Skip to main content

Teil 4: Sinnvolle Einstellungen und absichern des Systems

System

Hier aktualisiereneine kompaktere, übersichtlichere und Paketeweniger installieren

zerstückelte

NachVersion – alles in größeren, logischen Blöcken mit klarer Struktur:

1. Sofort nach dem ersten Boot meldest du dich (als root oder ncadmin an (je nach Konsole oder SSH). Führe sofort aus:

ncadmin)

apt update && apt full-upgrade -y

Das holt alle Sicherheitsupdates und Bugfixes seit der ISO-Erstellung. Danach installiere nützliche Basics:

apt install sudo vim htop curl wget net-tools ufw fail2ban unattended-upgrades -y

Damit

2. hast du sudo für den normalen User, bessere Tools und Netzwerk-Utilities.

SSH absicherndeutlich sicherer Passwort-Loginmachen deaktivieren(am undwichtigsten Schlüssel nutzenSchritt)

SSHÖffne istdie währendDatei:

der
nano Installation aktiviert, läuft aber unsicher. Editiere /etc/ssh/sshd_config
und

Setze setze:/ ändere diese Zeilen (entweder auskommentieren oder neu setzen):

PermitRootLogin prohibit-password
PasswordAuthentication no

Generiere auf deinem Client einen SSH-Schlüssel:Dann:

# Auf deinem lokalen Rechner (nicht auf dem Server!):
ssh-keygen
-t

Kopiereed25519 den# Public-Keyfalls mit

noch 
kein Schlüssel da ist
ssh-copy-id ncadmin@deine-vm-ipncadmin@DEINE_SERVER_IP
#

undAuf startedem denServer: Dienst neu:

systemctl restart ssh

Ab jetzt geht nur noch schlüsselbasiertmit SchlüsselPasswort-Brute-ForcePasswörter wirdsind unmöglich.tot.

3. Firewall aktivieren(UFW) mit UFW

minimalistisch

Sinnvoll, wenn die Installation direkt am Internet hängt. Wer hier hinter einem Proxy wie Nginx Proxy Manager sitzt, kann sich diese Einrichtung ersparen.

Installiere die einfache Firewall:

apt install ufw -y

Erlaube nur SSH (und später HTTP/HTTPS für Nextcloud):

effektiv 
ufw allow OpenSSH

bzw.

ufw allow 80,443/tcp
#

Aktivierespäter mit

für 
Nextcloud/HTTPS nötig
ufw --force enable
ufw status

undWer prüfehinter denNginx StatusProxy mit

Manager 
ufwoder statuseinem verboseanderen
Reverse

UFWProxy blocktsitzt, alleskann anderedie standardmäßig80/443-Regeln auch ein guter Schutz vor unnötig offenen Ports.weglassen.

4. Fail2Ban gegen (Brute-Force-Attacken installierenSchutz)

Installiere Fail2Ban:

apt install fail2ban -y

Es überwacht SSH-Logs automatisch und bannt IPs nach mehreren Fehlversuchen (Standard: 5 in 10 Minuten). Die Debian-Defaults sind für Homelab meist ausreichend. Starte und aktiviere:

systemctl enable --now fail2ban

Optional passe(für längere Bans oder E-Mail-Benachrichtigung) später in /etc/fail2ban/jail.local an,anpassen z. B.Defaults längerereichen Ban-Zeitenaber oderfür E-Mail-Benachrichtigung.95 % der Homelabs.

Zusätzliche5. EmpfehlungenBeste fürPractices mehr Sicherheitkurz & wichtig

  • Erstelle einen sudo-fähigen

    Neuen User ohnemit unnötigesudo Rechteanlegen und vermeideRoot-Login dauerhaftes Root-Login.

  • Aktiviere automatische Sicherheits-Updates:
meiden

aptadduser installdeinname
unattended-upgradesusermod -yaG sudo deinname

  • undAutomatische konfiguriereSicherheits-Updates /etc/apt/apt.conf.d/50unattended-upgradesaktivieren (meist schon voreingestelltfast auf security).fertig)

      dpkg-reconfigure --priority=low unattended-upgrades
    • Überprüfe regelmäßig

      Regelmäßig mit:

    prüfen

    apt list --upgradable
    • Für Nextcloud später: Plane schon jetzt, nur benötigte Ports freizugeben und Fail2Ban-Jails für Apache/Nginx hinzuzufügen.

    Fertig.
    Das waren die 5 wichtigsten Härtungsschritte direkt nach der Installation – in dieser Reihenfolge ausgeführt bist du schon sehr viel sicherer als 90 % der frisch aufgesetzten Server.

    Brauchst du zu einem der Punkte noch eine ausführlichere Erklärung?

    • Back to top