服务器安全组需要打开哪些端口?哪些端口有风险建议关闭?

服务器安全组需要打开的端口取决于服务器上运行的服务和应用程序,而一些容易被攻击或存在安全漏洞的端口则建议关闭。以下是具体介绍:

需要打开的端口

  • 远程登录端口:若要远程管理服务器,需打开相应端口。Linux 系统通常需打开 TCP 的 22 端口(SSH 服务),Windows 系统则需打开 TCP 的 3389 端口(RDP 服务)。
  • 文件传输端口:如果需要通过 FTP 协议进行文件上传和下载,需开放 TCP 的 20 和 21 端口。不过,由于 FTP 安全性较差,建议优先使用 SFTP,其通常基于 SSH,使用 22 端口。
  • Web 服务端口:若服务器搭建了网站,需开放 TCP 的 80 端口(HTTP 协议)或 443 端口(HTTPS 协议)。HTTPS 更安全,建议优先使用。
  • 数据库服务端口:不同数据库有各自的默认端口,如 Oracle 数据库通常使用 TCP 的 1521 端口,MS SQL 数据库使用 TCP 的 3306 端口,PostgreSQL 数据库使用 TCP 的 5432 端口。若要访问这些数据库服务,需开放相应端口。
  • 宝塔Linux面板默认端口:使用宝塔面板时,默认使用的是 TCP 的8888端口,建议后期修改。
  • phpMyAdmin默认端口:管理数据库,可能用到phpMyAdmin,则需打开888端口,后期可修改。

建议关闭的端口

  • Telnet 端口(TCP 23):Telnet 以明文传输数据,容易被嗅探和中间人攻击,可导致账号密码等敏感信息被窃取,建议关闭,改用 SSH(TCP 22,未使用时建议关闭) 进行远程登录。
  • SMTP 端口(TCP 25):SMTP 协议在设计之初未考虑加密问题,邮件在传输过程中极易被窃听或篡改,建议使用加密的 SMTPS(465 端口)或通过 TLS 加密传输邮件,关闭 25 端口。
  • NetBIOS 端口(TCP/UDP 137-139):常用于局域网文件共享和名称解析,协议设计缺乏安全性,易被攻击者利用进行横向移动,若不使用相关服务,建议关闭。
  • SMB 端口(TCP 445):曾因 “永恒之蓝” 漏洞被 “WannaCry” 勒索病毒利用,若不是必要的文件共享等需求,建议关闭,或确保系统打上最新补丁并严格限制访问权限。
  • POP3 端口(TCP 110)和 IMAP 端口(TCP 143):这两个端口用于接收电子邮件,默认不加密通信,容易被窃听和攻击,建议启用 POP3S(995 端口)和 IMAPS(993 端口),关闭 110 和 143 端口。
  • NFS 端口(TCP/UDP 111 和 2049):NFS 是用于 UNIX 和 Linux 环境下的文件共享协议,攻击者可通过这些端口尝试未授权访问,若不使用,建议关闭。

本文来自投稿,不代表首晒立场,如若转载,请注明出处:https://www.shoushai.com/p/1423

喜欢 (1)

发表回复

登录后才能评论

猜你喜欢