安全问题，包括缓冲区溢出漏洞。

记住：LINUX蠕虫（admv0rm）通过该端口进行繁殖，因此会对该端口进行多次扫描。
由于REDHAT在其LINUX发行版中默认允许IMAP，但

12端口：161

服务：SNMP

说明：允许远程管理SMTP设备。
所有配置和操作信息都存储在数据库中，并且可以通过SMTP检索。
许多管理员会犯错误，配置会暴露在互联网上。
黑客将尝试使用公共和私人默认密码访问系统。
他们可以尝试所有可能的组合。

SNMP数据包可能被错误地定向到用户的网络。

13.端口：389

服务：PDAF、ILS

描述：轻量级目录访问协议和NetMeetingInternetLocatorServer共享此端口。

14.端口：443

服务：HTTPS

描述：Web浏览端口，可以提供加密等通过安全端口传输的HTTP类型。

15.端口：993

服务：IMAP

描述：SSL(SecureSocketslayer)

服务：SQL

描述：MicrosoftSQL服务打开的端口。

17.端口：1503

服务：NetMeetingT.120

描述：NetMeetingT.120

18。
p>

服务：NetMeeting

描述：NetMeetingH.233callSetup。

19.港口：1731

服务：NetMeetingAudioCallControl

描述：NetMeeting音频呼叫控制。

20。
端口：3389

服务：超级终端

注：WINDOWS2000终端开放此端口。

21.端口：4000

服务：QQ客户端

说明：腾讯QQ客户端开放此端口。

22.端口：5631

服务：pcAnywere

注意：有时您会看到针对此端口的多次扫描，具体取决于用户的位置。
当用户打开pcAnywere时，它会自动扫描LANC类网络，寻找潜在的代理（这里的代理是指代理而不是代理）。
入侵者也会寻找具有此类服务的计算机。
因此应检查本次扫描的源地址。
PCAnywere检测到的一些扫描数据包通常包含端口22上的UDP数据包。

23.端口：6970

服务：RealAudio

描述：RealAudio客户端将从服务器的UDP端口6970-7170接收音频数据流。
这是由端口TCP-7070上的传出控制连接设置的。

24.端口：7323

服务：

描述：Sygate服务器。

25。
端口：8000

服务：OICQ

说明：腾讯QQ服务器开放此端口。

26.端口：8010

服务：Wingate

描述：Wingate代理打开此端口。

27.端口：8080

服务：代理端口

说明：WWW代理开放此端口。

Linux下如何开机自动启动jar包？

python{goagentfolder}/local/

addto-startup.py

或者：Python{goagentfolder}/local/

proxy.py（运行后，无图标）

您可能需要先安装一些东西。

Linux安全之SSL基础

Linux系统中的网络安全极其重要，其中SSL（SecureSocketsLayer）及其后继者TLS（TransportLayerSecurity）发挥着关键作用。
它们通过加密传输层和应用层之间的网络连接来确保数据的安全性和完整性。
SSH（SecureShell）作为SSL的重要应用，提供安全的远程连接服务。
OpenSSH和dropbear都是SSH的开源实现，各自有各自的适用场景。
SSH协议，特别是OpenSSH，是Linux系统中的标准工具。
支持SSH、SCP、SFTP等多种功能。
客户端工具丰富，例如xshell、securecrt等，服务器端主要通过Linux上的sshd进行工作。
SSH连接过程包括客户端连接、认证、命令执行等步骤。
使用SSH时，基本命令格式和身份验证方法（基于密码或密钥）是必备知识。
scp用于安全地复制文件，而rsync利用SSH提供高效、安全的文件同步。
为了确保SSH服务的最佳安全实践，您必须了解服务器和客户端配置文件设置。
虽然telnet也有它的用处，但是现在更推荐使用SSH，因为它没有加密。
例如，SSH命令的使用以及示例的scp和rsync命令都体现了SSH在Linux安全中的中心地位。

linux系统禁用ssh/tls/ssl3DES和DES弱加密算法

为了保证SSH、TLS、SSL的安全，需要禁用3DES、DES等弱加密算法。
本指南将提供在Linux系统中实现此目的的详细步骤。
首先，使用nmap扫描工具测试SSH服务。
输入命令`nmap-sV-p10004--scriptssl-enum-ciphersserverIP`，可以观察到使用的是C级3DES算法。
一般来说，A级算法被认为符合安全标准。
对于Apache服务器，禁止使用3DES加密算法。
在Apache配置文件（例如“apache/conf/extra/https-ssl.conf”或“*.conf”文件）中，查找“SSLCipherSuite”和“SSLProtocol”。
删除不支持的3DES算法。
在Tomcat中，在`server.xml`文件中找到https端口的配置。
添加`Ciphers="..."`属性以确保仅包含受支持的加密算法并避免添加不安全的算法。
修改后的配置可以参考以下示例：`Ciphers="TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA、TLS_DHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA256、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"`。
重新启动Tomcat以确保更改生效。
在Tomcat的bin目录下，执行./shutdown.sh关闭服务，然后执行./startup.sh启动服务。
对于Nginx服务器，需要在nginx.conf文件中配置HTTPS端口的加密策略。
确保“ssl_certificate”和“ssl_certificate_key”指向正确的SSL证书和私钥文件。
使用以下配置禁用3DES算法：`ssl_ciphers"ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA"`。
重新启动Nginx服务。
在不同的CentOS版本中，执行`servicenginxrestart`或`systemctlrestartnginx`即可完成重启。
至此，3DES算法已经成功禁用。
再次使用nmap扫描来验证服务器安全配置。
对于SSH服务，修改`/etc/ssh/sshd_config`文件并在配置中添加`Ciphers=-3des-cbc`以禁用3DES加密算法。
重新启动SSH服务以确保更改生效并执行“/etc/init.d/sshdrestart”。
测试SSH连接时，使用`ssh-t`或`ssh-vv-oCiphers=3des-cbcserverip`命令进行测试。
通过更高级别、更安全的加密算法确保SSH连接的安全。

求助.编译libcurl+ssl的时候一直不支持ssl-CSDN论坛

原因是Linux有SELinux保护模式。
1.如何关闭SELINUX：vi/etclinux/config。
您需要将SELINUX=enforcing更改为SELINUX=disabled并重新启动。
2.如何不关闭SELINUX：#setenforce0#chcon-c-v-R-usystem_u-robject_r-ttextrel_shlib_t/usr/local/apache/modules/libphp5.so#servicehttpdrestart#setenforce1