Centos 6.5 优化 一些基础优化和安全设置
本文 centos 6.5 优化 的项有18处:
1、centos6.5最小化安装后启动网卡
2、ifconfig查询IP进行SSH链接
3、更新系统源并且升级系统
4、系统时间更新和设定定时任
5、修改ip地址、网关、主机名、DNS
6、关闭selinux，清空iptables
7、创建普通用户并进行sudo授权管理
8、修改SSH端口号和屏蔽root账号远程登陆
9、锁定关键文件系统（禁止非授权用户获得权限）
10、精简开机自启动服务
11、调整系统文件描述符大小
12、设置系统字符集
13、清理登陆的时候显示的系统及内核版本
14、内核参数优化
15、定时清理/var/spool/clientmqueue
16、删除不必要的系统用户和群组
17、关闭重启ctl-alt-delete组合键
18、设置一些全局变量
1、启动网卡
#centos6.x最小化安装后，网卡默认不是启动状态
2、SSH链接 ifconfig 查看IP后SSH终端连接。
3、更新源 最小化安装是没有wget工具的，必须先安装在修改源)
yum install wget
备份原系统更新源
mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup
进入yum.repos.d目录
cd /etc/yum.repos.d
下载网易镜像源或者搜狐镜像源
#下载网易镜像源：
wget /.help/CentOS6-Base-163.repo
#下载搜狐镜像源：
wget /help/CentOS-Base-sohu.repo
网易搜狐的源可能有问题。
参考http://blog.csdn.net/ichsonx/article/details/8518420
清空yum缓存
yum clean all
yum makecache
开始更新系统以及内核
yum upgrade
yum install lrzsz ntpdate sysstat -y
使用lrzsz工具常用操作：rz 上传 sz 下载
4、系统时间更新和设定定时任务 第一种：更新时间并且写入BOIS
&& hwclock -w && hwclock --systohc
第二种：更新时间并且写入定时任务
echo '*/30 * * * * ntpdate
&& hwclock -w && hwclock --systohc &/dev/null 2&&1' &&/var/spool/cron/root
第三种：每间隔5分钟和10分钟同步一次时间
echo '*/5 * * * * /usr/sbin/ntpdate
&/dev/null 2 &&1' &&/var/spool/cron/root
echo '*/10 * * * * /usr/sbin/ntpdate time.nist.gov &/dev/null 2&&1' &&/var/spool/cron/root
提示：CentOS 6.x的时间同步命令路径不一样 6是/usr/sbin/ntpdate 5是/sbin/ntpdate
5、修改ip地址、网关、主机名、DNS #eth0 网卡设置
mv /etc/sysconfig/network-scripts/ifcfg-eth0 /etc/sysconfig/network-scripts/ifcfg-eth0.bak
vi /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0 #网卡设备名称
HWADDR=00:0C:29:D0:C7:B5 #以太网设备的对应的物理地址
TYPE=Ethernet #网络类型为以太网模式
UUID=080a457b-6a53-4a3a-6c2c6 #通用唯一识别码
ONBOOT=yes #是否启动引导的时候激活YES
NM_CONTROLLED=no #设备eth0是否可以由Network Manager图形管理工具托管
BOOTPROTO=dhcp #静态IP地址获取状态 如：DHCP表示自动获取IP地址
IPADDR=192.168.1.10 #IP
IPV6INIT=no
IPV6_AUTOCONF=no
NETMASK=255.255.255.0 #网卡对应的网络掩码
GATEWAY=192.168.1.1 #网关地址
检查网卡配置
cat /etc/sysconfig/network-scripts/ifcfg-eth0
vi /etc/sysconfig/network
#表示系统是否使用网络，一般设置为yes。如果设为no，则不能使用网络，而且很多系统服务程序将无法启动
NETWORKING=yes
#设置本机的主机名，这里设置的主机名要和/etc/hosts中设置的主机名对应
HOSTNAME=c65mini.localdomain
#设置本机连接的网关的IP地址。例如，网关为10.0.0.1或者192.168.1.1
GATEWAY=192.168.1.1
修改主机DNS
vi /etc/resolv.conf
; generated by /sbin/dhclient-script
nameserver 8.8.8.8
nameserver 4.4.4.4
vi /etc/hosts
127.0.0.1 c65mini.localdomain
#使用DNS域名服务器来解析名字
order bind hosts
#一台主机是否存在多个IP
#如果用逆向解析找出与指定的地址匹配的主机名，对返回的地址进行解析以确认它确实与您查询的地址相配。为了防止&骗取&IP地址
nospoof on
重启网卡生效设置两种方法
service network restart
/etc/init.d/network restart
6、关闭selinux，清空iptables 在服务器配置完全成功后各项服务正常后，在开启selinux
查看selinux状态
第一种方法：/usr/bin/setstatus -v #如果显示：SELinux status: enabled 就是开启状态
