VPS安全设置之端口

| | 2012/09/22 12:31 , mdy
Linux 服务器 , 评论(0) , 阅读(2457) , Via 本站原创
Tags:
对于使用VPS的站长,VPS的安全性不容忽视,安全问题第一要紧的就是端口。

查看本机开启的端口和开启该端口的程序:netstat -tlnp

[root@anagyris.com]# netstat -tlnp

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0      0 127.0.0.1:2208              0.0.0.0:*                   LISTEN      5682/hpiod
tcp        0      0 0.0.0.0:3306                0.0.0.0:*                   LISTEN      3875/mysqld
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      5653/portmap
tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN      3726/nginx.conf
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      3750/sshd
tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      3099/cupsd
tcp        0      0 127.0.0.1:2207              0.0.0.0:*                   LISTEN      5687/python

Local Address 为本机地址

Local Address 为远程地址

PID/Program name 为开启该端口的进程ID和进程名字

注意:结果中local address如果是0.0.0.0则任何主机都可以访问(其实深层意思是对方在连我的时候,对方的目的地址可以写我有的任何地址,不管是我的公网地址还是内网地址还是127.0.0.1)。如果local address是127.0.0.1则对方在连你的时候填写的目的地址必须就是这个IP(127.0.0.1)。意思就是:1.除本机外的其它电脑肯定连不上。2.就算是本机要连也必须把目的地址写成127.0.0.1才能成功,如果写成本机的公网IP也是连不上的

一个VPS为了安全最好只开启必要的端口:80端口、MySQL端口(默认3306)、SSH商品(默认22)。如果不做其它用途(比如说打印,NFS共享等)则可以把其它端口关闭,方法如下

chkconfig nfslock off

chkconfig portmap off

chkconfig cups off

chkconfig hplip off

chkconfig rpcgssd off

chkconfig rpcidmapd off

最后init 6重启,重启之后再次使用netstat -tlnp查看开启的端口会发现已经很干净了。如下:

[root@anagyris.com]# netstat -tlnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program
tcp        0      0 0.0.0.0:3306                0.0.0.0:*                   LISTEN      2359/mysqld
tcp        0      0 0.0.0.0:80                  0.0.0.0:*                   LISTEN      2174/nginx.
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      3750/sshd