Firewall und Sicherheit¶
Dokumenttyp: Developer Playbook
Status: Draft v0.1
Stand: 2026-06-29
Prinzip: Allgemeine Anleitung mit Praxisbeispiel aus Immohai
Ziel¶
Dieses Dokument beschreibt die grundlegende Absicherung eines Linux-Servers.
Grundprinzip¶
Ein Server sollte standardmäßig keine unnötigen eingehenden Verbindungen akzeptieren.
Das Prinzip lautet:
Default Deny
Alles wird blockiert, außer explizit erlaubte Dienste.
UFW installieren und prüfen¶
Ubuntu bringt UFW meist bereits mit.
sudo ufw status
SSH erlauben¶
Vor dem Aktivieren der Firewall muss SSH erlaubt werden:
sudo ufw allow OpenSSH
Firewall aktivieren¶
sudo ufw enable
Status prüfen:
sudo ufw status verbose
Fail2Ban¶
Fail2Ban schützt gegen Brute-Force-Versuche auf SSH.
Installation:
sudo apt install fail2ban -y
Status prüfen:
sudo systemctl status fail2ban
Praxisbeispiel Immohai¶
Für Immohai wurde:
- UFW aktiviert,
- OpenSSH freigegeben,
- Fail2Ban installiert,
- der Dienststatus geprüft.
Ports¶
| Port | Dienst | Status |
|---|---|---|
| 22 | SSH | erlaubt |
| 80 | HTTP | für Webserver |
| 443 | HTTPS | später |
| 8000 | MkDocs | nur Entwicklungs-/Doku-Zugriff |
Best Practices¶
- SSH erlauben, bevor UFW aktiviert wird.
- Nur benötigte Ports öffnen.
- Fail2Ban früh installieren.
- Root-Login später deaktivieren.
- Secrets nie in Git speichern.
Typische Fehler¶
| Fehler | Ursache | Lösung |
|---|---|---|
| ausgesperrt | SSH vor UFW nicht erlaubt | Hetzner-Konsole/Rescue verwenden |
| Port nicht erreichbar | UFW blockiert | sudo ufw allow <port>/tcp |
| Fail2Ban läuft nicht | Service gestoppt | sudo systemctl start fail2ban |
Checkliste¶
- [ ] UFW installiert
- [ ] OpenSSH erlaubt
- [ ] UFW aktiv
- [ ] Fail2Ban installiert
- [ ] Ports dokumentiert