加固系统,从端口做起

最新推荐文章于 2025-10-09 06:19:34 发布
转载 最新推荐文章于 2025-10-09 06:19:34 发布 · 598 阅读 · 1
文章标签:

#tcp #internet #google #user #service #mysql

(1)、

 每多开放一个端口就多一份危险,这是肯定的。所以在系统里,一切不必要的端口都得关闭!

查看端口使用情况
# netstat -ant
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:33936 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 10.0.0.22:33831 207.46.107.42:1863 ESTABLISHED
tcp 0 0 10.0.0.22:43127 219.133.60.250:80 ESTABLISHED
tcp 0 0 10.0.0.22:42904 58.60.14.191:8000 ESTABLISHED
tcp 0 0 :::111 :::* LISTEN
tcp 0 0 :::80 :::* LISTEN
---------------------------------------------------------------------------------------------

那么就从最小的开始吧~
80是我开的,不理它

111呢,不了解~ 好,那就打开/etc/services看下~
sunrpc rpcbind 111/tcp portmapper rpcbind # RPC 4.0 portmapper TCP
sunrpc 111/udp portmapper rpcbind # RPC 4.0 portmapper UDP
第一列是服务名,第二列是端口号和协议类型,第三列是别名,第四列,也是就最后一列是注释来的~

到了这里,我假定你和我一样不懂英文。那么我们可以求助,但不是跑到门外大叫一场~
通过google得知,这个端口是RPC(Remote Procedure Call)服务开放的。像我这样用电脑,都是不会或极少(少到什么程序?可能到下次重装系统还是没用到两次)用到的,那不好意思,我得把你给关了

(2)、

通过services文件里的内容,我得到了三个关键字:portmapper,rpcbind,RPC
那就到services里找找看~
只找到了个rpcbind,先停了看看情况~

# netstat -ant
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:33936 0.0.0.0:* LISTEN
tcp 0 0 10.0.0.22:33831 207.46.107.42:1863 ESTABLISHED
tcp 0 0 10.0.0.22:43127 219.133.60.250:80 ESTABLISHED
tcp 0 0 10.0.0.22:42904 58.60.14.191:8000 ESTABLISHED
tcp 0 0 :::80 :::* LISTEN

OK,确定111端口是由rpcbind服务打开的,禁了就行~
---------------------------------------------------------------------------------------------
3306是mysql的端口,跳过~

33936端口无法在/etc/services中查不到任何信息,那么这个端口就有可能是随机产生的了~
那就看下这个端口是由什么进程使用的,还有就是进程的其它信息,然后顺藤摸瓜,找到“犯人”,达到我们的目的

#netstat -antp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:33936 0.0.0.0:* LISTEN 1829/rpc.statd
......

得到的信息太少了,得换一个工具才行~

# lsof -i
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
rpc.statd 1829 rpcuser 6u IPv4 7003 0t0 UDP *:733
rpc.statd 1829 rpcuser 8u IPv4 7010 0t0 UDP *:58417

(3)、

rpc.statd 1829 rpcuser 9u IPv4 7013 0t0 TCP *:33936 (LISTEN)
......

通过"lsof -i"命令,又了解到了这个进程是由rpcuser用户启动的~

那好,我们现在得去看下"rpcuser"这个用户的信息了~
#vim /etc/passwd
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin

这就可以肯定它与nfs有关系,那我也不会用到,那就把nfs相关的服务都关了吧~(不知道哪些是?google!! )
通过多次的试验,这个是nfslock使用的端口,并且是动态的,也验证了前面的猜想~

小结:
关闭一个使用固定端口的服务,我们可以通过/etc/services(在win下也有services:X:/windows/system32/dirvers/etc/services)查找相关的信息,然后直接关闭服务就行了~

而对于一个使用动态端口的服务,在不了解服务的情况下,我们最先得知的是端口,然后通过了解这个端口是由哪个进程打开的,进一步了解进程的信息,包括进程名,由哪个用户启动的等等,然后顺着这些信息去确定这是一个什么服务。一但确定下来,我们的目的也就达到了

