Ubuntu 18.04 TLS Server in 5 Minuten absichern

Eine kurzer und einfacher Leitfaden für die Einrichtung der wichtigsten Sicherheitsmaßnahmen bei einen Root-Server auf Ubuntu bzw. Debian Basis. Bitte lesen Sie den Blogartikel erst vollständig durch bevor Sie mit den Anpassungen an Ihren Ubuntu oder Dabien Root-Server beginnen.

Passwort neu setzen

Im 1. Schritt sollten Sie das Passwort des Standardbenutzers mit dem Befehl:
passwd

neu vergeben.

Nutzen Sie für das neue Passwort am besten einen Passwortgenerator, das Passwort sollte komplex sein und mehr als 10 Zeichen beinhalten.

Wechsel Sie jetzt in den Superuser. Geben Sie hierzu

sudo su

in die konsole eine. Das System fragt Sie jetzt nach dem neuen Passwort.

Ab diesen Moment sind Sie als Superuser angemeldet und können jetzt Systembefehle in der Konsole eingeben. Der Superuser wird auch für die Schritte die noch folgen benötigt.

Nach der eingäbe von sudo su sollte die Konsole in etwa so aussehen:

Aktualisierung von apt-get

Im 2. Schritt sollten Sie das Verzeichnis von apt-get aktualisieren, geben Sie hierzu

apt-get update

in die Konsole ein.

Anschließend sollten Sie das System jetzt mit

apt-get upgrade

aktualisieren.

Installation von fail2ban

Im 3. Schritt sollten Sie fail2ban installieren.

Fail2Ban durchsucht Logdateien wie /var/log/pwdfail oder /var/log/apache/error_log und blockt IP-Adressen, die zu viele fehlgeschlagene Loginversuche haben. Es aktualisiert Firewallregeln, um diese IP-Adressen zu sperren.

Beispiel für die Funktion von fail2ban
Wird das SSH Passwort ca. 8 mal falsch eingegeben wird die IP-Adresse vom Client gesperrt. Somit ist die Anmeldung per SSH von der IP-Adresse nicht mehr möglich. Die IP-Adresse wurde von fail2ban gesperrt und wird nach ca. 600 Sekunden wieder freigegeben. Dies ist bereits die Standardkonfiguration von fail2ban.

Um fail2ban zu installieren geben Sie hierzu

apt-get install fail2ban

in die Konsole ein.

Eine ausführliche Anleitung auf Deutsch finden Sie hier: https://www.fail2ban.org/wiki/index.php/FAQ_german#Wie_kann_ich_Fail2Ban_konfigurieren.3F

SSH Port ändern

Im 4. Schritt sollten Sie den SSH-Port ändern. Geben Sie hierfür folgendes in die Konsole ein

nano /etc/ssh/sshd_config

ändern Sie den Port in z.B. 2222 und drücken Sie einschließend control+o -> ENTER und die Änderungen zu speichern und control+x und den Editor zu verlassen.

Sollten Sie sich nicht sicher sein welcher Port noch frei ist, können Sie eine Liste der derzeit verwendeten Ports mit dem Befehl:

cat /etc/services

ausgeben.

Jetzt müssen Sie SSH neu Starten und die neuen Einstellungen zu übernehmen, geben Sie hierzu

service ssh restart

in die Konsole ein.

 

Nach dem Neustart von SSH müssen Sie beim Verbindungsaufbau den neuen Port berücksichtigen.
So könnte ein Aufruf der Verbindung aussehen:
ssh IP-Adresse-vom-Server -p 2222 -l ihr-benutzername

Firewall einstellen

Im 5. Schritt können sie die Ubuntu Firewall installieren und einstellen.

Die Installation wird mit dem Befehl
apt-get install ufw
durchgeführt.

Um den Status der Firewall zu überprüfen, geben Sie
ufw status
in die Konsole ein.

Standardmäßig ist die Firewall deaktiviert bzw. es gibt derzeit keine Regeln.
Um Ports freizugeben nutzen Sie diesen Befehl als Beispiel:

Freigabe für SSH -> Port 22

1. Befehl: ufw allow 22
2. Befehl: ufw enable

Das System fragt Sie ob eine Aktualisierung durchgeführt werden soll, diese bestätigen Sie mit JA.

Wichtig!
Sollten Sie für SSH einen anderen Port als 22 eingerichtet haben (Schritt 4) so vergessen Sie nicht die 22 gegen Ihren neuen Port zu ersetzen.

Wenn Sie jetzt

ufw status

in die Konsole eingeben, erhalten Sie eine Auflistung der offenen Ports die auf dem Server von außen erreichbar sind.

Möchten Sie die Firewall deaktivieren, geben Sie einfach

ufw disable

in die Konsole ein.

Achtung:
Zusätzliche Sicherheitsmaßnahmen sind möglich und sollten auch in Betracht gezogen werden.
Die Nutzung dieser Anleitung erfolgt auf eigene Gefahr. Für Schäden und Folgeschäden übernehme Ich keine Haftung.

Kommentar schreiben

Kommentare: 0