Anleitung

Einen frischen Debian-VPS in zehn Minuten absichern

Ein frischer VPS erhält seinen ersten SSH-Brute-Force-Versuch innerhalb von Minuten nach dem Start. Dies ist die kurze, meinungsstarke Checkliste, die die einfachen Türen schließt — Schlüssel, Firewall, fail2ban, automatische Updates — bevor Sie irgendetwas anderes installieren.

Aktualisiert: 2026-06-12

VPS deployen Preise ansehen

Fenrir der Wolf hinter einem befestigten Schild

Beobachten Sie das Auth-Log eines brandneuen Servers, und die Hintergrundstrahlung des Internets erscheint sofort: Credential-Stuffing-Bots, die Wörterbücher gegen root abarbeiten, Scanner, die nach vorjährigen Schwachstellen suchen, Crawler, die alles auf Port 80 erfassen. Nichts davon ist persönlich und fast alles ist automatisiert, was die gute Nachricht ist — automatisierte Angriffe werden durch grundlegende Hygiene abgewehrt, angewendet bevor Sie Ihre eigentliche Arbeitslast bereitstellen. Diese Anleitung ist diese Hygiene, komprimiert auf zehn Minuten auf Debian 12/13 (alles überträgt sich auf Ubuntu mit kleinen Anpassungen). Sie ist bewusst kein 4.000-Wörter-Audit-Rahmen: Es sind die Türen, die echte Bots tatsächlich ausprobieren, in der Reihenfolge ihrer Wichtigkeit geschlossen. Führen Sie es auf jedem Server aus, den Sie hier bereitstellen, und widmen Sie sich dann dem VPN, Knoten oder Mailserver, für den Sie hergekommen sind.

Was diese Checkliste bewusst weglässt

Port-Knocking, Kernel-Härtungs-sysctl-Regeln, SELinux/AppArmor-Tuning, Intrusion-Detection-Suiten — alles echte Werkzeuge, keine davon sind Prioritäten am ersten Tag auf einem Einzweck-VPS, und einige lassen sich leicht in Aussperrungen fehlkonfigurieren. Das 80/20 hier ist ehrlich: Schlüssel + keine Passwörter + Default-Deny + automatische Patches stoppt im Wesentlichen alle ungezielten Kompromittierungen. Fügen Sie die schwere Maschinerie hinzu, wenn Ihr Bedrohungsmodell einen Angreifer benennt, der die Grundlagen überwinden würde — und wenn Datenschutz auf Festplattenebene für Ihr Modell wichtig ist, beachten Sie, dass die KVM-Schicht es Ihnen ermöglicht, vollständige Festplattenverschlüsselung im Gast zu betreiben.

Backups sind Teil der Sicherheit

Härtung reduziert die Wahrscheinlichkeit; Backups begrenzen den Schaden. Wöchentliche Snapshots sind in jedem Plan enthalten, aber Snapshots leben beim Server — für alles, das Sie nicht verlieren können, schieben Sie auch verschlüsselte Offsite-Kopien: restic oder borg auf eine zweite Box (ein $3,50-Pup in einer anderen Region ist ein ordentliches Backup-Ziel) kostet nur Minuten einzurichten. Testen Sie einmal eine Wiederherstellung; ein ungetestetes Backup ist eine Hoffnung, kein Plan.

Einmal einloggen, alles aktualisieren
```
apt update && apt full-upgrade -y && reboot
```
Templates sind Snapshots; die Lücke zwischen dem Snapshot-Datum und heute ist genau das Fenster, das Scanner untersuchen. Zuerst patchen, in den neuen Kernel neu starten, dann konfigurieren.

Benutzer erstellen und SSH-Schlüssel installieren

adduser ops && usermod -aG sudo ops
mkdir -p /home/ops/.ssh && nano /home/ops/.ssh/authorized_keys   # paste your ed25519 public key
chmod 700 /home/ops/.ssh && chmod 600 /home/ops/.ssh/authorized_keys && chown -R ops:ops /home/ops/.ssh

Generieren Sie den Schlüssel auf Ihrem lokalen Gerät, falls Sie noch keinen haben: ssh-keygen -t ed25519. Testen Sie ssh ops@your-ip in einem zweiten Terminal, bevor Sie fortfahren.

