如何查看linux开放ssh端口

1、ssh是经常使用的连接远程linux服务器的端口，这个端口也是默认的端口号。

2、在进行远程连接的时候，在端口的位置要输入正确的端口号，否则无法连接成功。

3、查看默认配置文件中端口值。

4、如果想修改端口直接修改port值，并把前面的注释符号去掉即可，修改完成后重启sshd服务。

5、修改完成后如果还用原来的端口进行连接是无法直接连接成功的，只能在连接的时候，把端口号修改成已经修改成功的端口进行连接才可以。

注意事项：

Linux不仅系统性能稳定，而且是开源软件。其核心防火墙组件性能高效、配置简单，保证了系统的安全。在很多企业网络中，为了追求速度和安全，Linux操作系统不仅仅是被网络运维人员当作服务器使用，Linux既可以当作服务器，又可以当作网络防火墙是Linux的 一大亮点。

LINUX网络性能之管理工具三剑客

本文是介绍管理Linux系统网络性能技巧的文章，主要介绍了route、netstat、tcpdump三种网络管理测试工具的使用方法及其可实现的功能。

route

在配置网络时，要为机器指定接收数据包时该包要经过的路径。在Linux系统中，提供一个命令route，这个命令可以为ifconfig命令配置的网卡设置静态路由。这种设置工作通常在/etc/rcd/rcinet1中引入，在系统引导时进行。

我们通过几个例子来说明如何使用route命令：

route add -net 127000

这个命令将向路由表中添加一个指定地址或者网络的路由。注意此时网络为A类地址，掩码被设置为255000，这个新添加的条目被连接到lo设备上。

route add -net xxxxxxxxxxxx netmask 2552552550 dev eth0

这个命令为IP地址为xxxxxxxxxxxx的主机增加一个路由，它的网络掩码被设置为2552552550。

route del -net xxxxxxxxxxxx

此命令将删除xxxxxxxxxxxx这个网络的路由。

使用route命令还可以很方便地对整个网络的路由信息进行管理，其输出结果是网络的路由表。如下所示：

-----------------------------------------------------------------

[root@lee /root]#route

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

10108224 255255255255 UH 0 0 0 eth0

101080 2552552550 U 0 0 0 eth0

127000 255000 U 0 0 0 lo

default dgc8njuptedu 0000 UG 0 0 0 eth0

default dgc8njuptedu 0000 UG 1 0 0 eth0

[root@lee /root]#

-----------------------------------------------------------------

输出结果中各个字段的含义是：

·Destination表示路由的目标IP地址。

·Gateway表示网关使用的主机名或者是IP地址。上面输出的""表示没有网关。

·Genmask表示路由的网络掩码。在把它与路由的目标地址进行比较之前，内核通过Genmask和数据包的IP地址进行按位"与"操作来设置路由。

·Flags是表示路由的标志。可用的标志及其意义是：U表示路由在启动，H表示target是一台主机，G表示使用网关，R表示对动态路由进行复位设置；D表示动态安装路由，M表示修改路由，！表示拒绝路由。

·Metric表示路由的单位开销量。

·Ref表示依赖本路由现状的其它路由数目。

·Use表示路由表条目被使用的数目。

·Iface表示路由所发送的包的目的网络。

通过查看这些输出信息，我们就可以方便地管理网络的路由表了。

netstat

netstat命令是一个监控TCP/IP网络的非常有用的工具，它可以显示路由表、实际的网络连接以及每一个网络接口设备的状态信息。在计算机上执行netstat后，其输出结果如下所示：

-----------------------------------------------------------------

[root@lee /root]#netstat

Active Internet connections (w/o servers)

Proto Recv-Q Send-Q Local Address Foreign Address State

Active UNIX domain sockets (w/o servers)

Proto RefCnt Flags Types State I-Node Path

Unix 5 [ ] DGRAM 460 /dev/log

Unix 0 [ ] STREAM CONNECTED 173 @00000014

Unix 0 [ ] DGRAM 662

Unix 0 [ ] DGRAM 631

Unix 0 [ ] DGRAM 544

Unix 0 [ ] DGRAM 484

Unix 0 [ ] DGRAM 470

[root@lee /root]#

-----------------------------------------------------------------

从整体上看，netstat的输出结果可以分为两个部分：第一部分：是Active Internet connections，称为有源TCP连接，在上面的输出结果中，这一部分没有内容，表示暂时还没有TCP连接。第二部分：是Active UNIX domain sockets，称为有源Unix域套接口。输出结果显示的是Unix域套接口的连接情况：

