In diesem Tutorial lernen Sie wie man einen Debian Server sicherer machen kann. Für das Tutorial wurde ein Debian LXC Container verwendet. Sie können dieses Tutorial auch für andere Debian Distributionen wie z.B. Ubuntu oder Mint verwenden. Sie können natürlich auch einen Server Mieten um Ihr Heimnetzwerk Sicher zu halten.
Debian Server sicherer machen
1. UFW Firewall installieren
Installieren Sie mit folgendem Befehl die UFW Firewall.
apt install ufw -y
Aktivieren Sie die Firewall.
ufw enable
Überprüfen Sie den FIrewall Status.
ufw status
Um Beispielsweise SSH zu erlauben geben Sie folgenden Befehl ein.
ufw allow ssh
2. fail2ban installieren
Sie können fail2ban mit folgendem Befehl installieren. Mehr über fail2ban finden Sie hier.
apt install fail2ban -y
3. Updates regelmässig durchführen
Mit folgendem Befehl können Sie Updates durchführen. Es ist empfehlenswert Updates wöchentlich durchzuführen.
apt update -y
4. Sudo als Alternative
Melden Sie sich mit einem normalen Benutzerkonto per SSH am Server an und wechseln Sie dann per sudo Befehl zum root-User. Sie können festlegen, welche Gruppen und Benutzer eine SSH Verbindung aufbauen dürfen. Die sudoers Gruppe steuert die Benutzer, die den sudo Befehl ausführen dürfen.
5. SSH Login absichern
Standardmässig ist der SSH Root Login bei vielen Distributionen deaktiviert und es wird empfohlen, dies auch nicht zu ändern.
6. SSH Port ändern
Geben Sie den folgenden Befehl ein um die SSH Konfiguration anzupassen.
nano /etc/ssh/sshd_config
Ändern Sie nun den Port von 22 auf einen beliebigen anderen Port wie z.B. 33422
Starten Sie den SSH Service neu.
systemctl restart sshd
7. SSH Login mit Public Key Authentifizierung aktivieren
Um den Debian Server sicherer machen zu können, erklären wir Ihnen wie Sie SSH Login mit Publik Key erlauben wird Ihnen in diesem Tutorial erklärt.
8. Automatische Benachrichtigung per Mail bei SSH Login
Sie können Ihren Debian Server sicherer machen, indem Sie zusätzlich eine E-Mail Benachrichtigung bei SSH Login einrichten. So werden Sie im falle eines Zugriffes umgehend darüber informiert.
Dazu installieren Sie folgendes Paket.
apt install s-nail -y
Erstellen Sie ein Bash Skript.
nano /opt/ssh-login.sh
Fügen Sie folgende Zeilen ein.
#!/bin/bash
echo "Login auf $(hostname) am $(date +%Y-%m-%d) um $(date +%H:%M)"
echo "Benutzer: $USER"
echo
pinky
Editieren Sie die folgende Datei.
nano /etc/profile
Fügen Sie folgende Zeile am Ende der Datei ein. Ersetzen Sie den HOSTNAME mit Ihrem Hostname und die mail@example.com mit Ihrer E-Mail-Adresse.
/opt/ssh-login.sh | mailx -s "SSH Login auf HOSTNAME" mail@example.com
Passen Sie nun noch die Rechte für die Datei an.
chmod 755 /opt/ssh-login.sh
Nun wird automatisch eine E-Mail versendet, wenn Sich jemand über SSH anmeldet. Der Benutzer, welcher sich anmeldet, hat davon jedoch keine Kenntnis.
9. Tcpd Zugriffskontrolle (Whitelist)
Um den Debian Server sicherer machen zu können wird empfohlen nur gewisse Hosts zuzulassen. Falls Sie dies möchten, können Sie tcpd installieren. Passen Sie jedoch auf nicht jeder Dienst ist mit tcpd kompatibel.
apt install tcpd -yEditieren Sie mit folgendem Befehl die allow Datei.
nano /etc/hosts.allow
Fügen Sie, um SSH Verbindungen aus Ihrem Netzwerk zu erlauben Folgendes ein. Passen Sie die IP des Netzwerkes an.
sshd: 192.168.0.0/255.255.255.0
Editieren Sie nun die deny Datei um allen anderen Clients den Zugriff zu verbieten.
nano /etc/hosts.deny
Fügen Sie am Ende folgendes ein.
ALL:ALL
10. Rootkits mit rkhunter finden
Sollte es einem Angreifer gelingen das System zu kompromittieren, ist es meist nicht einfach möglich nachzuvollziehen wo der Einbruch erfolgte. Mit dem Tool rkhunter wird der Server auf häufige Rootkits, verdächtige Strings… überprüft und der Benutzer beim Fund informiert.
apt install rkhunter -y
Mit dem folgenden Befehl können Sie nun Ihr System auf rootkits und weiteres überprüfen.
rkhunter -c
Sie können Den Log optional noch manuell auselsen.
cat /var/log/rkhunter.log
11. Monitoring mit monit
Sie können Ihren Debian Server sicherer machen, indem sie monit ein tolles Monitoring Paket installieren. Sie finden auch ein monit Tutorial auf Technium.ch
apt install monit -y
12. Festplatten mit smartmontools überwachen
Sie können auch die Fetsplatten von Ihrem Debian Server sicherer machen, indem Sie folgendes Paket installieren und konfigurieren.
apt install smartmontools -y
Editieren Sie Die Konfiguration um den DIenst automatisch zu starten.
nano /etc/default/smartmontools
Kommentieren Sie den folgenden Eintrag aus.
#start_smartd=yes
Um die Festplatten zu überwachen muss eine weitere Konfiguration angepasst werden.
nano /etc/smartd.conf
Kommentieren Sie den folgenden Eintrag aus.
DEVICESCAN -d removable -n standby -m root -M exec /usr/share/smartmontools/smartd-runner
Ergänzen Sie nun folgende Zeile und passen Sie die E-Mail-Adresse und wenn nötig das Gerät (/dev/sda) an. Falls Sie mehrere Festplatten haben machen Sie dasselbe mehrfach.
/dev/sda -n standby -a -I 194 -W 6,50,55 -R 5 -M daily -M test -m user@domain.tld
Die Erklärung zu der obigen Zeile:
/dev/sda // Bezeichnung der zu überwachenden Festplatte -n standby // Im Standbymodus ist, diese nicht aufwecken -a // Alle Werte überprüfen -I 194 // Temperature Wert auslassen -W 6,50,55 // Änderungen über 6°C reporten. Höchstwert 50°C. Bei 55°C warnen. -R 5 // Reallocated Sectors beachten (ID 5) -M daily // Tägliche Erinnerung versenden, auch wenn das Problem bereits gemeldet wurde -M test // Testmail beim Neustart des Diensts schicken -m user@domain.tld // E-Mail Empfänger der Warnungen
Nun haben Sie gelernt wie man ganz einfach einen Debian Server sicherer machen kann.
Schreib einen Kommentar