服务器的50 个高危端口汇总 非必要就关闭!
在网络安全领域,“端口” 就像计算机与外界通信的 “门户”—— 每个端口对应特定服务,一旦开放的端口存在安全漏洞,就可能成为黑客入侵的突破口。据安全机构统计,约 70% 的服务器入侵事件,都与 “非必要高危端口开放” 直接相关。
本文梳理了 50 个常见高危端口,按服务类型分类说明其风险点与关闭建议,同时附上端口排查、关闭验证方法,帮你针对性减少攻击面(注:所有建议均基于 “非业务必需” 前提,需结合实际场景判断)。
一、先搞懂:为什么要关注 “高危端口”?
端口按用途可分为 “公认端口”(0-1023,多为基础服务)、“注册端口”(1024-49151,多为应用服务)、“动态端口”(49152-65535,临时通信用)。
“高危端口” 并非天生危险,而是因其对应服务易被利用:要么默认无认证(如 Redis 的 6379),要么传输不加密(如 Telnet 的 23),要么存在历史漏洞(如 SMB 的 445)。黑客通过扫描这些端口,可发起暴力破解、未授权访问、数据窃取甚至服务器控制权夺取。
二、第一步:排查当前开放的端口
在处理高危端口前,需先明确 “自己的服务器开了哪些端口”,以下是常用排查方法:
-
• Linux 系统:用
ss -tuln(显示 TCP/UDP 监听端口)或netstat -tuln(需安装 net-tools),结果中 “Local Address” 后冒号后的数字即为端口号; -
• Windows 系统:打开命令提示符,输入
netstat -ano,“本地地址” 后冒号后为端口,“PID” 对应进程; -
• 第三方工具:用 Nmap 扫描(如
nmap -p 1-65535 你的服务器IP),可快速识别开放端口及对应服务。
三、50 个高危端口分类汇总(附关闭建议)
(一)远程管理类端口(6 个):易被暴力破解夺权
这类端口用于远程控制服务器,一旦被攻破,黑客可直接操作服务器,风险最高。
-
1. 22 端口(SSH)
-
• 服务:Linux 系统默认远程管理端口,用于加密传输命令;
-
• 风险:若仅用弱密码(如 123456)、未限制访问 IP,易被暴力破解工具(如 Hydra)攻击;
-
• 建议:非远程管理场景直接关闭;需使用时,改为非默认端口(如 2022)、开启密钥认证(禁用密码登录),并通过防火墙限制仅特定 IP 访问。
-
1. 23 端口(Telnet)
-
• 服务:早期远程管理端口,明文传输数据(包括账号密码);
-
• 风险:抓包工具(如 Wireshark)可直接获取登录信息,安全性极低;
-
• 建议:目前无必要使用,直接关闭(Linux 可卸载 telnet-server,Windows 在 “服务” 中禁用 Telnet)。
-
1. 3389 端口(RDP)
-
• 服务:Windows 系统远程桌面端口,用于图形化远程控制;
-
• 风险:默认开放时,易被 “永恒之蓝” 等漏洞利用,或被暴力破解工具批量尝试登录;
-
• 建议:非必要关闭;需使用时,在 “系统属性 - 远程” 中限制仅管理员组可登录,结合防火墙限制访问 IP,或开启网络级认证(NLA)。
-
1. 5900 端口(VNC)
-
• 服务:跨平台远程控制工具(如 RealVNC)默认端口,用于图形化操作;
-
• 风险:早期版本无加密,即使加密,弱密码也易被破解,曾出现过 “VNC 弱口令导致服务器被挖矿” 事件;
-
• 建议:无需远程图形控制则关闭;需使用时,配置强密码(12 位以上含特殊字符)、开启 TLS 加密,并限制访问 IP。
-
1. 2022 端口(SSH 替代端口)
-
• 服务:部分用户为规避 22 端口攻击,将 SSH 改为 2022;
-
• 风险:若未做其他防护(如密钥认证),仅改端口仍可能被扫描到,成为新的攻击目标;
-
• 建议:防护措施同 22 端口,非必要则关闭。
