¿Cómo puedo identificar procesos que utilizan instalaciones de red y puedo eliminarlos?

¿Cómo (dónde) puedo encontrar información sobre ellos?

Primero debes averiguar qué programa está vinculado a cada puerto. Desafortunadamente, no existe una única forma estándar de hacerlo que funcione en todos los sistemas de tipo *ix, y su pregunta no especifica ninguna.

Algunas versiones netstattienen una bandera que incluirá el nombre del programa asociado en cada línea de salida. Por ejemplo, --programen Linux o -ben Windows.

Si netstatno tiene dicha opción (por ejemplo, OS X), tendrá que buscar otro método que funcione en su sistema. lsof -i, /procespeleología, etc.

¿Cuál es su propósito en el sistema?

Una vez que tenga el nombre del programa en la mano, man prognamegeneralmente le brindará suficiente información para responder esa pregunta usted mismo.

[¿Puedo] matarlos?

Lo descubrirás una vez que sepas qué está haciendo cada servidor.

Una sola respuesta aquí no es el lugar adecuado para una lista de todas las cosas que puedes matar. Simplemente hay demasiadas posibilidades. Si no está seguro acerca de un programa determinado después de leer su documentación, puede publicar otra pregunta aquí preguntando al respecto. Algunas cosas son bastante obvias (por ejemplo sshd), otras más oscuras (por ejemplo avahi).

¿Cuáles de ellos pueden ser inseguros y cuáles son seguros?

Es raro que un programa se ejecute de forma predeterminada en un nuevo sistema *ix que sea absolutamente inseguro.

(En los viejos tiempos, ese no era el caso. A menudo veías sistemas ejecutando telnetd, sin chroot ftpd, los r*comandos...)

Cualquier escucha TCP en segundo plano no predeterminada debe ser algo que usted u otro administrador de confianza instale, por lo que presumiblemente ya se habrá enfrentado a cualquier problema de seguridad.

Aquí hay zonas grises. Es posible que tenga un servidor en ejecución que no sea absolutamente inseguro, pero sí condicionalmente inseguro. Tal vez no esté bloqueado correctamente, tal vez tenga errores sin parchear, etc. Sin embargo, eso es tema de carreras enteras de seguridad informática, no es algo adecuado para responder aquí en una sola pregunta. Sin esa experiencia, Google es probablemente su mejor primer recurso. Si no encuentra lo que necesita allí, puede publicar una nueva pregunta aquí sobre un servidor en particular.

El comando

netstat -a | grep LISTEN

enumera todos los procesos que escuchan en varios tipos de sockets. Estos sockets pueden ser de cualquier familia de direcciones como ipv4 (udp o tcp), ipv6 (udp6 o tcp6), unix.

Las entradas como:

tcp        0      0 *:webmin                *:*                     LISTEN
tcp        0      0 *:ftp                   *:*                     LISTEN

significa tcpque se utiliza el protocolo y algún servidor se está ejecutando en su máquina, como en mi caso, se están ejecutando webmin y el servidor ftp.

Las entradas como:

 tcp6       0      0 [::]:8484               [::]:*                  LISTEN     
 tcp6       0      0 [::]:netbios-ssn        [::]:*                  LISTEN     

significa que se utiliza el protocolo tcp6 de ipv6.

Las entradas como:

unix  2      [ ACC ]     STREAM     LISTENING     13297    /tmp/orbit-pradeep/linc-76d-0-53b2963d93f75
unix  2      [ ACC ]     STREAM     LISTENING     13305    /tmp/orbit-pradeep/linc-775-0-5ddd91eb9510b

son creados por ORBit CORBA. Esta arquitectura de agente de solicitud de objetos común (CORBA) es un estándar definido por el grupo de gestión de objetos (OMG) que permite que los componentes de software escritos en múltiples lenguajes informáticos y que se ejecutan en múltiples computadoras funcionen juntos, es decir, admite múltiples plataformas.

1. ¿Cómo (dónde) puedo encontrar información sobre ellos?

Supongamos que quiero encontrar información sobre /tmp/orbit-pradeep/linc-775-0-5ddd91eb9510b. Puedo encontrar los detalles ejecutando el siguiente comando:

$ lsof -Pwn | grep /tmp/orbit-pradeep/linc-775-0-5ddd91eb9510b

Este comando dio el resultado:

indicator  1909    pradeep   10u  unix 0xf6bd8900          0t0      13305 /tmp/orbit-pradeep/linc-775-0-5ddd91eb9510b
indicator  1909    pradeep   12u  unix 0xf6b1f600          0t0      13314 /tmp/orbit-pradeep/linc-775-0-5ddd91eb9510b

Aquí:

indicatores el nombre del comando Unix asociado con el proceso. 1909es el PID del indicatorproceso.

2. ¿Cuál es su propósito en el sistema?

Algunos procesos como

tcp        0      0 *:ftp                   *:*                     LISTEN

son para escuchar desde un servidor FTP.

A otros les gusta:

 unix  2      [ ACC ]     STREAM     LISTENING     13297    /tmp/orbit-pradeep/linc-76d-0-53b2963d93f75

están destinados a la comunicación entre procesos entre diferentes procesos utilizados por CORBA.

3. ¿Puedo matarlos?

Eso depende de la criticidad del proceso. Supongamos que si mata cualquier servidor que esté escuchando, cesará toda comunicación relacionada con ese servidor.

4. ¿Cuáles de ellos pueden ser inseguros y cuáles son seguros?

Todos son procesos seguros.

netstat -nap | grep LISTENdará el siguiente resultado, que incluirá elnombrey elpiddelescuchandoprocesos:

unix  2      [ ACC ]     STREAM     LISTENING     20763  2333/gnome-terminal /tmp/orbit-eugene/linc-91d-0-2dbe139bd35e3
unix  2      [ ACC ]     STREAM     LISTENING     17900  2014/bonobo-activat /tmp/orbit-eugene/linc-7de-0-2b0c0606f265
unix  2      [ ACC ]     STREAM     LISTENING     18325  2274/gnome-screensa /tmp/orbit-eugene/linc-7ef-0-59f130216cc19

-n- Mostrar direcciones numéricas en lugar de intentar determinar nombres simbólicos de host, puerto o usuario.

-a- Mostrar enchufes tanto de escucha como de no escucha.

-p Muestra el PID y nombre del programa al que pertenece cada socket.