通过深入检查 CentOS 7 开放端口提高系统安全 (通过深入检查党建工作)

前言

系统安全是 IT 环境中至关重要的一环。通过深入检查 CentOS 7 开放端口，可以有效识别和减轻潜在的安全风险。本文将逐步指导您完成 CentOS 7 系统上的开放端口检查过程，并提供有关保护系统免受未经授权访问的实用建议。

识别开放端口

第一步是识别系统上所有开放的端口。有几种方法可以做到这一点，但最常用的是使用 netstat 命令。在终端中输入以下命令：``` bashnetstat -tulpan```这将生成一个列表，其中包含所有正在侦听的端口、连接状态、协议和进程 ID (PID)。您可以使用以下选项进一步过滤结果： -t ：仅显示 TCP 连接 -u ：仅显示 UDP 连接 -p ：显示进程名称或 PID -a ：显示所有端口，包括未绑定到任何进程的端口 -n ：以数字格式显示地址和端口，而不是主机名

分析开放端口

识别开放端口后，您需要分析它们以确定它们的来源和目的。以下是一些提示：检查 PID 以识别正在使用端口的进程。使用 lsof 命令获取有关正在使用特定端口的进程的其他详细信息。咨询系统文档或在线资源以获取有关已知服务或应用程序使用特定端口的信息。

关闭不需要的端口

一旦确定了不需要的开放端口，您就可以将其关闭以提高安全级别。以下是一些方法：使用 firewalld 实用程序：``` bashfirewalld --remove-port= / ```使用 iptables 命令：``` bashiptables -D INPUT -p --dport -j ACCEPT```停止或禁用相关的服务或应用程序：``` bashservice stopsystemctl disable ```

启用防火墙

防火墙是保护系统免受未经授权访问的重要防线。确保启用防火墙并正确配置规则以允许必要的流量并阻止其他流量。在 CentOS 7 中，您可以使用 firewalld 实用程序管理防火墙。

监视网络流量

持续监视网络流量是检测和响应安全事件的重要步骤。考虑部署入侵检测系统 (IDS) 或入侵防御系统 (IPS) 以主动识别和阻止恶意活动。

定期检查更新

软件更新经常包含安全补丁和漏洞修复。定期检查并安装所有可用的更新，以确保系统是最新的并免受已知漏洞的侵害。

使用安全工具

有许多工具可以帮助您增强 CentOS 7 系统的安全性。以下是几个推荐： Lynis ：一个全面且易于使用的审计和加固工具 Nmap ：一个用于网络扫描和端口发现的流行工具 Nessus ：一个商业安全扫描器，可深入检测漏洞和配置问题

结论

定期检查并管理 CentOS 7 系统上的开放端口对于提高安全性至关重要。通过遵循本指南中的步骤，您可以识别、关闭不需要的端口，并实施其他措施来保护系统免受未经授权的访问。始终保持警惕并定期审查您的安全策略，以确保您的系统得到充分保护。

---

centos7查看端口是否开放

对于服务器操作系统来说，对外暴露一些不必要的端口都是非常危险的。因此，在管理服务器的时候，知道开放了哪些服务器端口对于运维人员来说算是一项基本技能。下面我们来看看，怎么知道服务器开放了哪些端口。

一、在本机上查看

在CentOS主机上查看当前主机在监听哪些端口的命令是netstat，常用的命令是： netstat -tlunp 这个命令会显示出当前主机打开的所有端口，显示结果如下所示，从图中可以看到目前主机上开放的端口tcp端口的22和25，upd的68号端口

而端口名称后面关联了对应的进程名称，如下面图中所示。这里需要注意的是，如果你的服务器是公网服务器，你在公网上开放了22号端口，那么你的主机就会被公网上很多扫描器扫描，然后尝试爆破你的账号密码，来黑掉你的服务器。解决方法一般是通过修改特定服务监听的端口，如下面第二张图中所示，修改后的sshd进程监听的端口有22和端口，那么我把这个端口暴露出去，被扫描的纪律就小很多了。

上面这个命令查看的是服务器上的进程对外监听的端口，但是在CentOS7中，默认会打开firewalld防火墙，如果防火墙打开后，默认情况下只会监听在22号端口，也就是说主机对外暴露的端口只有22。如下面图中所示，查看防火墙开放端口的命令是 iptables-save 结果如下面第二张图中所示：

如果想增加对外开放的端口，就需要通过防火墙的管理命令firewalld-cmd，例如我想开放80端口，那么命令就是： firewall-cmd --zone=public --add-port=80/tcp --permanent firewall-cmd --reload 第一条命令是添加端口，第二条命令是重载防火墙。

看到sucess字样后，再使用iptables-save命令查看端口，可以看到，对外放开的端口增加了80.

