Linux Security Administration

Debian 13 absichern: Die wichtigsten Maßnahmen nach der Installation

Ein frisch installiertes Debian-13-System bietet eine solide Grundlage für Server und Workstations. Dennoch ist eine Standardinstallation noch nicht optimal gegen Angriffe abgesichert. Erst durch gezielte Sicherheitsmaßnahmen wird aus einem neu installierten System ein zuverlässiger und robuster Server für den produktiven Einsatz.

4 min Lesezeit
Grafik: Debian 13 sicher konfigurieren – Die wichtigsten Maßnahmen

So machst du deinen Debian-Server von Anfang an sicher

Dabei geht es nicht nur um Firewalls oder sichere Passwörter. Auch regelmäßige Updates, die Absicherung des SSH-Zugangs, eine sinnvolle Benutzerverwaltung und die Überwachung des Systems spielen eine entscheidende Rolle.

In diesem Beitrag erfährst du, welche Maßnahmen du unmittelbar nach der Installation von Debian 13 durchführen solltest und warum sie so wichtig sind.


1. System vollständig aktualisieren

Nach der Installation solltest du zunächst alle verfügbaren Updates installieren.

sudo apt update
sudo apt full-upgrade
sudo apt autoremove --purge

Anschließend empfiehlt sich ein Neustart:

sudo reboot

Damit stellst du sicher, dass alle Sicherheitsupdates aktiv sind.


2. Einen eigenen Benutzer mit sudo-Rechten anlegen

Direkte Arbeit als root sollte vermieden werden. Lege stattdessen einen normalen Benutzer an und gib ihm nur bei Bedarf Administratorrechte.

Benutzer erstellen:

sudo adduser thorsten

Zur sudo-Gruppe hinzufügen:

sudo usermod -aG sudo thorsten

Prüfen:

groups thorsten

3. SSH absichern

Der SSH-Dienst ist häufig das erste Angriffsziel eines Servers.

Folgende Maßnahmen erhöhen die Sicherheit deutlich:

  • Public-Key-Authentifizierung verwenden
  • sichere Passwörter nutzen
  • Root-Login deaktivieren
  • Protokollversion 2 verwenden
  • Login-Versuche begrenzen
  • nur benötigte Benutzer erlauben

Beispiel:

PermitRootLogin no
PubkeyAuthentication yes
PasswordAuthentication yes
MaxAuthTries 3
AllowUsers thorsten

Anschließend:

sudo systemctl restart ssh

Wer weiterhin Passwort-Anmeldungen zulassen möchte, kann diese zusätzlich zu Public Keys aktiviert lassen.


4. Firewall aktivieren

Debian bringt standardmäßig keine aktivierte Firewall mit.

Die meisten Administratoren verwenden UFW.

Installation:

sudo apt install ufw

SSH erlauben:

sudo ufw allow 22/tcp

HTTPS:

sudo ufw allow 443/tcp

HTTP:

sudo ufw allow 80/tcp

Firewall aktivieren:

sudo ufw enable

Status prüfen:

sudo ufw status verbose

5. Fail2Ban installieren

Fail2Ban schützt vor Brute-Force-Angriffen.

Installation:

sudo apt install fail2ban

Dienst starten:

sudo systemctl enable --now fail2ban

Status:

sudo fail2ban-client status

Für SSH genügt häufig bereits die Standardkonfiguration.


6. Automatische Sicherheitsupdates aktivieren

Debian kann Sicherheitsupdates automatisch installieren.

sudo apt install unattended-upgrades

Aktivieren:

sudo dpkg-reconfigure unattended-upgrades

Dadurch werden bekannte Sicherheitslücken zeitnah geschlossen.


7. Nicht benötigte Dienste deaktivieren

Jeder laufende Dienst stellt eine potenzielle Angriffsfläche dar.

Alle Dienste anzeigen:

systemctl list-unit-files --type=service

Nicht benötigte Dienste deaktivieren:

sudo systemctl disable dienstname

Oder komplett stoppen:

sudo systemctl disable --now dienstname

8. Offene Ports kontrollieren

Mit dem Befehl

ss -tulpen

oder

sudo lsof -i

lässt sich schnell erkennen, welche Dienste tatsächlich erreichbar sind.


9. Dateiberechtigungen überprüfen

Zu großzügige Berechtigungen zählen zu den häufigsten Sicherheitsproblemen.

