Top 7 Sicherheitstipps für deinen VPS

Manchmal muss man sich Gedanken machen wie man den gemieteten oder selbst betriebenen Server im Internet absichert, da man sonst früher oder später z.B. Teil eines Botnetzes sein kann oder einfach der selbst erstellte Login misteriöserweise nicht mehr funktioniert. :mrgreen:

Dies habe ich mir letztens vorgenommen und meinen Virtual-Private-Server ein wenig sicherer gestaltet. Meine Schritte zum sichereren VPS:

  •  Standard SSH Port (22) ändern
    • nano /etc/ssh/sshd_conf
    • Port 22 auf eine Zahl zwischen 49152 und 65535 setzen
    • /etc/init.d/ssh restart
    • Login via: ssh -p deinsshport ichbinnureinuser@vps
  • Standard VNC Port (5900) ändern
    • nano /etc/sysconfig/vncservers
    • Port 5900 auf eine Zahl zwischen 49152 und 65535 setzen
    • z.B. $vncPort = 65123
    • vncserver
    • Nun mit neuem Port verbinden: vps:65124 (immer +1 Desktop)
  • Root Login verbieten
    • useradd ichbinnureinuser
    • passwd ichbinnureinuser
    • nano /etc/ssh/sshd_config
    • An das Ende anhängen: AllowUsers "ichbinnureinuser"
    • An das Ende anhängen: UsePAM no
    • PermitRootLogin von yes auf no
    • /etc/init.d/ssh reload
  • SSH Login nur via Zertifikat erlauben
    • Source (Quellrechner):
    • ssh-keygen -b 4096 -t rsa
    • Aufforderungen einfach bestätigen, evtl. Passphrase eingeben
    • Inhalt von /home/ichbinnureinuser/.ssh/id_rsa.pub in Datei authorized_keys der Destination eintragen (im home/.ssh)
    • Destination (VPS):
    • nano /etc/ssh/sshd_config
    • Einträge anpassen zu: PasswordAuthentication yes
    • Einträge anpassen zu: PermitRootLogin without-password
    • /etc/init.d/ssh reload
    • Zuletzt von Quellrechner: ssh ichbinnureinuser@vps
  • Fail2Ban – Einbrecher aussperren
    • sudo apt-get install fail2ban
    • cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
    • nano /etc/fail2ban/jail.local
    • In Kategorie [ssh] den Port ändern (von Tipp Nr. 1)
    • bantime = 600 und maxretry = 3 nach Belieben anpassen
    • /etc/init.d/fail2ban restart
  • UFW – einfache Firewall
    • sudo apt-get install ufw
    • sudo nano /etc/default/ufw
    • Änderung von no auf yesIPV6=yes
    • sudo ufw disable ; sudo ufw enable
    • sudo ufw default deny incoming
    • sudo ufw default allow outgoing
    • Je nach benötigten Diensten: sudo ufw allow SSHport/tcp (kann auch mit sudo ufw delete allow (...) wieder gelöscht werden)
    • sudo ufw disable ; sudo ufw enable
    • sudo ufw status
  • Automatische Updates einrichten
    • sudo apt-get install unattended-upgrades
    • sudo dpkg-reconfigure --priority=low unattended-upgrades
    • nano /etc/apt/apt.conf.d/50unattended-upgrades
    • Falls gewünscht auf true oder false setzen:  Unattended-Upgrade::Automatic-Reboot "true";

Ich behaupte, dass nach diesen Schritten dein VPS nicht von jedem Scriptkiddie geknackt werden kann. Wie immer gilt aber: lange und unterschiedliche Passwörter sind ein Muss und tragen einen wichtigen Teil zur Sicherheit im Internet bei. #staytuned

thetech

thetech

Moin! Ich bin thetech, 24 Jahre alt und IT-Mensch. Meine Beiträge
drehen sich um Technik, Projekte, Workflows und was mir sonst noch so in den Kopf kommt. – Stay hungry, stay foolish!
thetech
Share on FacebookShare on Google+Tweet about this on TwitterPin on PinterestBuffer this pageShare on TumblrEmail this to someone

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.