哪是什么端口?说白了,它其实就是那门牌号。就你摆弄的那云服务器,就好比是个筒子楼,22 是 SSH 的那扇门,80 是网站的那扇门的,3306 是数据库的那扇门的,没有这个序号,快递员也就数据都不清楚该往哪儿塞放。好多人购置了服务器,安装完相关环境就那么搁置在那儿,从来都不核查瞧瞧自己家具体到底开了多少扇门,结果被人溜进来了都毫不知情根本就不知道。
别光盯着黑乎乎的窗口,也看看云厂家的“大铁门”
许多人一开始就敲入netstat -tuln,望着整屏的 :::80 亦即 0.0.0.0:22 便觉得已然毫无问题了。实际上这仅仅是瞧见了你那屋子的门是开启状态罢了。
且更为关键的是,外面那一层被称作“小区保安”的安全组,阿里云将其命名为安全组,腾讯则称其为防火墙,从本质上来说,它如同位于云端的一道巨大铁门。你屋内的门敞开着,然而楼道的铁门却处于锁闭状态,如此一来,外面的人依旧无法进入。
吐血整理:3秒定位“我家门都开在哪”
1. 于屋内进行针对水表的检查(系统内部范畴):Linux 所运用的便是那常见的三种手段。运行 netstat -tunlp 亦或 ss -tunlp,此二者为命令中最为实用的存在,得以径直查看究竟是哪一方正在监听着具体哪一个门牌号。牢记那个 PID,顺着线索展开清查即可寻觅到究竟是哪一款程序开启了对应之门。要是针对Windows而言, cmd里头去敲 netstat -ano 同样能够查看。
对于找物业询问门禁(云控制台)这件事,说是特别简单,要先登录你购买服务器的地方,接着找到实例,然后点进去查看“安全组”规则。
瞧一下“入方向”,在此罗列着的,才是切实对全球都予以开放的端口。倘若瞅见22端口之后跟了个0.0.0.0/0,其含义便是全球任何一个偏僻角落的IP都能够尝试去破解你的SSH口令。
3. 顺手去敲一敲那扇门:于你本地的电脑之上,运用telnet命令,或者借助Test-NetConnection(这专为Windows PowerShell所拥有的),径直朝着你公网的IP以及端口去敲击一番,能否贯通,即刻便原形毕露。
为啥明明装了nginx,80端口死活打不开?
多数情况下是云厂家那扇“大铁门”未开启,你需要前往安全组,手动添加一条“准许 0.0.0.0/0 访问 TCP 80 端口”的规则这儿并非是你服务器未启动,而是你未给互联网发放通行证。
血的教训:别他妈把钥匙挂门上!
最愚蠢至极的行为便是,将那 22 端口(也就是 SSH),或者 3389 端口(它是远程桌面),径直毫无保留地对整个世界开放呢。
你可曾经知晓,那黑客所使用的扫描器其勤快程度究竟怎样呢?当你才刚刚将服务器购置后,短短不到十分钟时段里,日志之中便已然全部都是尝试进行暴力破解的那些IP了。
咋整?
变换门牌号:将那默认的二十二,改换成为大于一千零二十四且是某个鬼也全然知晓不清的数字化表示形式之后一刹那间清净了此情境的将近一半程度哟。
设定门禁:于安全组当中处,来源IP仅填写你自身所在公司的IP或者家庭宽带的IP,千万别去写0.0.0.0 slash 0。
什么样的门最好始终保持关闭状态呢:21 (也就是 FTP 用于明文传输文件这个),23 (即 Telnet 是要明文传输内容的那个),445 (就是与永恒之蓝相关的那个)。要是这些门保持开放着,基本上就如同邀请黑客到你家里来搬取东西一样。
哎,没错,存在一个极其坑人的端口,那便是25号端口。好多云厂商默认处于封禁状态,若你要发送邮件,还得去进行解封操作,原因在于担心你利用服务器肆意滥发垃圾邮件。倘若你的程序无法连接到邮件端口,千万别傻乎乎地配置半天,得先瞧瞧是不是被厂家给掐断了。
一旦没什么事,那就去运行运行 nmap,瞅上一眼自己的公网 IP,瞧瞧在外面其他人眼中你家究竟开了多少扇门。要是瞅见了不该开着的,那就赶紧去安全组里把规则给删除掉。
就这些,别光收藏,赶快去把你服务器的3306(数据库为MariaDB或MySQL)以及6379(数据库为Redis)从公域网去掉,这些事物不应该毫无遮蔽地暴露在外。
Comments NOTHING