Linux VPS absichern

Im digitalen Zeitalter ist die Absicherung Ihres Linux Virtual Private Server (VPS)
zum Schutz Ihrer Daten und Infrastruktur unerlässlich. Diese
ausführliche Anleitung zeigt Methoden, wie Sie Ihren Linux VPS absichern können.
cyber threats.

System aktuell halten
Updated

Einer der wichtigsten Punkte beim Absichern Ihres Linux VPS ist,
dafür zu sorgen, dass Ihr System auf dem neuesten Stand ist. Veraltete Software kann
Sicherheitslücken enthalten, die von Angreifern ausgenutzt werden. So gehen Sie vor:
do it:

Paketmanager verwenden

Die meisten Linux-Distributionen bringen einen Paketmanager mit. Wenn Sie beispielsweise
ein Debian-basiertes System verwenden, können Sie mit folgenden Befehlen
Pakete aktualisieren und upgraden:

sudo apt update
sudo apt upgrade

Auf einem CentOS-System verwenden Sie yum:

sudo yum update

Set Up Automatic
Updates

Automatische Updates mit unattended-upgrades einrichten auf
Debian-basierten Systemen:

Auf Debian-basierten Systemen wie Ubuntu können Sie das
Paket unattended-upgrades verwenden, um Updates zu automatisieren.

1. unattended-upgrades installieren:

sudo apt install unattended-upgrades

2. Automatische Update-Einstellungen konfigurieren. Konfiguration bearbeiten
   Datei aus:

sudo nano /etc/apt/apt.conf.d/50unattended-upgrades

3. Automatische Updates für sicherheitsrelevante Pakete aktivieren:

Unattended-Upgrade::Allowed-Origins {
    "${distro_id}:${distro_codename}-security";
    "${distro_id}:${distro_codename}-updates";
    "${distro_id}:${distro_codename}-proposed";
    "${distro_id}:${distro_codename}-backports";
};

4. Aktiviere und starte den unattended-upgrades-Dienst:

sudo dpkg-reconfigure -plow unattended-upgrades

This command will prompt you to confirm the changes. Select “Yes” to
automatische Updates aktivieren.

Automatische Updates mit yum-cron einrichten auf
CentOS:

Auf CentOS können Sie yum-cron für automatische Updates verwenden:

1. yum-cron installieren:

sudo yum install yum-cron

2. Starte und aktiviere den yum-cron-Dienst:

sudo systemctl enable yum-cron
sudo systemctl start yum-cron

Verwende
Sichere Passwörter und SSH-Schlüssel für zuverlässige Authentifizierung

Die Absicherung Ihres Linux VPS erfordert starke Authentifizierungsmethoden.
Egal ob du dich von einem Linux- oder Windows-Client aus verbindest – so geht's:
Verwenden Sie starke Passwörter und SSH-Schlüssel effektiv:

Using Strong
Passwords

Achte beim Erstellen von Benutzerkonten auf deinem VPS darauf, dass Passwörter
komplex sein und Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen enthalten
Zeichen. Vermeiden Sie leicht zu erratende Passwörter.

SSH-Schlüssel wird verwendet
Authentication

Für Linux Kunde:

1. Um ein SSH-Schlüsselpaar auf Ihrem Linux-Client zu generieren, verwenden Sie ssh-keygen
   Befehl:

ssh-keygen -t rsa -b 2048

Der öffentliche Schlüssel wird standardmäßig unter ~/.ssh/id_rsa.pub gespeichert.

2. Kopieren Sie Ihren öffentlichen Schlüssel auf den VPS:

ssh-copy-id user@your_server_ip

3. Passwort-basierte SSH-Anmeldung auf dem VPS im SSH-Server deaktivieren
   Konfigurationsdatei (/etc/ssh/sshd_config):

PasswordAuthentication no

Für Windows-Kunde:

1. Auf Windows verwenden Sie PowerShell für ähnliche Funktionen:

ssh-keygen

2. Kopieren Sie Ihren öffentlichen Schlüssel mit PowerShell auf den VPS. Ersetzen Sie
   IP-ADDRESS-OR-FQDN durch die
   address:

type $env:USERPROFILE\.ssh\id_rsa.pub | ssh root@{IP-ADDRESS-OR-FQDN} "cat >> .ssh/authorized_keys"

