Funkenstrahlen Podcasting, Netzpolitik, App-Entwicklung

Erste Schritte auf dem Server

Einen Server im Internet zu betreiben ist heute mit nur einem Klick machbar. Dennoch ist es sinnvoll ein paar Sicherheitsvorkehrungen zu treffen, um kein allzu leichtes Angriffsziel zu sein. Die folgenden Tipps beziehen sich auf Ubuntu Server 14.04 LTS.

Foto pixabay.com unter CC0 Lizenz

User ohne Rootrechte anlegen

Als Root arbeiten ist keine gute Idee. Ein normaler User mit sudo Rechten ist sinnvoller.

sudo adduser <username> sudo

Den eigenen Public Key zur SSH Anmeldung hochladen

Es ist keine gute Idee sich beim Server mit einem Passwort zu authentifizieren. Besser ist es das Public Key Verfahren zu nutzen, das SSH schon mitbringt. Dazu muss man nur den eigenen Public Key vom eigenen Computer auf den Server laden:

ssh-copy-id <username>@server

SSH Optionen anpassen

Nun gilt es noch den Zugang über SSH einzuschränken. Alle nötigen Einstellungen werden in der Datei /etc/ssh/sshd_config vorgenommen. Wichtig sind die folgenden drei Optionen:

# Port ändern
Port 12345
# Root soll sich nicht per SSH einloggen können
PermitRootLogin no
# Keine SSH Anmeldung über Passwort (nur Public-Key)
PasswordAuthentication no

Damit das wirksam wird, SSH neu starten service ssh restart. Dann als neu angelegter User einloggen und nicht als Root weiter arbeiten.

Pakete updaten

Halte die Softwarepakete auf dem neusten Stand.

sudo apt-get update
sudo apt-get upgrade

Es gibt auch die Möglichkeit das gleich so einzurichten, dass der Server automatisch immer wieder überprüft ob neue Updates verfügbar sind und diese dann installiert. Hier scheiden sich ein wenig die Geister ob das sinnvoll ist, da automatische Updates ein System auch kaputt machen können, wenn beim Update etwas schief geht. Doch wie oft loggt ihr euch manuell auf dem Server ein, um Updates einzuspielen? Hier kann man auch schonmal ein wichtiges Sicherheitsupdate verpassen.

Atomatische Updates lassen sich unter Ubuntu mit dem Paket unattendes-upgrades realisieren.

Firewall konfigurieren

Weiter ist es eine gute Idee die Firewall so einzurichten, dass nur Pakete zugelassen werden, die ihr auch haben wollt. Wie das geht habe ich hier beschrieben.

Bruteforce mit fail2ban blockieren

Es kommt immer wieder vor, dass der Server mit Login Anfragen überschwemmt wird. Hier ist es dann sinnvoll, wenn der Angreifer in der Firewall automatisch blockiert wird. Das erledigt fail2ban für euch. Wie ihr das einrichten könnt, steht hier.