FUTO 07 Ubuntu Server

FUTO 07 Ubuntu Server

In diesem Modul richten Sie einen Ubuntu Server als Grundlage für Ihr selbstverwaltetes IT-Ökosystem ein. Sie lernen die grundlegende Installation, die Konfiguration des SSH-Zugangs und die Absicherung Ihrer Serverumgebung. Nach Abschluss dieses Moduls verfügen Sie über einen funktionsfähigen und abgesicherten Server, den Sie als Basis für weitere Dienste wie Nextcloud, Docker-Container oder eigene Anwendungen nutzen können.

Die praktischen Übungen führen Sie schrittweise durch die essentiellen Konfigurationen, von der Paketverwaltung bis zur Firewall-Einrichtung. Sie erwerben das Wissen, um Ihren Server effizient zu verwalten und gegen gängige Angriffsmethoden abzusichern.

Konzepte und Hintergrund

apt (Advanced Packaging Tool)

Das Paketverwaltungssystem für Debian-basierte Distributionen wie Ubuntu. Ermöglicht die Installation, Aktualisierung und Entfernung von Softwarepaketen mit Abhängigkeitsauflösung.

systemd

Das init- und Systemmanager-System für moderne Linux-Distributionen. Verwaltet alle Systemdienste, Startskripte und Ressourcen durch eine einheitliche Architektur mit Units.

ufw (Uncomplicated Firewall)

Eine vereinfachte Frontend für iptables, das die Konfiguration von Firewall-Regeln ohne tiefes iptables-Wissen ermöglicht. Ideal für die Absicherung von Servern mit klar definierten Regeln.

SSH-Hardening

Die Absicherung des SSH-Zugangs durch Konfigurationsänderungen wie Passwort-Login-Deaktivierung, Schlüsselauthentifizierung, Portänderung und Login-Beschränkungen, um automatisierte Angriffe zu verhindern.

unattended-upgrades

Ein automatisiertes System für Sicherheitsupdates, das kritische Patches ohne manuelle Eingriffe installiert, um die Systemstabilität und Sicherheit zu gewährleisten.

Architektur-Diagramm

flowchart LR
  A[Internet] --> B[Ubuntu Server]
  B --> C[Firewall (ufw)]
  B --> D[SSH-Zugriff]
  B --> E[Anwendungen]

Praktische Schritte

1. Installieren Sie Ubuntu Server 22.04 LTS minimal mit SSH-Server während der Installation. Dies reduziert die Angriffsfläche von Anfang an.
2. Stellen Sie nach dem ersten Login sicher, dass Ihr System aktuell ist:

   sudo apt update && sudo apt upgrade -y

3. Konfigurieren Sie die Firewall mit grundlegenden Regeln:

   sudo ufw default deny incoming
   sudo ufw allow ssh
   sudo ufw enable

4. Installieren und konfigurieren Sie automatische Updates:

   sudo apt install unattended-upgrades
   sudo dpkg-reconfigure -plow unattended-upgrades

5. Erstellen Sie einen dedizierten Benutzer mit sudo-Rechten:

   sudo adduser adminuser
   sudo usermod -aG sudo adminuser

6. Sichern Sie den SSH-Zugang durch Bearbeiten der Konfiguration:

   sudo nano /etc/ssh/sshd_config

   und setzen Sie PasswordAuthentication auf no.
7. Ändern Sie den SSH-Port von 22 auf einen anderen Wert (z.B. 2222) und deaktivieren Sie root-Login:

   sudo nano /etc/ssh/sshd_config

8. Laden Sie die SSH-Konfiguration neu:

   sudo systemctl reload sshd

9. Installieren und konfigurieren Sie fail2ban zur Absicherung gegen Brute-Force-Angriffe:

   sudo apt install fail2ban
   sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

10. Setzen Sie einen sicheren Hostnamen und konfigurieren Sie statische IP-Einstellungen:

    sudo hostnamectl set-hostname server01
    sudo nano /etc/netplan/01-netcfg.yaml

Häufige Fallstricke

Weiterführende Ressourcen

• Ubuntu Server Dokumentation - Offizielle Anleitungen zur Server-Installation und Konfiguration
• Ubuntu SSH Wiki - Umfassende Ressourcen zur SSH-Konfiguration und Absicherung
• UFW Dokumentation - Offizielle Anleitung zur Firewall-Konfiguration
• Securing Debian Manual - Detaillierte Sicherheitsrichtlinien für Debian-basierte Systeme
• Unattended Upgrades GitHub - Quellcode und Konfigurationsbeispiele für automatische Updates

Wissens-Check

Vier Fragen zur Selbstkontrolle. Klicken Sie jede Frage an, um die richtige Antwort und Erklärung zu sehen.

Welches Werkzeug ermöglicht die vereinfachte Konfiguration von Firewall-Regeln ohne tiefes iptables-Wissen?

• A) systemd
• B) ufw
• C) apt
• D) unattended-upgrades

Richtige Antwort: B. ufw (Uncomplicated Firewall) ist eine vereinfachte Frontend für iptables, das die Konfiguration von Firewall-Regeln ohne tiefes iptables-Wissen ermöglicht. systemd ist ein init- und Systemmanager, apt dient der Paketverwaltung und unattended-upgrades automatisiert Sicherheitsupdates.

Welche Maßnahme ist NICTE Teil des SSH-Hardening zur Absicherung des Server-Zugangs?

• A) Deaktivierung des Passwort-Logins
• B) Verwendung von Schlüsselauthentifizierung
• C) Aktivierung des Root-Logins per SSH
• D) Änderung des Standard-SSH-Ports

Richtige Antwort: C. Das Aktivieren des Root-Logins per SSH ist unsicher und widerspricht dem SSH-Hardening. Die anderen Optionen sind bewährte Sicherheitsmaßnahmen: Passwort-Login-Deaktivierung, Schlüsselauthentifizierung und Portänderung reduzieren die Angriffsfläche.

Was ist die Hauptfunktion von systemd in einem Ubuntu Server?

• A) Paketverwaltung und Installation von Software
• B) Verwaltung von Systemdiensten und Startskripten
• C) Konfiguration von Netzwerk-Interfaces
• D) Automatisierte Installation von Sicherheitsupdates

Richtige Antwort: B. systemd ist das init- und Systemmanager-System, das alle Systemdienste, Startskripte und Ressourcen durch eine einheitliche Architektur mit Units verwaltet. Paketverwaltung erfolgt durch apt, Netzwerkkonfiguration erfolgt durch separate Tools und Sicherheitsupdates werden durch unattended-upgrades automatisiert.

Welcher Befehl aktualisiert zuerst die Paketlisten und installiert dann alle verfügbaren Updates automatisch?

• A) sudo apt upgrade
• B) sudo apt update
• C) sudo apt update && sudo apt upgrade -y
• D) sudo apt install --upgrade

Richtige Antwort: C. Der Befehl sudo apt update && sudo apt upgrade -y aktualisiert zuerst die Paketlisten mit apt update und installiert dann alle verfügbaren Updates mit apt upgrade -y. Die Option -y bestätigt alle Installationen automatisch ohne manuelle Eingabe.