Grundlegendes Hardening eines Linux-Servers

Wenn du einen neuen Server aufsetzt, ist er zu offen ausgeliefert. Das sind die Mindesteinstellungen, die ich immer vornehme, bevor ich ihn exponiere.

1. Aktualisieren und die Angriffsfläche reduzieren

apt update && apt full-upgrade -y

Deinstalliere, was du nicht nutzt, und deaktiviere Dienste, die du nicht brauchst. Jeder offene Port ist eine Tür.

2. SSH: die Haustür

• Kein direkter Root-Zugang: PermitRootLogin no.
• Nur Schlüssel, kein Passwort: PasswordAuthentication no.
• Lege einen eigenen Benutzer mit sudo an und melde dich als dieser Benutzer an.

3. Firewall-Standard: alles verweigern

Mit ufw alles verweigern und nur das Nötige öffnen:

ufw default deny incoming
ufw allow 22/tcp
ufw enable

4. Fail2ban

Es blockiert automatisch IPs, die mehrfach beim Login scheitern. Es ist eines der kosteneffizientesten Dinge, die du installieren kannst.

Das macht dich nicht unverwundbar, aber es nimmt dir 95 % des automatisierten Rauschens aus dem Internet vom Hals.