Runbook
Firewall Baseline auf Hetzner
Default deny, minimal offene Ports, sichere Defaults. (Operator Guide für Hetzner).
Was ist das hier?
Default deny, minimal offene Ports, sichere Defaults. (Operator Guide für Hetzner).
Priorität
Wenn Production betroffen ist: Containment zuerst (Stop the bleeding), dann Root Cause.
Schnell‑Triage (5 Minuten)
- Was ist exponiert (Ports, Admin, Webhooks, Origins, Buckets)?
- Sind gerade Anomalien sichtbar (Spikes, 4xx/5xx, Login‑Fehler, Bot‑Traffic)?
- Sind Secrets/Keys kompromittiert (Repo, CI, Logs, Chat)?
Ziel
Firewall Baseline: Default deny, minimal offene Ports, sichere Defaults.
Minimal-Regeln (UFW Beispiel)
ufw default deny incoming
ufw default allow outgoing
ufw allow 80/tcp
ufw allow 443/tcp
# SSH: lieber nur via VPN / Allowlist
# ufw allow from <your-ip> to any port 22 proto tcp
ufw enable
ufw status verbose
Fix‑Schritte (Copy/Paste‑fähig)
- Default deny inbound, allow established/related.
- Nur notwendige Ports öffnen (typisch: 80/443, evtl. 22 via VPN/Allowlist).
- Admin-Ports (DB/Redis) niemals public.
- Logging an: dropped packets zählen (Abuse erkennen).
- Verifikation: extern portscan, intern healthchecks.
Verifikation
curl -I https://deine-domain.tld
curl -sS https://deine-domain.tld/health || truePrävention / Guardrails
- Least privilege
- Logs + Alerts
- Rollback/Deploy-Disziplin
Warnungen
- Änderungen klein halten, verifizieren, dann weiter.
Steps
- Default deny inbound, allow established/related.
- Nur notwendige Ports öffnen (typisch: 80/443, evtl. 22 via VPN/Allowlist).
- Admin-Ports (DB/Redis) niemals public.
- Logging an: dropped packets zählen (Abuse erkennen).
- Verifikation: extern portscan, intern healthchecks.
Related Runbooks
SSH Hardening auf Hetzner
Key-only, Root aus, Rate-Limits, sichere Admin-Zugänge. (Operator Guide für Hetzner).
Öffnen →
WebSocket Origin Hardening auf Hetzner
Origin whitelist, Auth, Rate-Limits, sichere Headers. (Operator Guide für Hetzner).
Öffnen →
Reverse Proxy Baseline auf Hetzner
TLS, headers, caching, upstream health, timeouts. (Operator Guide für Hetzner).
Öffnen →
Rate Limit Baseline auf Hetzner
Edge + App Limits gegen Abuse und Cost-Spikes. (Operator Guide für Hetzner).
Öffnen →
DDoS First Response auf Hetzner
Blocken, absorbieren, recovern – ohne Panik. (Operator Guide für Hetzner).
Öffnen →
API Key Rotation (Notfall) auf Hetzner
Keys rotieren, alte killen, re-deploy, audit. (Operator Guide für Hetzner).
Öffnen →
Hinweis: Diese Inhalte sind für Ops/Security gedacht. Keine „Namen-Datenbank“, keine Anschuldigungen – nur Runbooks, Tools und verifizierbare Checks.