Az UFW (Uncomplicated Firewall) egy könnyen használható netfilter tűzfal kezelésére szolgáló program. Parancssori felületet használ, amely kevés egyszerű parancsból áll, és az iptables-t használja a konfigurációhoz, tehát az iptables frontend-je. Ebben a leírásban megnézzük az UFW tűzfal telepítését és alapvető használatát, beállításait, aminek a lépéseit én egy Debian 11 minimális szerveren fogom elvégezni.

Amikor ssh hozzáférést használunk, a kapcsolódáskor számítógépünk (kliens) minden alkalommal lekéri a kiszolgáló ECDSA (Elliptic Curve Digital Signature Algorithm) ujjlenyomatát, amit az első csatlakozás során el is tárol az ismert kiszolgálók listájában (alapértelmezetten a ~/.ssh/known_hosts fájlban). Innentől kezdve a jövőbeli ssh csatlakozásokkor gépünk felismeri a távoli gép ECDSA ujjlenyomatát, ezzel ellenőrizve, hogy később is pontosan ugyanahhoz a géphez csatlakozunk-e. Amennyiben a későbbi csatlakozás során nem egyezik a frissen lekért ujjlenyomat a korábban eltárolt változattal, az ssh program a következő hibát dobja: "WARNING: POSSIBLE DNS SPOOFING DETECTED!" valamint "WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!". Ezekkel a hibaüzenetekkel figyelmeztet bennünket, hogy felmerült a lehetősége annak, hogy DNS hamisítás (DNS spoofing) áldozatai lehetünk, vagy csak megváltozott a kiszolgáló ECDSA ujjlenyomata, azaz az SSH kiszolgáló nyilvános kulcsa.

Ha weboldalakat üzemeltetünk, akkor szerverünk, és a rajta működő weboldalak és szolgáltatások gyakran ki vannak téve a külső támadásoknak, ami alól MySQL/MariaDB adatbázis kiszolgálónk sem kivétel. Ha szerverünkön a Fail2Ban védelmi szoftver is rendelkezésre áll, akkor ebből a rövid leírásból megtudhatjuk, hogyan tehetjük biztonságosabbá szerverünket az "Access denied for user root@ip-cím (using password: YES/NO)" típusú adatbázis kiszolgálónkat érő támadásokkal szemben.