Server sichern mit ufw

[Manfred Aabye]

Anfängerhilfe Server vor Fremdangriffen sichern
Die Uncomplicated Firewall (UFW) ist ein benutzerfreundliches Frontend für iptables und hilft dabei,
die Sicherheit Deines Servers zu gewährleisten, indem sie unerwünschte Verbindungen blockiert.
In dieser Anleitung zeige ich Dir, wie Du offene Ports ermitteln und die notwendigen Regeln in UFW konfigurieren kannst.
Schaut auch bei einem Neustart Eures Servers die offenen Ports und Apps an (sudo ufw app list) und sucht nach unbekannten verhalten.

Datei readopenport.sh
Dieses Skript ermittelt die offenen Ports auf Deinem Server und speichert sie in einer Datei namens offene_ports.txt.

--- bash

Code:

#!/bin/bash

# Ermitteln der offenen Ports und Speichern in einer Datei
sudo ss -tuln | awk 'NR>1{print $5}' | grep -oE '[0-9]+$' | sort -n | uniq > offene_ports.txt

---

Datei setufwports.sh
Dieses Skript überprüft, ob UFW installiert ist, und installiert es bei Bedarf.
Anschließend erstellt es ein weiteres Skript ufw_commands.sh,
das die UFW-Befehle zum Öffnen der ermittelten Ports enthält.

--- bash

Code:

#!/bin/bash

# Funktion um zu prüfen, ob ufw installiert ist
function check_ufw_installed {
    if ! command -v ufw &> /dev/null; then
        echo "ufw ist nicht installiert."
        read -p "Möchtest Du ufw installieren? (ja/nein): " choice
        case "$choice" in
          ja|Ja ) sudo apt-get update && sudo apt-get install ufw;;
          * ) echo "ufw wird nicht installiert. Beenden."; exit 1;;
        esac
    else
        echo "ufw ist bereits installiert."
    fi
}

# ufw Installation prüfen
check_ufw_installed

# Datei mit offenen Ports
PORT_FILE="offene_ports.txt"

# Check if file exists
if [[ ! -f $PORT_FILE ]]; then
    echo "Datei $PORT_FILE existiert nicht."
    exit 1
fi

# UFW-Befehle in ufw_commands.sh schreiben und Kopfzeile hinzufügen
{
  echo "#!/bin/bash"
  
  while IFS= read -r port
  do
      echo "sudo ufw allow $port/tcp"
      echo "sudo ufw allow $port/udp"
  done < "$PORT_FILE"
} > ufw_commands.sh

# Skript ausführbar machen
chmod +x ufw_commands.sh

echo "UFW-Befehle wurden in ufw_commands.sh gespeichert und die Kopfzeile wurde hinzugefügt."

---

Zum Schluss müsst ihr noch Eure Firewall starten:
sudo ufw enable

Hier sind die wichtigsten UFW Befehle zur Verwaltung Deiner Firewall:
sudo ufw enable: Aktiviert die Firewall
sudo ufw disable: Deaktiviert die Firewall
sudo ufw default ARG: Setzt die Standardrichtlinie
sudo ufw logging LEVEL: Setzt das Logging auf LEVEL
sudo ufw allow ARGS: Fügt eine Erlaubnisregel hinzu
sudo ufw deny ARGS: Fügt eine Ablehnungsregel hinzu
sudo ufw reject ARGS: Fügt eine Zurückweisungsregel hinzu
sudo ufw limit ARGS: Fügt eine Begrenzungsregel hinzu
sudo ufw delete RULE|NUM: Löscht REGEL oder NUMMER
sudo ufw insert NUM RULE: Fügt REGEL an Stelle NUMMER ein
sudo ufw prepend RULE: Fügt REGEL am Anfang ein
sudo ufw route RULE: Fügt eine Routenzuweisungsregel hinzu
sudo ufw route delete RULE|NUM: Löscht Routenzuweisungsregel oder NUMMER
sudo ufw route insert NUM RULE: Fügt Routenzuweisungsregel an Stelle NUMMER ein
sudo ufw reload: Lädt die Firewall neu
sudo ufw reset: Setzt die Firewall zurück
sudo ufw status: Zeigt den Firewall-Status an
sudo ufw status numbered: Zeigt den Firewall-Status als nummerierte Liste der REGELN an
sudo ufw status verbose: Zeigt den ausführlichen Firewall-Status an
sudo ufw show ARG: Zeigt den Firewall-Bericht
sudo ufw version: Zeigt Versionsinformationen an

Anwendungsprofil-Befehle:
sudo ufw app list: Listet Anwendungsprofile auf
sudo ufw app info PROFILE: Zeigt Informationen zu PROFILE an
sudo ufw app update PROFILE: Aktualisiert PROFILE
sudo ufw app default ARG: Setzt die Standard-Anwendungsrichtlinie