Debian absichern?
Hallo, ich möchte auf meinen Dedicated Server SSH und wenn es möglich ist FTP zugriff beschränken. So das man nur mit der Server IP selber zugreifen kann. Ich möchte dann mit einem VPN mich auf den Server koneckten können. So das ich dann egal auf welchem Gerät wo der VPN auch läuft und egal wo zugreifen kann, aber nicht ohne der ip was machen kann.
Ich nutze Debian 12.
Geht das? Danke im Vorhinein.
Mit besten Gruß
2 Antworten
Ja, das geht. Entweder per Firewall Regel als Source IP Adressen nur 127.0.0.1 und ::1 erlauben (bzw. den privaten Adressbereich deines VPNs), oder in der sshd config nur diese IP Adressen angeben.
Falls irgendwas mit deinem VPN Server nicht funktioniert, kommst du aber nicht mehr per SSH rauf, um das Problem zu beheben. Falls möglich würde ich den SSH Port also nicht auf dem Server selbst blockieren, sondern auf der Netzwerkebene (je nachdem, wo der Server steht, z.B. über den eigenen Router oder über eine Firewall des Hosters).
Jeder halbwegs brauchbare Hoster hat eine konfigurierbare Firewall.
kannst du Ports mit UPnP freigeben? Dann könntest du noch "ufw" (uncomplicated firewall ist sowas wie ein Wrapper um iptables) installieren und damit alle eingehenden Verbindungen sperren (bzw. nur die erlauben die du auch benutzt)
Wo soll denn UPnP im Serverbereich eine Rolle spielen? Das wird (wenn überhaupt) nur in Heimnetzwerken verwendet, und selbst dort würde ich es aus Sicherheitsgründen deaktivieren.
bei meinem Betreiber ist es aktiviert aber bin nicht bei Proxmox
Warum willst du überhaupt FTP benutzen und nicht SCP?
Ansonsten ist das möglich.
Weil ich sonst immer mit FTP gearbeitet habe, ich habe verschiedene private Projekte laufen, und habe es immer benutzt.
Wie würde man das machen?
sftp wäre dann aber sinnvoller. Das unterstützen auch diverse FTP Clients, wie z.b. Filezilla. Einfach mal googeln nach "sftp einrichten", ist nicht sonderlich kompliziert.
FTP ist halt aus dem letzten Jahrtausend, komplett unverschlüsselt und aus diversen Gründen unsicher.
Ok danke, werde ich mir anschauen.
Aber kann mir mit dem SSH Zugriff erklären wie man das absichern kann nur auf die Server ip, den VPN installieren kann ich aber mehr bin ich überfragt und finde dazu auch nichts.
Die einfachste Variante, die ich wahrscheinlich nutzen würde, wäre den FTP-Server nur an lo zu binden und dann einen SSH-Tunnel zu verwenden.
ssh -L 2121:localhost:21 username@server.com
Auf dem Remote Rechner verbindest Du dich dann einfach auf localhost:2121 und das wird über ssh weitergeleitet. Das erspart VPN. Alternativ wie bereits gesagt SFTP.
VPN wäre das gleiche Prozedere, nur dass Du eben eine Verbindung über WireGuard herstellst. Aber ich sehe den Wert darin nicht, da mit SSH ja schon ein sicherer Kanal besteht.
Das Problem ist aber, dass ftp nicht nur den Port 21 verwendet, sondern für die Datenübertragung zufällige Ports auswürfelt. Das ist ein Protokoll aus der Hölle
Der Server ist nur gemietet, aber ich nutze proxmox und habe da den Debian 12 Server angelegt.