Server-Härtung: Schutz vor Angriffen mit Fail2Ban, UFW und Pentest
Umfassender Sicherheitsleitfaden, der die Verwendung von Fail2Ban, UFW-Firewall, SSH-Härtung, Ratenbegrenzung und integriertem Pentest-Scanner zur Sicherung Ihres VPS erläutert.
Ein VPS, den Sie im Internet öffnen, wird bereits in der ersten Stunde nach seiner Einrichtung gescannt. Bots scannen automatisch Ports wie 22 (SSH), 80 (HTTP), 443 (HTTPS), 3306 (MySQL) und versuchen, eine Verbindung mit Standardkennwörtern herzustellen. Wenn Sie sich Ihr Protokoll ansehen, werden Sie bereits am ersten Tag Tausende fehlgeschlagener Anmeldeversuche sehen.
In diesem Leitfaden erklären wir die Methoden zur Absicherung Ihres VPS auf Produktionsebene, welche Maßnahmen wichtig sind und warum und wie VDS Panel diese Schichten automatisch installiert.
Verteidigungsschichten
Sicherheit ist kein einzelnes Tool, sondern eine Kombination aus mehreren Ebenen:
- Netzwerkschicht, nicht benötigte Ports mit Firewall (UFW) schließen
- Zugriffsschicht, nur SSH-Schlüssel, verhindert Brute-Force mit Fail2Ban
- Anwendungsschicht, Ratenbegrenzung, CSP, HSTS, CORS-Härtung
- Überwachungsschicht, Protokoll, Sicherheitsprüfpfad, Anomalieerkennung
- Pentest-Ebene, Schwachstellenscan, echte Angriffssimulation
Das Umgehen einer einzelnen Schicht bedeutet nicht die vollständige Übernahme Ihres Servers.
Schicht 1: UFW-Firewall
UFW (Uncomplicated Firewall) ist das benutzerfreundliche Gesicht von iptables. Standardmäßig werden alle eingehenden Verbindungen abgelehnt, nur die von Ihnen zugelassenen Ports werden geöffnet.
P0
Auf alle übrigen Ports (MySQL, PostgreSQL, Redis, Panel-interne Dienste) kann nur von localhost aus zugegriffen werden. VDS Panel richtet diese Konfiguration automatisch ein.
Öffnen Sie keine PostgreSQL 5432- oder MySQL 3306-Ports für die Außenwelt. Es wird aus Gründen wie „für eine Remote-Verbindung“ geöffnet und Bots beginnen sofort mit Brute-Force-Angriffen. Verwenden Sie einen SSH-Tunnel oder VPN für die Fernverwaltung.
Schicht 2: SSH-Härtung
Die Standard-SSH-Einstellungen sind schwach. Grundlegende Vorsichtsmaßnahmen:
- 01Deaktivieren Sie die PasswortanmeldungPasswortAuthentifizierungsnr. in /etc/ssh/sshd_config. Melden Sie sich nur mit SSH-Schlüssel an. Brutale Gewalt wird unmöglich.
- 02Deaktivieren Sie die Root-AnmeldungPermitRootLogin-Nr. Der Angreifer ist gezwungen, den Kontonamen zu erraten, hat aber keine Chance mehr, es mit „root“ zu versuchen.
- 03Port ändernWie 2222 statt 22. Automatisierte Bots scannen 22 und verpassen den alternativen Port. Sicherheit durch Dunkelheit ist ein schwacher, aber wirksamer Lärmschutz.
- 04Verwenden Sie den Ed25519-SchlüsselEd25519 statt RSA 2048. Kürzer, sicherer, schneller. Es wird mit dem Befehl ssh-keygen -t ed25519 generiert.
- 05Aktivieren Sie Fail2BanBei erfolglosen Anmeldeversuchen wird die IP automatisch gesperrt. Kommen wir zu Schicht 3.
Schicht 3: Fail2Ban
Fail2Ban überwacht Protokolldateien und sperrt die IP vorübergehend, wenn es verdächtige Muster erkennt:
- P0 → SSH-Anmeldung fehlgeschlagen
- P1 → HTTP 401/403/429-Wiederholungen
- Protokoll Ihrer benutzerdefinierten App → benutzerdefinierte Jail-Definitionen
Standardverhalten: 10-minütige Sperre für 3 fehlgeschlagene Anmeldeversuche. Wenn er es häufiger versucht, verlängert sich die Sperrfrist.
P1
VDS Panel konfiguriert Fail2Ban automatisch mit benutzerdefinierten Jails: SSH, Nginx-Authentifizierung, dedizierte Regeln für P0- und P1-Endpunkte.
