Eines meiner bevorzugten Serversysteme ist Debian. Nach der Installation eines Debian-Serversystems ergreife ich immer einige Sicherheitsmaßnahmen als ersten Schritt.
Bevor es losgeht, möchte ich klarstellen, dass dieser Artikel kein umfassender Leitfaden zur Sicherheit von Debian-Servern sein soll. Dies sind lediglich die ersten Schritte, die ich unternehme, um einen neuen Debian-Server zu sichern. Sicherheit ist ein weites und komplexes Feld, und es ist wichtig, kontinuierlich zu lernen, sich anzupassen und die Systeme bestmöglich zu sichern. Also, los geht’s!
Inhaltsverzeichnis
ufw ist eine benutzerfreundliche Schnittstelle zu iptables.
Zum Installieren sind folgende Befehle auszuführen:
apt install ufw ufw enable
Beispiel: SSH-Verbindungen zulassen
ufw allow ssh
Der Status der offenen Ports kann mit dem folgenden Befehl überprüft werden:
ufw status
Dieser Befehl zeigt eine Liste der aktuell aktiven Regeln an. Wenn eine Regel auf „ALLOW“ gesetzt ist, ist der entsprechende Port geöffnet. Zum Beispiel bedeutet „22/tcp ALLOW Anywhere“, dass der Server SSH-Verbindungen von jeder IP-Adresse akzeptiert.
Nur die notwendigen Ports sollten geöffnet sein, um die potenzielle Angriffsfläche zu reduzieren. Wenn Ports gefunden werden, die nicht geöffnet sein sollten, können sie mit dem Befehl ufw deny
geschlossen werden.
SSH Keys bieten eine sicherere Möglichkeit, sich bei einem Server anzumelden als die Verwendung eines Passworts allein.
Um ein neues SSH-Schlüsselpaar zu generieren, wird folgender Befehl verwendet:
ssh-keygen -t rsa
Dieser Befehl erstellt einen privaten Schlüssel (id_rsa) und einen öffentlichen Schlüssel (id_rsa.pub). Der private Schlüssel sollte sicher und vertraulich aufbewahrt werden.
Wenn die SSH Keys auf einem anderen Server generiert wurden, muss der öffentliche Schlüssel auf den Server übertragen werden, auf den zugegriffen werden soll. Dies kann mit dem Befehl ssh-copy-id
erfolgen:
ssh-copy-id -i ~/.ssh/id_rsa.pub your_username@your_server_ip
Dabei wird your_username
durch den tatsächlichen Benutzernamen und your_server_ip
durch die IP-Adresse des Servers ersetzt. Dieser Befehl fügt den Inhalt des öffentlichen Schlüssels zur Datei ~/.ssh/authorized_keys
auf dem Server hinzu.
Falls ssh-copy-id
nicht verfügbar ist, kann der öffentliche Schlüssel manuell zur Datei authorized_keys
hinzugefügt werden. Zuerst wird der öffentliche Schlüssel mit scp
oder einem ähnlichen Tool auf den Server übertragen. Dann wird auf dem Server der Schlüssel zur Datei authorized_keys
hinzugefügt:
cat id_rsa.pub >> ~/.ssh/authorized_keys
Um SSH zu sichern, sollte die Passwort-Authentifizierung deaktiviert werden, um Brute-Force-Angriffe zu verhindern. Dies kann durch Bearbeiten der SSHD-Konfigurationsdatei erfolgen:
vi /etc/ssh/sshd_config
Die Zeile PasswordAuthentication
finden und auf no
ändern.
Fail2Ban ist eine Software zur Einbruchsprävention, die den Server vor Brute-Force-Angriffen schützt.
Um Fail2Ban zu installieren, wird folgender Befehl verwendet:
apt install fail2ban
Nach der Installation kann Fail2Ban so konfiguriert werden, dass verschiedene Dienste auf dem Server geschützt werden. Die Konfigurationsdateien befinden sich im Verzeichnis /etc/fail2ban
.
Dies sind nur die ersten Schritte. Es ist wichtig, den Server regelmäßig zu aktualisieren und die Protokolle auf verdächtige Aktivitäten zu überwachen. Sicherheit ist eine kontinuierliche Reise. Bleibt sicher und viel Erfolg bei der Serververwaltung!
Keine Kommentare zu Basis Sicherheit auf einem Debian-Server