ufw - Block meldungen im Log

walC · 25. November 2020

Hallo Netcup Forum,

Ich bin hier Neueinsteiger im Thema serverhosting und hab eine Frage.

Gestern früh hab ich meinen VPS am laufen (Ubuntu Image only) und ich hab grundlegende Dinge für Security eingerichtet.

Unter anderem hab ich auch die UFW aktiviert und eigentlich mal den kompletten eingehenden Verkehr abgesehen von ssh auf "Deny" gesetzt.

Code

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW IN    Anywhere
22/tcp (v6)                ALLOW IN    Anywhere (v6)

Gut, nach ungefähr 30h Laufzeit, sehe ich in meinem ufw logfile 5327 "UFW BLOCK" Meldungen von den verschiedensten IP SRC Adressen und auf verschiedenste DST Ports bei mir.

In Summe handelt es sich um 1664 verschiedene SRC IP Adressen.

Und nun zu meiner Frage:
Ist das normal? Ich hätte damit nicht gerechnet.

Wie gesagt, ich bin ein Einsteiger in der ganzen Thematik.

Danke für eure Antworten im Voraus,

liebe Grüße

ArtCore7 · 25. November 2020

Ziemlich normal, deswegen wird hier den Neulingen immer dazu geraten sich ins Thema Sicherheit einzulesen. Den die Bots da draußen suchen ja nur nach nicht gut gesicherten Servern.

Du kannst auch mal gucken wieviele Failed Logins auf dem SSH kamen. Das wird in Summe nochmal eine ähnliche Zahl sein. Deswegen auch den SSH gut absichern

walC · 25. November 2020

danke für das Kommentar und danke für den Hinweis

ach ja, da gehts ja ordentlich ab im auth.log

damit hab ich ehrlich nicht gerechnet - aber gut das fällt wohl unter die "ersten Erfahrungen"

bezüglich ssh hab ich folgendes schon umgesetzt:
+) kein ssh login für root sondern mit anderem user

+) keine password authentication

+) dafür authentication über ed25519 key

+) key mit passphrase zusätzlich abgesichert

was könnte ich da noch verbessern

mhoefer · 26. November 2020

fail2ban installieren. Damit kannst du IPs bei zu vielen fehlgeschlagenen Login-Versuchen automatisch eine Zeit lang sperren.

m_ueberall · 26. November 2020

Zitat von walC

bezüglich ssh hab ich folgendes schon umgesetzt:

+) kein ssh login für root sondern mit anderem user

+) keine password authentication

+) dafür authentication über ed25519 key

+) key mit passphrase zusätzlich abgesichert

was könnte ich da noch verbessern

Alles anzeigen

Zitat von mhoefer

fail2ban installieren. Damit kannst du IPs bei zu vielen fehlgeschlagenen Login-Versuchen automatisch eine Zeit lang sperren.

Oder den Zugriff auf Dienste wie SSH ohne vorherige Authentifizierung mittels knock/fwknop gleich ganz verwehren.

mhoefer · 26. November 2020

knock ist auch eine gute Wahl, fail2ban kann darüber hinaus auch auf andere Log-Files angesetzt werden und dient so auch zum Ausbremsen von Login-Versuchen auf geschützte Web-Sites.

alhazred · 26. November 2020

Vielleicht noch eine MFA Lösung umsetzen. Da gibt es ja inzwischen genug Alternativen.