So machst du deinen Debian-Server von Anfang an sicher
Dabei geht es nicht nur um Firewalls oder sichere Passwörter. Auch regelmäßige Updates, die Absicherung des SSH-Zugangs, eine sinnvolle Benutzerverwaltung und die Überwachung des Systems spielen eine entscheidende Rolle.
In diesem Beitrag erfährst du, welche Maßnahmen du unmittelbar nach der Installation von Debian 13 durchführen solltest und warum sie so wichtig sind.
1. System vollständig aktualisieren
Nach der Installation solltest du zunächst alle verfügbaren Updates installieren.
sudo apt update sudo apt full-upgrade sudo apt autoremove --purge
Anschließend empfiehlt sich ein Neustart:
sudo reboot
Damit stellst du sicher, dass alle Sicherheitsupdates aktiv sind.
2. Einen eigenen Benutzer mit sudo-Rechten anlegen
Direkte Arbeit als root sollte vermieden werden. Lege stattdessen einen normalen Benutzer an und gib ihm nur bei Bedarf Administratorrechte.
Benutzer erstellen:
sudo adduser thorsten
Zur sudo-Gruppe hinzufügen:
sudo usermod -aG sudo thorsten
Prüfen:
groups thorsten
3. SSH absichern
Der SSH-Dienst ist häufig das erste Angriffsziel eines Servers.
Folgende Maßnahmen erhöhen die Sicherheit deutlich:
- Public-Key-Authentifizierung verwenden
- sichere Passwörter nutzen
- Root-Login deaktivieren
- Protokollversion 2 verwenden
- Login-Versuche begrenzen
- nur benötigte Benutzer erlauben
Beispiel:
PermitRootLogin no PubkeyAuthentication yes PasswordAuthentication yes MaxAuthTries 3 AllowUsers thorsten
Anschließend:
sudo systemctl restart ssh
Wer weiterhin Passwort-Anmeldungen zulassen möchte, kann diese zusätzlich zu Public Keys aktiviert lassen.
4. Firewall aktivieren
Debian bringt standardmäßig keine aktivierte Firewall mit.
Die meisten Administratoren verwenden UFW.
Installation:
sudo apt install ufw
SSH erlauben:
sudo ufw allow 22/tcp
HTTPS:
sudo ufw allow 443/tcp
HTTP:
sudo ufw allow 80/tcp
Firewall aktivieren:
sudo ufw enable
Status prüfen:
sudo ufw status verbose
5. Fail2Ban installieren
Fail2Ban schützt vor Brute-Force-Angriffen.
Installation:
sudo apt install fail2ban
Dienst starten:
sudo systemctl enable --now fail2ban
Status:
sudo fail2ban-client status
Für SSH genügt häufig bereits die Standardkonfiguration.
6. Automatische Sicherheitsupdates aktivieren
Debian kann Sicherheitsupdates automatisch installieren.
sudo apt install unattended-upgrades
Aktivieren:
sudo dpkg-reconfigure unattended-upgrades
Dadurch werden bekannte Sicherheitslücken zeitnah geschlossen.
7. Nicht benötigte Dienste deaktivieren
Jeder laufende Dienst stellt eine potenzielle Angriffsfläche dar.
Alle Dienste anzeigen:
systemctl list-unit-files --type=service
Nicht benötigte Dienste deaktivieren:
sudo systemctl disable dienstname
Oder komplett stoppen:
sudo systemctl disable --now dienstname
8. Offene Ports kontrollieren
Mit dem Befehl
ss -tulpen
oder
sudo lsof -i
lässt sich schnell erkennen, welche Dienste tatsächlich erreichbar sind.
9. Dateiberechtigungen überprüfen
Zu großzügige Berechtigungen zählen zu den häufigsten Sicherheitsproblemen.
Empfehlungen:
- Skripte nur ausführbar, wenn erforderlich
- Konfigurationsdateien auf Root beschränken
- keine Verzeichnisse mit
777 - sensible Daten nur für notwendige Benutzer freigeben
Berechtigungen prüfen:
ls -la
10. Starke Passwortrichtlinien verwenden
Installiere PAM-Passwortregeln:
sudo apt install libpam-pwquality
Damit lassen sich beispielsweise erzwingen:
- Mindestlänge
- Sonderzeichen
- Groß- und Kleinbuchstaben
- Zahlen
11. Journal regelmäßig kontrollieren
Das Systemjournal liefert wertvolle Hinweise.