第二种方法：cat /etc/selinux/config #如果显示：SELINUX=enforcing 则是开启状态permissive有提醒的状态 disabled是关闭
第三种方法：grep SELINUX=disabled /etc/selinux/config
第四种方法：getenforce
修改selinux状态&如果修改配置文件则永久生效，但是必须要重启系统
第一种：vi /etc/selinux/config 修改 SELINUX=disabled
第二种：sed &i &s/SELINUX=enforcing/SELINUX=disabled/g& /etc/selinux/config
如果想立即生效（如果想临时性的改变） setenforce 0
setenforce 1 设置SELinux 成为enforcing模式 setenforce 0 设置SELinux 成为permissive模式 查看状态 getenforce
iptables防火墙规则清理了，根据需求定制
#清空iptables规则
iptables -F
#查看iptables规则
iptables -L
#保存规则，注意，虽然清空了，不保存的话，重启后，又会有规则。
/etc/init.d/iptables save
7、创建普通用户并进行sudo授权管理
创建普通用户 useradd bingoku 修改用户密码 passwd bingoku
另一种方式：一次性创建用户和设置密码&echo &123456&|passwd --stdin bingoku&&history &c
其中bingoku为你创建的用户名
sudo授权管理 打开sudo配置文件 visudo
#按:set nu 查看行，找到99行
root ALL=(ALL) ALL
bingoku ALL=(ALL) ALL
8、修改SSH端口号和屏蔽root账号远程登陆
#备份SSH配置
cp /etc/ssh/sshd_config sshd_config_bak
#修改SSH安全配置
vi /etc/ssh/sshd_config
#SSH链接默认端口
port 52113
#禁止root账号登陆
PermitRootLogin no
#禁止空密码
PermitEmptyPasswords no
#不使用DNS
重新载入SSH配置&/etc/init.d/sshd reload&查看端口里面是否有刚才修改过的端口号52113
netstat -lnt
或者反查端口是那个进程
lsof -i tcp:52113
centos6.5最小化安装没有lsof工具需要&yum install lsof
9、锁定关键文件系统（禁止非授权用户获得权限）
chattr +i /etc/passwd
chattr +i /etc/inittab
chattr +i /etc/group
chattr +i /etc/shadow
chattr +i /etc/gshadow
10、精简开机自启动服务
注意:&刚装完操作系统一般可以只保留crond，network，syslog，sshd这四个服务。 后期根据业务需求制定自启服务 #（Centos6.x为rsyslog Cetnos5.x为syslog） 如果是中文的话。可能会需要LANG=en 或者替换 3:on 成 3:启用
#关闭全部服务
for sun in `chkconfig --list|grep 3:on|awk '{print $1}'`;do chkconfig --level 3 $done
for sun in `chkconfig --list|grep 3:启用|awk '{print $1}'`;do chkconfig --level 3 $done
#开启需要的服务
for sun in crond do chkconfig --level 3 $done
#或者需要使用防火墙的话可以开启iptables和ip6tables
for sun in crond rsyslog sshd network iptables ip6do chkconfig --level 3 $done
查询下开启的服务 chkconfig &list | grep 3:on 或者 chkconfig &list|grep 3:启用
[bingoku@c65mini ~]$ chkconfig --list|grep 3:启用
11、调整文件描述符大小
#查看文件描述符大小
第一种：#这里参考的是阿里云主机默认设置。
vi /etc/security/limits.conf
* soft nofile 65535
* hard nofile 65535
* soft nproc 65535
* hard nproc 65535
* soft nofile 65535
* hard nofile 65535
第二种：echo '* - nofile 65535' && /etc/security/limits.conf
第三种：把ulimit -SHn 65535命令加入到/etc/rc.local，然后每次重启生效 追加命令到rc.local配置文件里面
cat &&/etc/rc.local&&EOF
#open files
ulimit -HSn 65535
#stack size
ulimit -s 65535
第四种：如果不修改limits配置文件，直接立即生效，但重启后又恢复之前的默认。 ulimit -SHn 65535
12、设置系统字符集
第一种：vi /etc/sysconfig/i18n
如果想用中文提示：LANG=&zh_CN.UTF-8&P 如果想用英文提示：LANG=&en_US.UTF-8&P 如果临时切换也可以 LANG=zh_CN.UTF-8
第二种：使用sed快速替换
#替换成英文
sed -i 's#LANG=&zh_CN.*&#LANG=&en_US.UTF-8&#' /etc/sysconfig/i18n
