Deshalb müssen grundlegende Sicherheitseinstellungen vorgenommen werden, bevor Sie nach dem Erwerb eines VPS eine Website einrichten. Dieser Leitfaden beschreibt Schritt für Schritt die ersten wichtigen Sicherheitsmaßnahmen nach der Beschaffung eines neuen Linux-VPS.
Was nach dem Kauf eines VPS zuerst zu tun ist (Checkliste)
| Schritt | Aufgabe |
|---|---|
| 1 | Root-Passwort ändern |
| 2 | Neuen Benutzer anlegen |
| 3 | SSH-Key-Login einrichten |
| 4 | Root-Login deaktivieren |
| 5 | SSH-Port ändern |
| 6 | Firewall installieren |
| 7 | Fail2Ban installieren |
| 8 | Automatische Updates aktivieren |
| 9 | Swap-Speicher anlegen |
| 10 | Zeitzone konfigurieren |
| 11 | Monitoring-Tools installieren |
| 12 | Backup konfigurieren |
Diese Schritte dauern insgesamt etwa 30–40 Minuten, sind aber für die Server-Sicherheit unerlässlich.
1. Root-Passwort ändern
passwdGrund:
- VPS-IP-Adressen werden ständig von Bots gescannt
- Der Benutzername root ist bereits bekannt
- Angreifer müssen nur das Passwort erraten
2. Neuen Benutzer anlegen
adduser kullaniciadi
usermod -aG sudo kullaniciadiSich regelmäßig als root anzumelden ist nicht sicher.
3. SSH-Key-Login einrichten
ssh-keygen
ssh-copy-id kullaniciadi@SERVER_IPDer SSH-Key-Login ist deutlich sicherer als die Passwort-Anmeldung.
4. Root-Login deaktivieren
nano /etc/ssh/sshd_configFolgende Zeile ändern:
PermitRootLogin nosystemctl restart sshd5. SSH-Port ändern
nano /etc/ssh/sshd_configPort 2222systemctl restart sshdNeue Verbindung:
ssh kullaniciadi@SERVER_IP -p 22226. Firewall einrichten (UFW)
apt update
apt install ufw
ufw allow 2222/tcp
ufw allow 80/tcp
ufw allow 443/tcp
ufw enable7. Fail2Ban installieren
apt install fail2ban
systemctl enable fail2ban
systemctl start fail2banFail2Ban blockiert Brute-Force-Angriffe.
8. Automatische Sicherheitsupdates
apt install unattended-upgrades
dpkg-reconfigure unattended-upgrades9. Swap-Speicher anlegen
fallocate -l 2G /swapfile
chmod 600 /swapfile
mkswap /swapfile
swapon /swapfile
echo '/swapfile none swap sw 0 0' | sudo tee -a /etc/fstab10. Server-Zeitzone konfigurieren
timedatectl set-timezone Europe/IstanbulDies ist wichtig für Protokolleinträge.
11. Monitoring-Tools
apt install htop
apt install net-tools
htop12. Backup konfigurieren
Einen Server ohne Backups zu betreiben ist ein großes Risiko. Es sollten täglich Backups erstellt werden. Die Sicherung kann mit cron automatisiert werden.
crontab -eBeispiel für einen täglichen Backup-Cron:
0 3 * * * tar -czf /backup/site-$(date +\%F).tar.gz /var/wwwCheckliste für die sichere VPS-Einrichtung
| Einstellung | Erledigt? |
|---|---|
| Root-Passwort geändert | ☐ |
| Neuer Benutzer angelegt | ☐ |
| SSH-Key konfiguriert | ☐ |
| Root-Login deaktiviert | ☐ |
| SSH-Port geändert | ☐ |
| Firewall installiert | ☐ |
| Fail2Ban installiert | ☐ |
| Automatische Updates aktiviert | ☐ |
| Swap angelegt | ☐ |
| Monitoring installiert | ☐ |
| Backup konfiguriert | ☐ |
Fazit
Der größte Fehler nach dem Erwerb eines neuen VPS ist es, den Server ohne jegliche Sicherheitskonfiguration im Internet zu betreiben.
Ein VPS ohne Sicherheitshärtung:
- Kann gehackt werden
- Kann als Spam-Bot missbraucht werden
- Kann auf eine Blacklist gesetzt werden
- Kann alle Daten verlieren
Deshalb ist der erste Schritt nach der VPS-Einrichtung die Durchführung der grundlegenden Security-Hardening-Maßnahmen.