3. Passwort-basierte SSH-Anmeldung auf dem VPS im SSH-Server deaktivieren
   Konfigurationsdatei (/etc/ssh/sshd_config):

PasswordAuthentication no

Implement a Firewall

Die Absicherung Ihres Linux VPS umfasst die Einrichtung einer Firewall zur Steuerung des
ein- und ausgehenden Datenverkehrs. So richten Sie eine Firewall ein, um
enhance security:

Verwenden Sie ufw (Uncomplicated Firewall) auf Debian/Ubuntu oder
firewalld on CentOS:

1. Installieren Sie das Firewall-Verwaltungstool, falls noch nicht geschehen.

Für ufw auf Debian/Ubuntu:

sudo apt install ufw

Für firewalld auf CentOS:

sudo yum install firewalld

2. Fügen Sie Regeln hinzu, um SSH zuzulassen, bevor Sie die Firewall aktivieren, damit Sie sich nicht
   locked out:

Für ufw auf Debian/Ubuntu:

sudo ufw allow OpenSSH

Für firewalld auf CentOS:

sudo firewall-cmd --permanent --add-service=ssh

3. Aktivieren Sie die Firewall und legen Sie Standardregeln fest:

Für ufw auf Debian/Ubuntu:

sudo ufw enable
sudo ufw default deny incoming
sudo ufw default allow outgoing

Für firewalld auf CentOS:

sudo systemctl start firewalld
sudo systemctl enable firewalld

4. Laden Sie die Firewall neu, damit die Änderungen wirksam werden.

Für ufw auf Debian/Ubuntu:

sudo ufw reload

Für firewalld auf CentOS:

sudo systemctl reload firewalld

Root-Login deaktivieren

Die Absicherung Ihres Linux VPS umfasst die Einschränkung des Root-Zugriffs. So
deaktivieren Sie den Root-Login für mehr Sicherheit:

1. Neuen Benutzer anlegen: Melden Sie sich als Root-Benutzer auf Ihrem VPS an. Erstellen Sie dann
   ein neues Benutzerkonto mit sudo-Rechten. Ersetzen Sie newuser durch Ihren
   desired username:

adduser newuser
usermod -aG sudo newuser

2. Erstellen Sie das .ssh-Verzeichnis, authorized_keys und legen Sie die Berechtigungen für
   den neuen Benutzer fest:

mkdir -p /home/newuser/.ssh
touch /home/newuser/.ssh/authorized_keys
chmod 600 /home/newuser/.ssh/authorized_keys
chown -R newuser:newuser /home/newuser/.ssh

3. Stellen Sie sicher, dass Sie den öffentlichen Schlüssel generieren und auf Ihren
   VPS.

4. Melden Sie sich als neuer Benutzer an.

5. Trennen Sie die Verbindung zum VPS (falls Sie als Root verbunden sind) und melden Sie
   sich mit dem neuen Benutzerkonto an. So können Sie
   administrative Aufgaben mit sudo ausführen.

6. SSH-Konfiguration bearbeiten:

Öffnen Sie die SSH-Serverkonfigurationsdatei auf Ihrem VPS. Diese Datei befindet sich
in der Regel unter /etc/ssh/sshd_config:

sudo nano /etc/ssh/sshd_config

Suchen Sie die Zeile mit PermitRootLogin und setzen Sie sie auf no:

PermitRootLogin no

Speichern Sie die Datei und schließen Sie den Texteditor.

7. SSH-Dienst neu starten:

Nach dieser Änderung müssen Sie den SSH-Dienst neu starten, damit die
neuen Einstellungen wirksam werden:

On Debian/Ubuntu:

sudo systemctl restart ssh

On CentOS:

sudo systemctl restart sshd

Harden SSH
Konfiguration

Die Absicherung Ihres Linux VPS erfordert eine weitere Härtung der SSH-
Konfiguration sowie die Sicherstellung, dass die UFW-Regeln aktuell
sind. So härten Sie Ihre SSH-Einstellungen und aktualisieren UFW:
rules:

1. Den neuen SSH-Port in UFW freigeben:

Wenn Sie UFW (Uncomplicated Firewall) verwenden, geben Sie zuerst den neuen SSH-
Port frei, bevor Sie den Standardport ändern:

# Allow the new SSH port (e.g., 2222)
sudo ufw allow 2222/tcp

2. OpenSSH aus den UFW-Regeln entfernen:

Nach der Änderung des SSH-Ports sollten Sie den alten OpenSSH-
Dienst (Standardport 22) aus den UFW-Regeln entfernen, damit nur noch der neue
SSH-Port zugelassen ist:

# Remove the old OpenSSH service (default port 22)
sudo ufw delete allow OpenSSH

3. Den SSH-Port ändern:

Standardmäßig verwendet SSH Port 22. Ein anderer Port erschwert es
automatisierten Bots, Ihren Server zu finden, und bietet so eine
zusätzliche Sicherheitsebene für Ihren SSH-Server.