-
1. 2222 端口(SSH 替代端口)
-
• 服务:另一常见 SSH 替代端口,部分云服务器默认开放;
-
• 风险:因使用频率高,被扫描工具列为重点探测端口,弱密码仍易被破解;
-
• 建议:同 22 端口防护逻辑,非必要关闭。
(二)数据库类端口(8 个):易导致数据泄露 / 篡改
数据库端口直接关联核心数据,一旦被未授权访问,可能导致数据泄露、删除或篡改,对业务影响极大。
7. 3306 端口(MySQL)
-
• 服务:MySQL 数据库默认端口,用于数据库连接;
-
• 风险:默认无密码或弱密码时,公网开放易被 “脱库”(窃取全量数据),或被植入恶意 SQL 语句;
-
• 建议:禁止公网开放,仅绑定内网 IP(在 my.cnf 中配置 bind-address = 内网 IP);需外部访问时,通过 VPN 或跳板机,同时设置强密码(含大小写 + 数字 + 特殊字符)。
-
1. 5432 端口(PostgreSQL)
-
• 服务:PostgreSQL 数据库默认端口,开源数据库常用;
-
• 风险:默认配置允许本地无密码登录,若误开放公网,黑客可尝试 “信任 IP” 配置漏洞,直接登录数据库;
-
• 建议:非必要关闭公网访问;需使用时,在 pg_hba.conf 中限制仅内网 IP 可连接,设置强密码,并禁用 “trust” 认证方式。
-
1. 6379 端口(Redis)
-
• 服务:Redis 缓存数据库默认端口,用于高性能数据存储;
-
• 风险:默认无认证,公网开放时,黑客可通过
config set命令写入恶意脚本,获取服务器 root 权限(曾大量用于植入挖矿程序); -
• 建议:必须关闭公网访问,绑定内网 IP(在 redis.conf 中配置 bind=127.0.0.1),设置认证密码(requirepass 强密码),并禁用 root 用户启动 Redis。
-
1. 27017 端口(MongoDB)
-
• 服务:MongoDB 文档数据库默认端口,常用于大数据场景;
-
• 风险:早期版本默认无认证,公网开放易被 “勒索攻击”(黑客删除数据后索要赎金),2024 年仍有大量 MongoDB 数据库因未防护被攻击;
-
• 建议:绑定内网 IP(mongod.conf 中 net.bindIp = 内网 IP),开启认证(--auth 参数),设置强密码,禁止公网直接访问。
-
1. 11211 端口(Memcached)
-
• 服务:Memcached 缓存服务默认端口,用于减轻数据库压力;
-
• 风险:默认无认证、无加密,公网开放易被利用发起 DDoS 攻击(如反射攻击),或窃取缓存中的敏感数据(如用户 Token);
-
• 建议:绑定内网 IP(启动时加 - l 内网 IP 参数),非必要关闭,若需公网访问,需通过防火墙限制 IP 并配置认证(需第三方插件)。
-
1. 9092 端口(Kafka)
-
• 服务:Kafka 消息队列默认端口,用于高并发数据传输;
-
• 风险:默认无认证,公网开放易被未授权接入,窃取消息数据或篡改队列内容,影响业务数据流转;
-
• 建议:绑定内网 IP,开启 SASL 认证(用户名密码)或 SSL 加密,非必要关闭公网端口。
-
1. 5672 端口(RabbitMQ)
-
• 服务:RabbitMQ 消息队列默认端口,用于异步通信;
-
• 风险:默认用户名密码(guest/guest)仅限制本地登录,若配置错误允许远程登录,黑客可直接接入,窃取消息或占用队列资源;
-
• 建议:删除默认 guest 账号,创建新账号并设置强密码,绑定内网 IP,非必要关闭公网端口。
-
1. 1521 端口(Oracle)
-
• 服务:Oracle 数据库默认端口,常用于企业级应用;
-
