Frage zu UFW

  • Hallo Community,


    ich habe seit mehreren Monaten einen VPS der außer einer PostGreSQL Datenbank Replikation und Publikation nichts weiter zu tun hat.


    Ich möchte per UFW den Zugriff einschränken und wäre über etwas Hilfe dankbar.


    Zugriff auf den Server soll lediglich dem Master und meinem Rechner zu Hause erlaubt sein.


    Den SSH Port habe ich auf einen anderen Port xxx22 "umgebogen".


    Orientiert habe ich an einem Heise Artikel.


    Hier nun meine geplante Vorgehensweise in der Hoffnung dass ich mich nicht selbst aussperre:


    1. sudo ufw default deny incoming

    2. sudo ufw default allow outgoing

    3. sudo ufw allow xxx22 # Zugang über Port xxx22 erlaubt

    4. sudo ufw allow from aaa.bbb.ccc.ddd # IP Adresse des DB-Masters

    5. sudo ufw allow from eee.fff.ggg.hhh # IP Adresse meines Rechners zu Hause


    Funktioniert das so?


    Ich möchte sicherstellen, dass weiterhin SSH über xxx22 möglich ist für den Fall, dass sich meine IP Adresse zu Hause ändert.

    Das kommt zwar nicht oft vor, kann aber dennoch passieren...


    Vielen Dank schon mal und herzlichen Gruß,

    Andreas

  • Mache den ersten Schritt ganz am Schluss. Zwar sollten bestehende Verbindungen erst einmal nicht direkt betroffen sein, aber du kannst nie sicher sein, ob du nicht doch ausgesperrt wirst. Dann kommst du nämlich gar nicht mehr rein. Immer erst die Regeln für den Zugriff erlauben und dann erst die Deny Regeln aktiv schalten ;).

    Ein "allow from IP" gilt erst einmal für alle Ports. Wenn man ganz penibel ist, könnte man das noch auf einzelne Ports runter brechen. Der DB Master müsste schließlich nur auf den PostgreSQL Port zugreifen. Aber zu Beginn ist das schon ok so.

  • Stell vorher am besten einmal sicher, dass du dich über die VNC-Console im SCP einloggen kannst. Als Plan B ist das immer sehr praktisch, wenn man sich doch mal ausgesperrt hat.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Like 5
  • Hallo AndreasD,


    um ein dauerhaftes Selbst-Aussperren zu vermeiden, kann man vor dem Aktivieren neuer Firewall-Regeln per "ufw enable" sicherheitshalber erstmal eine zeitgesteuerte Deaktivierung beispielsweise 10 Minuten später vorsehen:


    Code
    echo "/usr/sbin/ufw disable" | at 21:45


    So kann man in Ruhe schauen, ob die erstellten Regeln den gewünschten Effekt haben. Und falls man über das Ziel hinaus geschossen ist, kann man nach 10 Minuten einen neuen Anlauf nehmen.

  • Gute Idee, aber sollte ufw disable nicht per sudo eriolgen?


    Cheers,
    Andreas