Debian 11 (Bullseye) har været ude i nogle måneder, men turde ikke opgradere med det samme for fare for nogle af services som jeg kører på min server, ville opleve nedetid.
Så efter en hel masse læsning af diverse versioner og pakker, for ændringer osv. beslutede jeg at kaste mig ind i det. Og se hvad der kommer ud af det. Ved samme lejlighed var målet at introducere mere robust sikkerhed på serveren, og tanken var NFTables, som firewall. Har ikke rigtigt brugt firewall så meget, da det trods alt var en server med en del services og fail2ban holdte øje for mistænksom aktivitet og blokerede for disse IP’er.
Opgradering gik mere eller mindre uden bøvl, MariaDB version af et eller andet årsag blev afinstalleret, men det blev løst på få sekunder ved at installere det igen.
En genstart senere for at sørge for at alle services starter som de skulle, også efter en genstart, bekræftede at alt var som før, blot med up-to-date software.
Så nu var det på tide at ruste sikkerhed og finde ud af hvad NFTables kan og hvordan det virker. Som sagt før, fail2ban stod for overvågning af aktiviteter og det var også fail2ban der håndhævede regler på NFTables. Dette fremgangsmåde virkede for mig i mange år og på mange servere. Men på de sidste var der en del aktivitet som jeg godt kunne tænkte at få en stopper for mere permanent end bare reaktivt.
Så min tanke var, lukke af for alt, og åbne kun for de services som jeg bruger, samt at introducere regler der dropper forbindelsen til noget der kunne minde om forsøg på angreb eller fingerprinting af systemet.
To dage senere, og et utal af forsøg på at lave noget ordentlig, og for det meste forsøge at holde den rette balance mellem hvad jeg skal bruge, og hvor aggressivt det skal være… er jeg kommet til noget brugbart, for nu.
Alle services virker, jeg har forbindelse sporing og optælling og en hel masse andet statistik som jeg ikke havde før.
Så det næste projekt er at lave noget Geo tagging af forbindelser og enten begrænse dem eller helt droppe forbindelser der kommer fra diverse lande i verden. F.eks. Kina, Rusland, Brasilien osv.
Mere generelt om Bullseye, det ser ud som om de services jeg har, bruger noget mindre ressourser. Men ved ikke om det skyldes selve Bullseye eller om det har noget med NFTables at gøre også. For fail2ban har ikke blokeret noget i næsten to dage. Altså, siden jeg har introduceret NFTabes.
Så nu kan jeg tilføje NFTables til ting, jeg kan, men burde være bedre til. 😀