12.02.2025, 17:09
Ubuntu Server Absicherung – Eine Einfache Anleitung für Anfänger
Die Absicherung eines Servers ist entscheidend, um unbefugte Zugriffe und Angriffe zu verhindern. Eine gute Firewall, sichere Anmeldeoptionen und die Konfiguration von SSH sind nur einige der Maßnahmen, die dir helfen, deinen Ubuntu-Server sicherer zu machen.
1. Installiere und Aktiviere UFW (Uncomplicated Firewall)
Eine der einfachsten Möglichkeiten, deinen Server zu sichern, ist die Verwendung einer Firewall. Die UFW ist eine benutzerfreundliche Möglichkeit, eine Firewall zu konfigurieren und zu verwalten.
Schritt 1: Installiere UFW
Öffne dein Terminal und gebe folgenden Befehl ein, um sicherzustellen, dass UFW auf deinem Server installiert ist:
sudo apt-get update
sudo apt-get install ufw
Schritt 2: Aktiviere die Firewall
Standardmäßig wird die Firewall nach der Installation deaktiviert. Um sie zu aktivieren, gebe den folgenden Befehl ein:
sudo ufw enable
Dies blockiert alle eingehenden Verbindungen, es sei denn, du gibst explizit an, welche Verbindungen erlaubt werden sollen.
Schritt 3: Erlaube den SSH-Zugang
Wenn du per SSH auf deinen Server zugreifen möchtest (was normalerweise der Fall ist), musst du sicherstellen, dass SSH-Verbindungen zugelassen werden:
sudo ufw allow ssh
Alternativ kannst du den spezifischen Port angeben (Standardport ist 22), aber dies wird später in diesem Tutorial geändert.
Schritt 4: Überprüfe den Status der Firewall
Um zu prüfen, ob die Firewall aktiv ist und welche Regeln momentan angewendet werden, kannst du folgendes eingeben:
sudo ufw status
2. Ändere den Standard-SSH-Port für zusätzliche Sicherheit
Eine einfache, aber sehr effektive Methode zur Verbesserung der Sicherheit ist das Ändern des SSH-Ports. Der Standard-SSH-Port (Port 22) ist weithin bekannt und ein Ziel für viele Angreifer. Das Ändern des Ports kann potenzielle Angreifer abschrecken.
Schritt 1: Ändere den SSH-Port
Öffne die SSH-Konfigurationsdatei mit einem Texteditor:
sudo nano /etc/ssh/sshd_config
Suche nach der Zeile `Port 22` und ändere den Port auf eine Zahl zwischen 30000 und 65535, zum Beispiel:
Port 34567
Schritt 2: Firewall anpassen
Nachdem du den SSH-Port geändert hast, musst du sicherstellen, dass der neue Port in der UFW-Firewall erlaubt ist. Zum Beispiel, wenn du Port `34567` gewählt hast, gib folgenden Befehl ein:
sudo ufw allow 34567/tcp
Den Standard-Port 22 kannst du dann blockieren, um unnötige Verbindungen zu verhindern:
sudo ufw deny 22/tcp
Schritt 3: SSH-Dienst neu starten
Damit die Änderungen wirksam werden, musst du den SSH-Dienst neu starten:
sudo systemctl restart ssh
Jetzt wird der SSH-Zugang nur noch über den neuen Port ermöglicht. Wenn du dich mit deinem Server verbinden möchtest, musst du beim SSH-Befehl den neuen Port angeben:
ssh -p 34567 username@server_ip
3. Verwende SSH-Schlüssel anstelle von Passwörtern
Passwörter sind oft anfällig für Brute-Force-Angriffe. Eine sichere Alternative sind SSH-Schlüssel , die viel schwieriger zu erraten oder zu knacken sind.
Schritt 1: SSH-Schlüssel erzeugen
Erzeuge ein SSH-Schlüsselpaar auf deinem lokalen Rechner (deinem PC) mit folgendem Befehl:
ssh-keygen
Drücke `Enter`, um den Standard-Speicherort zu wählen. Du kannst auch ein Passwort für zusätzlichen Schutz setzen.
Schritt 2: Kopiere den öffentlichen Schlüssel auf deinen Server
Übertrage deinen öffentlichen Schlüssel auf den Ubuntu-Server:
ssh-copy-id -p 34567 username@server_ip
Gib dein Passwort ein, wenn du dazu aufgefordert wirst.
Schritt 3: Deaktiviere die Passwort-Authentifizierung
Um sicherzustellen, dass nur Schlüssel-basierte Authentifizierung verwendet wird, öffne die SSH-Konfigurationsdatei erneut:
sudo nano /etc/ssh/sshd_config
Stelle sicher, dass die folgenden Zeilen auf "no" gesetzt sind:
PasswordAuthentication no
ChallengeResponseAuthentication no
Schritt 4: SSH-Dienst neu starten
Starte den SSH-Dienst neu, damit die Änderungen wirksam werden:
sudo systemctl restart ssh
4. Aktualisiere regelmäßig dein System
Sicherheitslücken werden ständig entdeckt, daher ist es wichtig, dass dein Ubuntu-System immer auf dem neuesten Stand bleibt.