#替换成中文
sed -i 's#LANG=&en_US.*&#LANG=&zh_CN.UTF-8&#' /etc/sysconfig/i18n
#替换成UTF-8中文
sed -i 's#LANG=&zh_CN.*&#LANG=&zh_CN.UTF-8&#' /etc/sysconfig/i18n
13、清理登陆的时候显示的系统及内核版本
#查看登陆信息
cat /etc/redhat-release cat /etc/issue
#清理登陆信息
echo &/etc/redhat-release
echo &/etc/issue
14、内核参数优化 vi /etc/sysctl.conf
#可用于apache，nginx，squid多种等web应用
net.ipv4.tcp_max_syn_backlog = 65536
net.core.netdev_max_backlog = 32768
net.core.somaxconn = 32768
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max =
net.core.wmem_max =
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2
net.ipv4.tcp_tw_recycle = 1
#net.ipv4.tcp_tw_len = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 000000
net.ipv4.tcp_max_orphans = 3276800
#net.ipv4.tcp_fin_timeout = 30
#net.ipv4.tcp_keepalive_time = 120
net.ipv4.ip_local_port_range =
#以下参数是对centos6.x的iptables防火墙的优化，防火墙不开会有提示，可以忽略不理。
#如果是centos5.X需要吧netfilter.nf_conntrack替换成ipv4.netfilter.ip
#centos5.X为net.ipv4.ip_conntrack_max =
net.nf_conntrack_max =
net.netfilter.nf_conntrack_max =
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
立即生效&/sbin/sysctl -p&centos6.5可能会报错
error: &net.bridge.bridge-nf-call-ip6tables& is an unknown key
error: &net.bridge.bridge-nf-call-iptables& is an unknown key
error: &net.bridge.bridge-nf-call-arptables& is an unknown key
出现这个的原因是，没有自动载入bridge桥接模块
modprobe bridge
echo &modprobe bridge&&& /etc/rc.local
查看桥接&lsmod|grep bridge
centos5.X可能会报错 这个错误可能是你的防火墙没有开启或者自动处理可载入的模块ip_conntrack没有自动载入，解决办法有二，一是开启防火墙，二是自动处理开载入的模块ip_conntrack
error: &net.ipv4.ip_conntrack_max&is an unknown key
error: &net.ipv4.netfilter.ip_conntrack_max&is an unknown key
error: &net.ipv4.netfilter.ip_conntrack_tcp_timeout_established&is an unknown key
error: &net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait&is an unknown key
error: &net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait&is an unknown key
error: &net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait&is an unknown key
centos5.X解决方法：
modprobe ip_conntrack
echo &modprobe ip_conntrack&&& /etc/rc.local
centos6.X可能会报错 这个错误可能是你的防火墙没有开启或者自动处理可载入的模块ip_conntrack没有自动载入，解决办法有二，一是开启防火墙，二是自动处理开载入的模块ip_conntrack
error: &net.nf_conntrack_max&isan unknown key
error: &net.netfilter.nf_conntrack_max&isan unknown key
error: &net.netfilter.nf_conntrack_tcp_timeout_established&isan unknown key
error: &net.netfilter.nf_conntrack_tcp_timeout_time_wait&isan unknown key
error: &net.netfilter.nf_conntrack_tcp_timeout_close_wait&isan unknown key
error: &net.netfilter.nf_conntrack_tcp_timeout_fin_wait&isan unknown key
centos6.X解决方法：
modprobe nf_conntrack