如果你的服务器是内网服务器，那么是基本上你的服务器端口只会向内网放开，而不会向公网开放，如果想对公网开放，那么必须通过端口映射来实现，如下面图中所示，在服务器前端再加了一层防火墙。

以我使用的一款防火墙为例，登录以后，进入到管理页面，点击高级选项。然后点击里面的端口映射，就可以看到第二张图中所示的内容，会显示外部端口，内部服务器IP，内部端口。 如果将防火墙上的8000端口映射到内部某台服务器的8000端口，那么对外开放的就是8000端口。 但是如果把防火墙上的8000端口映射到内部服务器的22端口，那么实际暴露的就是22号端口。以上就是在CentOS 7主机上查看开放端口的所有内容。

二、在其他主机上通过软件侦测

在CentOS 7上有一个比较好用的端口侦测工具叫做nmap，首先看你的主机上是否安装了这个工具，命令是：rpm -qa | grep nmap 如果安装了，那么就会显示对应的安装包。

安装完成了以后，就可以使用这个命令来扫描了，扫描的命令格式是： nmap ip_address ip_address就是你要扫描的主机IP地址。如下面图中所示： 很快就会显示出这台CentOS7虚拟机对外暴露的端口了，而且注意，这是实际对外暴露的端口。

16 CentOS7登录安全修复——密码复杂度-登录限制-root限制登录

一、密码复杂度设置 CentOS密码复杂度配置通过/etc/pam.d/system-auth文件中的pam_模块来实现。 首先查看/etc/pam.d/system-auth文件 可以看到当前并没有看到pam_模块 原因： pam_是兼容pam_模块的，所以pam_的选项也适用于pam_ pam_支持的部分选项如下： retry=N：定义登录/修改密码失败时，可以重试的次数 minlen=N：新密码的最小长度 dcredit=N：当N>0时表示新密码中数字出现的最多次数；当N<0时表示新密码中数字出现最少次数； ucredit=N: 当N>0时表示新密码中大写字母出现的最多次数；当N<0时表示新密码中大写字母出现最少次数； lcredit=N: 当N>0时表示新密码中小写字母出现的最多次数；当N<0时表示新密码中小写字母出现最少次数； ocredit=N：当N>0时表示新密码中特殊字符出现的最多次数；当N<0时表示新密码中特殊字符出现最少次数； maxrepeat=N：拒绝包含多于N个相同连续字符的密码。 默认值为0表示禁用此检查 maxsequence=N：拒绝包含长于N的单调字符序列的密码。 默认值为0表示禁用此检查。 实例是或fedcb。 除非序列只是密码的一小部分，否则大多数此类密码都不会通过简单检查。 enforce_for_root: 如果用户更改密码是root，则模块将在失败检查时返回错误。 默认情况下，此选项处于关闭状态，只打印有关失败检查的消息，但root仍可以更改密码。 不要求root用户输入旧密码，因此不会执行比较旧密码和新密码的检查 接下来修改system-auth文件，配置密码复杂度策略 在system-auth文件中 pam_后添加minlen=8 dcredit=-2 ucredit=-1 lcredit=-1 ocredit=-1 参数含义：密码长度最小为8位，数字出现的最少次数为2次，大写字母出现最少1次，小写字母出现最少1次，特殊字符出现最少1次 保存退出后，进行测试密码复杂度配置是否生效 新建一个test账户，使用root账户设置test账户的密码为test，密码修改成功。 （证明root账户不受pam认证规则的限制） 账号密码规则测试： 然后切换到test账户设置test账户的密码。 这里尝试设置密码为Pw39@。 报错提示大写字母少于8位，说明minlen=8已经生效。 接下来尝试设置密码为Pwqwert@ 报错提示数字少于2位，说明dcredit=-2已经生效。 接下来尝试设置密码为pw12qwer@ 报错提示大写字母少于1位，说明ucredit=-1已经生效。 passwd：Have exhausted maximum number of retries for service（passwd：已经用尽了最多可重试的服务次数），说明retry=3已经生效。 接下来重新设置密码，尝试设置密码为PW12QWER@ 报错提示小写字母少于1位，说明lcredit=-1已经生效。 接下来尝试设置密码为Pw12qwer 报错提示特殊字符少于1位，说明ocredit=-1已经生效。 限制root用户 vi etc/pam.d/system-auth 在sysstem-auth文件中pam_行添加enforce_for_root 然后测试是否root被限制，也要遵守密码复杂度策略 用root账户设置test账户密码为Pw12qwer 报错提示特殊字符少于1位，说明root用户已经被限制，也要遵守pam认证规则。 二、禁用root用户登录 注意：禁用root前必须要创建一个普通账户，并且验证用户可以正常登录 1、首先增加一个普通账号，别禁止root账号后没有其他账号登录系统了： ——增加用户：adduser xxxx ——设置密码：passwd xxxx 2、修改ssh配置： ——修改配置文件：vi /etc/ssh/sshd_config ——配置文件中增加一行：PermitRootLogin no ——保存退出，重启ssh服务：service sshd restart 3、下次登录系统，root账号会被拒绝登录。 ——可以先用xxxx登录，之后su root即可 三、限制用户登录失败次数并锁定用户

