Skip to main content

Teil 4: Sinnvolle Einstellungen und absichern des Systems

System aktualisieren und Pakete installieren

Nach dem ersten Boot meldest du dich als root oder ncadmin an (je nach Konsole oder SSH). Führe sofort aus:
apt update && apt full-upgrade -y.
Das holt alle Sicherheitsupdates und Bugfixes seit der ISO-Erstellung. Danach installiere nützliche Basics:
apt install sudo vim htop curl wget net-tools -y.
Damit hast du sudo für den normalen User, bessere Tools und Netzwerk-Utilities.

SSH absichern – Passwort-Login deaktivieren und Schlüssel nutzen

SSH ist während der Installation aktiviert, läuft aber unsicher. Editiere /etc/ssh/sshd_config und setze
PermitRootLogin prohibit-password sowie PasswordAuthentication no.
Generiere auf deinem Client einen SSH-Schlüssel (ssh-keygen), kopiere den Public-Key mit
ssh-copy-id ncadmin@deine-vm-ip
und starte den Dienst neu: systemctl restart ssh.
Ab jetzt nur noch schlüsselbasiert – Passwort-Brute-Force wird unmöglich.

Firewall aktivieren mit UFW

Sinnvoll wenn die Installation direkt am Internet hängt. Wer hier hinter einem Proxy wie Nginx Proxy Manager sitzt, kann sich diese Einrichtung ersparen.

Installiere die einfache Firewall: apt install ufw -y.
Erlaube nur SSH (und später HTTP/HTTPS für Nextcloud):
ufw allow OpenSSH bzw. ufw allow 80,443/tcp.
Aktiviere mit ufw enable und prüfe den Status mit ufw status verbose.
UFW blockt alles andere standardmäßig – ein guter Schutz vor unnötig offenen Ports.

Fail2Ban gegen Brute-Force-Attacken installieren

Installiere Fail2Ban: apt install fail2ban -y.
Es überwacht SSH-Logs automatisch und bannt IPs nach mehreren Fehlversuchen (Standard: 5 in 10 Minuten). Die Debian-Defaults sind für Homelab meist ausreichend.
Starte und aktiviere: systemctl enable --now fail2ban.
Optional passe /etc/fail2ban/jail.local an, z. B. längere Ban-Zeiten oder E-Mail-Benachrichtigung.

Zusätzliche Empfehlungen für mehr Sicherheit

Erstelle einen sudo-fähigen User ohne unnötige Rechte und vermeide dauerhaftes Root-Login.
Aktiviere automatische Sicherheits-Updates: apt install unattended-upgrades -y und konfiguriere /etc/apt/apt.conf.d/50unattended-upgrades (meist schon voreingestellt auf security).
Überprüfe regelmäßig mit apt list --upgradable.
Für Nextcloud später: Plane schon jetzt, nur benötigte Ports freizugeben und Fail2Ban-Jails für Apache/Nginx hinzuzufügen.

Back to top