Я устанавливаю приложение на Fedora Core 14, которое использует множество сокетов (восемь из них) для TCP-связи между различными серверами, и все они работают на одном локальном хосте. Я пытался найти информацию о том, какие порты обычно открыты в Linux, но мне не повезло.
Конфигурационный файл по умолчанию настроен на использование 4449 и 12001-12007. Открыты ли эти порты для внутренней связи или мне нужно создавать исключения для selinux?
Если к приложению прилагается соответствующая политика SELinux, создание сокетов будет разрешено в политике.
Если для приложения нет политики, оно будет работать как unconfined_t (если вы начали напрямую), или initrc_t (если запустил через sysvinit). SELinux не будет беспокоить вас, если вы работаете в одном из этих двух контекстов.
Вам нужно только добавить к существующей политике SELinux, если политики вам не хватает, и это обычно происходит только в том случае, если вы запускаете приложение, которое является ограниченный, но с ошибками или неполностью, или вы делаете экзотические вещи с приложением.
lsof -i4 или lsof -i6 будет перечислять, какие файлы используют какие порты IPv4 и какие порты IPv6 соответственно.
В /etc/services файл содержит список программ в общем-то известно, на каких портах работает. Однако ничто не заставляет конкретную программу использовать конкретный порт, поэтому не принимайте /etc/services как единственный способ найти что-то настроенное. Люди случайно или намеренно переносят программы на "нестандартные" порты ... иногда злонамеренно, иногда нет.
Я пытался найти информацию о том, какие порты обычно открыты в Linux, но мне не повезло.
Сложно прокомментировать, какие порты открыты при "типичной" установке, потому что из-за различий между дистрибутивами и множества ситуаций, в которых можно использовать Linux, здесь действительно нет золотого стандарта. Другой чем запускать ровно столько программ, сколько у вас есть.
Я предлагаю вам начать с безопасности Fedora Core 14. документ чтобы помочь самому сделать это определение.
Конфигурационный файл по умолчанию настроен на использование 4449 и 12001-12007. Открыты ли эти порты для внутренней связи или мне нужно создавать исключения для selinux?
Номера портов ниже 1024 обычно зарезервированы для базовых сетевых служб и требуют привилегий суперпользователя для привязки программы. Порты от 1024 до 65535 называются эфемерные порты и относятся к разным. Обычно они используются для взаимодействия TCP на стороне клиента. Я не уверен, отвечает ли это на ваш вопрос о том, открыты ли они для внутреннего общения, но вам лучше не менять их, если у вас нет веской причины для этого. В netstat -an Команда, предложенная Уэсом Хардакером, покажет вам, доступны ли они для любого интерфейса, кроме 127.0.0.1 и, следовательно, не ограничены только внутренними петлевыми соединениями.
Что касается SELinux ... это сложный зверь. Ответ wzzrd - отличное место для начала, а также раздел SELinux в Руководстве по безопасности.
Порт открыт, если программа прослушивает этот порт. Пока этого не произошло, порт будет закрыт (или, что еще лучше, сокет не открыт для прослушивания этого порта). Кроме того, наименьший номер порта (1-1023) обычно зарезервирован для системных процессов, которые используются для хорошо известных сетевых служб (веб-серверы, ftp, ssh и т. Д.), И вам нужны привилегии, чтобы открыть сокет, который прослушивает его. ассортимент.
netstat -an покажет вам, какие порты открыты и используются (часть '-n' означает показывать вам числовые результаты, а не символические имена портов).
Возможно, вам также потребуется настроить параметры брандмауэра, используя графическую утилиту настройки брандмауэра или iptables командная строка, если вы этого хотите.