Cách Kiểm Tra Các Cổng Mở Trên Ubuntu: Các Lệnh Cần Thiết và Mẹo Bảo Mật

1. Giới thiệu

Trong quản lý mạng và vận hành máy chủ, việc hiểu chính xác trạng thái của các cổng là rất quan trọng. Đặc biệt khi sử dụng Ubuntu, việc kiểm tra các cổng nào đang mở và các tiến trình nào đang sử dụng chúng giúp tăng cường bảo mật và cho phép khắc phục sự cố nhanh hơn.

Bài viết này giải thích các lệnh và công cụ cơ bản dùng để kiểm tra các cổng trên Ubuntu. Nó cung cấp các bước thực tế và dễ hiểu cho người mới bắt đầu và người dùng trung cấp, vì vậy hãy đọc đến cuối.

2. Cổng là gì?

2.1 Khái niệm cơ bản về Cổng

Cổng là một điểm cuối ảo cho việc truyền thông mà máy tính và thiết bị mạng sử dụng để gửi và nhận dữ liệu. Cụ thể, khi nhiều ứng dụng giao tiếp đồng thời trên cùng một địa chỉ IP, các cổng xác định và định tuyến dữ liệu tới ứng dụng đúng.

Ví dụ, một máy chủ web sử dụng cổng 80 cho lưu lượng HTTP. Nếu cùng máy chủ cho phép truy cập SSH, nó sẽ dùng cổng 22. Vì các dịch vụ được phân biệt bằng số cổng, việc kiểm tra trạng thái cổng là rất quan trọng trong quản lý mạng.

2.2 Các loại và vai trò của Cổng

Các cổng được phân thành ba nhóm chính:

1. Cổng Được Biết Rộng (0–1023)

• Các số cổng tiêu chuẩn toàn cầu được gán cho các dịch vụ thường dùng. wp:list /wp:list

  • Ví dụ:
  • HTTP: 80
  • HTTPS: 443
  • SSH: 22

1. Cổng Đăng Ký (1024–49151)

• Các cổng được sử dụng bởi các ứng dụng hoặc công ty cụ thể. wp:list /wp:list

  • Ví dụ:
  • MySQL: 3306
  • PostgreSQL: 5432

1. Cổng Động (49152–65535)

• Các cổng được các ứng dụng sử dụng tạm thời, thường trong giao tiếp phía máy khách.

Hiểu được phân loại này giúp dễ dàng xác định mục đích sử dụng của mỗi số cổng.

3. Cách Kiểm Tra Cổng trên Ubuntu

Ubuntu cung cấp một số công cụ để kiểm tra trạng thái cổng. Phần này giải thích bốn lệnh đặc biệt hữu ích.

3.1 Sử dụng lệnh ss

Lệnh ss là một công cụ quản lý mạng mạnh mẽ cho hệ thống Linux. Nó chạy nhanh và cung cấp thông tin chi tiết về các kết nối.

Lệnh Cơ Bản:

sudo ss -ltn

Chi Tiết Các Tùy Chọn:

• -l : Hiển thị các cổng ở trạng thái LISTEN chỉ.
• -t : Chỉ hiển thị giao thức TCP.
• -n : Hiển thị địa chỉ và số cổng ở dạng số.

Kết Quả Ví Dụ:

State       Recv-Q Send-Q      Local Address:Port        Peer Address:Port  
LISTEN      0      128              0.0.0.0:22               0.0.0.0:*

3.2 Sử dụng lệnh netstat

Lệnh netstat đã được sử dụng rộng rãi như một công cụ quản lý mạng trong nhiều năm. Mặc dù nó dần được thay thế bằng ss, nhưng vẫn còn có trên nhiều hệ thống.

Lệnh Cơ Bản:

sudo netstat -ltn

Kết Quả Ví Dụ:

Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN

3.3 Sử dụng lệnh lsof

lsof hữu ích để xác định các tiến trình đang sử dụng các cổng cụ thể.

Kiểm tra một cổng cụ thể:

sudo lsof -i :80

Kết Quả Ví Dụ:

COMMAND   PID   USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
apache2   1234  www    4u   IPv4  12345 0t0      TCP *:http (LISTEN)

3.4 Sử dụng lệnh nmap

nmap là một công cụ quét mạng thường được dùng cho chẩn đoán bảo mật.

Quét localhost:

sudo nmap localhost

Kết Quả Ví Dụ:

Starting Nmap 7.80 ( https://nmap.org ) at 2024-12-21 18:00 JST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00013s latency).
PORT    STATE SERVICE
22/tcp  open  ssh
80/tcp  open  http

Các Điểm Chính:

• Các cổng mở và dịch vụ liên quan được liệt kê.
• Có thể quét các máy chủ bên ngoài, nhưng cần có sự cho phép hợp pháp.

4. Kiểm Tra Cài Đặt Tường Lửa

Trên Ubuntu, tường lửa thường được sử dụng để tăng cường bảo mật. ufw (Uncomplicated Firewall), đặc biệt, là một công cụ quản lý đơn giản nhưng mạnh mẽ được sử dụng rộng rãi cho mục đích này. Phần này giải thích cách kiểm tra trạng thái của các cổng và sửa đổi cấu hình bằng cách sử dụng ufw.