echo &modprobe nf_conntrack&&& /etc/rc.local
注意：笔者在整理这篇centos6.5内核优化的时候发现，如果不开启ip6tables去优化nf_conntrack模块去执行上面的解决方法会依旧提示上面的error。所以在优化服务的时候，可以选择留下iptables和ip6tables。当然如果不用iptables的话，在内核优化的时候就要去掉对nf_conntrack的设置，在进行/sbin/sysctl -p 是不会有错误提示的。
15、如果安装sendmail必须定时自动清理/var/spool/clientmqueue/下文件防止inode节点被占满
#centos6.5已经不自动安装sendmail了所以没必要走这一步优化
mkdir -p /server/scripts
vi /server/scripts/spool_clean.sh
find/var/spool/clientmqueue/-typef -mtime +30|xargsrm-f
16、删除不必要的系统用户和群组
#删除不必要的用户
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel news
userdel uucp
userdel operator
userdel games
userdel gopher
userdel ftp
#删除不必要的群组
groupdel adm
groupdel lp
groupdel news
groupdel uucp
groupdel games
groupdel dip
groupdel pppusers
17、关闭重启ctl-alt-delete组合键
vi /etc/init/control-alt-delete.conf
#exec /sbin/shutdown -r now &Control-Alt-Deletepressed&
18、设置一些全局变量
#设置自动退出终端，防止非法关闭ssh客户端造成登录进程过多，可以设置大一些，单位为秒
echo &TMOUT=3600&&& /etc/profile
#历史命令记录数量设置为10条
sed -i &s/HISTSIZE=1000/HISTSIZE=10/& /etc/profile
source /etc/profile
(责任编辑：IT)
------分隔线----------------------------
一、注释掉系统不需要的用户和用户组 注意：不建议直接删除，当你需要某个用户时，自...
这几天正忙项目事情，服务器上线了产品还没上线，老收到客户端投诉服务器连不上了，一...
1、开启云盾所有服务 2、通过防火墙策略限制对外扫描行为 请您根据您的服务器操作系统...
Centos所以用下面的语句 yum -y update bash...
一、rootkit简介 rootkit是Linux平台下最常见的一种木马后门工具，它主要通过替换系统...
LAMP是一套软件架构，包括这几大部分：Linux(作为基础层的操作系统)，Apache(位于操作...各个端口的作用和如何关闭不必要的端口 - 操作系统当前位置:& &&&各个端口的作用和如何关闭不必要的端口各个端口的作用和如何关闭不必要的端口&&网友分享于：&&浏览：10次各个端口的作用和怎么关闭不必要的端口
1.各个端口的作用端口：0 服务：Reserved 说明：通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描，使用IP地址为0.0.0.0，设置ACK位并在以太网层广播。 端口：1 服务：tcpmux 说明：这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者，默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户，如：IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。 端口：7 服务：Echo 说明：能看到许多人搜索Fraggle放大器时，发送到X.X.X.0和X.X.X.255的信息。 端口：19 服务：Character Generator 说明：这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。 端口：21 服务：FTP 说明：FTP服务器所开放的端口，用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。 端口：22 服务：Ssh 说明：PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点，如果配置成特定的模式，许多使用RSAREF库的版本就会有不少的漏洞存在。 端口：23 服务：Telnet 说明：远程登录，入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术，入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。 端口：25 服务：SMTP 说明：SMTP服务器所开放的端口，用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭，他们需要连接到高带宽的E-MAIL服务器上，将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。 端口：31 服务：MSG Authentication 说明：木马Master Paradise、Hackers Paradise开放此端口。 端口：42 服务：WINS Replication 说明：WINS复制 端口：53 服务：Domain Name Server（DNS） 说明：DNS服务器所开放的端口，入侵者可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其他的通信。