Eine Standard-Linux-Installation ist bequem, nicht sicher. Beim Linux Server Hardening geht es darum, die Angriffsfläche eines Servers zu verkleinern und seine Konfiguration so zu straffen, dass die unvermeidlichen Scans aus dem Internet nichts leicht Ausnutzbares finden. Dieser Leitfaden behandelt die Härtungsschritte, die 2026 am wichtigsten sind, in einer sinnvollen Reihenfolge nach Priorität.
TL;DR
- SSH ist Ihre größte exponierte Angriffsfläche: Verwenden Sie schlüsselbasierte Authentifizierung, deaktivieren Sie den Root-Login und Passwörter und begrenzen Sie die Verbindungsrate
- Betreiben Sie eine Firewall, die standardmäßig alles verweigert, und schalten Sie jeden Dienst und Port ab, den Sie nicht benötigen
- Halten Sie das System automatisch gepatcht und wenden Sie Kernel- und Kontenhärtung an
- Nutzen Sie SELinux oder AppArmor, aktivieren Sie Audit-Logging und messen Sie sich am CIS Benchmark für Ihre Distribution
1. SSH absichern
SSH ist die Art, wie Sie den Server administrieren, und wie Angreifer versuchen einzudringen. Härten Sie es zuerst.
- Verwenden Sie schlüsselbasierte Authentifizierung und deaktivieren Sie die Passwort-Authentifizierung vollständig (
PasswordAuthentication no). - Deaktivieren Sie den direkten Root-Login (
PermitRootLogin no); melden Sie sich als normaler Benutzer an und verwenden Siesudo. - Schränken Sie ein, welche Benutzer sich per SSH anmelden dürfen.
- Begrenzen und drosseln Sie wiederholte Fehlversuche (zum Beispiel mit
fail2ban), um Brute-Force-Angriffe abzuschwächen. - Halten Sie SSH auf einer gepflegten Version und deaktivieren Sie schwache Chiffren und veraltete Protokolle.
2. Eine standardmäßig verweigernde Firewall betreiben
- Konfigurieren Sie die Firewall (
nftables,ufw,firewalldoder CSF) so, dass sie standardmäßig alles verweigert und nur die Ports zulässt, die Sie tatsächlich bereitstellen. - Legen Sie das Minimum offen: typischerweise SSH (eingeschränkt), HTTP und HTTPS für einen Webserver, und sonst nichts.
- Beschränken Sie Verwaltungsports nach Möglichkeit auf bekannte Quelladressen oder ein VPN.
3. Die Angriffsfläche minimieren
- Deinstallieren oder deaktivieren Sie Dienste und Daemons, die Sie nicht nutzen. Jeder lauschende Dienst ist ein potenzieller Einstiegspunkt.
- Prüfen Sie offene Ports (
ss -tulpn) und bestätigen Sie, dass jeder davon beabsichtigt ist. - Entfernen Sie unnötige Pakete und Compiler von Produktionshosts.
4. Das System gepatcht halten
- Aktivieren Sie automatische Sicherheitsupdates (
unattended-upgradesunter Debian/Ubuntu,dnf-automaticauf Systemen der RHEL-Familie). - Verfolgen Sie die End-of-Life-Termine Ihrer Distribution und aktualisieren Sie, bevor der Support endet. Ein nicht unterstütztes Betriebssystem zu betreiben ist ein dauerhaftes Risiko.
5. Konten und Zugriff härten
- Erzwingen Sie starke Passwort- und Kontenrichtlinien und entfernen Sie ungenutzte Konten.
- Verwenden Sie
sudomit minimalen Rechten statt eines gemeinsamen Root-Zugriffs, und protokollieren Sie die sudo-Nutzung. - Setzen Sie sinnvolle
umask-Standardwerte und sperren Sie die Berechtigungen für sensible Dateien. - Erwägen Sie eine Zwei-Faktor-Authentifizierung für administrative Zugriffe.
6. Kernel- und Netzwerkhärtung anwenden
- Passen Sie
sysctl-Einstellungen an, um Risiken auf Netzwerkebene zu reduzieren (zum Beispiel durch Deaktivieren von IP Source Routing und ICMP-Redirects sowie Aktivieren der Reverse-Path-Filterung). - Beschränken Sie den Zugriff auf Kernel-Logs und -Pointer und aktivieren Sie verfügbare Exploit-Mitigationen.
- Deaktivieren Sie ungenutzte Kernel-Module und Dateisysteme.
7. Mandatory Access Control aktivieren
- Halten Sie SELinux (RHEL-Familie) oder AppArmor (Debian/Ubuntu) aktiviert und im Enforcing-Modus.
