ufw - Block meldungen im Log

  • Hallo Netcup Forum,


    Ich bin hier Neueinsteiger im Thema serverhosting und hab eine Frage.

    Gestern früh hab ich meinen VPS am laufen (Ubuntu Image only) und ich hab grundlegende Dinge für Security eingerichtet.


    Unter anderem hab ich auch die UFW aktiviert und eigentlich mal den kompletten eingehenden Verkehr abgesehen von ssh auf "Deny" gesetzt.


    Code
    1. Status: active
    2. Logging: on (low)
    3. Default: deny (incoming), allow (outgoing), disabled (routed)
    4. New profiles: skip
    5. To Action From
    6. -- ------ ----
    7. 22/tcp ALLOW IN Anywhere
    8. 22/tcp (v6) ALLOW IN Anywhere (v6)


    Gut, nach ungefähr 30h Laufzeit, sehe ich in meinem ufw logfile 5327 "UFW BLOCK" Meldungen von den verschiedensten IP SRC Adressen und auf verschiedenste DST Ports bei mir.

    In Summe handelt es sich um 1664 verschiedene SRC IP Adressen.



    Und nun zu meiner Frage:
    Ist das normal? Ich hätte damit nicht gerechnet.

    Wie gesagt, ich bin ein Einsteiger in der ganzen Thematik.



    Danke für eure Antworten im Voraus,

    liebe Grüße

  • Ziemlich normal, deswegen wird hier den Neulingen immer dazu geraten sich ins Thema Sicherheit einzulesen. Den die Bots da draußen suchen ja nur nach nicht gut gesicherten Servern.


    Du kannst auch mal gucken wieviele Failed Logins auf dem SSH kamen. Das wird in Summe nochmal eine ähnliche Zahl sein. Deswegen auch den SSH gut absichern

  • danke für das Kommentar und danke für den Hinweis

    ach ja, da gehts ja ordentlich ab im auth.log ;-)

    damit hab ich ehrlich nicht gerechnet - aber gut das fällt wohl unter die "ersten Erfahrungen"


    bezüglich ssh hab ich folgendes schon umgesetzt:
    +) kein ssh login für root sondern mit anderem user

    +) keine password authentication

    +) dafür authentication über ed25519 key

    +) key mit passphrase zusätzlich abgesichert


    was könnte ich da noch verbessern

  • fail2ban installieren. Damit kannst du IPs bei zu vielen fehlgeschlagenen Login-Versuchen automatisch eine Zeit lang sperren.

    Oder den Zugriff auf Dienste wie SSH ohne vorherige Authentifizierung mittels knock/fwknop gleich ganz verwehren.