Kein Root-Login
Direkte Root-Logins gehören abgeschaltet. Admin-Zugriff läuft über einen normalen Benutzer, SSH-Key-Authentifizierung und gezielte Rechtevergabe per sudo.
Server-Härtung
Linux Security
Praxisnahe Absicherung von Debian- und Linux-Servern: SSH-Härtung, Firewalling, Updates, Logs, Rechtekonzepte, Docker-Fallen und sichere Serverdienste.
Security Baseline
Was ein Linux-Server mindestens können muss.
Ein Server ist nicht sicher, weil er frisch installiert wurde. Sicher wird er erst durch kontrollierte Zugänge, restriktive Netzwerkregeln, schnelle Updates, nachvollziehbare Logs und wiederholbare Konfiguration.
Default-Deny
Nur Ports öffnen, die wirklich benötigt werden. SSH, HTTP/HTTPS und Monitoring-Zugänge müssen bewusst freigegeben und dokumentiert werden.
Patches planen
Sicherheitsupdates müssen zeitnah installiert werden. Kritische Dienste brauchen ein Wartungsfenster, Backups und einen getesteten Rollback-Pfad.
Angriffe sichtbar machen
Login-Versuche, sudo-Nutzung, Dienstfehler und Netzwerkzugriffe müssen auffindbar sein. Ohne Logs gibt es keine belastbare Analyse.
Container sind kein Schutzschild
Docker veröffentlicht Ports oft direkter als erwartet. Wer Docker nutzt, muss Host-Firewall, DOCKER-USER Chain und Reverse Proxy sauber verstehen.
Härtung reproduzierbar machen
Was man manuell macht, vergisst man irgendwann. Security-Baselines gehören in Ansible, Git und dokumentierte Deployments.
SSH Hardening
SSH ist der wichtigste Eingang.
SSH ist auf Root-Servern fast immer das erste Ziel automatisierter Scans. Die wichtigsten Maßnahmen sind simpel, aber wirkungsvoll: Root-Login deaktivieren, Passwort-Login abschalten, nur starke SSH-Keys verwenden und Zugriffe sauber protokollieren.
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
AllowUsers adminuser
Login-Versuche prüfen
journalctl -u ssh --since "24 hours ago"
grep "Failed password" /var/log/auth.log
Firewall
Offene Ports sind Angriffsfläche.
Eine Firewall ist kein Schmuckstück. Sie ist eine technische Grenze. Jeder offene Port muss einen Zweck haben. Besonders bei Docker-Hosts muss geprüft werden, ob Dienste über Docker-Regeln unbeabsichtigt erreichbar sind.
22/tcp SSH
80/tcp HTTP
443/tcp HTTPS
9100/tcp nur intern
Offene Ports anzeigen
ss -tulpen
nft list ruleset
iptables -S DOCKER-USER
Admin-Checkliste
Erste Härtung nach der Serverinstallation.
Diese Punkte sind die Basis, bevor produktive Dienste, Docker-Stacks oder öffentliche APIs auf einem neuen Server laufen.
Zugriff absichern
- Admin-User erstellen
- SSH-Key hinterlegen
- Root-Login deaktivieren
- Passwort-Login abschalten
Netzwerk begrenzen
- Nur benötigte Ports öffnen
- Firewall-Regeln dokumentieren
- Docker-Portfreigaben prüfen
- Monitoring nicht öffentlich exponieren
Betrieb vorbereiten
- Updates aktivieren
- Backups konfigurieren
- Logs zentral sammeln
- Monitoring und Alerts einrichten
Typische Fehler
Die Klassiker, die später teuer werden.
Root-Login plus Passwort-Auth ist ein Einfallstor für automatisierte Brute-Force-Wellen.
Artikel öffnen →Docker kann Ports veröffentlichen, obwohl Host-Firewall-Regeln anders wirken sollen.
Artikel öffnen →Ein Backup ist erst dann ein Backup, wenn ein Restore erfolgreich getestet wurde.
Artikel öffnen →Ohne brauchbare Logs bleibt nach einem Vorfall nur Raten statt Analyse.
Artikel öffnen →Nächste Artikel
Geplante Deep Dives.
Diese Themen werden als eigene Artikel ausgebaut und später direkt aus dieser Seite verlinkt.
Debian SSH-Hardening ohne Aussperren
Keys, sudo, sshd_config, Testsession und sicherer Neustart.
Artikel öffnen →UFW, nftables und Docker richtig verstehen
Warum Docker-Portfreigaben klassische Firewall-Logik aushebeln können.
Linux-Baseline mit Ansible ausrollen
Ein reproduzierbares Hardening-Playbook für mehrere Server.
Praxis statt Theorie
Security muss wiederholbar sein.
Der Fokus liegt auf nachvollziehbaren Setups, echten Infrastrukturproblemen, reproduzierbaren Konfigurationen und sauberer Dokumentation.