Empfehlungen:

  • Skripte nur ausführbar, wenn erforderlich
  • Konfigurationsdateien auf Root beschränken
  • keine Verzeichnisse mit 777
  • sensible Daten nur für notwendige Benutzer freigeben

Berechtigungen prüfen:

ls -la

10. Starke Passwortrichtlinien verwenden

Installiere PAM-Passwortregeln:

sudo apt install libpam-pwquality

Damit lassen sich beispielsweise erzwingen:

  • Mindestlänge
  • Sonderzeichen
  • Groß- und Kleinbuchstaben
  • Zahlen

11. Journal regelmäßig kontrollieren

Das Systemjournal liefert wertvolle Hinweise.

Aktuelle Meldungen:

journalctl -xe

Nur SSH:

journalctl -u ssh

Fehler frühzeitig zu erkennen verhindert größere Probleme.


12. Zeit synchronisieren

Eine korrekte Uhrzeit ist wichtig für:

  • Zertifikate
  • Logdateien
  • Backups
  • Authentifizierung

Status prüfen:

timedatectl status

13. AppArmor aktiv lassen

Debian nutzt standardmäßig AppArmor.

Status:

sudo aa-status

AppArmor begrenzt die Rechte einzelner Anwendungen und erhöht die Systemsicherheit erheblich.


14. Backups einrichten

Auch der sicherste Server benötigt Backups.

Empfehlenswert sind:

  • tägliche Backups
  • externe Speicherung
  • Versionierung
  • regelmäßige Wiederherstellungstests

Ein Backup, das nie getestet wurde, ist im Ernstfall wenig wert.


15. Regelmäßig prüfen

Sicherheit ist kein einmaliger Vorgang.

Kontrolliere regelmäßig:

  • installierte Updates
  • Benutzerkonten
  • SSH-Logs
  • Firewall-Regeln
  • offene Ports
  • Speicherplatz
  • laufende Dienste

Weitere sinnvolle Maßnahmen

Je nach Einsatzgebiet können zusätzliche Sicherheitsmaßnahmen sinnvoll sein:

  • Secure Boot verwenden
  • Festplattenverschlüsselung mit LUKS
  • Zwei-Faktor-Authentifizierung für SSH
  • VPN für Administrationszugänge
  • DNSSEC nutzen
  • Monitoring mit Uptime Kuma oder Prometheus
  • Audit-Logging mit auditd
  • Integritätsprüfung mit AIDE
  • Intrusion Detection mit CrowdSec

Checkliste nach der Installation

☐ System aktualisieren

☐ Eigenen Benutzer anlegen

☐ SSH absichern

☐ Firewall aktivieren

☐ Fail2Ban installieren

☐ Automatische Updates aktivieren

☐ Offene Ports prüfen

☐ Dienste kontrollieren

☐ Backups einrichten

☐ AppArmor prüfen

☐ Logs kontrollieren

☐ Zeitsynchronisation prüfen

MaßnahmeErledigtSystem aktualisieren□Eigenen Benutzer anlegen□SSH absichern□Firewall aktivieren□Fail2Ban installieren□Automatische Updates aktivieren□Offene Ports prüfen□Dienste kontrollieren□Backups einrichten□AppArmor prüfen□Logs kontrollieren□Zeitsynchronisation prüfen□


Für einen sicheren Debian-13-Server haben sich folgende Vorgehensweisen bewährt:

  • Nur benötigte Software installieren.
  • Möglichst wenige Dienste öffentlich erreichbar machen.
  • SSH bevorzugt mit Public Keys absichern.
  • Root-Anmeldung vermeiden.
  • Firewall standardmäßig restriktiv konfigurieren.
  • Regelmäßig Sicherheitsupdates einspielen.
  • Backups automatisieren und testen.
  • Logdateien regelmäßig auswerten.
  • Dienste und Benutzerkonten dokumentieren.
  • Änderungen an der Serverkonfiguration nachvollziehbar festhalten.


Die Sicherheit eines Debian-13-Servers beginnt unmittelbar nach der Installation. Bereits mit wenigen, gezielten Maßnahmen lässt sich das Risiko vieler typischer Angriffe deutlich reduzieren. Dazu gehören regelmäßige Updates, eine aktivierte Firewall, ein abgesicherter SSH-Zugang, Fail2Ban, automatische Sicherheitsupdates sowie eine konsequente Überwachung des Systems.

Wer diese Grundlagen konsequent umsetzt und seinen Server regelmäßig wartet, schafft eine stabile Basis für einen sicheren und zuverlässigen Betrieb – unabhängig davon, ob es sich um einen Webserver, Datenbankserver oder eine private Self-Hosting-Umgebung handelt.