求助centos7网卡问题

解决CentOS7网卡端口出现紊乱的问题最近项目上，遇到一个问题，让我们很是没办法，就是Dell R920 安装上CentOS7的系统，做完Bonding后，发现端口重启系统后会紊乱，过程如下：端口紊乱情况服务器上一共配置了两张万兆两口的网卡和一张千兆四口的网卡，其中不同万兆卡上，两端口做Bonding，同时千兆卡上也挑了间隔的两口做Bonding，大概如下情况：、eth0,eth1,eth2,eth3千兆端口，eth4,eth5,eth6,eth7是万兆端口，这时经常紊乱是eth3,eth4的端口，两端口变更，使得做了bonding的端口无法生效CentOS7的端口命名规则原来CentOS6之前的网卡端口命名都是eth的，CentOS7之后千兆网口已经变更成随机的或是ens01(N=整数)，万兆网口则变成p1p2等形式，要修改为eth的模式步骤如下：a.编辑文件vi /etc/sysconfig/grubGRUB_TIMEOUT=5GRUB_DISTRIBUTOR=$(sed s, release .*$,,g /etc/system-release)GRUB_DEFAULT=savedGRUB_DISABLE_SUBMENU=trueGRUB_TERMINAL_OUTPUT=consoleGRUB_CMDLINE_LINUX==centos/swap =latarcyrheb-sun16 =0 biosdevname=0 =centos/root crashkernel==us rhgb quietGRUB_DISABLE_RECOVERY=true“以上标红色的值是修改为eth的基础”b.执行命令生效grub2-mkconfig -o /boot/grub2/.增加规划文件vi /etc/udev/rules.d/==net, ACTION==add, DRIVERS==?*, ATTR{address}==78:2b:cb:xx:xx:01, ATTR{type}==1, KERNEL==eth*, SUBSYSTEM==net, ACTION==add, DRIVERS==?*, ATTR{address}==78:2b:cb:xx:xx:02, ATTR{type}==1, KERNEL==eth*,SUBSYSTEM==net, ACTION==add, DRIVERS==?*, ATTR{address}==78:2b:cb:xx:xx:03,ATTR{type}==1, KERNEL==eth*, SUBSYSTEM==net, ACTION==add, DRIVERS==?*, ATTR{address}==78:2b:cb:xx:xx:04,ATTR{type}==1, KERNEL==eth*, SUBSYSTEM==net, ACTION==add, DRIVERS==?*, ATTR{address}==00:1b:21:xx:xx:a1,ATTR{type}==1, KERNEL==eth*, SUBSYSTEM==net, ACTION==add, DRIVERS==?*, ATTR{address}==00:1b:21:xx:xx:a0,ATTR{type}==1, KERNEL==eth*,SUBSYSTEM==net, ACTION==add, DRIVERS==?*, ATTR{address}==00:60:6e:xx:xx:f6,ATTR{type}==1, KERNEL==eth*,SUBSYSTEM==net, ACTION==add, DRIVERS==?*, ATTR{address}==00:60:6e:xx:xx:f7,ATTR{type}==1, KERNEL==eth*,“以上MAC地址与网卡端口对应”总结：以上方法并不能解决网口紊乱问题，因为官方文档都要求bond的网卡都不需要写MAC地址，所以最后我们尝试使在每个/etc/sysconfig/network-scripts/ifcfg-eth*网卡配置文件上写上HWADDR，重启有7-8遍，做ethtool检查几次，发现在没有问题，所以建议遇到同样问题同学，可以尝试一下这种方法

若对本页面资源感兴趣，请点击下方或右方图片，注册登录后

搜索本页相关的【资源名】【软件名】【功能词】或有关的关键词，即可找到您想要的资源

如有其他疑问，请咨询右下角【在线客服】，谢谢支持！