Exploring the Unseen:

Basis Sicherheit auf einem Debian-Server

Eines meiner bevorzugten Serversysteme ist Debian. Nach der Installation eines Debian-Serversystems ergreife ich immer einige Sicherheitsmaßnahmen als ersten Schritt.

Bevor es losgeht, möchte ich klarstellen, dass dieser Artikel kein umfassender Leitfaden zur Sicherheit von Debian-Servern sein soll. Dies sind lediglich die ersten Schritte, die ich unternehme, um einen neuen Debian-Server zu sichern. Sicherheit ist ein weites und komplexes Feld, und es ist wichtig, kontinuierlich zu lernen, sich anzupassen und die Systeme bestmöglich zu sichern. Also, los geht’s!

Uncomplicated Firewall (ufw) installieren

ufw ist eine benutzerfreundliche Schnittstelle zu iptables.

Installation

Zum Installieren sind folgende Befehle auszuführen:

apt install ufw
ufw enable

Konfiguration

Beispiel: SSH-Verbindungen zulassen

ufw allow ssh

Offene Ports prüfen:

Der Status der offenen Ports kann mit dem folgenden Befehl überprüft werden:

ufw status

Dieser Befehl zeigt eine Liste der aktuell aktiven Regeln an. Wenn eine Regel auf „ALLOW“ gesetzt ist, ist der entsprechende Port geöffnet. Zum Beispiel bedeutet „22/tcp ALLOW Anywhere“, dass der Server SSH-Verbindungen von jeder IP-Adresse akzeptiert.

Nur die notwendigen Ports sollten geöffnet sein, um die potenzielle Angriffsfläche zu reduzieren. Wenn Ports gefunden werden, die nicht geöffnet sein sollten, können sie mit dem Befehl ufw deny geschlossen werden.

SSH Keys erstellen und SSH Login sichern

SSH Keys bieten eine sicherere Möglichkeit, sich bei einem Server anzumelden als die Verwendung eines Passworts allein.

SSH Keys erstellen

Um ein neues SSH-Schlüsselpaar zu generieren, wird folgender Befehl verwendet:

ssh-keygen -t rsa

Dieser Befehl erstellt einen privaten Schlüssel (id_rsa) und einen öffentlichen Schlüssel (id_rsa.pub). Der private Schlüssel sollte sicher und vertraulich aufbewahrt werden.

Übertragen und Hinzufügen von SSH Keys

Wenn die SSH Keys auf einem anderen Server generiert wurden, muss der öffentliche Schlüssel auf den Server übertragen werden, auf den zugegriffen werden soll. Dies kann mit dem Befehl ssh-copy-id erfolgen:

ssh-copy-id -i ~/.ssh/id_rsa.pub your_username@your_server_ip

Dabei wird your_username durch den tatsächlichen Benutzernamen und your_server_ip durch die IP-Adresse des Servers ersetzt. Dieser Befehl fügt den Inhalt des öffentlichen Schlüssels zur Datei ~/.ssh/authorized_keys auf dem Server hinzu.

Falls ssh-copy-id nicht verfügbar ist, kann der öffentliche Schlüssel manuell zur Datei authorized_keys hinzugefügt werden. Zuerst wird der öffentliche Schlüssel mit scp oder einem ähnlichen Tool auf den Server übertragen. Dann wird auf dem Server der Schlüssel zur Datei authorized_keys hinzugefügt:

cat id_rsa.pub >> ~/.ssh/authorized_keys

SSH sichern

Um SSH zu sichern, sollte die Passwort-Authentifizierung deaktiviert werden, um Brute-Force-Angriffe zu verhindern. Dies kann durch Bearbeiten der SSHD-Konfigurationsdatei erfolgen:

vi /etc/ssh/sshd_config

Die Zeile PasswordAuthentication finden und auf no ändern.

Fail2Ban installieren

Fail2Ban ist eine Software zur Einbruchsprävention, die den Server vor Brute-Force-Angriffen schützt.

Installation

Um Fail2Ban zu installieren, wird folgender Befehl verwendet:

apt install fail2ban

Konfiguration

Nach der Installation kann Fail2Ban so konfiguriert werden, dass verschiedene Dienste auf dem Server geschützt werden. Die Konfigurationsdateien befinden sich im Verzeichnis /etc/fail2ban.

---

Dies sind nur die ersten Schritte. Es ist wichtig, den Server regelmäßig zu aktualisieren und die Protokolle auf verdächtige Aktivitäten zu überwachen. Sicherheit ist eine kontinuierliche Reise. Bleibt sicher und viel Erfolg bei der Serververwaltung!