Schicht 4: Anwendungssicherheit
Schutzmaßnahmen auf Betriebssystemebene reichen nicht aus; In Ihrer Bewerbung:
Ratenbegrenzung
Anforderungslimit pro Endpunkt:
- Login-Endpunkt: 10 Anfragen / 15 Minuten / IP
- Öffentliche API: 100 Anfragen/Minute/IP
- Admin-API: 500 Anfragen/Minute/Benutzer
Im Falle einer Überschreitung wird 429 Too Many Requests zurückgegeben. Das Panel wendet zweischichtige Ratenbegrenzungen auf Nginx- und Backend-Ebene an.
Sicherheitsheader
P2
Diese schalten gängige Angriffsvektoren wie XSS, Clickjacking und MIME-Sniffing aus. VDS Panel sendet diese Header standardmäßig für jede Domäne.
JWT-Sicherheit
- Strenge Signaturüberprüfung gegen P0-Angriff
- Token verfallen in 24 Stunden
- Token wird beim Abmelden auf die schwarze Liste gesetzt
- Zwangsausstieg mit P1
Schicht 5: Pentest-Scanner
Zusätzlich zu statischen Konfigurationsscans enthält VDS Panel einen Pentest-Scanner mit über 140 Tests:
- SSL/TLS: schwache Verschlüsselungssuite, Heartbleed, abgelaufenes Zertifikat
- HTTP-Header: fehlende HSTS-, CSP- und X-Frame-Optionen
- Auth: JWT alg=none, Anmeldung ohne Brute-Force-Schutz
- SQL-Injection-Vektoren
- XSS-Payloads (Roheingabekontrolle)
- Pfaddurchquerung und Verzeichnisauflistung
- Bekannte CVEs (basierend auf installierten Paketversionen)
- Standardanmeldeinformationen (Administrator/Administratorversuche)
- Offene Ports (unerwarteter Dienst)
Der Scanner wird wöchentlich automatisch für jede gefundene Schwachstelle ausgeführt:
- Führt in das Panel-Ereignisprotokoll ein
- HTML-Bericht wird generiert
- Warnung an den Administrator, wenn eine kritische Sicherheitslücke vorliegt
Sicherheitsüberwachungsprotokoll
Das Panel protokolliert permanent alle kritischen Vorgänge:
- Anmelden, abmelden, fehlgeschlagene Anmeldung
- Admin-Benutzer hinzufügen/löschen
- Erstellen eines neuen Projekts
- Erneuerung des SSL-Zertifikats
- Änderung der Panel-Einstellungen
Jeder Datensatz enthält IP, Benutzeragent und Zeitstempel. Wenn eine forensische Untersuchung erforderlich ist, steht die gesamte Kette zur Verfügung.
Automatisches Update
Mit dem Ubuntu P0-Paket werden Sicherheitsupdates automatisch installiert:
P3
VDS Panel aktiviert dies automatisch während der Installation. Kernel- und kritische Sicherheitspatches werden installiert, während das Panel läuft, und bei Bedarf ist ein automatischer Neustart geplant.
Abschluss
Serversicherheit wird nicht durch eine einzige „Wunderwaffe“ bereitgestellt. Layer-by-Layer-Verteidigung, Firewall, SSH-Härtung, Fail2Ban, Ratenbegrenzung, Sicherheitsheader, Audit-Protokoll und regelmäßige Pentests arbeiten alle zusammen.
VDS Panel reduziert die Stunden, die Sie für die manuelle Installation dieser Ebenen benötigen, auf Minuten. Fail2Ban-Gefängnisse, UFW-Regeln, Nginx-Sicherheitsheader, über 140 Pentesttests; alles standardmäßig installiert und ständig überwacht.
Für Einzelheiten zu Sicherheitsfunktionen können Sie die Homepage besuchen oder sich über das Kontaktformular für Ihr spezifisches Szenario beraten lassen.
Diese könnten Ihnen auch gefallen
Automatisches SSL-Zertifikat: Let's Encrypt Panel-Integration
Das Erhalten, Erneuern und Verwalten eines SSL-Zertifikats für mehr als eine Domain sind alles manuelle Aufgaben. VDS Panel automatisiert diesen Prozess vollständig mit der Let's Encrypt-Integration.
Beginnen Sie mit dem LesenVPS-Backup-Strategie und Notfallwiederherstellung: 3-2-1-Regel
Wie schützen Sie Ihren Server in Katastrophenszenarien? Automatische verschlüsselte Sicherung, 3-2-1-Sicherungsregel, Test- und Wiederherstellungsprozesse, RTO- und RPO-Ziele.
Beginnen Sie mit dem LesenMöchten Sie es auf Ihrem eigenen Server ausprobieren?
Kontaktieren Sie uns über das Kontaktformular und lassen Sie uns einen Lizenz- und Installationsplan erstellen, der für Ihr Nutzungsszenario geeignet ist.