In diesem Beitrag zeige ich dir aus der Sicht eines Fachinformatikers, wie du Ubuntu 24.04 installierst und anschließend durch gezielte Maßnahmen härtest. Nach Abschluss bist du durch den Einsatz von UFW, Fail2Ban und der Authentifizierung ausschließlich mittels Zertifikat (SSH Public-Key/Cer‑based Login) bestens gegen unerwünschte Zugriffe geschützt.
🔍 Schritt 1️⃣: Ubuntu 24.04 installieren und System aktualisieren
Zunächst solltest du Ubuntu 24.04 auf deinem Server installieren – entweder als physische Maschine oder in einer Virtualisierungsumgebung. Sobald dein System läuft, aktualisiere es, um sicherzustellen, dass alle Sicherheitsupdates eingespielt sind:
sudo apt update
sudo apt upgrade -yStarte anschließend den Server neu, falls dies empfohlen wird:
sudo reboot🔒 Schritt 2️⃣: UFW – die Firewall konfigurieren
UFW (Uncomplicated Firewall) ist ein einfach zu bedienendes Frontend für iptables. Damit kannst du den Netzwerkzugriff auf deinen Server steuern.
1. Standardregeln setzen:
Zunächst sollten eingehende Verbindungen standardmäßig blockiert werden, während ausgehende Verbindungen erlaubt sind:
sudo ufw default deny incoming sudo ufw default allow outgoing2. SSH-Zugriff erlauben:
Damit du deinen Server weiterhin über SSH erreichst, öffne den entsprechenden Port (standardmäßig 22):
sudo ufw allow sshMan sollte jedoch immer die Netze Einschränken von denen man zugreifen darf, wie z.B. hier auf das „192.168.1.0/24“ Netz:
sudo ufw allow from 192.168.1.0/24 to any port 22 proto tcp3. Firewall aktivieren:
Jetzt kannst du die Firewall aktivieren:
sudo ufw enable4. Status überprüfen:
sudo ufw status verbose🛠️ Schritt 3️⃣: Fail2Ban installieren und konfigurieren
Fail2Ban schützt deinen Server vor Brute-Force-Angriffen, indem es wiederholte fehlgeschlagene Anmeldeversuche überwacht und die Angreifer temporär blockiert.
1. Fail2Ban installieren:
sudo apt install fail2ban -y2. Konfiguration anpassen: Erstelle eine lokale Konfigurationsdatei, um die Standardregeln zu überschreiben:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local3. SSH-Absicherung aktivieren: Öffne die Datei /etc/fail2ban/jail.local mit deinem Editor (z. B. vim oder nano):
sudo vi /etc/fail2ban/jail.localSuche nach dem [sshd]-Abschnitt und stelle sicher, dass er wie folgt konfiguriert ist (du kannst auch Anpassungen vornehmen):
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 600Speichere die Datei und beende den Editor mit „Esc“ -> “ :“ -> „wq“ oder bei nano (Strg+O, Enter, Strg+X).
4. Fail2Ban neu starten:
sudo systemctl restart fail2ban5. Status prüfenn:
sudo fail2ban-client status sshd📌 Schritt 4️⃣: Anmeldung ausschließlich mit Zertifikat (SSH Key) einrichten
Die Anmeldung über Zertifikate (Public-Key-Authentifizierung) ist wesentlich sicherer als die Nutzung von Passwörtern.
1. SSH-Schlüssel generieren (auf deinem Client): Auf deinem lokalen Rechner generierst du ein Schlüsselpaar:
ssh-keygen -t ed25519 -C "dein.email@example.com"Folge den Anweisungen und speichere den Schlüssel (standardmäßig unter ~/.ssh/id_ed25519 und ~/.ssh/id_ed25519.pub). Der Verschlüsselungsalgorithmus hier ist ed25519, man könnte auch ecdsa, rsa etc. verwenden
2. Öffentlichen Schlüssel auf den Server kopieren: Nutze ssh-copy-id, um deinen öffentlichen Schlüssel auf den Server zu übertragen:
ssh-copy-id -i ~/.ssh/id_ed25519.pub dein-benutzername@server-ip3. SSH-Konfiguration auf dem Server anpassen: Öffne die SSH-Daemon-Konfigurationsdatei:
vi /etc/ssh/sshd_config Stelle sicher, dass folgende Einstellungen gesetzt sind (füge sie gegebenenfalls ein oder ändere bestehende Zeilen):
# Nur Schlüsselbasierte Authentifizierung erlauben
PubkeyAuthentication yes
PasswordAuthentication no
ChallengeResponseAuthentication no
# Root-Login per Passwort deaktivieren (optional, empfohlen)
PermitRootLogin prohibit-password Speichere die Datei und schließe den Editor. Dazu erneut den Editor mit „Esc“ -> “ :“ -> „wq“ oder bei nano (Strg+O, Enter, Strg+X) abspeichern und beenden.
4. SSH-Dienst neu starten:
sudo systemctl restart sshdNun kann sich der Server nur noch mit einem gültigen Schlüssel anmelden – Passwörter werden nicht mehr akzeptiert.
Bevor ihr eure SSH-Verbindung beendet, prüft noch einmal mit einem zweiten Fenster die Funktionalität, damit ihr euch nicht ausversehen aussperrt !
🔒 Fazit
Mit diesen Maßnahmen hast du Ubuntu 24.04 nicht nur installiert, sondern auch gründlich gehärtet. Durch den Einsatz von UFW schützt du deinen Server bereits an der Netzwerkschnittstelle, Fail2Ban sichert gegen Brute-Force-Angriffe ab, und die ausschließliche Zertifikat-basierte Anmeldung sorgt für eine sehr sichere Authentifizierung.
Diese Kombination aus Firewall, Intrusion Detection und starker Authentifizierung stellt sicher, dass dein Ubuntu-Server optimal gegen Angriffe geschützt ist. Hast du noch Fragen oder weitere Tipps? Teile deine Erfahrungen und Anregungen gern in den Kommentaren!
