检查 Ubuntu Linux 上的开放端口是安全管理的重要组成部分。某些 Linux 软件通过监听传入连接来工作。一个简单的例子是网络服务器，每当有人导航到网站时，它就会处理用户请求。作为 Linux 管理员或用户，始终了解系统的哪些端口对互联网开放非常重要。否则，您可能不会意识到与您的计算机建立的外部连接，这会消耗带宽和资源，同时也是潜在的安全漏洞。

在本教程中，我们将了解如何检查 Ubuntu Linux 上的开放端口。这可以通过几种不同的命令行实用程序来完成，我们将详细介绍这些实用程序。我们还将了解如何使用 Ubuntu 的 ufw 防火墙来确保端口安全。那么，您知道您的系统开放了哪些端口吗？让我们来看看吧。

在本教程中您将学习：

如何使用 ss 命令检查开放端口

如何使用 Nmap 实用程序检查开放端口

如何在ufw防火墙中检查并添加允许的端口

ss 命令可用于显示哪些端口正在侦听连接。它还显示它正在接受来自哪些网络的连接。

你知道吗？ ss 命令取代了 Linux 上较旧的 netstat 命令。您仍然可以安装并使用 netstat 命令来检查开放端口。

我们建议在命令中使用 -ltn 选项来查看简洁且相关的输出。让我们看一下我们测试系统上的一个例子。

我们可以看到我们的服务器正在侦听端口 80、3306 和 33060 上的连接。这些是与 HTTP 和 MySQL 相关的众所周知的端口。

您还会看到 ss 输出显示端口 53 和 631 处于监听状态。它们分别用于 DNS 和 Internet 打印协议。这些默认情况下处于启用状态，因此您可能会看到它们在您自己的系统上监听。 DNS 端口实际上并未开放，但它为我们系统上安装的应用程序提供名称解析。

要查看这些侦听端口属于哪些进程，请在命令中包含 -p 选项。

现在我们可以看到 systemd-resolve、cupsd、mysqld 和 apache2 是利用端口侦听传入连接的服务。

Nmap 是一个网络侦察工具，可用于检查远程主机上的开放端口。但是，我们也可以使用它来检查我们自己的系统，以获得开放端口的快速列表。

通常，我们会指定一个远程IP地址供Nmap扫描。相反，我们可以通过在命令中指定 localhost 来扫描我们自己的系统。

您应该记住一个重要的警告。在本地系统上使用 ss 或 nmap localhost 命令时，我们会绕过防火墙。事实上，这些命令显示处于侦听状态的端口，但这并不一定意味着这些端口对互联网开放，因为我们的防火墙可能会拒绝连接。

使用以下命令检查 ufw 防火墙的状态。

从输出中，我们可以看到 ufw 正在拒绝传入连接。由于端口 80 和 3306 尚未添加为例外，因此 HTTP 和 MySQL 无法接收传入连接，尽管 ss 和 nmap 报告它们处于侦听状态。 让我们使用以下命令为这些端口添加例外。

我们可以再次检查 ufw 的状态，看看端口现在是否已打开。

现在我们的两个端口在防火墙中打开并处于侦听状态。要了解有关 ufw 防火墙的更多信息（包括命令示例），请查看有关在 Linux 上安装和使用 ufw 防火墙的指南。

在本指南中，我们了解了如何使用 ss 命令以及 nmap 实用程序来检查 Ubuntu Linux 上的侦听端口。我们还学习了如何检查 ufw 防火墙以查看哪些端口打开，并在必要时添加例外。

如果端口处于侦听状态并且允许通过防火墙，则它应该对传入连接开放。但这也取决于您的计算机和互联网之间的路由器或其他网络设备，因为它们可能有自己的规则来阻止传入连接。