내 시스템 중 하나를 감사하면서 로컬 호스트, 포트 52698에서 수신 대기하는 이름이 없는 프로세스를 발견했습니다.
# netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 972/sshd
tcp 0 0 127.0.0.1:52698 0.0.0.0:* LISTEN 13940/0
tcp 0 0 0.0.0.0:5666 0.0.0.0:* LISTEN 1043/nrpe
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 1128/mysqld
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 616/rpcbind
tcp6 0 0 :::22 :::* LISTEN 972/sshd
tcp6 0 0 ::1:52698 :::* LISTEN 13940/0
tcp6 0 0 :::443 :::* LISTEN 2354/apache2
tcp6 0 0 :::111 :::* LISTEN 616/rpcbind
tcp6 0 0 :::80 :::* LISTEN 2354/apache2
/proc의 프로세스에 대한 정보를 얻으려고 하면 다음과 같은 결과를 얻었습니다.
/proc/13940# ls -l exe
lrwxrwxrwx 1 root root 0 May 16 06:25 exe -> /usr/sbin/sshd
/proc/13940# cat cmdline
sshd: ubuntu@pts/0
sshd 프로세스가 어떤 이유로 이것을 연 것 같습니다. 이게 정상인가요? sshd가 이 수신 포트를 여는 이유는 무엇입니까?
답변1
그럴 수도 있다원격 포트 포워딩. -R시스템에 SSH를 연결하는 동안 누군가 플래그를 사용했습니다 . 보다man ssh:
-R [bind_address:]port:host:hostport
원격(서버) 호스트의 지정된 포트가 로컬 측의 지정된 호스트 및 포트로 전달되도록 지정합니다. 이것은 청취할 소켓을 할당함으로써 작동합니다.포트원격 측에서 이 포트에 연결될 때마다 연결은 보안 채널을 통해 전달되고 다음 포트로 연결됩니다.주인포트호스트포트로컬 머신에서.
참고: UDP가 아닌 TCP 포트에서 작동합니다.
터널을 만든 사용자가 의 소유자이기도 하다고 생각합니다 /proc/13940. 추가 조사가 필요한 경우 이는 단서입니다.
답변2
이 특별한 경우에는 X11 전달이라고 생각합니다. -X 또는 -Y 플래그를 사용하거나 .ss/config의 해당 옵션을 사용하여 활성화해야 합니다. 비활성화하고 다시 로그인해 보십시오. 대부분 사라질 것이라고 확신합니다.