Linux Server absichern — SSH, Firewall & Fail2ban

Warum Server-Härtung Pflicht ist

Ein frisch aufgesetzter Server wird innerhalb von Minuten von Bots gescannt und auf Standard-Logins getestet. Wer nichts absichert, hat schnell ungebetene Gäste. Die gute Nachricht: Mit wenigen Schritten machst du es Angreifern sehr schwer.

1. SSH härten

Der SSH-Zugang ist das wichtigste Tor. In der /etc/ssh/sshd_config:

• Root-Login deaktivieren: PermitRootLogin no — lege vorher einen sudo-fähigen Benutzer an.
• Passwort-Login abschalten und nur SSH-Keys erlauben: PasswordAuthentication no.
• Optional einen anderen Port wählen — reduziert Bot-Lärm, ersetzt aber keine echte Härtung.

Mehr dazu in unserem Guide zu SSH-Keys statt Passwort.

2. Firewall mit UFW

UFW (Uncomplicated Firewall) ist die einfachste Lösung auf Ubuntu/Debian:

sudo apt install ufw
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 22/tcp      # SSH
sudo ufw allow 80,443/tcp  # Web
sudo ufw enable

Standard: alles eingehende blockieren, nur gezielt öffnen. Was du nicht brauchst, bleibt zu.

3. Fail2ban gegen Brute-Force

Fail2ban beobachtet Logs und sperrt IPs, die zu oft falsche Logins versuchen:

sudo apt install fail2ban
sudo systemctl enable --now fail2ban

Standardmäßig schützt es bereits SSH. Du kannst Jails für Nginx, Mail oder andere Dienste ergänzen.

4. Automatische Sicherheitsupdates

Ungepatchte Software ist die häufigste Einfallstür. Aktiviere automatische Security-Updates:

sudo apt install unattended-upgrades
sudo dpkg-reconfigure -plow unattended-upgrades

5. Weitere Maßnahmen

• Keine unnötigen Dienste: was nicht läuft, kann nicht angegriffen werden.
• Starke Passwörter überall, wo Passwörter nötig sind.
• Backups: selbst der sicherste Server kann ausfallen — sichere regelmäßig extern.
• Logs prüfen: journalctl und /var/log/auth.log verraten verdächtige Aktivität.

vServer bei Nytrix

Auf jedem Nytrix-vServer hast du vollen Root-Zugriff, um diese Härtung umzusetzen. DDoS-Schutz ist bei allen Tarifen inklusive — den Rest der Absicherung hast du mit den Schritten oben in 15 Minuten erledigt. vServer starten ab 1,99 € im No-IP-Tarif.