因此防火墙常常过滤或记录此端口。 端口：67 服务：Bootstrap Protocol Server 说明：通过DSL和Cable modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址。HACKER常进入它们，分配一个地址把自己作为局部路由器而发起大量中间人（man-in-middle）攻击。客户端向68端口广播请求配置，服务器向67端口广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。 67、68端口：67、68端口分别是为Bootp服务的Bootstrap Protocol Server（引导程序协议服务端）和Bootstrap Protocol Client（引导程序协议客户端）开放的端口。 端口：69 服务：Trival File Transfer 说明：许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常由于错误配置而使入侵者能从系统中窃取任何 文件。它们也可用于系统写入文件。 端口：79 服务：Finger Server 说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。 端口：80 服务：HTTP 说明：用于网页浏览。木马Executor开放此端口。 端口：99 服务：Metagram Relay 说明：后门程序ncx99开放此端口。 端口：102 服务：Message transfer agent(MTA)-X.400 over TCP/IP 说明：消息传输代理。 端口：109 服务：Post Office Protocol -Version3 说明：POP3服务器开放此端口，用于接收邮件，客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个，这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。 端口：110 服务：SUN公司的RPC服务所有端口 说明：常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等 111端口：111端口是SUN公司的RPC（Remote Procedure Call，远程过程调用）服务所开放的端口，主要用于分布式系统中不同计算机的内部进程通信，RPC在多种网络服务中都是很重要的组件。 端口：113 服务：Authentication Service 说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。 端口：119 服务：Network News Transfer Protocol 说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。 端口：135 服务：Location Service 说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。 端口：137、138、139 服务：NETBIOS Name Service 说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。 端口：143 服务：Interim Mail Access Protocol v2 说明：和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。 端口：161 服务：SNMP 说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。 端口：177 服务：X Display Manager Control Protocol 说明：许多入侵者通过它访问X-windows操作台，它同时需要打开6000端口。 端口：389 服务：LDAP、ILS 说明：轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。 端口：443 服务：Https 说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。 端口：456 服务：[NULL] 说明：木马HACKERS PARADISE开放此端口。 端口：513 服务：Login,remote login 说明：是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。 端口：544 服务：[NULL] 说明：kerberos kshell 端口：548 服务：Macintosh,File Services(AFP/IP) 说明：Macintosh,文件服务。 端口：553 服务：CORBA IIOP （UDP） 说明：使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。 554端口：554端口默认情况下用于“Real Time Streaming Protocol”（实时流协议，简称RTSP）。端口：555 服务：DSF 说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。 端口：568 服务：Membership DPA 说明：成员资格 DPA。 端口：569 服务：Membership MSN 说明：成员资格 MSN。 端口：635 服务：mountd 说明：Linux的mountd Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。 