• 风险:若使用默认账号(如 sys/sysdba)且密码简单,易被暴力破解,黑客可通过数据库漏洞(如 ORA-01017)获取数据或提权;
-
• 建议:修改默认端口(如 1522),禁用默认账号,绑定内网 IP,开启数据库审计,非必要关闭公网访问。
(三)文件传输类端口(4 个):易被窃取 / 植入恶意文件
这类端口用于文件上传下载,若防护不当,可能成为黑客传输恶意文件(如木马、病毒)的通道,或导致敏感文件泄露。
15. 21 端口(FTP)
-
• 服务:FTP 文件传输协议默认端口,用于上传下载文件;
-
• 风险:明文传输账号密码,易被抓包窃取;且 FTP 服务存在目录遍历漏洞,黑客可访问服务器任意文件;
-
• 建议:非必要关闭,改用 SFTP(基于 SSH,22 端口)或 FTPS(加密 FTP);若必须用 FTP,需限制用户目录(chroot),设置强密码,禁止匿名登录。
-
1. 20 端口(FTP 数据端口)
-
• 服务:FTP 主动模式的数据传输端口,与 21 端口配合使用;
-
• 风险:依赖 21 端口,若 21 端口存在风险,20 端口也会成为攻击通道,泄露传输的文件内容;
-
• 建议:与 21 端口同步处理,非必要关闭。
-
1. 139 端口(NetBIOS)
-
• 服务:Windows 文件共享相关端口,用于局域网内资源共享;
-
• 风险:公网开放易被利用发起 “IPC$ 入侵”,黑客可通过弱密码连接,窃取共享文件或植入木马;
-
• 建议:禁用 NetBIOS(Windows 在 “网络连接 - 属性” 中取消勾选 “NetBIOS over TCP/IP”),直接关闭 139 端口。
-
1. 445 端口(SMB)
-
• 服务:SMB 协议端口,用于 Windows 文件和打印机共享,也支持远程代码执行;
-
• 风险:著名的 “永恒之蓝” 漏洞(MS17-010)就是利用 445 端口,曾导致勒索病毒全球爆发;即使无漏洞,弱密码也易被暴力破解;
-
• 建议:非局域网共享场景,必须关闭 445 端口(Windows 可通过防火墙入站规则禁用,Linux 可关闭 smbd 服务)。
(四)Web 服务相关端口(10 个):易遭 Web 攻击
这类端口对应 Web 服务(如网站、API),虽为业务必需,但存在 SQL 注入、XSS、漏洞利用等风险,非业务用端口需及时关闭。
19. 80 端口(HTTP)
-
• 服务:HTTP 协议默认端口,用于非加密 Web 访问;
-
• 风险:传输数据不加密,易被篡改(如 DNS 劫持导致页面跳转);且若 Web 程序有漏洞(如 SQL 注入),80 端口会成为攻击入口;
-
• 建议:非 Web 服务场景关闭;需使用时,尽快升级为 HTTPS(443 端口),并配置 WAF(Web 应用防火墙)防护。
-
1. 443 端口(HTTPS)
-
• 服务:HTTPS 协议默认端口,用于加密 Web 访问;
-
• 风险:虽加密,但若 SSL 证书过期、存在 Heartbleed 等漏洞,或 Web 程序有漏洞(如逻辑漏洞),仍可能被攻击;
-
• 建议:非 Web 服务场景关闭;需使用时,定期更新 SSL 证书,禁用弱加密算法(如 TLS 1.0),配置 WAF 防护。
-
1. 8080 端口(Tomcat/HTTP 代理)
-
• 服务:常见 Web 服务器(如 Tomcat)默认端口,也用于 HTTP 代理服务;
-
• 风险:若 Tomcat 未删除默认管理页面(如 manager/html)、使用弱密码,黑客可登录后台部署恶意 War 包;作为代理时,易被用于跳板攻击;
-
• 建议:非 Web 服务或代理场景关闭;需使用时,删除 Tomcat 默认管理账号,改端口为非默认(如 8081),限制访问 IP。
-
1. 8443 端口(HTTPS 替代端口)
-
• 服务:HTTPS 的替代端口,常用于 WebLogic、Tomcat 等服务的 HTTPS 访问;
