LIVE Intel Feed21.639 exponierte Instanzen128.457 Checks93.4% Auth-Bypass RisikoUpdate: Feb 2026Keine Speicherung deiner Eingaben
ClawGuru
Institutional Ops Intelligence
NotfallPro Kits
Runbook

Firewall Baseline auf AWS Lightsail

Default deny, minimal offene Ports, sichere Defaults. (Operator Guide für AWS Lightsail).

Was ist das hier?

Default deny, minimal offene Ports, sichere Defaults. (Operator Guide für AWS Lightsail).

Priorität
Wenn Production betroffen ist: Containment zuerst (Stop the bleeding), dann Root Cause.

Schnell‑Triage (5 Minuten)

  • Was ist exponiert (Ports, Admin, Webhooks, Origins, Buckets)?
  • Sind gerade Anomalien sichtbar (Spikes, 4xx/5xx, Login‑Fehler, Bot‑Traffic)?
  • Sind Secrets/Keys kompromittiert (Repo, CI, Logs, Chat)?
Ziel
Firewall Baseline: Default deny, minimal offene Ports, sichere Defaults.

Minimal-Regeln (UFW Beispiel)

ufw default deny incoming
ufw default allow outgoing
ufw allow 80/tcp
ufw allow 443/tcp
# SSH: lieber nur via VPN / Allowlist
# ufw allow from <your-ip> to any port 22 proto tcp
ufw enable
ufw status verbose

Fix‑Schritte (Copy/Paste‑fähig)

  • Default deny inbound, allow established/related.
  • Nur notwendige Ports öffnen (typisch: 80/443, evtl. 22 via VPN/Allowlist).
  • Admin-Ports (DB/Redis) niemals public.
  • Logging an: dropped packets zählen (Abuse erkennen).
  • Verifikation: extern portscan, intern healthchecks.

Verifikation

aws sts get-caller-identity
aws ec2 describe-security-groups --max-items 5
aws cloudtrail lookup-events --max-results 10

Prävention / Guardrails

  • CloudTrail aktiv + Alerts auf IAM-Key-Erstellung & Policy-Änderungen
  • Security Groups: default-deny, nur benötigte Ports/Quellen
  • Keys in Secrets Manager statt .env / Git

Warnungen

  • Keys zuerst rotieren, dann forensisch arbeiten (Stop the bleeding).
Steps
  1. Default deny inbound, allow established/related.
  2. Nur notwendige Ports öffnen (typisch: 80/443, evtl. 22 via VPN/Allowlist).
  3. Admin-Ports (DB/Redis) niemals public.
  4. Logging an: dropped packets zählen (Abuse erkennen).
  5. Verifikation: extern portscan, intern healthchecks.
Re-Check starten →Copilot Runbook Builder →
provider:lightsailtopic:firewall-baselinelightsailrunbookops
Related Runbooks
Firewall Baseline auf Hetzner
Default deny, minimal offene Ports, sichere Defaults. (Operator Guide für Hetzner).
Öffnen →
SSH Hardening auf Hetzner
Key-only, Root aus, Rate-Limits, sichere Admin-Zugänge. (Operator Guide für Hetzner).
Öffnen →
WebSocket Origin Hardening auf Hetzner
Origin whitelist, Auth, Rate-Limits, sichere Headers. (Operator Guide für Hetzner).
Öffnen →
Reverse Proxy Baseline auf Hetzner
TLS, headers, caching, upstream health, timeouts. (Operator Guide für Hetzner).
Öffnen →
Rate Limit Baseline auf Hetzner
Edge + App Limits gegen Abuse und Cost-Spikes. (Operator Guide für Hetzner).
Öffnen →
DDoS First Response auf Hetzner
Blocken, absorbieren, recovern – ohne Panik. (Operator Guide für Hetzner).
Öffnen →
Hinweis: Diese Inhalte sind für Ops/Security gedacht. Keine „Namen-Datenbank“, keine Anschuldigungen – nur Runbooks, Tools und verifizierbare Checks.
CheckCopilotPro KitsVault