端口：636 服务：LDAP 说明：SSL（Secure Sockets layer） 端口：666 服务：Doom Id Software 说明：木马Attack FTP、Satanz Backdoor开放此端口 端口：993 服务：IMAP 说明：SSL（Secure Sockets layer） 端口： 服务：[NULL] 说明：木马Silencer、WebEx开放1001端口。木马Doly Trojan开放1011端口。 端口：1024 服务：Reserved 说明：它是动态端口的开始，许多程序并不在乎用哪个端口连接网络，它们请求系统为它们分配下一个闲置端口。基于这一点分配从端口1024开始。这就是说第一个向系统发出请求的会分配到1024端口。你可以重启机器，打开Telnet，再打开一个窗口运行natstat -a 将会看到Telnet被分配1024端口。还有SQL session也用此端口和5000端口。 端口： 服务：1025：network blackjack 1033：[NULL] 说明：木马netspy开放这2个端口。 端口：1080 服务：SOCKS 说明：这一协议以通道方式穿过防火墙，允许防火墙后面的人通过一个IP地址访问INTERNET。理论上它应该只允许内部的通信向外到达INTERNET。但是由于错误的配置，它会允许位于防火墙外部的攻击穿过防火墙。WinGate常会发生这种错误，在加入IRC聊天室时常会看到这种情况。 端口：1170 服务：[NULL] 说明：木马Streaming Audio Trojan、Psyber Stream Server、Voice开放此端口。 端口：、 服务：[NULL] 说明：木马SubSeven2.0、Ultors Trojan开放端口。木马SubSeven1.0/1.9开放、6776端口。 端口：1245 服务：[NULL] 说明：木马Vodoo开放此端口。 端口：1433 服务：SQL 说明：Microsoft的SQL服务开放的端口。 端口：1492 服务：stone-design-1 说明：木马FTP99CMP开放此端口。 端口：1500 服务：RPC client fixed port session queries 说明：RPC客户固定端口会话查询 端口：1503 服务：NetMeeting T.120 说明：NetMeeting T.120 端口：1524 服务：ingress 说明：许多攻击脚本将安装一个后门SHELL于这个端口，尤其是针对SUN系统中Sendmail和RPC服务漏洞的脚本。如果刚安装了防火墙就看到在这个端口上的连接企图，很可能是上述原因。可以试试Telnet到用户的计算机上的这个端口，看看它是否会给你一个SHELL。连接到600/pcserver也存在这个问题。1755端口：1755端口默认情况下用于“Microsoft Media Server”（微软媒体服务器，简称MMS）。4000端口：4000端口是用于大家经常使用的QQ聊天工具的，再细说就是为QQ客户端开放的端口，QQ服务端使用的端口是8000。 5554端口：在今年4月30日就报道出现了一种针对微软lsass服务的新蠕虫病毒——震荡波（Worm.Sasser），该病毒可以利用TCP 5554端口开启一个FTP服务，主要被用于病毒的传播。 5632端口：5632端口是被大家所熟悉的远程控制软件pcAnywhere所开启的端口。 8080端口：8080端口同80端口，是被用于WWW代理服务的，可以实现网页浏览。21 ftp23 telnet25 smtp80 http135 、 139 、 445&& 听说是危险端口4000 QQ8080 、 3128 代理8000 灰鸽子8888 蜜蜂83389 远程协助1433 SQL Server端口：135 3&& 1583&& && 进程：svchost.exe&& Svchost本身只是作为服务宿主，并不实现任何服务功能，需要Svchost启动的服务以动态链接库形式实现，在安装这些服务时，把服务的可执行程序指向svchost，启动这些服务时由svchost调用相应服务的动态链接库来启动服务。端口：8000&& 进程：H-Client.exe&& 灰鸽子的进程端口：1110&& 进程：PhCore.exe&& 花生壳的进程端口：1193 进程： TTraveler.exe TT进程 2.怎么关闭不必要的端口 默认情况下，Windows有很多端口是开放的，在你上网的时候，网络和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁，应该封闭这些计算机基础知识hacker.org端口，主要有：TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口，一些流行的后门端口（如 TCP 、6129 端口），以及远程服务端口3389。&&& 1.在Windows XP/下关闭这些网络端口：&&& 第一步，“开始”菜单/设置/控制面板/管理工具，双击打开“本地策略”，选中“IP 策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建 IP 安全策略”于是弹出一个向导。在向导中“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，“完成”按钮就创建了一个新的IP 安全策略。&&& 第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再右边的“添加”按钮添加新的筛选器。&&& 第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何 IP 地址”，目标地址选“我的 IP 地址”；“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，“确定”按钮（如左图），这样就添加了一个屏蔽 TCP 135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。