Debian 12: UFW + Fail2ban in 5 Minuten (Set-and-forget gegen Bots und „Script Kiddies“)
Ziel: Der Server lässt von außen nur das Nötigste rein. Und wer bei SSH wiederholt falsche Logins probiert, wird automatisch gesperrt. Kein Feintuning, kein Lehrbuch.
Was die beiden Tools jeweils leisten
UFW sorgt für eine einfache Grundregel: Von außen kommt nur durch, was ausdrücklich erlaubt ist. Alles andere bleibt zu.
Fail2ban sperrt automatisch IP-Adressen, die auffällig werden (typisch: viele falsche SSH-Logins in kurzer Zeit).
Zusammen ist das der größte Effekt bei minimalem Aufwand.
Schritt 1: UFW installieren und aktivieren
sudo apt update
sudo apt install -y ufw
Grundregel setzen:
sudo ufw default deny incoming
sudo ufw default allow outgoing
SSH erlauben (sonst sperrt man sich beim Aktivieren aus):
sudo ufw allow 22/tcp
Falls ein Webserver öffentlich erreichbar sein soll:
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
Nur herausfinden, welche Ports überhaupt offen sind
sudo ss -tulpn
Falls Webmin wirklich von außen erreichbar sein soll:
sudo ufw allow 10000/tcp
UFW einschalten:
sudo ufw enable
sudo ufw status verbose
Schritt 2: Fail2ban installieren und starten
sudo apt update && sudo apt install python3-systemd # Python-Modul für systemd
sudo apt install -y fail2ban
sudo systemctl enable --now fail2ban
Schritt 3: Fail2ban so einstellen, dass es über die Firewall sperrt
Datei anlegen:
sudo nano /etc/fail2ban/jail.d/sshd.local
Inhalt einfügen:
[DEFAULT]
banaction = ufw
backend = systemd
[sshd]
enabled = true
bantime = 1h
findtime = 10m
maxretry = 5
Neustarten:
sudo systemctl restart fail2ban
Schritt 4: In 10 Sekunden prüfen, ob alles läuft
Firewall-Regeln:
sudo ufw status
Fail2ban aktiv?
sudo fail2ban-client status
sudo fail2ban-client status sshd
Wenn sshd aktiv ist, ist der Kernschutz fertig.
Was damit abgedeckt ist
- Unnötige Ports sind dicht.
- SSH ist offen, aber Bots werden nach wenigen Fehlversuchen automatisch ausgesperrt.
- Aufwand danach: praktisch keiner. Bei normalem Betrieb läuft das ohne weitere Pflege.
Wichtigster Praxis-Hinweis
Die meisten Angriffe kommen über SSH. Wenn nur eine Sache konsequent sein soll: UFW nur mit SSH (und ggf. 80/443) offen lassen. Alles andere ist Zusatzfläche, die man nur öffnet, wenn es wirklich gebraucht wird.
0 Kommentare