Grundhärtung von Cloud- und Dedicated-Servern
Nach der Bereitstellung eines neuen Cloud- oder Dedicated-Servers sollten sofort erste Schritte zur Sicherheitshärtung unternommen werden. So stellen Sie sicher, dass Ihr System nicht unnötig angreifbar ist.
Basis-Sicherheitsmaßnahmen
- System-Updates installieren – Führen Sie sofort nach der Installation ein vollständiges Update aller Pakete durch.
- Firewall konfigurieren – Nur benötigte Ports (z. B. 22/SSH, 80/HTTP, 443/HTTPS) öffnen.
- Standard-Accounts entfernen – Deaktivieren Sie ungenutzte Standard- oder Testkonten.
SSH-Absicherung
Da SSH oft das wichtigste Administrationswerkzeug ist, sollte es besonders geschützt werden:
- Ändern Sie den Standard-Port 22 auf eine alternative Portnummer.
- Nutzen Sie SSH-Schlüssel statt Passwörtern für die Anmeldung.
- Deaktivieren Sie Root-Login direkt über SSH.
„Ein kompromittiertes SSH-Konto ist der häufigste Einstiegspunkt für Angreifer.“
Benutzerverwaltung & Rechte
Richten Sie für Administratoren eigene Benutzerkonten ein und arbeiten Sie mit sudo statt permanent mit root.
- Regelmäßige Überprüfung der Benutzerliste
- Starke Passwortrichtlinien erzwingen
- Zugriffsrechte minimal halten („Least Privilege“)
Unnötige Dienste deaktivieren
Alles, was nicht benötigt wird, sollte deaktiviert oder deinstalliert werden:
- Mail-Server, wenn extern genutzt wird
- Datenbanken, falls nicht vorgesehen
- Test- oder Demo-Software
Beispiel: Firewall einrichten
# UFW installieren
apt install ufw -y
# Standard-Regeln setzen
ufw default deny incoming
ufw default allow outgoing
# SSH, HTTP, HTTPS freigeben
ufw allow 22/tcp
ufw allow 80/tcp
ufw allow 443/tcp
# Aktivieren
ufw enableMonitoring & Logging
Um Sicherheitsvorfälle rechtzeitig zu erkennen, sollten grundlegende Monitoring- und Logging-Mechanismen eingerichtet werden:
- Fail2ban oder ähnliche Tools gegen Brute-Force-Angriffe
- Regelmäßige Log-Überwachung (z. B.
/var/log/auth.log) - Alarmierungen per E-Mail oder Monitoring-System
Empfohlene Maßnahmen im Überblick
| Maßnahme | Zweck |
|---|---|
| Updates einspielen | Schließt bekannte Sicherheitslücken |
| Firewall konfigurieren | Minimiert Angriffsfläche |
| SSH absichern | Schützt den Hauptzugang zum Server |
| Unnötige Dienste deaktivieren | Reduziert mögliche Angriffspunkte |
Zusätzliche Tipps
Planen Sie regelmäßige Wartungsfenster für Updates und Patches ein.
Testen Sie Konfigurationen zuerst auf Testsystemen, bevor Sie produktive Server anpassen.
Automatisieren Sie wiederkehrende Sicherheitsaufgaben mit Tools wie Ansible oder Puppet.
Ignorieren Sie nicht die Logs und Sicherheitswarnungen Ihres Systems. Frühzeitiges Handeln verhindert größere Schäden.