Schritt 1: Automatische Sicherheitsupdates aktivieren
Du kannst sicherstellen, dass Sicherheitsupdates automatisch installiert werden, indem du folgendes tippst:
sudo apt-get install unattended-upgrades
Schritt 2: Manuelles Update durchführen
Um sicherzustellen, dass dein System alle verfügbaren Updates erhält, führe regelmäßig folgende Befehle aus:
sudo apt-get update
sudo apt-get upgrade
5. Verwende Fail2Ban zur Abwehr von Brute-Force-Angriffen
Fail2Ban ist ein Programm, das automatisch IP-Adressen sperrt, die versuchen, sich wiederholt mit falschen Anmeldeversuchen in dein System einzuloggen.
Schritt 1: Installiere Fail2Ban
Installiere Fail2Ban auf deinem Server:
sudo apt-get install fail2ban
Schritt 2: Starte und aktiviere Fail2Ban
Starten und aktivieren den Fail2Ban-Dienst:
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
Schritt 3: Überwache Fail2Ban
Um zu sehen, ob Fail2Ban Angreifer blockiert hat, kannst du folgendes eingeben:
sudo fail2ban-client status
Zusammenfassung der wichtigsten Maßnahmen
1. Installiere und aktiviere UFW , um nur erlaubte Verbindungen zu deinem Server zu lassen.
2. Ändere den SSH-Port von 22 auf einen zufälligen Port zwischen 30000 und 65535, um Brute-Force-Angriffe zu erschweren.
3. Verwende SSH-Schlüssel anstelle von Passwörtern, um eine sicherere Authentifizierung zu gewährleisten.
4. Aktualisiere regelmäßig dein System, um immer die neuesten Sicherheitsupdates zu erhalten.
5. Installiere und aktiviere Fail2Ban , um Brute-Force-Angriffe zu verhindern.
Mit diesen grundlegenden Schritten kannst du deinen Ubuntu-Server gut absichern.
Natürlich gibt es noch viele weitere Möglichkeiten, die Sicherheit zu erhöhen, aber dies sind die wichtigsten,
die dir helfen sollten, viele der gängigen Angriffe zu verhindern.
Die Absicherung eines Servers ist entscheidend, um unbefugte Zugriffe und Angriffe zu verhindern. Eine gute Firewall, sichere Anmeldeoptionen und die Konfiguration von SSH sind nur einige der Maßnahmen, die dir helfen, deinen Ubuntu-Server sicherer zu machen.
1. Installiere und Aktiviere UFW (Uncomplicated Firewall)
Eine der einfachsten Möglichkeiten, deinen Server zu sichern, ist die Verwendung einer Firewall. Die UFW ist eine benutzerfreundliche Möglichkeit, eine Firewall zu konfigurieren und zu verwalten.
Schritt 1: Installiere UFW
Öffne dein Terminal und gebe folgenden Befehl ein, um sicherzustellen, dass UFW auf deinem Server installiert ist:
sudo apt-get update
sudo apt-get install ufw
Schritt 2: Aktiviere die Firewall
Standardmäßig wird die Firewall nach der Installation deaktiviert. Um sie zu aktivieren, gebe den folgenden Befehl ein:
sudo ufw enable
Dies blockiert alle eingehenden Verbindungen, es sei denn, du gibst explizit an, welche Verbindungen erlaubt werden sollen.
Schritt 3: Erlaube den SSH-Zugang
Wenn du per SSH auf deinen Server zugreifen möchtest (was normalerweise der Fall ist), musst du sicherstellen, dass SSH-Verbindungen zugelassen werden:
sudo ufw allow ssh
Alternativ kannst du den spezifischen Port angeben (Standardport ist 22), aber dies wird später in diesem Tutorial geändert.
Schritt 4: Überprüfe den Status der Firewall
Um zu prüfen, ob die Firewall aktiv ist und welche Regeln momentan angewendet werden, kannst du folgendes eingeben:
sudo ufw status
2. Ändere den Standard-SSH-Port für zusätzliche Sicherheit
Eine einfache, aber sehr effektive Methode zur Verbesserung der Sicherheit ist das Ändern des SSH-Ports. Der Standard-SSH-Port (Port 22) ist weithin bekannt und ein Ziel für viele Angreifer. Das Ändern des Ports kann potenzielle Angreifer abschrecken.