·Proto显示连接使用的协议。

·RefCnt表示连接到本套接口上的进程号。

·Types显示套接口的类型。

·State显示套接口当前的状态。

·Path表示连接到套接口的其它进程使用的路径名。

可以用netstat -a来查看所有套接字的状态，这在您调试网络程序的时候是非常有用的。netstat -r将显示路由表的内容，一般还要同时指定"-n"选项，这样可以得到数字格式的地址，也可显示默认路由器的IP地址。使用netstat -i则将显示所有的网络接口信息。使用netstat还可以获得当前的网络状态以及网络的拓扑结构，这在实际中是非常有用的。

tcpdump

tcpdump命令用于监视TCP/IP连接并直接读取数据链路层的数据包头。您可以指定哪些数据包被监视、哪些控制要显示格式。例如我们要监视所有Ethernet上来往的通信，执行下述命令：

tcpdump -i eth0

即使是在一个相对平静的网络上，也有很多的通信，所以我们可能只需要得到我们感兴趣的那些数据包的信息。在一般情况下，TCP/IP栈只为本地主机接收入站的数据包绑定同时忽略网络上的其它计算机编址（除非您使用的是一台路由器）。当运行tcpdump命令时，它会将TCP/IP栈设置为 promiscuous模式。该模式可接收所有的数据包并使其有效显示。如果我们关心的只是我们本地主机的通信情况，一种方法是使用“-p”参数禁止 promiscuous模式，还有一种方法就是指定主机名：

tcpdump -i eth0 host hostname

此时，系统将只对名为hostname的主机的通信数据包进行监视。主机名可以是本地主机，也可以是网络上的任何一台计算机。下面的命令可以读取主机hostname发送的所有数据：

tcpdump -i eth0 src host hostname

下面的命令可以监视所有送到主机hostname的数据包：

tcpdump -i eth0 dst host hostname

我们还可以监视通过指定网关的数据包：

tcpdump -i eth0 gateway Gatewayname

如果你还想监视编址到指定端口的TCP或UDP数据包，那么执行以下命令：

tcpdump -i eth0 host hostname and port 80

该命令将显示从每个数据包传出的头和来自主机hostname对端口80的编址。端口80是系统默认的HTTP服务端口号。如果我们只需要列出送到80端口的数据包，用dst port；如果我们只希望看到返回80端口的数据包，用src port。

   上一页12 下一页

前言

如何确定端口是否在Linux或类unix系统下占用怎么检查哪些端口正在Linux服务器上被占用Linux系统如何使用命令行检查端口是否已经在占用

查询哪些端口正在服务器的网络接口上被占用是非常重要的工作。您需要查询打开端口以检测入侵。除了入侵之外，出于故障排除的目的，可能有必要检查服务器上的其他应用程序是否已经使用了某个端口。例如，您可以在同一系统上安装Apache和Nginx服务器。因此，有必要了解Apache或Nginx是否使用TCP端口80或443。本教程提供了使用netstat、nmap和lsof命令查询正在使用的端口并查看正在使用该端口的应用程序的步骤。

如何查询端口是否在使用中：

检查Linux上被占用的端口和应用程序:

Step1: 打开终端

Step2: 执行以下任意一条命令查看被占用的端口

查看端口22是否被占用：

较新版本的Linux使用以下查询命令：

方法1: 使用lsof命令查询占用端口

先安装lsof命令

RHEL/CentOS系统：

Debian/Ubuntu系统安装lsof命令

使用语法如下

OpenBSD

看到类似这样的输出结果：

sshd是进程名字

TCP 22表示sshd进程占用了TCP 22端口，正在监听中(LISTEN)

1243表示sshd进程号

方法二：使用netstat查询被占用的端口号

较新的Linux发行版已经不再默认集成netstat命令，而是使用新命令ss取代了。

如果要使用netstat命令，需要手动安装net-tools套件：

RHEL/CentOS系统安装net-tools套件，执行以下命令：

Debian/Ubuntu系统执行以下命令：

您可以使用netstat查询被占用的端口和应用程序，如下所示。

执行以下命令查询：

在Linux上，netstat命令已经废弃了一段时间。因此，你需要使用ss命令如下:

或者：

其中ss命令选项如下:

-t : 只显示Linux上的TCP套接字

-u : 在Linux上只显示UDP套接字

-l : 监听套接字。例如，TCP端口22由SSHD服务器打开。

-p : 列出打开套接字的进程名

-n : 不要解析服务名称，即不要使用DNS

FreeBSD/MacOS X netstat 语法

FreeBSD/MacOS X查询被占用的端口

或者

OpenBSD netstat 语法

OpenBSD查询被占用的端口

或者

方法三：使用`nmap`命令查询Linux被占用的端口

默认情况下,Linux发行版并没有默认安装nmap命令，

CentOS系统安装nmap

Ubuntu系统安装nmap

使用nmap查询本机被占用的端口

查询Linux系统被占用的UDP端口

查询Linux系统被占用的TCP端口

你可以同时查询被占用的TCP和UDP端口

结论：

本教程解释了如何在Linux系统上使用命令行查询TCP或者UDP端口是否被占用。有关更多信息，请参见nmap命令和lsof命令页面

如何在linux下配置ssh和sftp使用不同的端口号？

1、两个deamon

要实现ssh和sftp分离，分别监听不同的端口，可以通过创建两个‘/usr/sbin/sshd’后台程序，一个监听22端口(ssh)，一个监听20022端口(sftp)，为了区分ssh和sftp服务的后台程序，这里将ssh服务的后台程序保持为/usr/sbin/sshd，而将sftp服务的后台程序改为/usr/sbin/sftpd。/usr/sbin/sftpd是/usr/sbin/sshd的一个链接，其内容完全相同(ln-sf/usr/sbin/sshd/usr/sbin/sftpd)。

2、两个service

SLES12使用systemd管理系统服务，ssh服务对应/usr/lib/systemd/system/sshdservice文件，实现sftp服务时可以将/usr/lib/systemd/system/sshdservice复制到/etc/systemd/system/sftpdservice，然后修改sftpdservice文件内容。(使用修改好的sftpdservice文件即可)

3、其他文件系统的ssh服务是通过安装openssh实现的，可以通过rpm-qlopenssh查看该rpm包含哪些文件。总结实现ssh和sftp分离的相关的文件有：

ssh服务sftp服务

/usr/lib/systemd/system/sshdservice/etc/systemd/system/sftpdservice(通过修改/usr/lib/systemd/system/sshdservice文件得到)

/etc/pamd/sshd/etc/pamd/sftpd(通过复制/etc/pamd/sshd文件得到)

/etc/ssh/sshd_config/etc/ssh/sftpd_config(通过复制/etc/ssh/sshd_config文件得到)

/usr/sbin/rcsshd/usr/sbin/rcsftpd(ln-sf/usr/sbin/service/usr/sbin/rcsftpd)

/usr/sbin/sshd/usr/sbin/sftpd(ln-sf/usr/sbin/sshd/usr/sbin/sftpd)

/etc/sysconfig/ssh/etc/sysconfig/sftp(通过修改/etc/sysconfig/ssh文件得到)

至此，我们已经实现了两个服务。

但是，ssh服务和sftp服务并没有真正的分离，此时已然可以通过22号端口使用ssh服务和sftp服务，而新开的20022端口也可以使用ssh服务（ssh-p20022username@serverip）和sftp服务（sftp-oPort=20022username@serverip）。

4、关闭22号端口下的sftp服务编辑/usr/sbin/sshd的配置文件/etc/ssh/sshd_config文件，将Subsystem参数注释掉，然后重启sshd同时也可以设置可访问22号端口的用户白名单：编辑/etc/ssh/sshd_config文件，设置AllowGroups参数（假设设置为AllowGroupssshonly），限制仅AllowGroups组内的用户可通过22号端口ssh登录系统（对于需要ssh登录系统的用户可通过usermod-Asshonlyusername>将其加入到AllowGroups组内）

5、“关闭20022号端口下的ssh服务”sftp作为一个子服务，它的开启依赖于ssh服务，因此不能从本质上关闭ssh服务而只开启sftp服务。可以用以下方式来规避：/usr/sbin/sftpd的配置文件/etc/ssh/sftpd_config中包含Subsystem参数配置（推荐使用Subsystemsftpinternal-sftp-lINFO-fAUTH）/etc/ssh/sftpd_config中包含AllowGroups参数（假设为AllowGroupssftponly），限制仅AllowGroups组内的用户可以访问20022端口将AllowGroups组内的用户的shell改为/bin/false(usermod-s/bin/falseusername>)，使AllowGroups组内的用户仅能sftp登录系统（如果一个用户即需要ssh，又需要sftp，则不能将其shell改为/bin/false）

6、用户白名单配置配置之后，需将系统内需要ssh访问系统的用户加入到sshonly组内，需将系统内需要sftp访问系统的用户加入到sftponly组，同时需要ssh和sftp的用户则sshonly和sftponly组都要加入。

7、重启ssh服务和sftp服务，并设置开机启动

servicesshdrestartservicesftpdrestart

linux怎么通过ssh访问另一台服务器？

举例说明： 如用root帐号连接一个IP为1921681102的机器，输入：“ssh1921681102-lroot”， 回车后输入root帐号的密码再回车确认即可。 如果该服务器的ssh端口不是默认的22端口，是自定义的一个如1234，则可在命令后面加参数-p， 如：“ssh1921681102-lroot-p1234”