- Widerstehen Sie der Versuchung, es zu deaktivieren, um “Dinge zum Laufen zu bringen”; passen Sie stattdessen die Policy an oder schreiben Sie eine neue. MAC begrenzt den Schaden, wenn ein Dienst kompromittiert wird.
8. Logging, Auditing und Dateiintegrität
- Aktivieren Sie den Linux-Audit-Daemon (
auditd), um sicherheitsrelevante Ereignisse aufzuzeichnen. - Zentralisieren Sie Logs außerhalb des Hosts, damit ein Angreifer sie nicht einfach löschen kann.
- Setzen Sie eine Überwachung der Dateiintegrität ein (zum Beispiel AIDE), um unerwartete Änderungen an Systemdateien zu erkennen.
- Prüfen Sie Logs regelmäßig oder leiten Sie sie in Monitoring und Alerting ein.
9. Am CIS Benchmark messen
Das Center for Internet Security (CIS) veröffentlicht detaillierte, distributionsspezifische Härtungsbenchmarks. Verwenden Sie den CIS Benchmark für Ihr Betriebssystem als objektive Checkliste und Lückenanalyse; er verwandelt “wir glauben, es ist gehärtet” in eine messbare Baseline, gegen die Sie über die Zeit auditieren können.
Die wichtigsten Erkenntnisse
- Beginnen Sie mit SSH: nur Schlüssel, kein Root-Login, Ratenbegrenzung.
- Standardmäßig verweigernde Firewall und Entfernen jedes Dienstes, den Sie nicht benötigen.
- Automatisieren Sie das Patchen und wenden Sie Konten-, Kernel- und MAC-Härtung (SELinux/AppArmor) an.
- Aktivieren Sie Audit-Logging und Dateiintegrität und benchmarken Sie gegen CIS, um die Härtung messbar zu machen.
Professionelles Linux Server Hardening
Einen einzelnen Server von Hand zu härten ist machbar; es über ein ganzes Serverumfeld hinweg konsistent zu tun, ohne Anwendungen zu beschädigen, ist der Punkt, an dem sich Expertise auszahlt. Der Linux Server Hardening Service umfasst SSH-Absicherung, Firewall-Architektur, Kernel-Tuning, SELinux/AppArmor-Policy, CIS-Lückenanalyse und ein Wartungs-Runbook. Für eine firewall-fokussierte Anleitung behandelt der ältere, aber weiterhin nützliche Leitfaden zur Absicherung von Linux-Servern mit CSF ConfigServer Security & Firewall im Detail.
Häufig gestellte Fragen (FAQ)
Was ist der wichtigste Schritt beim Linux-Hardening? Das Absichern von SSH: Verwenden Sie schlüsselbasierte Authentifizierung, deaktivieren Sie den Passwort-Login und den direkten Root-Login und begrenzen Sie die Rate der Fehlversuche. SSH ist der am häufigsten angegriffene Einstiegspunkt auf einem mit dem Internet verbundenen Server.
Sollte ich SELinux oder AppArmor deaktivieren, um ein Problem zu beheben? Nein. Das Deaktivieren von Mandatory Access Control entfernt eine wichtige Schicht der Eindämmung. Passen Sie stattdessen die Policy an oder schreiben Sie eine neue, um das legitime Verhalten zuzulassen. Das Beibehalten des Enforcing-Modus begrenzt den Schaden, wenn ein Dienst kompromittiert wird.
Was ist der CIS Benchmark? Ein detaillierter, distributionsspezifischer Härtungsstandard, der vom Center for Internet Security veröffentlicht wird. Er gibt Ihnen eine objektive Checkliste zum Konfigurieren und zum Auditieren Ihrer Server über die Zeit und macht die Härtung so messbar.
Brauche ich noch eine Firewall, wenn mein Host eine Netzwerk-Firewall hat? Ja, nutzen Sie beide. Eine hostbasierte, standardmäßig verweigernde Firewall schützt den Server auch dann, wenn Netzwerkkontrollen falsch konfiguriert oder umgangen werden, und setzt das Prinzip durch, nur die Ports offenzulegen, die Sie tatsächlich bereitstellen.
Wie oft sollte ein gehärteter Server überprüft werden? Regelmäßig, denn Konfigurationen driften ab und neue Schwachstellen tauchen auf. Überprüfen Sie nach wesentlichen Änderungen und nach einem festen Zeitplan erneut gegen Ihre CIS-Baseline und halten Sie in der Zwischenzeit automatische Sicherheitsupdates aktiviert.
Kommentare