4.1 Kiểm tra Trạng thái ufw

Lệnh để kiểm tra trạng thái tường lửa:

sudo ufw status verbose

Ví dụ Đầu ra:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
To                         Action      From
--                         ------      ----
22/tcp                     ALLOW       Anywhere
80/tcp                     ALLOW       Anywhere

Giải thích:

• Status: active — cho biết rằng tường lửa đã được kích hoạt.
• Logging: on — ghi nhật ký đã được kích hoạt và hoạt động của tường lửa đang được ghi lại.
• Default: deny (incoming), allow (outgoing) — các kết nối đến bị từ chối theo mặc định, trong khi các kết nối đi được phép.
• ALLOW — hiển thị các cổng hoặc dịch vụ được phép rõ ràng (ví dụ: SSH và HTTP).

Mẹo:
Nếu tường lửa bị vô hiệu hóa (Status: inactive), kích hoạt nó bằng lệnh sau:

sudo ufw enable

4.2 Cho phép hoặc Chặn Cổng

Lệnh để cho phép một cổng:

sudo ufw allow 22/tcp

Giải thích:

• Cho phép các kết nối TCP trên cổng 22 (SSH).

Lệnh để chặn một cổng:

sudo ufw deny 80/tcp

Giải thích:

• Chặn truy cập vào cổng 80 (HTTP).

Ví dụ: Cho phép truy cập từ một địa chỉ IP cụ thể duy nhất

sudo ufw allow from 192.168.1.100 to any port 22 proto tcp

Giải thích:

• Cho phép các kết nối SSH từ địa chỉ IP 192.168.1.100 duy nhất.

4.3 Đặt lại và Xem xét Cài đặt

Để đặt lại cấu hình tường lửa và bắt đầu lại, chạy lệnh sau:

sudo ufw reset

Điều này xóa tất cả các quy tắc và trả tường lửa về trạng thái mặc định. Nếu bạn đặt lại cài đặt, hãy chắc chắn xem xét và áp dụng lại các quy tắc cần thiết.

5. Ví dụ Thực tế: Kiểm tra Trạng thái của một Cổng Cụ thể

Phần này cung cấp một ví dụ thực tế sử dụng SSH (cổng 22) để hiển thị cách xác minh trạng thái cổng.

5.1 Kiểm tra Trạng thái Cổng

Lệnh Ví dụ:

sudo ss -ltn | grep ':22'

Ví dụ Đầu ra:

LISTEN      0      128        0.0.0.0:22            0.0.0.0:*

Các Điểm Chính:

• Nếu LISTEN xuất hiện trong đầu ra, cổng đang mở và đang chờ kết nối.
• 0.0.0.0 cho biết rằng các kết nối được chấp nhận từ tất cả các địa chỉ IP.

5.2 Kiểm tra Quy trình Đang Chạy

Lệnh Ví dụ:

sudo lsof -i :22

Ví dụ Đầu ra:

COMMAND   PID   USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd      1234  root   3u   IPv4  56789 0t0      TCP *:ssh (LISTEN)

Các Điểm Chính:

• sshd là quy trình daemon quản lý các kết nối SSH.
• Bạn có thể dừng hoặc khởi động lại quy trình bằng cách sử dụng ID quy trình (PID) của nó.

Ví dụ về việc dừng một quy trình:

sudo kill 1234

5.3 Ví dụ Khắc phục Sự cố

Vấn đề: Phải làm gì khi một cổng bị đóng hoặc không thể truy cập.

Các Bước:

1. Kiểm tra cài đặt tường lửa.

   sudo ufw status verbose
   

2. Nếu cổng bị chặn, cho phép nó.

   sudo ufw allow 22/tcp
   

3. Kiểm tra trạng thái dịch vụ và khởi động lại nếu cần.

   sudo systemctl restart ssh
   

6. Quản lý Cổng và Bảo mật

Quản lý cổng liên kết trực tiếp với bảo mật mạng. Phần này giải thích các điểm chính về việc mở và đóng cổng cũng như duy trì các cấu hình bảo mật.

6.1 Đóng Các Cổng Không Sử Dụng

Các cổng không được sử dụng nên được đóng để giảm rủi ro truy cập trái phép.

Ví dụ: Đóng cổng 80

sudo ufw deny 80/tcp

6.2 Các Biện pháp Chống Quét Cổng

Quét cổng là một kỹ thuật mà kẻ tấn công sử dụng để xác định lỗ hổng trong hệ thống. Các phương pháp sau giúp bảo vệ máy chủ của bạn:

1. Tăng cường quy tắc tường lửa:

   sudo ufw default deny incoming
   

2. Giám sát nhật ký:

   sudo tail -f /var/log/ufw.log
   

3. Cài đặt công cụ phát hiện quét cổng: Sử dụng các công cụ như fail2ban để tự động chặn các nỗ lực truy cập trái phép.

7. Tổng kết

Bài viết này giải thích các phương pháp và lệnh cụ thể để kiểm tra cổng trên Ubuntu. Nó cũng đề cập đến việc quản lý tường lửa bằng ufw và các biện pháp bảo mật thực tiễn.

