Debian Server sicherer machen – Tutorial

Debian Server sicherer machen – Tutorial

In diesem Tutorial lernen Sie wie man einen Debian Server sicherer machen kann. Für das Tutorial wurde ein Debian LXC Container verwendet. Sie können dieses Tutorial auch für andere Debian Distributionen wie z.B. Ubuntu oder Mint verwenden. Sie können natürlich auch einen Server Mieten um Ihr Heimnetzwerk Sicher zu halten.

Debian Server sicherer machen

1. UFW Firewall installieren

Installieren Sie mit folgendem Befehl die UFW Firewall.

apt install ufw -y

Aktivieren Sie die Firewall.

ufw enable

Überprüfen Sie den FIrewall Status.

ufw status

Um Beispielsweise SSH zu erlauben geben Sie folgenden Befehl ein.

ufw allow ssh

2. fail2ban installieren

Sie können fail2ban mit folgendem Befehl installieren. Mehr über fail2ban finden Sie hier.

apt install fail2ban -y

3. Updates regelmässig durchführen

Mit folgendem Befehl können Sie Updates durchführen. Es ist empfehlenswert Updates wöchentlich durchzuführen.

apt update -y
Debian Server sicherer machen - update

4. Sudo als Alternative

Melden Sie sich mit einem normalen Benutzerkonto per SSH am Server an und wechseln Sie dann per sudo Befehl zum root-User. Sie können festlegen, welche Gruppen und Benutzer eine SSH Verbindung aufbauen dürfen. Die sudoers Gruppe steuert die Benutzer, die den sudo Befehl ausführen dürfen.

5. SSH Login absichern

Standardmässig ist der SSH Root Login bei vielen Distributionen deaktiviert und es wird empfohlen, dies auch nicht zu ändern.

6. SSH Port ändern

Geben Sie den folgenden Befehl ein um die SSH Konfiguration anzupassen.

nano /etc/ssh/sshd_config

Ändern Sie nun den Port von 22 auf einen beliebigen anderen Port wie z.B. 33422

Debian Server sicherer machen - ssh port

Starten Sie den SSH Service neu.

systemctl restart sshd

7. SSH Login mit Public Key Authentifizierung aktivieren

Um den Debian Server sicherer machen zu können, erklären wir Ihnen wie Sie SSH Login mit Publik Key erlauben wird Ihnen in diesem Tutorial erklärt.

8. Automatische Benachrichtigung per Mail bei SSH Login

Sie können Ihren Debian Server sicherer machen, indem Sie zusätzlich eine E-Mail Benachrichtigung bei SSH Login einrichten. So werden Sie im falle eines Zugriffes umgehend darüber informiert.

Dazu installieren Sie folgendes Paket.

apt install s-nail -y

Erstellen Sie ein Bash Skript.

nano /opt/ssh-login.sh

Fügen Sie folgende Zeilen ein.

#!/bin/bash
echo "Login auf $(hostname) am $(date +%Y-%m-%d) um $(date +%H:%M)"
echo "Benutzer: $USER"
echo
pinky

Editieren Sie die folgende Datei.

nano /etc/profile

Fügen Sie folgende Zeile am Ende der Datei ein. Ersetzen Sie den HOSTNAME mit Ihrem Hostname und die mail@example.com mit Ihrer E-Mail-Adresse.

/opt/ssh-login.sh | mailx -s "SSH Login auf HOSTNAME" mail@example.com
Debian Server sicherer machen - ssh mail

Passen Sie nun noch die Rechte für die Datei an.

chmod 755 /opt/ssh-login.sh

Nun wird automatisch eine E-Mail versendet, wenn Sich jemand über SSH anmeldet. Der Benutzer, welcher sich anmeldet, hat davon jedoch keine Kenntnis.

9. Tcpd Zugriffskontrolle (Whitelist)

Um den Debian Server sicherer machen zu können wird empfohlen nur gewisse Hosts zuzulassen. Falls Sie dies möchten, können Sie tcpd installieren. Passen Sie jedoch auf nicht jeder Dienst ist mit tcpd kompatibel.

apt install tcpd -y

Editieren Sie mit folgendem Befehl die allow Datei.

nano /etc/hosts.allow

Fügen Sie, um SSH Verbindungen aus Ihrem Netzwerk zu erlauben Folgendes ein. Passen Sie die IP des Netzwerkes an.

sshd: 192.168.0.0/255.255.255.0

Editieren Sie nun die deny Datei um allen anderen Clients den Zugriff zu verbieten.

nano /etc/hosts.deny

Fügen Sie am Ende folgendes ein.

ALL:ALL

10. Rootkits mit rkhunter finden

Sollte es einem Angreifer gelingen das System zu kompromittieren, ist es meist nicht einfach möglich nachzuvollziehen wo der Einbruch erfolgte. Mit dem Tool rkhunter wird der Server auf häufige Rootkits, verdächtige Strings… überprüft und der Benutzer beim Fund informiert.

apt install rkhunter -y

Mit dem folgenden Befehl können Sie nun Ihr System auf rootkits und weiteres überprüfen.

rkhunter -c
Debian Server sicherer machen - rkhunter check
Debian Server sicherer machen - rkhunter summary

Sie können Den Log optional noch manuell auselsen.

cat /var/log/rkhunter.log

11. Monitoring mit monit

Sie können Ihren Debian Server sicherer machen, indem sie monit ein tolles Monitoring Paket installieren. Sie finden auch ein monit Tutorial auf Technium.ch

apt install monit -y

12. Festplatten mit smartmontools überwachen

Sie können auch die Fetsplatten von Ihrem Debian Server sicherer machen, indem Sie folgendes Paket installieren und konfigurieren.

apt install smartmontools -y

Editieren Sie Die Konfiguration um den DIenst automatisch zu starten.

nano /etc/default/smartmontools

Kommentieren Sie den folgenden Eintrag aus.

#start_smartd=yes

Um die Festplatten zu überwachen muss eine weitere Konfiguration angepasst werden.

nano /etc/smartd.conf

Kommentieren Sie den folgenden Eintrag aus.

DEVICESCAN -d removable -n standby -m root -M exec /usr/share/smartmontools/smartd-runner

Ergänzen Sie nun folgende Zeile und passen Sie die E-Mail-Adresse und wenn nötig das Gerät (/dev/sda) an. Falls Sie mehrere Festplatten haben machen Sie dasselbe mehrfach.

/dev/sda -n standby -a -I 194 -W 6,50,55 -R 5 -M daily -M test -m user@domain.tld

Die Erklärung zu der obigen Zeile:

 /dev/sda               // Bezeichnung der zu überwachenden Festplatte
 -n standby             // Im Standbymodus ist, diese nicht aufwecken
 -a                     // Alle Werte überprüfen
 -I 194                 // Temperature Wert auslassen
 -W 6,50,55             // Änderungen über 6°C reporten. Höchstwert 50°C. Bei 55°C warnen.
 -R 5                   // Reallocated Sectors beachten (ID 5)
 -M daily               // Tägliche Erinnerung versenden, auch wenn das Problem bereits gemeldet wurde
 -M test                // Testmail beim Neustart des Diensts schicken
 -m user@domain.tld     // E-Mail Empfänger der Warnungen

Nun haben Sie gelernt wie man ganz einfach einen Debian Server sicherer machen kann.

Über ramhee 142 Artikel
Ramon Heeb ist der Gründer von Technium.ch

Kommentar hinterlassen

Schreib einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.


*