Teil 4: Sinnvolle Einstellungen und absichern des Systems

Hier eine kompaktere, übersichtlichere und weniger zerstückelte Version – alles in größeren, logischen Blöcken mit klarer Struktur:

1. Sofort nach dem ersten Boot (als root oder ncadmin)

apt update && apt full-upgrade -y
apt install sudo vim htop curl wget net-tools ufw fail2ban unattended-upgrades -y

2. SSH deutlich sicherer machen (am wichtigsten Schritt)

Öffne die Datei:

nano /etc/ssh/sshd_config

Setze / ändere diese Zeilen (entweder auskommentieren oder neu setzen):

PermitRootLogin prohibit-password
PasswordAuthentication no

Dann:

# Auf deinem lokalen Rechner (nicht auf dem Server!):
ssh-keygen -t ed25519    # falls noch kein Schlüssel da ist
ssh-copy-id ncadmin@DEINE_SERVER_IP

# Auf dem Server:
systemctl restart ssh

Ab jetzt geht nur noch mit Schlüssel – Passwörter sind tot.

3. Firewall (UFW) – minimalistisch und effektiv

ufw allow OpenSSH
ufw allow 80,443/tcp     # später für Nextcloud/HTTPS nötig
ufw --force enable
ufw status

Wer hinter Nginx Proxy Manager oder einem anderen Reverse Proxy sitzt, kann die 80/443-Regeln auch weglassen.

4. Fail2Ban (Brute-Force-Schutz)

systemctl enable --now fail2ban

Optional (für längere Bans oder E-Mail-Benachrichtigung) später in /etc/fail2ban/jail.local anpassen – Defaults reichen aber für 95 % der Homelabs.

5. Beste Practices – kurz & wichtig

• Neuen User mit sudo anlegen und Root-Login meiden

  adduser deinname
  usermod -aG sudo deinname
  

• Automatische Sicherheits-Updates aktivieren (meist schon fast fertig)

  dpkg-reconfigure --priority=low unattended-upgrades
  

• Regelmäßig prüfen

  apt list --upgradable
  

Fertig.
Das waren die 5 wichtigsten Härtungsschritte direkt nach der Installation – in dieser Reihenfolge ausgeführt bist du schon sehr viel sicherer als 90 % der frisch aufgesetzten Server.

Brauchst du zu einem der Punkte noch eine ausführlichere Erklärung?