Die SSH-Serverkonfigurationsdatei öffnen:

sudo nano /etc/ssh/sshd_config

Suchen Sie die Zeile mit Port 22 und ändern Sie die Portnummer auf einen
anderen, nicht belegten Port, zum Beispiel 2222:

Port 2222

4. Erneute Schlüssel-Authentifizierung aktivieren:

Sie können ein Zeitlimit für die erneute Schlüssel-Authentifizierung festlegen, um
Ihre SSH-Sitzung weiter abzusichern. Wenn Sie Ihre SSH-Sitzung unbeaufsichtigt lassen,
unbeaufsichtigt, läuft sie nach einer bestimmten Zeit automatisch ab.

Fügen Sie die folgenden Zeilen in der SSH-Serverkonfigurationsdatei hinzu oder ändern Sie sie,
und speichern Sie anschließend:

ClientAliveInterval 300
ClientAliveCountMax 2

5. UFW-Regeln und den SSH-Dienst neu laden:

sudo ufw reload
sudo systemctl restart ssh

6. Nachdem Sie die erforderlichen Änderungen vorgenommen haben, können Sie eine neue SSH-Verbindung
   mit folgendem Befehl herstellen:

ssh -p <new_port> user@your_server_ip

Implement Fail2Ban

Um Ihren Linux VPS abzusichern, schützen Sie ihn vor Brute-Force-Anmeldeversuchen
und anderen Arten von Angriffen. Fail2Ban ist ein geeignetes
Werkzeug dafür. So richten Sie Fail2Ban ein:

1. Install Fail2Ban:

Aktualisieren Sie zunächst Ihre Paketliste, um sicherzustellen, dass Sie die neuesten
available packages:

Für Debian-basierte Systeme (z. B. Ubuntu):

sudo apt update

For CentOS:

sudo yum update

Install Fail2Ban:

Für Debian-basierte Systeme:

sudo apt install fail2ban

For CentOS:

sudo yum install fail2ban

2. Configure Fail2Ban:

Die Hauptkonfigurationsdatei von Fail2Ban befindet sich unter
/etc/fail2ban/jail.conf. Sie können eine Überschreibungsdatei erstellen
file at /etc/fail2ban/jail.local to customize settings
ohne die Standardkonfiguration zu verändern. Öffnen Sie diese Datei:

sudo nano /etc/fail2ban/jail.local

Fügen Sie die folgende Konfiguration hinzu, um IP-Adressen nach sechs fehlgeschlagenen Anmeldeversuchen für 10 Minuten
(600 Sekunden) zu sperren. Passen Sie die Parameter nach Bedarf an:
needed:

[sshd]
enabled = true
maxretry = 6
findtime = 600
bantime = 600

Speichern Sie die Datei und schließen Sie den Texteditor.

3. Fail2Ban starten und aktivieren:

Starten Sie Fail2Ban und richten Sie es so ein, dass es beim Systemstart automatisch startet:

sudo systemctl start fail2ban
sudo systemctl enable fail2ban

4. Check Fail2Ban Status:

Sie können den Status von Fail2Ban prüfen, um sicherzustellen, dass es ordnungsgemäß funktioniert.
expected:

sudo fail2ban-client status

Dabei sollte zu sehen sein, dass der SSH-Dienst überwacht wird.

Die hier vorgestellten 6 grundlegenden Methoden bieten einen soliden Schutz
gegen potenzielle Sicherheitslücken. Halten Sie Ihr System aktuell,
setzen Sie starke Authentifizierung ein, konfigurieren Sie Firewalls und härten Sie SSH ab,
und der Implementierung von Fail2Ban stärken Sie Ihren VPS und behalten die Kontrolle
in der vernetzten Welt. Bei Fragen wenden Sie sich jederzeit an unser Support-Team über
hesitate to contact our support team by submitting a
ticket.