Schritt 1: Ändere den SSH-Port
Öffne die SSH-Konfigurationsdatei mit einem Texteditor:
sudo nano /etc/ssh/sshd_config
Suche nach der Zeile `Port 22` und ändere den Port auf eine Zahl zwischen 30000 und 65535, zum Beispiel:
Port 34567
Schritt 2: Firewall anpassen
Nachdem du den SSH-Port geändert hast, musst du sicherstellen, dass der neue Port in der UFW-Firewall erlaubt ist. Zum Beispiel, wenn du Port `34567` gewählt hast, gib folgenden Befehl ein:
sudo ufw allow 34567/tcp
Den Standard-Port 22 kannst du dann blockieren, um unnötige Verbindungen zu verhindern:
sudo ufw deny 22/tcp
Schritt 3: SSH-Dienst neu starten
Damit die Änderungen wirksam werden, musst du den SSH-Dienst neu starten:
sudo systemctl restart ssh
Jetzt wird der SSH-Zugang nur noch über den neuen Port ermöglicht. Wenn du dich mit deinem Server verbinden möchtest, musst du beim SSH-Befehl den neuen Port angeben:
ssh -p 34567 username@server_ip
3. Verwende SSH-Schlüssel anstelle von Passwörtern
Passwörter sind oft anfällig für Brute-Force-Angriffe. Eine sichere Alternative sind SSH-Schlüssel , die viel schwieriger zu erraten oder zu knacken sind.
Schritt 1: SSH-Schlüssel erzeugen
Erzeuge ein SSH-Schlüsselpaar auf deinem lokalen Rechner (deinem PC) mit folgendem Befehl:
ssh-keygen
Drücke `Enter`, um den Standard-Speicherort zu wählen. Du kannst auch ein Passwort für zusätzlichen Schutz setzen.
Schritt 2: Kopiere den öffentlichen Schlüssel auf deinen Server
Übertrage deinen öffentlichen Schlüssel auf den Ubuntu-Server:
ssh-copy-id -p 34567 username@server_ip
Gib dein Passwort ein, wenn du dazu aufgefordert wirst.
Schritt 3: Deaktiviere die Passwort-Authentifizierung
Um sicherzustellen, dass nur Schlüssel-basierte Authentifizierung verwendet wird, öffne die SSH-Konfigurationsdatei erneut:
sudo nano /etc/ssh/sshd_config
Stelle sicher, dass die folgenden Zeilen auf "no" gesetzt sind:
PasswordAuthentication no
ChallengeResponseAuthentication no
Schritt 4: SSH-Dienst neu starten
Starte den SSH-Dienst neu, damit die Änderungen wirksam werden:
sudo systemctl restart ssh
4. Aktualisiere regelmäßig dein System
Sicherheitslücken werden ständig entdeckt, daher ist es wichtig, dass dein Ubuntu-System immer auf dem neuesten Stand bleibt.
Schritt 1: Automatische Sicherheitsupdates aktivieren
Du kannst sicherstellen, dass Sicherheitsupdates automatisch installiert werden, indem du folgendes tippst:
sudo apt-get install unattended-upgrades
Schritt 2: Manuelles Update durchführen
Um sicherzustellen, dass dein System alle verfügbaren Updates erhält, führe regelmäßig folgende Befehle aus:
sudo apt-get update
sudo apt-get upgrade
5. Verwende Fail2Ban zur Abwehr von Brute-Force-Angriffen
Fail2Ban ist ein Programm, das automatisch IP-Adressen sperrt, die versuchen, sich wiederholt mit falschen Anmeldeversuchen in dein System einzuloggen.
Schritt 1: Installiere Fail2Ban
Installiere Fail2Ban auf deinem Server:
sudo apt-get install fail2ban
Schritt 2: Starte und aktiviere Fail2Ban
Starten und aktivieren den Fail2Ban-Dienst:
sudo systemctl start fail2ban
sudo systemctl enable fail2ban
Schritt 3: Überwache Fail2Ban
Um zu sehen, ob Fail2Ban Angreifer blockiert hat, kannst du folgendes eingeben:
sudo fail2ban-client status
Zusammenfassung der wichtigsten Maßnahmen
1. Installiere und aktiviere UFW , um nur erlaubte Verbindungen zu deinem Server zu lassen.
2. Ändere den SSH-Port von 22 auf einen zufälligen Port zwischen 30000 und 65535, um Brute-Force-Angriffe zu erschweren.
3. Verwende SSH-Schlüssel anstelle von Passwörtern, um eine sicherere Authentifizierung zu gewährleisten.
4. Aktualisiere regelmäßig dein System, um immer die neuesten Sicherheitsupdates zu erhalten.
5. Installiere und aktiviere Fail2Ban , um Brute-Force-Angriffe zu verhindern.
Mit diesen grundlegenden Schritten kannst du deinen Ubuntu-Server gut absichern.
Natürlich gibt es noch viele weitere Möglichkeiten, die Sicherheit zu erhöhen, aber dies sind die wichtigsten,
die dir helfen sollten, viele der gängigen Angriffe zu verhindern.
Ein Metaversum sind viele kleine Räume, die nahtlos aneinander passen,
sowie direkt sichtbar und begehbar sind, als wäre es aus einem Guss.
sowie direkt sichtbar und begehbar sind, als wäre es aus einem Guss.
![[-]](https://www.gridtalk.de/images/collapse.png)