Skip to main content

Linux Hardening – Absicherung moderner Serverinfrastrukturen

Einordnung und Zielsetzung

Linux Hardening bezeichnet die systematische Härtung eines Linux-Systems durch Reduktion der Angriffsfläche, Absicherung von Konfigurationen, Einschränkung von Rechten sowie Implementierung präventiver Schutzmechanismen.

In produktiven Umgebungen, insbesondere bei Cloud-Servern, Self-Hosting, Proxmox-VMs, Container-Hosts und DevOps-Plattformen, ist Linux Hardening keine Option, sondern Grundvoraussetzung für Stabilität, Sicherheit und Compliance.

Grundprinzipien des Linux Hardening

  • Minimalprinzip (Least Privilege)
  • Reduktion laufender Dienste
  • Explizite Zugriffskontrolle
  • Aktives Monitoring
  • Nachvollziehbarkeit durch Logs

Basismaßnahmen nach Systeminstallation

System-Updates

Ein ungepatchtes System ist eines der häufigsten Einfallstore.

apt update && apt upgrade -y
apt install unattended-upgrades

Automatische Sicherheitsupdates aktivieren:

dpkg-reconfigure unattended-upgrades

Benutzer- und Rechteverwaltung

Root-Zugriff absichern

  • Direkten Root-Login deaktivieren
  • Administrative Tätigkeiten ausschließlich via sudo
passwd -l root

Sudo korrekt konfigurieren

usermod -aG sudo username

SSH-Hardening

Empfohlene Konfiguration

/etc/ssh/sshd_config
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
AllowUsers adminuser
Port 2222

Nach Änderung:

systemctl restart ssh

Typische Fehler & Behebung

  • Kein Zugriff mehr: SSH-Key vorab testen
  • Firewall blockiert Port: Port explizit freigeben

Firewall-Konfiguration (UFW)

Grundsetup

apt install ufw
ufw default deny incoming
ufw default allow outgoing
ufw allow 2222/tcp
ufw enable

Status prüfen

ufw status verbose

Fail2Ban – Schutz vor Brute-Force

Installation

apt install fail2ban

Basis-Konfiguration

/etc/fail2ban/jail.local
[sshd]
enabled = true
port = 2222
maxretry = 5
bantime = 3600

Service-Reduktion

Aktive Dienste prüfen

systemctl list-unit-files --state=enabled

Nicht benötigte Dienste deaktivieren

systemctl disable servicename
systemctl stop servicename

Dateirechte und Dateisystem-Hardening

Empfohlene Mount-Optionen

  • noexec
  • nosuid
  • nodev

Beispiel /tmp absichern

tmpfs /tmp tmpfs defaults,noexec,nosuid,nodev 0 0

Kernel-Hardening (sysctl)

Wichtige Parameter

/etc/sysctl.conf
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1
kernel.randomize_va_space = 2
sysctl -p

Audit & Logging

Auditd

apt install auditd audispd-plugins

Auditd ermöglicht die Nachverfolgung sicherheitsrelevanter Aktionen auf Systemebene.

Vor- und Nachteile von Linux Hardening

Vorteile

  • Massiv reduzierte Angriffsfläche
  • Erhöhte Systemstabilität
  • Compliance-Fähigkeit

Nachteile

  • Initialer Konfigurationsaufwand
  • Fehlkonfiguration kann Zugriffe blockieren

Typische Fehler in der Praxis

  • Hardening ohne Dokumentation
  • Keine Tests nach Änderungen
  • „Security by Obscurity“

Best Practices bei Venasty Systems

  • Jeder Server folgt einem definierten Hardening-Baseline
  • Änderungen sind versioniert
  • Monitoring ist verpflichtend
  • Regelmäßige Security-Reviews

Linux Hardening ist kein einmaliger Vorgang, sondern ein kontinuierlicher Prozess, der aktiv gepflegt und überprüft werden muss.

Back to top