Skip to main content

Teil 4: Sinnvolle Einstellungen und absichern des Systems

System aktualisieren und Pakete installieren

Nach dem ersten Boot meldest du dich als root oder ncadmin an (je nach Konsole oder SSH). Führe sofort aus:

apt update && apt full-upgrade -y

Das holt alle Sicherheitsupdates und Bugfixes seit der ISO-Erstellung. Danach installiere nützliche Basics:

apt install sudo vim htop curl wget net-tools -y

Damit hast du sudo für den normalen User, bessere Tools und Netzwerk-Utilities.

SSH absichern – Passwort-Login deaktivieren und Schlüssel nutzen

SSH ist während der Installation aktiviert, läuft aber unsicher. Editiere /etc/ssh/sshd_config und setze:

PermitRootLogin prohibit-password
PasswordAuthentication no

Generiere auf deinem Client einen SSH-Schlüssel:

ssh-keygen

Kopiere den Public-Key mit

ssh-copy-id ncadmin@deine-vm-ip

und starte den Dienst neu:

systemctl restart ssh

Ab jetzt nur noch schlüsselbasiert – Passwort-Brute-Force wird unmöglich.

Firewall aktivieren mit UFW

Sinnvoll, wenn die Installation direkt am Internet hängt. Wer hier hinter einem Proxy wie Nginx Proxy Manager sitzt, kann sich diese Einrichtung ersparen.

Installiere die einfache Firewall:

apt install ufw -y

Erlaube nur SSH (und später HTTP/HTTPS für Nextcloud):

ufw allow OpenSSH

bzw.

ufw allow 80,443/tcp

Aktiviere mit

ufw enable

und prüfe den Status mit

ufw status verbose

UFW blockt alles andere standardmäßig – ein guter Schutz vor unnötig offenen Ports.

Fail2Ban gegen Brute-Force-Attacken installieren

Installiere Fail2Ban:

apt install fail2ban -y

Es überwacht SSH-Logs automatisch und bannt IPs nach mehreren Fehlversuchen (Standard: 5 in 10 Minuten). Die Debian-Defaults sind für Homelab meist ausreichend. Starte und aktiviere:

systemctl enable --now fail2ban

Optional passe /etc/fail2ban/jail.local an, z. B. längere Ban-Zeiten oder E-Mail-Benachrichtigung.

Zusätzliche Empfehlungen für mehr Sicherheit

  • Erstelle einen sudo-fähigen User ohne unnötige Rechte und vermeide dauerhaftes Root-Login.
  • Aktiviere automatische Sicherheits-Updates:
apt install unattended-upgrades -y

und konfiguriere /etc/apt/apt.conf.d/50unattended-upgrades (meist schon voreingestellt auf security).

  • Überprüfe regelmäßig mit:
apt list --upgradable
  • Für Nextcloud später: Plane schon jetzt, nur benötigte Ports freizugeben und Fail2Ban-Jails für Apache/Nginx hinzuzufügen.
Back to top