良许Linux教程网 干货合集 Linux保障网络安全,掌握端口监听!

Linux保障网络安全,掌握端口监听!

你有没有想过,在你的Linux系统上开启了多少端口?这些端口是否都是必需开启的?每一个开启的端口都意味着你的系统留给黑客攻击的余地。为了保障你的系统安全,我们需要了解Linux端口监听技术。本文将为你介绍端口监听的基本概念,以及如何在Linux系统中掌握端口监听技术。

不知道你有没有遇到过这种问题:在同一台物理机器上,服务A 启动时侦听 端口1 ,同时它也作为客户端去连接 服务B,连接服务B时候会随机一个端口号,假如随机的是 端口2 ,这个时候 服务C 正在启动中,它发现需要侦听的端口号已经被 服务A的随机端口 ( 端口号2 ) 占用了,导致服务C 启动失败

如何解决Linux下侦听端口被占用如何解决Linux下侦听端口被占用
如何解决Linux下侦听端口被占用如何解决Linux下侦听端口被占用

上述的问题是 服务器 侦听的端口 被客户端随机的端口给占用掉了,导致服务器无法启动,接下来将介绍 这种情况出现的原因以及如何解决该问题

如何随机端口号

要弄清楚问题的原因,先需要了解下系统是如何随机端口号的

Linux 下 /proc/sys/net/ipv4/ip_local_port_range 定义了本地端口的范围,此文件有两个整形参数,分别表示本地最小端口号和最大端口号

客户端调用 connect 函数连接服务器的时候,操作系统会从本地端口范围中随机一个没有使用的端口,作为本次连接的源端口号,如果没有可用的随机端口,则连接出错

在早期的 Linux 版本中,本地端口范围是从 1024 到 5000 ,总共有 3976 个端口可用,随着网络应用的不断增多,并发连接也会达到新的量级,端口范围可能会不够用,所以,新的 Linux 版本调整了本地端口的范围

下面是在 Linux 3.10 下查看的结果

[root@cghost22 ~]# cat /proc/sys/net/ipv4/ip_local_port_range 
32768   61000 

注意:1024 以下的端口是系统保留端口,如果想修改 ip_local_port_range 中的端口, 确保都要大于1024

如何解决

通过对随机端口的了解以及对问题的分析,有以下几种解决方案

调整服务器启动顺序

前面提到,服务A 作为客户端先连接 服务B,客户端随机的源端口 和 服务C 的侦听端口重复了,导致 服务C 侦听失败

如果是这样,那么调整下服务启动顺序,让 服务C 在 服务A 之前启动,这样就能保证 服务C 先侦听端口,后面 服务A 再随机端口就不会和 服务C 的侦听端口 重复了

让 某些服务 需要先于另一些 服务 启动,会增加 服务 之间的耦合度,在设计中需要尽量避免这么做

退一步说,即使这么做了,如果后面 服务C 重启,在它重启的过程中,服务A 恰好正在重新连接 服务B, 此时还是有可能出现 服务A 随机的端口 和 服务C 的 侦听端口重复,当该端口 先被 服务A 使用了,那么 服务C 还是会侦听失败的

修改侦听端口

从上面 随机端口 小节可知,侦听端口 和 随机端口出现重复的原因是 侦听端口刚好处于 随机端口的范围中,所以随机端口才有几率出现和侦听端口相同

只要修改下 侦听端口 ,使之不会出现在 随机端口范围中,比如:把随机端口范围设置为 32768-61000,再把侦听端口设置为 1024-32767 之间的一个值, 这样随机端口 和 侦听端口 就不会出现重复了

如此做确实能解决问题,但是 修改 服务 的侦听端口,跟该 服务 有逻辑关系上下游都需要做相应的调整,如果项目已经上线了,还需要走一套发布更新流程,需要花费不少时间,如果项目还在开发中,可以直接修改侦听端口

设置本地保留端口

这种方法是将 侦听端口 添加到 本地保留端口列表中,系统在随机端口的时候,会过滤掉本地保留端口列表中配置的端口号, 服务只需要做任何改动,只需要重启下端口重复了的两个 服务 即可

本地保留端口的配置位于 /proc/sys/net/ipv4/ip_local_reserved_ports , 它支持端口范围以及单个端口号的配置,单个端口号之间用逗号分隔,端口范围的最小值和最大值之间用 “-” 符号分隔

例如:50001,5200-5300,6001 表示 本地保留的是 5001,5200 到 5300,6001 这些端口

不过,如果直接配置 /proc/sys/net/ipv4/ip_local_reserved_ports 文件的话,重启机器之后配置会失效,要想重启机器依然生效,直接配置 /etc/sysctl.conf

下面是配置本地保留的 5001,5200 到 5300,6001 端口的实例

用 vim 编辑 /etc/sysctl.conf ,在文件末尾添加以下行

net.ipv4.ip_local_reserved_ports=5001,5200-5300,6001

再执行 sysctl -p 命令重载 /etc/sysctl.conf 配置

通过本文,我们了解了什么是端口监听,以及如何在Linux系统中使用端口监听技术来保障系统的安全。掌握端口监听,不仅可以避免一些安全漏洞的发生,还可以提高系统的可靠性和稳定性。在实际应用中,我们可以根据需要进行端口监听,及时发现和阻止恶意攻击,保障我们的网络安全。

以上就是良许教程网为各位朋友分享的Linu系统相关内容。想要了解更多Linux相关知识记得关注公众号“良许Linux”,或扫描下方二维码进行关注,更多干货等着你 !

137e00002230ad9f26e78-265x300
本文由 良许Linux教程网 发布,可自由转载、引用,但需署名作者且注明文章出处。如转载至微信公众号,请在文末添加作者公众号二维码。
良许

作者: 良许

良许,世界500强企业Linux开发工程师,公众号【良许Linux】的作者,全网拥有超30W粉丝。个人标签:创业者,CSDN学院讲师,副业达人,流量玩家,摄影爱好者。
上一篇
下一篇

发表评论

联系我们

联系我们

公众号:良许Linux

在线咨询: QQ交谈

邮箱: yychuyu@163.com

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部