Linux端口号权限限制研究

最近几年来随着信息安全意识的增强，避免服务器遭受外部攻击已成为许多公司部署系统IT安全的重要一环，今天这里我们来研究一下Linux权限限制的一些策略，其中就包括了控制端口号的权限。

首先，来看一下Linux端口号权限的一般控制策略，一般来说一台Linux服务器会揭露出来最少1024个端口号，其中1⑴023个为系统使用，只有1024以上的端口号才可以被使用者自由设置，大家可以用netstat命令查看端口号占用情况，使用i0pTables可以控制具体魄接口的发起传输协议。

实际上，Linux系统提供以下几种方式可以限制端口号权限：

1、禁用IPTABLES规则

首先，可以通过使用iptables的INPUT规则完全制止某些端口号的访问，比如：

iptables -A INPUT -p tcp --destination-port 22 -j DROP 

制止该服务器的SSH访问，同时也能够制止多个端口号：

iptables -A INPUT -p tcp --destination-port 80,443,22 -j DROP

2、限流设置

其次，可使用ipcalc进行限流。在iptables某个定向段的规则中，可使用-m limit 参数限制某些端口号的流量，比如：

iptables -A INPUT -p tcp --destination-port 80 -m limit --limit 10/min -j ACCEPT

此处，控制对80端口号的最大单位秒限制10次，超过会被谢绝。

3、Port knocking

最后，也能够使用特殊的端口号访问技术，叫做Port Knocking，可以通过触发给定的端口号访问顺序来暗示验证服务器。在linux上，可以通过安装knockd 和 iptables 组合来实现：

iptables -A INPUT -p tcp --destination-port 8888 -j DROP

此处，将8888端口号都屏蔽掉，只有在正确的端口号访问顺序下，才能访问8888端口号。

以上就是Linux端口号权限限制策略研究，建议大家在使用LINUX服务器的时候，一定要控制好端口号权限，使其在最小限制的情况下来提供服务，以此来到达系统安全的目的。