リモートマシンに対して開いているすべてのソケットを一覧表示するにはどうすればよいですか？

ほとんどの環境では、tcp、udp、raw、およびパケットソケットのみが見つかるはずです。幸い、ssはこれらすべてを知っています。

ssが必要なすべてのプロトコルを知っているとすると、次のコマンドを使用できます。これにより、「unix」ソケットが除外されます。また、ローカルカーネルとの通信にのみ使用される「netlink」ソケットも除外されます。

_Sudo ss -l -p | grep -vE '^(u_|nl )'
_

多くの場合、リスニングソケットは多くありません。したがって、それらすべてを調べ、ループバックIPアドレスをリッスンするものを手動で無視できます。または、ssにすべてのフィルタリングを実行するよう要求できます。

_Sudo ss -l -p -A 'all,!unix,!netlink' 'not src 127.0.0.1 not src [::1]'
_

どちらの場合も、出力には「クライアント」UDPソケットを含めることもできます。したがって、DNSクライアント、HTTP/3クライアントなども表示される場合があります。

各ソケットを開いたプログラムに関する情報を表示する必要がない場合は、_-p_オプションを削除して、ss（またはnetstat）を実行する必要はありません。 root権限（Sudo）。

上記のコマンドはどの程度包括的ですか？

Netstatの代わりとして宣伝されているにもかかわらず、ssは "udplite"ソケットを表示するためのサポートを欠いています。

また、答えはssのバージョンによって異なります（カーネルもそうです）。この回答が最初に書かれたとき、 2017 以前は、ssは「sctp」をサポートしていませんでした。 netstatは 2014年2月 ）以降サポートしています。 sctpは特にinside電話会社が想定されています。電話会社以外では、VOIPは通常udpを使用します。

残念ながら、_man netstat_で包括的なリストを探すと、かなり混乱します。 sctpおよびudpliteのオプションは、tcp、udp、およびrawとともに最初の行に表示されます。さらに下には、プロトコルの包括的なリストfamilies：_[-4|--inet] [-6|--inet6] [--unix|-x] [--inet|--ip|--tcpip] [--ax25] [--x25] [--rose] [--ash] [--bluetooth] [--ipx] [--netrom] [--ddp|--appletalk] [--econet|--ec]_のようなものがあります。

netstatはudpliteとsctpをサポートしていますが、「dccp」はサポートしていません。また、_ss -l -0_で選択されているように、netstatは（rawソケットのようにリンクレベルヘッダーを含む）パケットソケットをサポートしていません。結論として、私はすべてが嫌いであり、私はおそらくあまり知識人にならないように立つことができました。

また、ssはBluetoothソケットをサポートしていません。 Bluetoothソケットは従来の問題ではありません。これは、完全な監査を行っている場合に関連する可能性があります。 Bluetoothセキュリティは非常に具体的な質問です。ここでは答えません。

netstatでlocalhostを省略していますか？

netstatには、localhostにバインドされたソケットを省略する特定の方法はありません。最後に_| grep -v_を使用できます。 _-p_オプションをnetstat/ssに使用する場合は注意してください。プロセス名に一致がある場合、誤って一部のプロセスを除外する可能性があります。 _grep -v localhost:_のように、コロンをパターンに含めます。 ssのデフォルトを除いて、数値のアドレスを表示するため、| grep -vE (127.0.0.1|\[::1\]):を使用します。誤って除外されるプロセスをチェックしてみてください。 ps ax | grep -E (127.0.0.1|\[::1\]):。

より簡単なコマンドはありますか？

パケットソケットについては残念です。それ以外の場合は、単純な_netstat -l_コマンドをお勧めします。 netstatは、リクエストを効果的に予測し、出力を「インターネット接続」、「UNIXドメインソケット」、「Bluetooth接続」に分割します。最初のセクションだけを見てください。 netlinkソケット用のセクションはありません。

Tcp、udp、raw、およびパケットソケットのみに関心があるとします。最初の3つのタイプのソケットでは、_netstat -l -46_を使用できます。

パケットソケットが一般的に使用されています。したがって、_ss -l -0_（または_ss -l --packet_）を実行するようにトレーニングする必要もあります。

残念ながら、これには大きな落とし穴があります。問題は、2つのコマンドを組み合わせようとすることです。

ssで回避すべきトラップ

_ss -l -046_は、単一コマンドの回答として魅力的に見えます。ただし、これはnot trueです。 _ss -46_はIPv6ソケットのみを表示します。 _ss -64_はIPv4ソケットのみを表示します。

常に結果の健全性をチェックすることをお勧めします。期待することを学ぶ。各プロトコルを調べて、そこにあるはずの欠落がないかどうかを確認します。 IPv4アドレスもIPv6アドレスもない場合は、非常に疑わしいです。ほとんどのサーバーでは、両方でリッスンするSSHサービスが想定されています。 DHCPを使用しているため、ほとんどの非サーバーもパケットまたはrawソケットを表示する必要があります。

2つの異なるコマンドの出力を解釈したくない場合は、netstatコマンドを_ss -l -A inet_で置き換えることもできます。 netstatを実行すると、まったく同じオプションがipv6ソケットを除外するため、これは少し残念です。

したがって、単一のコマンドの場合、_ss -l -A inet,packet ..._を使用できます。

IMOでは、最初のセクションで提案したように_ss -l | grep ..._を使用することもできます。このコマンドを覚えることは簡単で、ssの選択オプションでの混乱を招く動作を回避します。

この出力を使用して何かを自動化するスクリプトを作成する場合は、ソケットタイプのpositiveリストでフィルタリングすることをお勧めします。そうしないと、ssが新しいタイプのローカル専用ソケットのサポートを開始したときにスクリプトが壊れる可能性があります。

_ss -a -A raw -f link_は_ss -a -A raw_と_ss -a -f link_からのソケットの組み合わせを示していることを私は言及しましたか？一方、_ss -a -A inet -f inet6_は、_ss -a -A inet_よりもlessソケットを示していますか？ _-f inet6_および_-f inet_は特殊なケースであり、適切に文書化されていません。

（_-0_、_-4_および_-6_は、_-f link_、_-f inet_、および_-f inet6_のエイリアスです）。

_ss -A packet_には見出しが表示されますが、ソケットは表示されません。 straceは、文字どおり何も読み取らないことを示しています。これは、パケットソケットを常に「リッスンしている」ものとして扱うためです。 ssは、これに関する警告を提供しません。これは、ssが同時に "リスニング"および "非リスニング"として扱うrawソケットとは異なります。

（_man 7 raw_は、生のソケットが特定のIPプロトコルにバインドされていないnot特定のプロトコルにバインドされている場合、送信専用であることを示しています。待機ソケットとしてのみ扱われる）