-
• 风险:同 443 端口,若服务存在漏洞(如 WebLogic 的 CVE-2021-2109),易被远程代码执行;
-
• 建议:非必要关闭;需使用时,修复服务漏洞,配置强认证,限制访问 IP。
-
1. 8000 端口(HTTP 服务)
-
• 服务:常用于 Python Flask、Node.js 等轻量 Web 服务的默认端口;
-
• 风险:开发环境中常开放公网用于测试,且未做防护(如无认证、无 WAF),易被扫描到并攻击;
-
• 建议:生产环境禁止用 8000 端口做 Web 服务;开发测试后及时关闭,或仅绑定localhost。
-
1. 8008 端口(HTTP 服务)
-
• 服务:部分 Web 服务器(如 Apache)的备用端口,也用于一些设备管理页面;
-
• 风险:因使用频率低,易被忽视防护,导致弱密码、漏洞未修复;
-
• 建议:非必要关闭;需使用时,配置与 80 端口相同的防护措施。
-
1. 8081 端口(Tomcat / 其他 Web 服务)
-
• 服务:Tomcat 备用端口,或其他 Web 应用(如 Jenkins)的默认端口;
-
• 风险:Jenkins 默认无认证或弱密码时,黑客可通过 8081 端口登录,执行脚本控制服务器;
-
• 建议:非必要关闭;Jenkins 场景需开启认证(设置强密码),安装安全插件,限制访问 IP。
-
1. 9000 端口(PHP-FPM)
-
• 服务:PHP-FPM(PHP 进程管理)默认端口,用于处理 PHP 请求;
-
• 风险:公网开放易被利用发起 “FastCGI 协议攻击”,黑客可执行任意命令;
-
• 建议:绑定内网 IP(在 php-fpm.conf 中配置 listen = 内网 IP:9000),禁止公网访问,非 PHP 环境直接关闭。
-
1. 3000 端口(Node.js 服务)
-
• 服务:Node.js 应用(如 Express 框架)默认端口,常用于前端后端分离项目;
-
• 风险:开发阶段常开放公网调试,且未做认证,易被黑客发现并利用代码漏洞(如原型链污染)攻击;
-
• 建议:生产环境改用 Nginx 反向代理(通过 80/443 端口访问),关闭 3000 端口公网访问;开发后及时关闭。
-
1. 5000 端口(Flask/Django 服务)
-
• 服务:Python Flask/Django 框架默认测试端口;
-
• 风险:测试模式下无安全防护,公网开放易被攻击,且 Django 默认调试模式(DEBUG=True)会泄露代码信息;
-
• 建议:生产环境禁用测试端口,改用 Gunicorn+Nginx 部署,关闭 5000 端口。
(五)邮件服务类端口(4 个):易被用于垃圾邮件 / 钓鱼
这类端口用于邮件发送接收,若被滥用,可能导致服务器被用于发送垃圾邮件,或被钓鱼攻击利用。
29. 25 端口(SMTP)
-
• 服务:SMTP 协议默认端口,用于发送邮件;
-
• 风险:开放时易被黑客利用作为 “邮件中继”,发送垃圾邮件或钓鱼邮件,导致服务器 IP 被拉黑;
-
• 建议:非邮件服务器场景必须关闭;邮件服务器需配置 SMTP 认证(禁止匿名发送),限制发件 IP,开启 SPF/DKIM 反垃圾邮件策略。
-
1. 110 端口(POP3)
-
• 服务:POP3 协议默认端口,用于接收邮件(下载到本地);
-
• 风险:明文传输账号密码,易被抓包窃取;且存在 “POP3 缓冲溢出” 漏洞,可能被远程攻击;
-
• 建议:非邮件服务器关闭;需使用时,改用加密的 POP3S(995 端口),设置强密码,限制访问 IP。
-
1. 143 端口(IMAP)
-
• 服务:IMAP 协议默认端口,用于接收邮件(同步服务器邮件);
-
