2.2.9. リッスンしているポートの確認

ポートを必要以上に開くとシステムの攻撃対象領域を増やすことになるので、避けるべきです。システムがサービスを開始した後で予期しないポートがリスニング状態になっている場合は、侵入の形跡である可能性があり、調査が必要になります。
root でコンソールから以下のコマンドを実行して、ネットワークからの接続をリッスンしているポートを判断します。
~]# netstat -tanp | grep LISTEN
tcp        0      0 0.0.0.0:45876               0.0.0.0:*                   LISTEN      1193/rpc.statd      
tcp        0      0 192.168.122.1:53            0.0.0.0:*                   LISTEN      1241/dnsmasq        
tcp        0      0 127.0.0.1:631               0.0.0.0:*                   LISTEN      1783/cupsd          
tcp        0      0 127.0.0.1:25                0.0.0.0:*                   LISTEN      7696/sendmail       
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      1167/rpcbind        
tcp        0      0 127.0.0.1:30003             0.0.0.0:*                   LISTEN      1118/tcsd           
tcp        0      0 :::631                      :::*                        LISTEN      1/init              
tcp        0      0 :::35018                    :::*                        LISTEN      1193/rpc.statd      
tcp        0      0 :::111                      :::*                        LISTEN      1167/rpcbind
システムで必要なサービスをコマンドの出力で確認して、特に必要でないものや権限が与えられていないものをオフにしてから、再度チェックを実行します。次に、ネットワーク経由で最初のシステムに接続している別のシステムから nmap を使用して、外部チェックを行います。これは、iptables のルールの確認に使用できます。外部システムから netstat 出力で表示されているすべての IP アドレス (localhost 127.0.0.0 または ::1 レンジを除く) をスキャンします。IPv6 のスキャンには -6 オプションを使用します。詳細は man nmap(1) を参照してください。
以下は、ネットワークからの TCP 接続をリッスンしているポートを判断するために、別のシステムのコンソールから発行するコマンドの例です。
~]# nmap -sT -O 192.168.122.1
詳細情報は、netstat(8)nmap(1)、および services(5) の man ページを参照してください。