服务器加固
bianhongxiang的专栏
04-17 744
一、信息安全防护的目标 保密性,Confidentiality 完整性,Integrity 可用性,Usability 可控制性,Controlability 不可否认性,Non-repudiation 二、安全防护环节 物理安全:各种设备/主机、机房环境 系统安全:主机或设备的操作系统 应用安全:各种网络服务、应用程序 网络安全:对网络访问的控制、防火墙规则 数据安全:信息
Windows系统安全加固方案:快速上手系统加固指南(上)
m0_68483928的博客
07-24 2796
在本指南中,我们已经详细讨论了Windows系统加固的各个方面。然而,关于IP协议的安全配置、文件权限管理、服务安全设置、安全选项以及其他安全配置的具体内容,我将留到下一部分进行讲解。请继续关注,以获取更多深入的信息和实用的安全加固技巧。
mysql常见安全加固策略
热门推荐
ilnature2008的博客
01-17 2万+
常见Mysql配置文件:linux系统下是my.conf,windows环境下是my.ini; 数据库整体安全需求:机密性、完整性、可用性; 下面以mysql 5.7版本为例,介绍mysql常见的安全策略、配置、加固方式等等,有些策略可能只针对Linux操作系统,更多策略可以参考CIS Mysql Benchmark相关文档: 1、操作系统级别安全配置 1.1不要将数据库放在系统分区
3步打造安全投屏环境:Deskreen端口限制与功能管控指南
最新发布
gitblog_00121的博客
10-09 855
在远程办公与多屏协作日益普及的今天,Deskreen作为一款能将任何带浏览器的设备转化为电脑扩展屏的工具,其安全性直接关系到用户数据安全。本文将从端口管理、功能裁剪和连接验证三个维度,提供一套适合普通用户的安全加固方案,帮助你在享受便捷投屏的同时,构建可靠的安全防线。 ## 一、端口安全:从源头控制网络访问 Deskreen的信号服务器默认使用HTTP协议进行通信,这在公共网络环境下存在数据泄...
网络安全加固-port-security--IPSG
l777x888l999的博客
08-25 717
1.端口加固安全 port-security enable #开启接口端口安全 port-security protect-action protect #端口安全检测机制 1:restrict(报警);2:protect(丢弃);3:shutdown(关闭) port-security max-mac-num 2 ...
科普文:软件架构Linux系列之【安全加固:高危端口
为无为,事无事,味无味。
10-06 1922
大家都知道,IP地址用于标识网络中的计算机。TCP/IP协议把一个IP地址和另一个IP地址连接起来,形成了网络。一台计算机上通常运行着很多服务。例如,允许客户访问网页的Web服务,允许管理员配置服务器的SSH服务,或者用于传输文件的FTP服务等。那么,怎么区分同一台计算机上的不同服务呢?为此,人们设计了端口的概念。端口由数字指定,即端口号。计算机上每种类型的服务都要提供一个端口,等待通信对端从动态端口发来的数据包。例如,Web服务常用的端口号是80(用于HTTP)或443(用于HTTPS)。
Linux服务器安全配置加固防护方法
weixin_34403693的博客
06-11 287
本文详细总结了PHP网站在Linux服务器上面的安全配置,包含PHP安全、mysql数据库安全、web服务器安全、木马查杀和防范等,很好很强大很安全。(如果需要深入的安全部署建议找专业做安全的国内公司如:Sinesafe,绿盟,启明星辰等等都是比较不错的专业做网站安全的公司) P...
加固服务器】修改默认ssh端口
看不尽的尘埃——博客
02-08 744
前言 作为一名对Web安全感兴趣的人,怎么能没有一台自己的服务器呢?最好还是购买国外的服务器。最近一段时间,发现我的服务器特别卡,于是我想找一下原因(内心想应该是被DDOS),就用SSH登录上了服务器,结果发现居然有人在暴力破解我的服务器,果然一台服务器在上线了web服务后,遭受到的暴力破解就多了,查了下IP还是国内的IP。 攻击服务器最直接的方式还是暴力破解啊,只要攻击者字典够大...
Windows Server 2008 系统加固(2)
yyj1781572的博客
02-01 508
Windowsserver2008是微软公司的服务器操作系统,相对于即将失去官方支持的windowsserver2003,windowsserver2008不仅系统和网络功能有了一定的扩展,更重要的是安全性也有了很大提高。WindowsUpdata、windows防火墙、安全配置向导、防间谍软件等功能,可以帮助用户做好基本的安全防护工作。若想完全利用这些功能,打造一个相对安全的服务器操作系统,就必须根据需要进行相应的设置。
