Обнаружение и блокирование нежелательных открытых портов в Linux это та задача, которую знает любой сетевой администратор.
Итак, вы являетесь сетевым администратором, и у вас есть несколько машин Linux в вашем дата-центре.
Допустим, вы обнаружили странный трафик в вашей сети.
Возможно ли, что трафик использует открытый порт на машине? Если это так, то где находится этот самый порт и как вы его закрываете?
На машинах Linux эта задача на самом деле довольно проста.
Я хочу показать вам, как найти открытый порт и закрыть его.
Я буду демонстрировать это на Ubuntu Server 18.04, хотя процесс будет схожим во многих дистрибутивах, единственное отличие будет в том, как закрыть порт.
Что вам нужно
Для этого вам понадобится только работающий экземпляр Ubuntu Server и учетная запись пользователя с привилегиями sudo.
sudo ss -tulwn | grep LISTEN
Возможны следующие варианты:
- -t Показать только сокеты TCP в Linux
- -u Показать только сокеты UDP в Linux
- -l Показать прослушивающие сокеты (например, TCP-порт 22 открыт SSHD-сервером)
- -p Список имен процессов, которые открывали сокеты
- -n Не резолвить имена сервисов
Вывод будет перечислять только порты прослушивания.
Как видите, на этой машине имеется только несколько прослушиваемых портов.
Это довольно тонкий список портов.
Если вы не уверены, какой порт соответствует какой службе, вы всегда можете узнать это в файле /etc/services.
Прочитайте этот файл с помощью команды:
less /etc/services
Вы должны увидеть список всех портов, доступных в Linux
Как закрыть порт на Linux
Скажем, вы размещаете веб-сервер на компьютере, но не хотите прослушивать порт 8080.
Вместо этого вы хотите, чтобы трафик проходил только через порты 80 (HTTP) и 443 (HTTPS).
Чтобы закрыть порт 8080, мы будем использовать команду ufw (Uncomplicated FireWall) следующим образом:
sudo ufw deny 8080
Вы должны увидеть, что правила были обновлены, а порт заблокирован.
Если вы обнаружите, что блокирование этого порта вызывает проблемы со службой или приложением, вы можете снова открыть его с помощью команды:
sudo ufw allow 8080
И это все, что нужно для поиска и закрытия порта прослушивания на Ubuntu Server 18.04.
Этот процесс должен работать в большинстве дистрибутивов, единственное предостережение – как вы блокируете порт, так как не каждый дистрибутив использует ufw.
Если выбранный вами дистрибутив использует другую команду для блокировки портов (например, sudo iptables -A INPUT -p tcp –destination-port 80 -j DROP), убедитесь, что вы знаете, как выполнить эту задачу на своих серверах.
