在CentOS中如何查看一个进程所占用的端口号？

在CentOS系统的日常管理和维护中,理解并能够准确查询“进程所用端口”是一项至关重要的核心技能，无论是进行服务部署、故障排查、性能优化还是安全审计，我们都需要清晰地知道系统内哪些进程正在运行，它们分别占用了哪些网络端口，以及这些端口是与哪些外部地址进行通信的，这种对系统内部状态的洞察力，是保障服务器稳定、高效、安全运行的基石。

理解进程与端口的关系

在深入探讨具体命令之前,我们首先需要明确两个基本概念：进程和端口。

• 进程：进程是操作系统进行资源分配和调度的基本单位，就是一个正在运行的程序实例，您启动的Nginx Web服务器，它在系统中就以一个或多个进程的形式存在。
• 端口：端口并非物理设备，而是基于TCP/IP协议的软件概念，用于区分一台主机上不同的网络服务，如果说IP地址是服务器的“街道地址”，那么端口就是接收特定服务的“房间号”，范围从0到65535。

一个进程可以监听一个或多个端口,以便接收来自客户端的连接请求，当一个网络数据包到达服务器时，操作系统会根据目标IP地址和端口号，将其准确地分发给对应的进程进行处理，将进程与端口对应起来，我们就能清晰地描绘出服务器的网络通信地图。

核心命令：三大利器

在CentOS中,我们有多个强大的命令行工具可以用来查看进程与端口的对应关系，其中最常用的是netstat、ss和lsof。

netstat：经典而全面的网络工具

netstat（Network Statistics）是一个历史悠久且功能丰富的网络状态查看工具，尽管在一些最新的发行版中它逐渐被ss替代，但其经典地位和广泛的认知度使其仍然是不可或缺的工具。

为了查看当前所有监听的TCP和UDP端口,以及它们对应的进程，最常用的命令组合是：

sudo netstat -tulpn

让我们分解一下这个命令的参数：

• -t：显示TCP（Transmission Control Protocol）端口。
• -u：显示UDP（User Datagram Protocol）端口。
• -l：仅显示处于监听状态的套接字。
• -p：显示监听端口的进程ID（PID）和进程名称。
• -n：以数字形式显示地址和端口号，而不是尝试解析为服务名或主机名（这样速度更快，信息更直接）。

输出示例解析：

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1012/sshd
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1325/master
tcp6       0      0 :::80                   :::*                    LISTEN      2345/nginx: master

• Proto：协议类型（tcp, tcp6, udp）。
• Local Address：本地地址和端口。0.0.0:22 表示监听在所有网络接口的22端口。
• Foreign Address：远程地址和端口。0.0.0:* 或 表示接受来自任何IP的连接。
• State：连接状态，LISTEN表示正在监听。
• PID/Program name：进程ID和名称，2345/nginx: master 表示Nginx主进程。

注意：在CentOS 7及以后版本中，netstat可能未预装，您可以通过 sudo yum install net-tools 来安装。

ss：更现代、更高效的替代者

ss（Socket Statistics）是netstat的现代替代品，它直接从内核获取信息，比netstat更快、更高效，其命令参数与netstat高度相似，使得从netstat迁移过来的学习成本极低。

与netstat -tulpn功能完全等效的ss命令是：

sudo ss -tulpn

输出示例解析：

ss的输出格式与netstat非常相似，同样包含了协议、本地地址、状态和进程信息，由于其性能优势，在现代Linux系统管理实践中，ss是首选工具。

lsof：功能强大的“一切皆文件”工具

lsof（List Open Files）的哲学是“在Unix中，一切皆文件”，网络连接（套接字）也被视为一种文件。lsof可以用来列出任何进程打开的网络端口。

要查看所有监听的Internet端口,可以使用：

sudo lsof -i -P -n

参数解释：

• -i：筛选出所有网络连接。
• -P：不将端口号转换成服务名，直接显示数字。
• -n：不将IP地址解析为主机名。

如果您想查找特定端口（例如80端口）被哪个进程占用，lsof显得尤为方便：

sudo lsof -i :80

这将直接输出所有与80端口相关的进程信息,简洁明了。

实战应用场景

掌握了这些工具后,我们可以轻松应对许多实际问题。

服务启动失败排查
当您尝试启动Nginx或Apache等服务时，系统提示“Address already in use”（地址已被使用），这时，您需要找出是什么进程占用了目标端口（例如80端口）。

1. 运行 sudo ss -tulpn | grep :80。
2. 命令输出会显示占用80端口的进程PID和名称,httpd 或另一个 nginx。
3. 您可以根据PID kill -9 <PID> 终止该进程，或者修改新服务的配置，使其监听其他端口。

安全审计
您怀疑服务器上可能存在未授权的后门程序，它在监听一个不寻常的高位端口。

1. 运行 sudo ss -tulpn，查看所有监听端口。
2. 结合 /etc/services 文件和您的业务知识，识别出所有“已知”的服务端口。
3. 对任何不认识的监听端口和进程,使用 lsof -i :<端口号> 查看详细信息，再通过 ps aux | grep <PID> 或 top 命令进一步调查该进程的详细情况、资源消耗和执行路径。

工具对比与选择

为了更直观地理解这三个工具的区别,下表进行了简要小编总结：

工具名称	主要功能	常用组合	特点与适用场景
netstat	网络连接、路由表、接口统计	netstat -tulpn	经典、全面，但性能稍低，脚本兼容性好，适合快速检查。
ss	Socket状态统计	ss -tulpn	现代、高效，信息获取快，是netstat的推荐替代品，适合高频查询和自动化脚本。
lsof	列出进程打开的所有文件（含网络套接字）	lsof -i -P -n / lsof -i :<port>	功能极其强大，查询特定端口非常方便，但信息量较大，适合深度分析和精准查找。

相关问答 (FAQs)

问题1：netstat 和 ss 的命令参数和输出很相似，我到底应该使用哪一个？

解答： 对于绝大多数日常使用场景，ss 是更好的选择，它从内核直接读取数据，执行速度远快于 netstat，尤其是在高负载服务器上或需要频繁查询时，性能优势更明显，现代的CentOS系统也默认推荐使用ss。netstat的优势在于其悠久的历史和极高的兼容性，许多老旧的脚本或文档可能仍在使用它，如果您是刚接触CentOS管理，建议直接学习和使用ss，将其作为您的首选工具。

问题2：我发现一个未知进程正在监听一个奇怪的端口（比如54321），这一定是有害的吗？我该怎么办？

解答： 监听一个不常见的端口不一定代表有害，但绝对需要警惕，许多自定义应用程序或服务会使用非标准端口以提高安全性或避免冲突，您的处理步骤应该是：

1. 深入调查进程：使用 ps -fp <PID> （将替换为该未知进程的ID）查看它的用户、启动时间和完整命令行，使用 ls -la /proc/<PID>/exe 查看其对应的可执行文件路径，判断它是否位于正常的系统目录（如 /usr/bin, /usr/sbin）或应用目录。
2. 分析网络连接：使用 ss -p | grep <PID> 查看该进程除了监听之外，是否还建立了其他可疑的对外连接。
3. 检查服务配置：检查您部署的应用的配置文件（如 application.properties, config.yaml 等），确认是否有某个应用被配置为使用该端口。
4. 必要时隔离处理：如果通过以上步骤仍无法确认其来源和用途，或者发现其可执行文件路径可疑（如在 /tmp 目录下），那么它很可能是恶意程序，应立即断开服务器的外网连接，使用 kill -9 <PID> 终止进程，并删除可疑文件，然后进行全面的安全扫描和系统加固。