服务器被ddos攻击?分析如何防止DDOS攻击?
weixin_30292843的博客
09-04 371
上周知名博主阮一峰的博客被DDOS攻击,导致网站无法访问而被迫迁移服务器的事情,引起了广大网友的关注及愤慨,包括小编的个人博客也曾接受过DDOS的“洗礼”,对此感同身受。所以,本文我们一起来了解下DDOS攻击并分享一些在一定程度范围内的应对方案。 关于DDOS攻击 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算...
linux网络加固操作
qq_39149099的博客
04-24 646
var/log/wtmp 历史登录,注销,启动,停机日志,lastb命令可查看登录失败的用户。编辑“/etc/ssh/sshd_config”文件。在“/etc/pam.d/login”文件后添加。/var/run/utmp 当前登录的用户信息日志,w,who命令信息来源。/var/log/auth.log 身份认证日志。/var/log/maillog 邮件服务器日志。/var/log/yum.log yum日志。/var/log/cron cron日志。/var/log/secure 认证日志。
服务器加固系统文档,手把手教你如何加固你的服务器.docx
weixin_35724881的博客
08-11 890
摘要为提升服务器安全性, 减少信息资产的泄漏风险, 我们需要对服务器进行安全加固,从系统策略、应用程序、帐号密码等各方面进行加强,避免一些低级安全问题的出现。本文基于集 团信息化安全规定,针对服务器安全配置的方法进行详细描述。并提供了服务器加固检查表模板,方便系统管理员对加固的步骤及结果进行检查。服务器安全加固检查表注意:请先将如下工具包复制到本地:网络安全 服务器安全工具包;对于操作熟练的管理员...
信息安全加固-linux系统修改SSH端口
syjhct的博客
08-26 417
SSH是标准的网络协议,可用于大多数UNIX操作系统,能够实现字符界面的远程登录管理,它默认使用22号端口,采用密文的形式在网络中传输数据。虽然采用密文的方式,但是由于目前黑客水平不断提高,系统信息安全要求提高需要更改默认端口号。 打开ssh端口配置文件:vim /etc/ssh/sshd_config,找到如下图所示的端口,改为自己想改的端口,也可以同时打开多个端口: 重启systemctl restart sshd.service SSHD服务 ssh app@10.11....
网络渗透攻击与加固
weixin_62707591的博客
06-09 1893
实施加固的目标机环境是Windows Server 2003,因此任何对于系统服务及注册表的操作均适用于Server2003,对于其他操作系统只是键值或者服务名称不同思想是相似的。② 格式:net share [ShareName=Drive:Path [{/users:number | /unlimited}]① 格式:net use h: \\ip\c$ "密码" /user:"用户名"——映射指定IP下的C盘到本地为H盘。net use \\IP\ipc$ "密码" /user :"用户名"。
三级等保 关闭111端口
xzhongb的博客
01-21 4736
三级等保 111端口关闭
NFS服务固定端口和安全加固——筑梦之路
筑梦之路
12-02 3960
NFS服务固定端口设置,主要是为了开通防火墙策略,比如网闸 这里介绍常规的和非常规两种方式的配置 1.常规配置 vim /etc/sysconfig/nfs RQUOTAD_PORT=30001 LOCKD_TCPPORT=30002 LOCKD_UDPPORT=30002 MOUNTD_PORT=30003 STATD_PORT=30004 固定的端口为30001-30004 vim /etc/modprobe.d/lockd.conf options lockd nlm_tcpport=3000.
简明的服务器安全加固建议
煜铭2011
01-04 5714
0x01 linux 基线安全 1 Linux系统端口加固     以root权限登录到Linux操作系统,首先运行“setup”命令,选择“Firewallconfiguration”,在“Security Level”里,选择“(*) Enabled”启用操作系统防火墙。 案例1:如果需要开放特定的服务,如需要开放mysql服务给任意主机使用,则编辑iptables配置文件,设置开放哪些
Linux安全加固功能,2024金三银四Linux运维大厂面试题来袭
