鳥哥的 Linux 私房菜 -- 移除不要的服務

鸟哥的 Linux 与 ADSL 私房菜

检测 Linux 打开的服务通道（port）

最近更新日期：2002/01/28

前言：
常常看到有些人想要知道自己的 Linux 主机到底开放了多少的 port 呢？要如何来检测？通常我们知道的 port 有下面这几个：

ftp:21
telnet:23
smtp:25
http:80
pop-3:110
netbios-ssn:139
squid:3128
mysql:3306

当然还不只这些哩，如何知道 port 被打开与否呢？

检测你打开的服务有哪些？使用功能强大的 netstat 指令
在做为主机的 Linux 系统中，服务项目是越少越好！这样可以避免不必要的入侵管道喔！因此，这个时候请理解一下您的系统当中，有没有哪些服务被打开了呢？要理解自己的系统当中的服务项目，最简便的方法就是使用 netstat 了！这个东西不但简单（每一部 Linux 机器当中缺省都会安装的套件喔！），而且功能也是很不错的，例如我们在检测联机 WWW 用户的人数时，就很需要这个咚咚罗！好了，我们来看一下 netstat 的使用方法：

[vbird @tsai vbird]# netstat
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0     20 192.168.1.2:ssh       192.168.1.11:1391     ESTABLISHED
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags       Type       State         I-Node Path
unix 10     [ ]         DGRAM                    768    /dev/log
unix 2      [ ]         DGRAM                    304058
unix 2      [ ]         DGRAM                    303994
unix 2      [ ]         DGRAM                    303972
unix 2      [ ]         DGRAM                    70794
unix 2      [ ]         DGRAM                    70743
unix 2      [ ]         DGRAM                    27533
unix 2      [ ]         DGRAM                    895
unix 2      [ ]         DGRAM                    785

如上所示，单纯使用 netstat 的时候，仅『列出当前已经接通的服务项目与服务名称』所以你可以看到，由于当前仅有一个 ssh 的挂机创建成功，所以就只有显示出一个 ESTABLISHED （挂机中的意思）的项目。上面浅黄色的那一行，表示『有一个 ssh 的服务打开通道挂机中，是由远程的 192.168.1.11 这个 IP 连接到 192.168.1.2 的主机上面的这个 IP ，而挂机的通道是以 1391 这个通道连接进入 ssh 的服务中的！』。那如果我需要将所有的项目都列出来呢？

[vbird @tsai vbird]# netstat -a
AActive Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 *:pop3                  *:*                     LISTEN
tcp        0      0 *:imap                  *:*                     LISTEN
tcp        0      0 *:ftp                   *:*                     LISTEN
tcp        0      0 *:ssh                   *:*                     LISTEN
tcp        0      0 *:smtp                  *:*                     LISTEN
tcp        0     20 192.168.1.2:ssh         192.168.1.11:1391       ESTABLISHED
udp        0      0 *:1238                  *:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node Path
unix 10     [ ]         DGRAM                    768    /dev/log
unix 2      [ ]         DGRAM                    304058
unix 2      [ ]         DGRAM                    303994
unix 2      [ ]         DGRAM                    303972
unix 2      [ ]         DGRAM                    70794
unix 2      [ ]         DGRAM                    70743
unix 2      [ ]         DGRAM                    27533
unix 2      [ ]         DGRAM                    895
unix 2      [ ]         DGRAM                    785

如上所示，加入 -a 就是说将所有在机器上『监听(LISTEM)』或者是『创建挂机』的服务通通列出的意思，不过，服务的名称已经使用 /etc/services 里面的名称了，而不是使用 port 的数字！如上所示，当前我主机上面的服务共打开了

pop3
imap
ftp
ssh
smtp

等服务（就是 LISTEN 的那几个咚咚罗！）至于已经创建的服务就只有 ssh 这一个罗！那如果我想要知道 port 呢？呵呵，就使用底下的指令吧！

[vbird @tsai vbird]# netstat -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN
tcp        0     20 192.168.1.2:22          192.168.1.11:1391       ESTABLISHED
udp        0      0 0.0.0.0:1238            0.0.0.0:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node Path
unix 10     [ ]         DGRAM                    768    /dev/log
unix 2      [ ]         DGRAM                    304058
unix 2      [ ]         DGRAM                    303994
unix 2      [ ]         DGRAM                    303972
unix 2      [ ]         DGRAM                    70794
unix 2      [ ]         DGRAM                    70743
unix 2      [ ]         DGRAM                    27533
unix 2      [ ]         DGRAM                    895
unix 2      [ ]         DGRAM                    785

如上所示，我接通的服务通道只有 22 这一个，而其他的你可以参照上面的指令输出结果来对照，所以你就可以知道罗：pop3 为 110 而 imap 为 143 呵呵！就是这样罗！因此，通过此一指令，就可以轻易的理解当前主机的运作状况与服务状态罗！当然罗， netstat 的用途不止于此，您可以使用 man netstat 来查阅一番喔！相信对你的主机会有更大的理解呦！

检测你打开的通信网关（port）：使用 nmap 套件

将一些不必要的套件移除之后，再来则是要来检测一下你当前打开的网关有哪些？这时就需要使用到 nmap 这个软件了，你可以单击这里下装。
1. 安装：就是使用 rpm 安装呀！直接下达：rpm -ivh nmap-2.54BETA25-1.i386.rpm 即可。
2. 检测：下达 nmap your.host.IP ，例如我的主机 IP 为 192.168.1.2 则 nmap 192.168.1.2。
3. 限制：这个软件请千万不要去检测他人的站点，否则可能会被提交告诉喔！
4. 解除安装：如果确定运行完毕了，理解你所打开的服务之后，你可以直接将这套软件移除之，以免不小心运行后，导致别人的抗议：rpm -e nmap 即可。

网络上一些玩家都建议大家在使用 Linux 的时候，以较安全的方式来打开你的站点，当然，这是网管人员所必须要注意的事项！如果你对于网管很有兴趣的话，就一定需要注意一下这些网络安全的课题！当然罗，创建防火墙也是蛮必须的！另外，也必须常常的更新你的 Linux 套件的最新版本本的信息喔！我想，过一阵子我可能会专门辟一区来说明 RedHat 6.1 的安全升级套件的说明数据。

需要注意的是，由于你刚刚这样子下来，可能动到了系统的一些设定了，因此，对于你的 sendmail 可能会有若干的不良影响（以我为例，我完成的上面的动作之后，虽然 port 110 与 port 25 是正常的，但是寄信就是很慢很慢，这个时候，就得需要以 netconf 这个程序来重新生成 sendmail 的程序代码。）因此，建议完成的上面的动作之后，请到 mail server 那一篇文章中，看一看如何使用 netconf 来重新设定与生成 sendmail.cf 文件！

2002/ 01/01以来统计人数