暴露端口等于直接扩大互联网攻击面,22、3306、6379、27017、80/443等端口因明文传输、缺认证或默认开放而风险最高,须通过绑定地址限制、防火墙配置及外部验证确认真实暴露情况,并遵循最小化原则加固。
暴露端口等于直接面对互联网攻击面
Linux 上任何监听在 0.0.0.0 或公网 IP 的端口,只要没被防火墙或反向代理严格限制,就等同于把服务接口裸露在公网上。哪怕只开一个 22(SSH)或 80(HTTP),都可能成为突破口——攻击者用 nmap 扫描几秒就能发现,接着尝试弱口令、未授权访问、已知 CVE 利用(比如 OpenSSH 8.5p1 之前的 auth bypass 漏洞)。
哪些端口最常被滥用且风险最高
不是所有端口风险相同,关键看协议是否默认明文、是否自带认证、是否常被配置为开放状态:
-
22(SSH):高危,但可加固;若允许密码登录 + root 直连 + 无 fail2ban,hydra十分钟爆破成功很常见 -
3306(MySQL):极危险,99% 的暴露实例没设网络白名单,SELECT USER()都不用执行,攻击者直接拖库 -
6379(Redis):无认证+默认监听公网 = 等于送服务器控制权,攻击者写入authorized_keys或执行systemctl命令 -
27017(MongoDB):老版本默认无鉴权,db.runCommand({listDatabases: 1})可直查全部数据库名 -
80/443:表面安全,但若后端是未更新的Apache Tomcat或含log4j2的 Java 应用,JNDI 注入仍可 RCE
如何快速确认本机哪些端口真正在外网暴露
别只信 netstat -tuln 或 ss -tuln,它们只显示监听状态,不反映实际可达性。必须结合网络位置判断:
- 先查监听绑定地址:
ss -tuln | grep ':端口号',重点看第二列(Local Address:Port)是不是*:22或0.0.0.0:3306—— 这代表监听所有接口 - 再查防火墙规则:
sudo ufw status verbose(Ubuntu)或sudo firewall-cmd --list-all(CentOS/RHEL),确认对应端口是否在public区域放行 - 最后从外部验证:
curl -v http://你的IP:端口或让朋友用手机流量访问,比任何本地命令都真实 - 注意云平台额外层:阿里云/腾讯云的安全组规则优先级高于系统防火墙,即使
ufw拒绝了,安全组开了端口照样通
最小化暴露的实操底线
不是“要不要关”,而是“能不能只给需要的人用”。很多风险其实只需两步规避:
- 把监听地址从
0.0.0.0改成127.0.0.1(如 MySQL 的bind-address = 127.0.0.1),再用ssh -L或nginx反代对外提供受限访问 - 对必须外放的端口(如 Web),强制加一层网关:用
Cloudflare隐藏源站 IP,或自建nginx开启limit_req和allow/deny白名单 - 禁用所有非必要服务的远程管理接口:比如 Redis 的
bind 127.0.0.1+protected-mode yes+requirepass,三者缺一不可 - 定期用
gobuster或ffuf扫自己暴露的 Web 端口,别等黑客用/phpmyadmin/或/wp-admin/入口撞进来
真正的风险不在端口本身,而在于“谁可以连、连上来能做什么、有没有日志记录”。暴露 22 并不可怕,可怕的是连上后发现 sudo su - 不要密码、/var/log/ 权限是 777、历史命令里还存着数据库密码。