• 风险:同 POP3,明文传输,弱密码易被破解,且 IMAP 服务存在目录遍历漏洞;
-
• 建议:非邮件服务器关闭;需使用时,改用 IMAPS(993 端口),配置强认证,限制访问 IP。
-
1. 465 端口(SMTPS)
-
• 服务:SMTP 的加密端口,用于安全发送邮件;
-
• 风险:虽加密,但若邮件服务器未配置认证,仍可能被滥用发送垃圾邮件;
-
• 建议:非邮件服务器关闭;邮件服务器需开启 SMTP 认证,限制发件 IP,定期检查邮件日志。
(六)其他高危服务端口(18 个):易被忽视的安全隐患
这类端口对应各类中间件、工具或设备服务,因使用场景特定,常被忽视防护,成为安全短板。
33. 53 端口(DNS)
-
• 服务:DNS 协议默认端口,用于域名解析;
-
• 风险:公网开放易被利用发起 DDoS 攻击(如 DNS 反射攻击),或被篡改解析结果(DNS 劫持);
-
• 建议:非 DNS 服务器场景关闭;DNS 服务器需配置访问控制列表(ACL),限制仅授权 IP 查询,开启 DNSSEC 防篡改。
-
1. 161 端口(SNMP)
-
• 服务:SNMP 协议默认端口,用于网络设备(如路由器、交换机)管理;
-
• 风险:默认社区字符串(如 public/private)易被猜测,黑客可通过 SNMP 获取设备配置、流量数据,甚至修改设备设置;
-
• 建议:非设备管理场景关闭;需使用时,修改默认社区字符串为强密码,限制访问 IP,使用 SNMPv3(加密版本)。
-
1. 2181 端口(ZooKeeper)
-
• 服务:ZooKeeper 分布式协调服务默认端口,用于大数据集群管理;
-
• 风险:默认无认证,公网开放易被未授权访问,黑客可获取集群信息、删除节点,导致集群瘫痪;
-
• 建议:绑定内网 IP(zoo.cfg 中配置 clientPortAddress = 内网 IP),非必要关闭,需公网访问时配置认证(需第三方插件)。
-
1. 2375 端口(Docker 远程 API)
-
• 服务:Docker 远程管理 API 默认端口,用于远程操作 Docker 容器;
-
• 风险:默认无认证,公网开放时,黑客可直接通过 API 创建恶意容器、挂载主机目录,获取服务器 root 权限;
-
• 建议:必须关闭公网访问,绑定内网 IP,开启 TLS 认证(--tlsverify 参数),非 Docker 环境直接关闭。
-
1. 7001 端口(WebLogic)
-
• 服务:WebLogic 应用服务器默认端口,常用于企业级应用;
-
• 风险:存在大量历史漏洞(如 CVE-2017-10271、CVE-2021-2109),易被远程代码执行,黑客可直接控制服务器;
-
• 建议:非 WebLogic 环境关闭;需使用时,升级到最新版本修复漏洞,改端口为非默认,配置强认证,限制访问 IP。
-
1. 9200 端口(Elasticsearch)
-
• 服务:Elasticsearch 搜索引擎默认端口,用于数据查询和管理;
-
• 风险:默认无认证,公网开放易被未授权访问,黑客可删除索引数据、写入恶意数据,甚至通过 “脚本执行” 漏洞控制服务器;
-
• 建议:绑定内网 IP(elasticsearch.yml 中配置 network.host = 内网 IP),开启 X-Pack 认证,非必要关闭公网端口。
-
1. 1080 端口(SOCKS 代理)
-
• 服务:SOCKS 代理默认端口,用于转发网络请求;
-
• 风险:开放公网易被黑客用作 “跳板”,隐藏真实 IP 发起攻击,导致服务器 IP 被封禁;
-
• 建议:非代理服务场景关闭;需使用时,配置认证(用户名密码),限制仅特定 IP 使用。
-
1. 2082 端口(cPanel)
-
• 服务:cPanel 控制面板默认端口,用于 Linux 服务器虚拟主机管理;
-
