Server-Härtung
Sicherheit & Praxis
Was bedeutet Härtung?
Härtung (englisch „hardening“) bezeichnet alle Maßnahmen, die einen Server widerstandsfähiger gegen Angriffe machen. Ein frisch installierter Server ist selten optimal abgesichert – mit ein paar gezielten Schritten reduzierst du die Angriffsfläche drastisch. Die zentrale Idee: möglichst wenig Software, möglichst wenige Rechte, möglichst wenige offene Türen.
1. Updates: das A und O
Die wirksamste und einfachste Maßnahme sind regelmäßige Updates. Sie schließen bekannte Sicherheitslücken, über die ein Großteil aller Angriffe läuft. Auf Debian/Ubuntu automatisierst du Sicherheitsupdates:
# apt install unattended-upgrades # dpkg-reconfigure unattended-upgrades
Mehr zu Paketverwaltung unter apt & dpkg.
2. SSH absichern
SSH ist das häufigste Angriffsziel. Drei Maßnahmen in /etc/ssh/sshd_config machen den größten Unterschied: nur Schlüssel-Anmeldung, kein direkter Root-Login und optional ein anderer Port:
PermitRootLogin no PasswordAuthentication no Port 2222
# systemctl restart sshd
Richte vorher unbedingt deine SSH-Schlüssel ein und teste die Anmeldung in einer zweiten Sitzung, bevor du die alte schließt – sonst sperrst du dich aus.
3. Firewall: Default-Deny
Blockiere eingehenden Verkehr grundsätzlich und öffne nur, was wirklich gebraucht wird:
# ufw default deny incoming # ufw allow 2222/tcp # SSH (ggf. eigener Port!) # ufw allow 80,443/tcp # ufw enable
Details im Kapitel Firewall.
4. fail2ban gegen Brute-Force
fail2ban liest die Logs und sperrt automatisch IP-Adressen, die zu viele fehlgeschlagene Login-Versuche produzieren. Damit verlieren Brute-Force-Angriffe ihre Wirkung:
# apt install fail2ban # systemctl enable --now fail2ban # fail2ban-client status sshd
5. Least Privilege & keine 777
Gib jedem Nutzer und Dienst nur die Rechte, die er wirklich braucht (Prinzip der geringsten Rechte). Arbeite nie dauerhaft als root, sondern nutze sudo gezielt. Und der Klassiker unter den Fehlern: Setze niemals chmod 777 auf Dateien oder Verzeichnisse – das erlaubt jedem Lesen, Schreiben und Ausführen:
$ chmod 777 datei # FALSCH: jeder darf alles $ chmod 644 datei # richtig: Besitzer schreibt, Rest liest $ chmod 600 ~/.ssh/id_ed25519 # privater Schlüssel: nur du
Härtungs-Checkliste
| Maßnahme | Wirkung |
|---|---|
| Automatische Updates | schließt bekannte Lücken |
| SSH nur per Schlüssel | kein Passwort-Raten möglich |
| Kein Root-Login | kleinere Angriffsfläche |
| Firewall Default-Deny | nur Nötiges erreichbar |
| fail2ban | blockt Brute-Force |
| Least Privilege / keine 777 | begrenzt Schaden |
Weitere Hinweise
Deinstalliere Dienste, die du nicht brauchst – was nicht läuft, kann nicht angegriffen werden (prüfe mit ss -tulpn). Überwache die Logs regelmäßig auf verdächtige Anmeldeversuche. Erstelle Backups und teste deren Wiederherstellung – Härtung schützt nicht vor jedem Fehler. Sicherheit ist kein einmaliger Schritt, sondern ein laufender Prozess.
Warum ist chmod 777 gefährlich?