在Linux系统下使用SSH实现端口映射的方法？

从技术角度来分析，几个要求：

1、从安全方面看，sftp会更安全一点

2、线上服务器提供在线服务，对用户需要控制，只能让用户在自己的home目录下活动

3、用户只能使用sftp，不能ssh到机器进行操作

提供sftp服务，可以用系统自带的internal-sftp，也可以使用vsftpd，这里需求不多，直接选用internal-sftp。

限制用户只能在自己的home目录下活动，这里需要使用到chroot，openssh48p1以后都支持chroot，我现在用的是centos63，自带的openssh已经是53p1，足够了。

可以输入：

#ssh-v

来查看openssh的版本，如果低于48p1，需要自行升级安装，不在这里具体介绍了。

假设，有一个名为sftp的组，这个组中的用户只能使用sftp，不能使用ssh，且sftp登录后只能在自己的home目录下活动

1、创建sftp组

#groupaddsftp

2、创建一个sftp用户，名为mysftp

#useradd-gsftp-s/bin/falsemysftp

#passwdmysftp

3、sftp组的用户的home目录统一指定到/data/sftp下，按用户名区分，这里先新建一个mysftp目录，然后指定mysftp的home为/data/sftp/mysftp

#mkdir-p/data/sftp/mysftp

#usermod-d/data/sftp/mysftpmysftp

4、配置sshd_config

编辑/etc/ssh/sshd_config

#vim+132/etc/ssh/sshd_config

找到如下这行，并注释掉

subsystemsftp/usr/libexec/openssh/sftp-server

添加如下几行

subsystemsftpinternal-sftp

matchgroupsftp

chrootdirectory/data/sftp/%u

forcecommandinternal-sftp

allowtcpforwardingno

x11forwardingno

解释一下添加的几行的意思

subsystemsftpinternal-sftp

这行指定使用sftp服务使用系统自带的internal-sftp

matchgroupsftp

这行用来匹配sftp组的用户，如果要匹配多个组，多个组之间用逗号分割

当然，也可以匹配用户

matchusermysftp

这样就可以匹配用户了，多个用户名之间也是用逗号分割，但我们这里按组匹配更灵活和方便

chrootdirectory/data/sftp/%u

用chroot将用户的根目录指定到/data/sftp/%u，%u代表用户名，这样用户就只能在/data/sftp/%u下活动，chroot的含义，可以参考这里：http://wwwibmcom/developerworks/cn/linux/l-cn-chroot/

forcecommandinternal-sftp

指定sftp命令

allowtcpforwardingno

x11forwardingno

这两行，如果不希望该用户能使用端口转发的话就加上，否则删掉

5、设定chroot目录权限

#chownroot:sftp/data/sftp/mysftp

#chmod755/data/sftp/mysftp

错误的目录权限设定会导致在log中出现”fatal:badownershipormodesforchrootdirectoryxxxxxx”的内容

目录的权限设定有两个要点：

1、由chrootdirectory指定的目录开始一直往上到系统根目录为止的目录拥有者都只能是root

2、由chrootdirectory指定的目录开始一直往上到系统根目录为止都不可以具有群组写入权限

所以遵循以上两个原则

1）我们将/data/sftp/mysftp的所有者设置为了root，所有组设置为sftp

2）我们将/data/sftp/mysftp的权限设置为755，所有者root有写入权限，而所有组sftp无写入权限

6、建立sftp用户登入后可写入的目录

照上面设置后，在重启sshd服务后，用户mysftp已经可以登录，但使用chroot指定根目录后，根应该是无法写入的，所以要新建一个目录供mysftp上传文件。这个目录所有者为mysftp，所有组为sftp，所有者有写入权限，而所有组无写入权限

#mkdir/data/sftp/mysftp/upload

#chownmysftp:sftp/data/sftp/mysftp/upload

#chmod755/data/sftp/mysftp/upload

7、重启sshd服务

#servicesshdrestart

到这里，mysftp已经可以通过sftp客户端登录并可以上传文件到upload目录。

如果还是不能在此目录下上传文件，提示没有权限，检查selinux是否关闭，可以使用如下指令关闭selinux

修改/etc/selinux/config文件中的selinux=""为disabled，然后重启。或者

#setenforce0

如何关闭linux下的ssh服务？

chkconfig--level2345sshdon--level指定系统在2345运行级别时，通常在35中开启就行，开启(on)sshd服务，关闭则用(off)临时控制启动停止则用:/etc/rcd/initd/sshdstart|stop|restart

ssh只能登linux吗？

ssh并不是只能登linux操作系统。ssh是unix操作系统用于远程登录的程序。

ssh的开源免费版是openssh，它源于openBSD操作系统。在服务器端启用sshd之后，就可以从远程登录服务器。目前所有类unix的操作系统都操供ssh服务。所以ssh能登录所有类unix操作系统。