• 风险:弱密码易被暴力破解,黑客登录后可管理所有虚拟主机,篡改网站内容或窃取数据;
-
• 建议:非 cPanel 环境关闭;需使用时,设置强密码,开启双因素认证,限制访问 IP。
-
1. 2083 端口(cPanel SSL)
-
• 服务:cPanel 的 HTTPS 端口,用于加密管理虚拟主机;
-
• 风险:同 2082 端口,若 cPanel 版本有漏洞或密码弱,仍易被攻击;
-
• 建议:非 cPanel 环境关闭;需使用时,升级 cPanel 到最新版本,开启双因素认证。
-
1. 50000 端口(SAP)
-
• 服务:SAP 系统默认端口,用于企业资源计划(ERP)系统通信;
-
• 风险:存在 SAP GUI 远程代码执行漏洞(如 CVE-2022-22536),公网开放易被攻击,导致核心业务数据泄露;
-
• 建议:非 SAP 环境关闭;SAP 系统需绑定内网 IP,修复漏洞,配置强认证,限制访问 IP。
-
1. 50070 端口(Hadoop HDFS)
-
• 服务:Hadoop HDFS 管理界面默认端口,用于查看 HDFS 集群状态;
-
• 风险:默认无认证,公网开放易被未授权访问,黑客可查看集群数据、修改配置,影响大数据处理;
-
• 建议:绑定内网 IP(hdfs-site.xml 中配置),非必要关闭,需访问时通过 VPN。
-
1. 8088 端口(Hadoop YARN)
-
• 服务:Hadoop YARN 管理界面默认端口,用于集群资源调度;
-
• 风险:同 50070 端口,无认证,公网开放易被攻击;
-
• 建议:绑定内网 IP,非必要关闭,配置访问控制。
-
1. 11211 端口(Memcached)
-
• 服务:Memcached 缓存服务默认端口(重复标注,因风险高需强调);
-
• 风险:同前,易被用于 DDoS 反射攻击;
-
• 建议:必须绑定内网 IP,非必要关闭。
-
1. 20000 端口(WebSphere)
-
• 服务:WebSphere 应用服务器默认端口,用于企业级应用部署;
-
• 风险:存在远程代码执行漏洞(如 CVE-2020-4450),弱密码易被破解,导致服务器被控制;
-
• 建议:非 WebSphere 环境关闭;需使用时,升级漏洞,改端口为非默认,配置强认证。
-
1. 6060 端口(Go Debug)
-
• 服务:Go 语言程序默认调试端口,用于开发阶段调试;
-
• 风险:生产环境若未关闭,黑客可通过调试接口获取程序内存数据、执行代码,导致敏感信息泄露;
-
• 建议:生产环境必须关闭,开发调试后及时禁用。
-
1. 7070 端口(JBoss)
-
• 服务:JBoss 应用服务器默认端口,用于部署 Java 应用;
-
• 风险:存在 “JBoss 反序列化” 漏洞(如 CVE-2017-12149),易被远程代码执行,黑客可直接控制服务器;
-
• 建议:非 JBoss 环境关闭;需使用时,升级到最新版本,删除默认管理账号,配置强密码。
-
1. 8089 端口(Splunk)
-
• 服务:Splunk 日志分析工具默认端口,用于数据接收;
-
• 风险:默认无认证或弱密码,公网开放易被未授权访问,黑客可查看服务器日志(含敏感信息),甚至篡改日志;
-
• 建议:非 Splunk 环境关闭;需使用时,开启认证,设置强密码,限制访问 IP。
-
1. 9090 端口(Prometheus)
-
• 服务:Prometheus 监控系统默认端口,用于数据采集和查询;
-
• 风险:默认无认证,公网开放易被获取服务器监控数据(含系统配置、性能指标),甚至通过 API 篡改监控规则;
-
• 建议:绑定内网 IP(prometheus.yml 中配置),开启认证(如加 Basic Auth),非必要关闭公网端口。
四、关闭端口后,如何验证是否生效?