m0_63174529的博客
04-05 418
加固分为两部分:安全加固加固shell安全加固是通过防火墙,将目前已开放的端口(netstat命令查看)放通,其他端口默认拒绝,后续也可以通过工具来放通、拒绝IP/端口的访问。加固shell是用脚本来模拟一个shell,模拟shell可执行的命令受限,并且此脚本无法通过ctrl+c、ctrl+z等快捷键退出。这个功能在护网等场景会用到。加固shell开启后,只允许vshell这一个用户登陆,其他用户(包括root)无法登陆。加固shell开启后,无法使用ftp、telnet等功能了。
Redis怎么做集群
05-09
### Redis 集群搭建与配置教程 #### 一、概述 Redis 集群是一种分布式架构,允许将数据分布在多个节点上。这种设计不仅提高了系统的可用性和可靠性,还能显著增强性能和可扩展性[^1]。 --- #### 二、环境准备 要搭建一个完整的 Redis 集群,通常需要至少三个主节点和对应的从节点(总共六个节点),以确保高可用性。以下是具体的准备工作: - **服务器数量**:推荐使用六台物理机或虚拟机作为节点,如果只是测试用途,可以将这些节点部署在同一台机器的不同端口上[^3]。 - **软件安装**: - 下载最新版本的 Redis 源码包并解压。 - 使用 `make` 命令编译源码。 - 创建必要的工作目录,例如 `/data/redis-cluster/{node-port}`[^4]。 --- #### 三、配置文件设置 每个 Redis 节点都需要单独的配置文件,下面是一个典型的配置模板: ```conf port 6379 bind 0.0.0.0 daemonize yes pidfile /var/run/redis_6379.pid logfile /var/log/redis/redis_6379.log dir /var/redis/6379 cluster-enabled yes cluster-config-file nodes-6379.conf cluster-node-timeout 5000 appendonly yes ``` - 修改以上配置中的 `port` 字段为对应节点的实际监听端口号。 - 如果是单机模拟多实例,则需调整 `dir`, `pidfile`, 和 `logfile` 参数以避免冲突[^3]。 --- #### 四、启动 Redis 节点 依次启动所有的 Redis 实例。假设已经准备好六个配置文件分别命名为 `redis6379.conf`, `redis6380.conf` 等,可以通过以下命令逐一启动: ```bash redis-server /path/to/redis6379.conf redis-server /path/to/redis6380.conf ... ``` 确认各进程正常运行后即可进入下一步。 --- #### 五、创建集群 使用 Redis 自带工具 `redis-cli --cluster create` 来初始化集群拓扑结构。具体语法如下所示: ```bash redis-cli --cluster create \ {ip}:6379 {ip}:6380 ... {ip}:{last_port} \ --cluster-replicas 1 ``` 其中 `{ip}` 替换为目标主机地址,最后附加参数 `--cluster-replicas 1` 表示每个主节点分配一名副本[^2]。 > 注意事项:此阶段会自动检测各个节点间连通状况,并完成 slot 分配任务。务必保证所有参与成员均处于在线状态。 --- #### 六、验证集群状态 登录任意一台节点执行以下指令查看健康情况: ```bash redis-cli -c -h {host_ip} -p {port} CLUSTER INFO CLUSTER NODES ``` 上述两条命令能够展示当前集群基本信息以及详细组成列表。 --- #### 七、常见问题排查 1. **节点无法加入集群** 可能原因包括防火墙阻止端口通讯或者 IP 地址绑定错误等问题。请仔细核对网络可达性及配置准确性[^3]。 2. **slot分布不均匀** 手动重新平衡负载可通过 `redis-cli --cluster rebalance` 工具辅助完成[^4]。 3. **主从切换异常** 检查是否有足够的存活哨兵监视目标分片组动态变化过程。 --- ### 总结 通过上述步骤便可以顺利建立起一套基础版 Redis 集群系统。当然,在生产环境下还需要考虑更多因素诸如安全加固、监控报警机制建设等方面内容[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值