&&& 首先“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。&&& 重复以上步骤添加TCP 、、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后“确定”按钮。&&& 第四步，在“新规则属性”对话框中，选择“新 IP 筛选器列表”，然后其左边的圆圈上加一个点，表示已经激活，最后“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，“添加”按钮，添加“阻止”操作（右图）：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后“确定”按钮。&&& 第五步、进入“新规则属性”对话框，“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的 IP 安全策略，然后选择“指派”。&&& 于是重新启动后，电脑中上述网络端口就被关闭了，病毒和黑客再也不能连上这些端口，从而保护了你的电脑。&&& 2.在Widows2008下关闭135端口&&& 首先Windows系统下的135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码；使用DCOM可以通过网络直接进行通信，能够跨包括HTTP协议在内的多种网络传输。&&& 端口漏洞：相信去年很多使用Windows 2000/Windows XP和Windows 2008的用户都中了“冲击波”病毒，该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞，该漏洞是由于错误地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口，该接口侦听的端口就是135。&&& 操作建议：为了避免以上所说的“冲击波”病毒攻击和破坏，建议您最好是关闭了该端口。&&& 一、单击“开始”——“运行”，输入“dcomcnfg”，单击“确定”，打开组件服务。&&& 二、在弹出的“组件服务”对话框中，选择“计算机”选项。&&& 三、在“计算机”选项右边，右键单击“我的电脑”，选择“属性”。&&& 四、在出现的“我的电脑属性”对话框“默认属性”选项卡中，去掉“在此计算机上启用分布式COM”前的勾。&&& 五、选择“默认协议”选项卡，选中“面向连接的TCP/IP”，单击“删除”按钮。&&& 六、单击“确定”按钮，设置完成，重新启动后即可关闭135端口。 /tech//60516.html3.禁用445 135 端口的实现&& 关闭 445 135 &&& regedit&&& 关闭445的 经过注册表更改&&& HKEY_LOCAL_MACHINE\System\Controlset\Services\NetBT\Parameters&&& 选择“Parameters”项，右键单击，选择“新建”——“DWORD值”。&&& 将DWORD值命名为“SMBDeviceEnabled”。右键单击“SMBDeviceEnabled”值，&&& 选择“修改”。在“数值数据”下，输入“0”，单击“确定”按钮。&&& -------------------------------&&
关闭135的 经过注册表更改&&& HKEY_LOCAL_MACHINE→SOFTWARE→Microsoft→Ole→EnableDCOM的值改为“N”&&& HKEY_LOCAL_MACHINE→SOFTWARE→Microsoft→Rpc→DCOM Protocols键值中删除&&& “ncacn_ip_tcp”&&& 还需要确认停用“Distributed Transaction Coordinator”服务。&&& 重起一下 输入CMD .netstat -an 看 135 没有了&&& -------------------------------&&& 关闭3389 端口&&& && 大家应该都知道的 不过有些人还是不知道 这我也讲一下&&& 看我操作 在我的电脑上点右键选属性--&远程，将里面的远程协助和远程桌面&&& 两个选项框里的勾去掉。 还需要找到这个服务 “Terminal Services”&&& —————————————————————————————————————&&& 接着是关闭139端口&&& 关闭139端口 网络邻居属性 打开本地连接属性；接着，在属性窗口的&&& “常规”选项卡中选择“Internet协议（TCP/IP）”，单击“属性”按钮；然后在&&& 打开的窗口中，单击“高级”按钮；在“高级TCP/IP设置”窗口中选择“WINS”&&& 选项卡，NetBIOS设置“下，选择”禁用TCP/IP上的“ NetBIOS&&& ------------------------------&&& 通过以上更改 可以免受黑客扫描你的IP 让你的电脑更安全/tech//60577.html4.& 端口是干什么的？ & 　端口： 　　首先说明端口是远程控制软件VNC的默认服务端口，但是VNC在修改过后会被用在某些蠕虫中。请先确认VNC是否是你自己开放并且是必须的，如果不是请关闭。 　　关闭的方法： 　　1、首先使用fport命令确定出监听在端口的程序所在位置（通常会是c:\Winnt\fonts\explorer.exe)；　　2、在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新运行c:\Winnt\explorer.exe)；　　3、删除C:\Winnt\fonts\中的explorer.exe程序；　　4、删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的Explorer键值；　　5、重新启动机器。
12345678910
12345678910
12345678910 上一篇：下一篇：文章评论相关解决方案 12345678910 Copyright & &&版权所有}