关闭端口后需及时验证,避免因配置错误导致 “看似关闭实则开放”:
-
• Linux 系统:用
ss -tuln | grep 端口号,若无输出,说明端口已关闭;或用nmap -p 端口号 ``127.0.0.1,显示 “closed” 即为关闭; -
• Windows 系统:用
netstat -ano | findstr 端口号,无结果则关闭;或在 “防火墙入站规则” 中查看,确认对应端口的 “允许” 规则已禁用或删除(路径:控制面板→系统和安全→Windows Defender 防火墙→高级设置→入站规则)。也可通过telnet 127.0.0.1 端口号测试,若提示 “无法打开到主机的连接”,说明端口已关闭。 -
• 公网验证:若需确认端口是否对外网关闭,可在非服务器所在网络的设备上,用
nmap -p 端口号 服务器公网IP或在线端口检测工具(如站长工具 “端口扫描”),显示 “closed” 或 “过滤” 即为对外关闭(注:“过滤” 通常是防火墙拦截,效果等同于关闭)。
五、长效防护:关闭端口只是第一步
关闭非必要高危端口能大幅减少攻击面,但网络安全是动态过程,还需配合以下措施形成防护闭环:
1. 定期扫描端口,避免 “隐性开放”
-
• 建议每周用 Nmap 或 Masscan(更快的扫描工具)对服务器进行全端口扫描(如
masscan -p 1-65535 服务器IP --rate=1000),检查是否有未知端口开放(可能是恶意程序或误装服务导致); -
• 云服务器用户可结合厂商提供的 “安全组” 功能,定期审查安全组规则,删除无用的端口放行策略(如早期测试用的 8000、5000 端口规则)。
2. 遵循 “最小权限” 原则,减少漏洞影响
-
• 服务运行权限:避免用 root(Linux)或 Administrator(Windows)账号启动服务,如 Redis 用普通用户启动,即使被攻击也无法获取最高权限;
-
• 账号权限:删除服务器内无用的账号(如默认的 “guest” 账号),给业务账号仅分配必要权限(如仅允许读取数据库,禁止删除数据)。
3. 及时修复漏洞,堵住 “已知风险”
-
• 系统层面:Linux 定期用
yum update(CentOS)或apt upgrade(Ubuntu)更新系统补丁;Windows 开启 “自动更新” 或通过 WSUS 服务器统一推送补丁,重点修复 “远程代码执行” 类漏洞(如永恒之蓝、Log4j 相关漏洞); -
• 应用层面:WebLogic、Tomcat、Jenkins 等中间件,需关注官方安全公告,及时升级到无漏洞版本(如 WebLogic 升级到 12.2.1.4 及以上,修复 CVE-2021-2109 漏洞)。
4. 开启日志监控,及时发现异常
-
• Linux 系统:重点监控
/var/log/secure(SSH 登录日志)和/var/log/messages(系统日志),若出现大量 “Failed password” 记录,可能是暴力破解;可通过grep "Failed password" /var/log/secure | wc -l统计失败登录次数,超过 10 次需警惕; -
• Windows 系统:在 “事件查看器”(eventvwr.msc)中查看 “Windows 日志→安全”,事件 ID 4625(登录失败)频繁出现时,需检查是否有暴力破解行为;
-
• 工具辅助:可部署 ELK(Elasticsearch+Logstash+Kibana)或 Splunk,将日志集中分析,设置异常告警(如 10 分钟内登录失败超过 20 次,自动发送邮件提醒)。
5. 慎用 “端口映射”,避免 “内网暴露”
部分用户为方便访问内网服务,会在路由器或防火墙做 “端口映射”(如将内网 3389 端口映射到公网 8888 端口),这种操作会让内网端口直接暴露在公网,风险极高;
-
• 建议:若需访问内网服务,改用 VPN(如 OpenVPN、WireGuard)或跳板机(仅开放跳板机的 22/3389 端口,内网服务不直接映射公网),确保访问路径加密且可控。
-
----------------------------------------------------------------------------------------------------------------------