Aktuelle Meldungen:
journalctl -xe
Nur SSH:
journalctl -u ssh
Fehler frühzeitig zu erkennen verhindert größere Probleme.
12. Zeit synchronisieren
Eine korrekte Uhrzeit ist wichtig für:
- Zertifikate
- Logdateien
- Backups
- Authentifizierung
Status prüfen:
timedatectl status
13. AppArmor aktiv lassen
Debian nutzt standardmäßig AppArmor.
Status:
sudo aa-status
AppArmor begrenzt die Rechte einzelner Anwendungen und erhöht die Systemsicherheit erheblich.
14. Backups einrichten
Auch der sicherste Server benötigt Backups.
Empfehlenswert sind:
- tägliche Backups
- externe Speicherung
- Versionierung
- regelmäßige Wiederherstellungstests
Ein Backup, das nie getestet wurde, ist im Ernstfall wenig wert.
15. Regelmäßig prüfen
Sicherheit ist kein einmaliger Vorgang.
Kontrolliere regelmäßig:
- installierte Updates
- Benutzerkonten
- SSH-Logs
- Firewall-Regeln
- offene Ports
- Speicherplatz
- laufende Dienste
Weitere sinnvolle Maßnahmen
Je nach Einsatzgebiet können zusätzliche Sicherheitsmaßnahmen sinnvoll sein:
- Secure Boot verwenden
- Festplattenverschlüsselung mit LUKS
- Zwei-Faktor-Authentifizierung für SSH
- VPN für Administrationszugänge
- DNSSEC nutzen
- Monitoring mit Uptime Kuma oder Prometheus
- Audit-Logging mit auditd
- Integritätsprüfung mit AIDE
- Intrusion Detection mit CrowdSec
Checkliste nach der Installation
☐ System aktualisieren
☐ Eigenen Benutzer anlegen
☐ SSH absichern
☐ Firewall aktivieren
☐ Fail2Ban installieren
☐ Automatische Updates aktivieren
☐ Offene Ports prüfen
☐ Dienste kontrollieren
☐ Backups einrichten
☐ AppArmor prüfen
☐ Logs kontrollieren
☐ Zeitsynchronisation prüfen
MaßnahmeErledigtSystem aktualisieren□Eigenen Benutzer anlegen□SSH absichern□Firewall aktivieren□Fail2Ban installieren□Automatische Updates aktivieren□Offene Ports prüfen□Dienste kontrollieren□Backups einrichten□AppArmor prüfen□Logs kontrollieren□Zeitsynchronisation prüfen□
Für einen sicheren Debian-13-Server haben sich folgende Vorgehensweisen bewährt:
- Nur benötigte Software installieren.
- Möglichst wenige Dienste öffentlich erreichbar machen.
- SSH bevorzugt mit Public Keys absichern.
- Root-Anmeldung vermeiden.
- Firewall standardmäßig restriktiv konfigurieren.
- Regelmäßig Sicherheitsupdates einspielen.
- Backups automatisieren und testen.
- Logdateien regelmäßig auswerten.
- Dienste und Benutzerkonten dokumentieren.
- Änderungen an der Serverkonfiguration nachvollziehbar festhalten.
Die Sicherheit eines Debian-13-Servers beginnt unmittelbar nach der Installation. Bereits mit wenigen, gezielten Maßnahmen lässt sich das Risiko vieler typischer Angriffe deutlich reduzieren. Dazu gehören regelmäßige Updates, eine aktivierte Firewall, ein abgesicherter SSH-Zugang, Fail2Ban, automatische Sicherheitsupdates sowie eine konsequente Überwachung des Systems.
Wer diese Grundlagen konsequent umsetzt und seinen Server regelmäßig wartet, schafft eine stabile Basis für einen sicheren und zuverlässigen Betrieb – unabhängig davon, ob es sich um einen Webserver, Datenbankserver oder eine private Self-Hosting-Umgebung handelt.