Artikel

Debian 12: UFW + Fail2ban in 5 Minuten (Set-and-forget gegen Bots und „Script Kiddies“)

AllgemeinHackingLinuxNetzwerkSicherheit

Ziel: Der Server lässt von außen nur das Nötigste rein. Und wer bei SSH wiederholt falsche Logins probiert, wird automatisch gesperrt. Kein Feintuning, kein Lehrbuch.

Was die beiden Tools jeweils leisten

UFW sorgt für eine einfache Grundregel: Von außen kommt nur durch, was ausdrücklich erlaubt ist. Alles andere bleibt zu.

Fail2ban sperrt automatisch IP-Adressen, die auffällig werden (typisch: viele falsche SSH-Logins in kurzer Zeit).

Zusammen ist das der größte Effekt bei minimalem Aufwand.


Schritt 1: UFW installieren und aktivieren

sudo apt update
sudo apt install -y ufw

Grundregel setzen:

sudo ufw default deny incoming
sudo ufw default allow outgoing

SSH erlauben (sonst sperrt man sich beim Aktivieren aus):

sudo ufw allow 22/tcp

Falls ein Webserver öffentlich erreichbar sein soll:

sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

Nur herausfinden, welche Ports überhaupt offen sind

sudo ss -tulpn

Falls Webmin wirklich von außen erreichbar sein soll:

sudo ufw allow 10000/tcp

UFW einschalten:

sudo ufw enable
sudo ufw status verbose

Schritt 2: Fail2ban installieren und starten

sudo apt update && sudo apt install python3-systemd # Python-Modul für systemd
sudo apt install -y fail2ban
sudo systemctl enable --now fail2ban

Schritt 3: Fail2ban so einstellen, dass es über die Firewall sperrt

Datei anlegen:

sudo nano /etc/fail2ban/jail.d/sshd.local

Inhalt einfügen:

[DEFAULT]
banaction = ufw
backend = systemd

[sshd]
enabled = true
bantime = 1h
findtime = 10m
maxretry = 5

Neustarten:

sudo systemctl restart fail2ban

Schritt 4: In 10 Sekunden prüfen, ob alles läuft

Firewall-Regeln:

sudo ufw status

Fail2ban aktiv?

sudo fail2ban-client status
sudo fail2ban-client status sshd

Wenn sshd aktiv ist, ist der Kernschutz fertig.


Was damit abgedeckt ist

  • Unnötige Ports sind dicht.
  • SSH ist offen, aber Bots werden nach wenigen Fehlversuchen automatisch ausgesperrt.
  • Aufwand danach: praktisch keiner. Bei normalem Betrieb läuft das ohne weitere Pflege.

Wichtigster Praxis-Hinweis

Die meisten Angriffe kommen über SSH. Wenn nur eine Sache konsequent sein soll: UFW nur mit SSH (und ggf. 80/443) offen lassen. Alles andere ist Zusatzfläche, die man nur öffnet, wenn es wirklich gebraucht wird.

0 Kommentare