Linux serverlinux web serverNETWORK ADMINISTRATIONS

Linux vServer richtig absichern | die Grundlagen – IT-Basics

In diesem Video zeige ich euch, wie Ihr in 7 Schritten euren Linux vServer absichern und damit vor Angreifern schützen könnt.

» Erwähnte Videos:
Fail2Ban für Nextcloud einrichten: https://www.youtube.com/watch?v=nqz1IavVMUI
Automatische Update einrichten: https://cc.apfelcast.com/0nq9u

» Mehr Videos auf meiner Patreon Seite: https://patreon.com/apfelcast

» Nützliche OpenSource Software entdecken: https://www.youtube.com/watch?v=VSMLcA9nG28&list=PLLg1WgOBYXOtZOr2ZWmkmnYuRH6ZbjFZ3

» Verwendete Befehle: https://cc.apfelcast.com/reu74

» Meine Website: https://apfelcast.com

Du benötigst Unterstützung bei der Installation oder Konfiguration von OpenSource Software? Ich helfe dir gerne weiter! Schreib mir einfach eine Mail an (Daniel): service@apfelcast.com

» Abschnitte:
00:00 Begrüßung
01:48 SSH Root Login deaktivieren
04:58 SSH Port ändern
07:16 SSH-Key Login
09:45 Nicht genutzte Ports schließen
12:22 Fail2Ban installieren
16:22 IPv6 deaktivieren
17:32 Server & Software Up to Date halten

Mein Equipment:
» Kamera: https://amzn.to/2M4fQuL
» Objektiv: https://amzn.to/2M13bsA
» Ton: https://amzn.to/2M1EBHX
» Recorder: https://amzn.to/2QhsnJC
» Beleuchtung: https://amzn.to/2JxF96e

Hinweis:
Alle Links beginnend mit „https://amzn.to“ sind Affiliate Links. Wenn du über einen dieser Links ein Produkt kaufst, bekomme ich einen kleinen Anteil des Kaufpreises gutgeschrieben.

source

by ApfelCast

linux web server

19 thoughts on “Linux vServer richtig absichern | die Grundlagen – IT-Basics

  • Vielen Dank. Das hat mir sehr weitergeholfen <3

  • Wie richtet man das bei Windows ein mit dem SSH Key? Hier wurde es ja von einem Mac gezeigt.

  • in /etc/ssh/sshd_config sollte man auch den Password Login deaktivieren wenn man Pubkey Auth nutzt, da ssh sonst auf Passwort Login zurückfällt wenn keine id_rsa (Private Key) angegeben wird. Und Angreifer haben eine solche ja eh nicht. Ganz wichtig!

  • Habe gute Erfahrungen mit firewalld gemacht (unterstützt nativ nftables) und portknocking mit knockd um den SSH Port zu öffnen. Docker kommt auch mittlerweile mit nft klar weil die alten iptable Kommandos transparent nach nft übersetzt werden.

    Der Grund warum IPv6 deaktiviert werden sollte erschließt sich mir nicht. Gerade vor dem Hintergrund, dass IPv6 ja immer mehr IPv4 ablöst. Hetzner bietet ja mittlerweile sogar IPv6-only VPS an.

  • Die UFW ist zwar eine feine Sache, aber bei Docker hat sie keinen Zweck, für Docker sind alle Ports offen, ob UFW aktiviert oder deaktiviert. Das sollte erwähnt sein…

  • Hallo Daniel, hast du eigentlich schonmal darüber nachgedacht einen Discord Server für deine Community zu erstellen.
    Einen Ort wo man sich zu Videos austauschen kann, gegenseitig helfen kann, dich direkt kontaktieren kann, Erfahrungen austauschen und und und

  • Hallo lieber Daniel, ich verfolge selbst schon sehr lange deine Videos.
    Ich finde aber einen SSH Port öffentlich zu schalten sehr fatal.
    Auch wenn es nicht der Default Port ist.
    Hierzu rate ich eigentlich immer zu einer VPN Lösung.
    Ich bin hierzu gespannt was du davon hälst.

  • Ich verstehe nicht wieso alle den Publickey immer in die authotrized_keys kopieren. Ich verweise mal auf die ssh Doku >> ssh-copy-id -i ~/.ssh/mykey user@host. Vom Client zum Server macht das alles automatisch…

  • UFW spricht sich „you ef double-u“.
    Ansonsten wie immer topp! Danke für die Infos und die Mühe!

  • Sehr schön, danke für das Video. Alles wieder super erklärt 🙂

  • Könntest du mal ein Video zu authelia(2fa Dienst) machen und wie man es am besten mit mehreren Apps verbindet?

  • Um ssh abzusichern, sollte man generell ausschließlich auf PublicKey auth setzen und auf Passwort-Auth komplett deaktivieren. Dann kann man auch gerne weiter als "root" arbeiten und braucht keinen zusätzlichen User: wenn der normale user ein sudoer ist, hat er eh quasi root-rechte.
    Den Port zu ändern ist "security through obscurity" und bringt höchstens was gegen bots: ein portscan ist schnell gemacht und SSH meldet sich mit einem eindeutigen SSH header -> neuer Port identifiziert. Wenn man das letzte Quäntchen raus holen will, kann man port-knocking nutzen oder nutzt SSH generell nur über ein VPN.

    PublicKey only + Fail2Ban ist in meinen Augen das einfachste und sinnvollste.

  • Ich habe meinen Linux Server insoweit abgesichert, dass nur aus einer IP Whitelist überhaupt Zugriff per SSH ist.
    So eine Tarpit ist schon toll

  • Danke für das zeigen der ipv6 Deaktivierung. Ipv6 ist nur ein unnötiges Protokoll damit Systemadministratoren mehr Arbeit haben. Einen Mehrwert hat keiner davon

Comments are closed.