sshd absichern
Bearbeiten Sie /etc/ssh/sshd_config.d/hardening.conf:
```
PermitRootLogin no
PasswordAuthentication no
KbdInteractiveAuthentication no
MaxAuthTries 3
AllowUsers ops
```
Dann systemctl restart ssh — nachdem Sie bestätigt haben, dass Ihre schlüsselbasierte Sitzung funktioniert. Passwort-Raten endet hier: Es gibt kein Passwort zu erraten. Den Port auf etwas Nichtstandard zu verlegen reduziert Log-Lärm, ist aber kosmetisch, keine Sicherheit; tun Sie es für Ordentlichkeit, wenn Sie mögen.
Eine Default-Deny-Firewall einrichten (nftables)
Debians native Firewall, minimales Regelwerk in /etc/nftables.conf:
```
table inet filter {
  chain input {
    type filter hook input priority 0; policy drop;
    ct state established,related accept
    iif lo accept
    tcp dport 22 accept
    icmp type echo-request limit rate 5/second accept
    icmpv6 type { echo-request, nd-neighbor-solicit, nd-neighbor-advert, nd-router-advert } accept
  }
}
```
systemctl enable --now nftables. Öffnen Sie weitere Ports nur, wenn Sie die Dienste bereitstellen, die sie benötigen — die VPN-Anleitung öffnet 51820/udp, die Mail-Anleitung 25/465/993 und so weiter. Default-Deny bedeutet, dass ein vergessener Test-Daemon unerreichbar statt eine Sicherheitslücke ist.
fail2ban für den verbleibenden Lärm hinzufügen
```
apt install -y fail2ban
printf "[sshd]
enabled = true
maxretry = 4
bantime = 1h
" > /etc/fail2ban/jail.d/ssh.local
systemctl enable --now fail2ban
```
Da Passwörter bereits deaktiviert sind, ist dies Defense-in-Depth plus Log-Hygiene — Wiederholungstäter werden an der Firewall blockiert, anstatt Ihr Auth-Log zu füllen.
Automatische Sicherheitsupdates aktivieren
```
apt install -y unattended-upgrades
dpkg-reconfigure -plow unattended-upgrades
```
Das Sicherheitsteam von Debian patcht jetzt Ihren Server, während Sie schlafen. Die effektivste Einzelzeile auf dieser Seite gemessen pro Tastendruck: Die meisten echten Kompromittierungen nutzen Patches aus, die seit Monaten existieren.
Zweiminütiger Überprüfungsdurchgang
Bestätigen Sie die Sicherheitslage von außen:
```
ssh root@your-ip          # must be refused
nmap -p- your-ip          # only 22 (and your service ports) open
last -a; journalctl -u ssh -n 50   # familiarise yourself with normal
```
Fügen Sie optional TOTP 2FA für Ihr VPSCrypto-Konto selbst hinzu — das Panel kann den Server neu erstellen oder neu abbilden, daher verdient es die gleiche Sorgfalt wie Root.

FAQ

Häufige Fragen

Sollte ich den SSH-Port ändern?

Es ist Log-Lärmkontrolle, keine Sicherheit — Scanner finden Nicht-Standard-Ports in Sekunden mit masscan. Tun Sie es, wenn ruhige Logs Ihnen helfen, echte Anomalien zu erkennen; zählen Sie es nie als Sicherheitsschicht. Die eigentlichen Schutzmaßnahmen sind Nur-Schlüssel-Authentifizierung und MaxAuthTries.

Brauche ich fail2ban, wenn Passwörter deaktiviert sind?

Streng genommen nicht für SSH — es gibt nichts zu Brute-Forcen. Es bleibt auf der Liste, weil es auch andere Dienste abdeckt, die Sie später hinzufügen könnten (Mail, Panels), und die Logs lesbar hält. Überspringen Sie es auf einer minimalistischen Box, wenn Sie es vorziehen.

Ist eine VPS-Firewall notwendig, wenn der Anbieter DDoS-Schutz hat?

Sie lösen unterschiedliche Probleme. DDoS-Mitigation vorgelagert absorbiert Fluten; Ihre nftables-Policy kontrolliert, welche Dienste überhaupt erreichbar sind. Default-Deny betrifft den Daemon, den Sie vergessen haben, nicht Gigabits.

Was ist mit Ubuntu statt Debian?

Alles hier gilt; Ubuntu liefert ufw als benutzerfreundlicheres Frontend (ufw default deny incoming; ufw allow 22/tcp; ufw enable) und aktiviert unattended-upgrades standardmäßig bei neueren Versionen. Die sshd-Härtung ist identisch.

Wie komme ich wieder rein, wenn ich mich ausgesperrt habe?

Verwenden Sie den Konsolenzugang in Ihrem Kundenbereich — er ist unabhängig von sshd, sodass Sie eine fehlerhafte Konfiguration beheben oder einen Snapshot wiederherstellen können. Das ist auch der Grund, warum Sie die neue SSH-Konfiguration in einer zweiten Sitzung testen, bevor Sie die erste schließen.

Verwandt

Weiter entdecken.

Offshore-VPS in rund einer Minute bereitstellen

No-KYC, Krypto-Zahlung, komplett NVMe. Tarif wählen, mit Monero oder einem anderen großen Coin zahlen — Root in rund 60 Sekunden.

VPS deployen Deploy API