7.1 Những điểm chính cần nhớ

• Khái niệm cơ bản và các loại cổng: Cổng là điểm vào giao tiếp và được phân loại thành cổng đã biết, đã đăng ký và động.
• Cách kiểm tra cổng: Các lệnh như ss, netstat, lsof và nmap cung cấp thông tin về trạng thái cổng và tiến trình.
• Quản lý tường lửa: Sử dụng ufw, bạn có thể cho phép hoặc chặn các cổng để tăng cường bảo mật hệ thống.
• Tầm quan trọng của bảo mật: Đóng các cổng không sử dụng, giám sát nhật ký và sử dụng các công cụ bảo mật giúp duy trì môi trường mạng an toàn.

7.2 Ứng dụng thực tiễn

Quản lý cổng là một khía cạnh nền tảng của bảo mật mạng. Áp dụng kiến thức đã học từ bài viết này để duy trì môi trường máy chủ an toàn và ổn định.

FAQ: Các câu hỏi thường gặp về việc kiểm tra cổng trên Ubuntu

Q1. Tôi nên làm gì nếu một cổng không mở trên Ubuntu?

A:
Thử các bước sau:

1. Kiểm tra cài đặt tường lửa:

   sudo ufw status verbose
   

Nếu cổng bị chặn, cho phép nó bằng cách:

sudo ufw allow [portnumber]/tcp

2. Xác minh dịch vụ đang chạy:

   sudo systemctl status [servicename]
   

Ví dụ cho SSH:
sudo systemctl status ssh

Khởi động lại nếu cần thiết:

sudo systemctl restart [servicename]

3. Xác nhận rằng cổng được cấu hình đúng: Kiểm tra tệp cấu hình dịch vụ, chẳng hạn như /etc/ssh/sshd_config đối với SSH, để xác nhận số cổng phù hợp.

Q2. Sự khác biệt giữa ss và netstat là gì?

A:
Cả hai công cụ đều dùng để kiểm tra kết nối mạng, nhưng chúng khác nhau như sau:

• ss: Công cụ được khuyến nghị cho các hệ thống Linux hiện đại. Nhanh hơn và cung cấp thông tin chi tiết hơn. Ví dụ: sudo ss -ltn
• netstat: Công cụ cũ hơn, dần trở nên lỗi thời, nhưng vẫn phổ biến trên các hệ thống kế thừa. Ví dụ: sudo netstat -ltn

Đối với các hệ thống mới, nên sử dụng ss.

Q3. Làm sao tôi có thể phát hiện quét cổng?

A:
Sử dụng các phương pháp sau:

1. Kiểm tra nhật ký tường lửa:

   sudo tail -f /var/log/ufw.log
   

Tìm các địa chỉ IP đáng ngờ hoặc các lần truy cập lặp lại.

2. Cài đặt công cụ IDS/IPS:

• Sử dụng các công cụ như fail2ban hoặc Snort để tự động chặn các nỗ lực truy cập trái phép.

3. Quét máy chủ của bạn bằng nmap:

   sudo nmap localhost
   

Xác định các cổng mở không cần thiết và đóng chúng.

Q4. Làm sao tôi có thể kiểm tra tiến trình nào đang sử dụng một cổng cụ thể?

A:
Sử dụng lệnh lsof:

sudo lsof -i :[portnumber]

Ví dụ cho cổng 80:

sudo lsof -i :80

Kết quả mẫu:

COMMAND   PID   USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
apache2   1234  www    4u   IPv4  12345 0t0      TCP *:http (LISTEN)

Q5. Làm sao tôi chỉ cho phép một địa chỉ IP cụ thể bằng ufw?

A:
Sử dụng lệnh sau:

sudo ufw allow from [IP address] to any port [portnumber] proto tcp

Ví dụ: Cho phép truy cập SSH từ 192.168.1.100:

sudo ufw allow from 192.168.1.100 to any port 22 proto tcp

Q6. Làm sao tôi có thể thay đổi số cổng?

A:
Chỉnh sửa tệp cấu hình của dịch vụ tương ứng.
Ví dụ cho SSH:

1. Chỉnh sửa tệp cấu hình:

   sudo nano /etc/ssh/sshd_config
   

2. Tìm chỉ thị Port và đặt số cổng mới:

   Port 2222
   

3. Khởi động lại dịch vụ SSH:

   sudo systemctl restart ssh
   

4. Cho phép cổng mới qua tường lửa:

   sudo ufw allow 2222/tcp
   

Q7. Tôi có thể cho phép nhiều cổng cùng lúc không?

A:
Có, bạn có thể cho phép nhiều cổng cùng lúc bằng các phương pháp sau:

1. Cho phép một dải cổng:

   sudo ufw allow 1000:2000/tcp
   

Giải thích: Cho phép các cổng từ 1000 đến 2000.

2. Cho phép các cổng riêng lẻ:

   sudo ufw allow 22/tcp
   sudo ufw allow 80/tcp