Teil 4: Sinnvolle Einstellungen und absichern des Systems

~~Hier~~

System eine kompaktere, übersichtlichereaktualisieren und wenigerPakete zerstückelteinstallieren

~~Version – alles in größeren, logischen Blöcken mit klarer Struktur:~~

1. Sofort nach
Nach dem ersten Boot (meldest du dich als root oder ncadmin)

ncadmin

an (je nach Konsole oder SSH). Führe sofort aus:

apt update && apt full-upgrade -y.

Das holt alle Sicherheitsupdates und Bugfixes seit der ISO-Erstellung. Danach installiere nützliche Basics:

apt install sudo vim htop curl wget net-tools ufw fail2ban unattended-upgrades -y.

Damit hast du sudo für den normalen User, bessere Tools und Netzwerk-Utilities.

2. SSH deutlichabsichern sicherer– machenPasswort-Login (amdeaktivieren wichtigstenund Schritt)Schlüssel nutzen

~~Öffne~~SSH ~~die~~ist ~~Datei:~~

während

der Installation aktiviert, läuft aber unsicher. Editiere nano /etc/ssh/sshd_config

und

~~Setze~~setze
~~/ ändere diese Zeilen (entweder auskommentieren oder neu setzen):~~

PermitRootLogin prohibit-password sowie PasswordAuthentication no.

Generiere

~~Dann:~~

# Aufauf deinem lokalenClient Rechnereinen SSH-Schlüssel (nicht auf dem Server!):
ssh-keygen), -tkopiere ed25519den #Public-Key fallsmit

noch kein Schlüssel da ist
ssh-copy-id ncadmin@DEINE_SERVER_IPncadmin@deine-vm-ip

#und Aufstarte demden Server:Dienst neu: systemctl restart ssh.

Ab jetzt ~~geht~~ nur noch ~~mit Schlüssel~~schlüsselbasiert – ~~Passwörter~~Passwort-Brute-Force ~~sind~~wird ~~tot.~~unmöglich.

3. Firewall aktivieren mit UFW

Sinnvoll wenn die Installation direkt am Internet hängt. Wer hier hinter einem Proxy wie Nginx Proxy Manager sitzt, kann sich diese Einrichtung ersparen.

Installiere die einfache Firewall: apt install ufw -y.
Erlaube nur SSH (~~UFW) – minimalistisch~~ und ~~effektiv~~später

HTTP/HTTPS für Nextcloud):

ufw allow OpenSSH bzw. ufw allow 80,443/tcp.

#Aktiviere spätermit für Nextcloud/HTTPS nötig
ufw --forceenable enableund prüfe den Status mit ufw status verbose

~~Wer~~UFW ~~hinter~~blockt ~~Nginx~~alles ~~Proxy~~andere ~~Manager~~standardmäßig ~~oder~~– ~~einem~~ein ~~anderen~~guter ~~Reverse~~Schutz ~~Proxy~~vor ~~sitzt,~~unnötig ~~kann~~offenen ~~die 80/443-Regeln auch weglassen.~~Ports.

4. Fail2Ban (gegen Brute-Force-Schutz)Attacken installieren

Installiere Fail2Ban: apt install fail2ban -y.
Es überwacht SSH-Logs automatisch und bannt IPs nach mehreren Fehlversuchen (Standard: 5 in 10 Minuten). Die Debian-Defaults sind für Homelab meist ausreichend.
Starte und aktiviere: systemctl enable --now fail2ban.

Optional ~~(für längere Bans oder E-Mail-Benachrichtigung) später in~~passe /etc/fail2ban/jail.local ~~anpassen~~an, –z. ~~Defaults~~B. ~~reichen~~längere ~~aber~~Ban-Zeiten oder E-Mail-Benachrichtigung.

Zusätzliche Empfehlungen für 95mehr % der Homelabs.

5. Beste Practices – kurz & wichtigSicherheit

Erstelle

einen

~~Neuen~~sudo-fähigen User ~~mit~~ohne ~~sudo~~unnötige ~~anlegen~~Rechte und vermeide dauerhaftes Root-~~Login~~Login.
~~meiden~~

Aktiviere

automatische Sicherheits-Updates: adduserapt deinnameinstall usermodunattended-upgrades -aGy sudound deinnamekonfiguriere /etc/apt/apt.conf.d/50unattended-upgrades

~~Automatische Sicherheits-Updates aktivieren~~ (meist schon ~~fast~~voreingestellt ~~fertig)~~

auf

dpkg-reconfiguresecurity).

--priority=lowÜberprüfe unattended-upgradesregelmäßig

mit

~~Regelmäßig prüfen~~
```
apt list --upgradable
```

~~Fertig.~~.
~~Das~~Für ~~waren~~Nextcloud ~~die~~später: ~~5 wichtigsten Härtungsschritte direkt nach der Installation – in dieser Reihenfolge ausgeführt bist du~~Plane schon ~~sehr~~jetzt, ~~viel~~nur ~~sicherer~~benötigte ~~als~~Ports 90freizugeben %und ~~der~~Fail2Ban-Jails ~~frisch~~für ~~aufgesetzten~~Apache/Nginx ~~Server.~~hinzuzufügen.

~~Brauchst du zu einem der Punkte noch eine ausführlichere Erklärung?~~