Um Linux-Systeme sicherer zu betreiben, sind nach der Installation noch verschiedene Maßnahmen sinnvoll. In diesem Beitrag und dem dazugehörigen Video zeigen wir einige Möglichkeiten dazu, deren Umsetzung oft schnell erledigt ist.
Wir zeigen 10 wichtige Tipps, wie man die Sicherheit von Linux-Systemen verbessern kann.
(Bild: PAOLO - stock.adobe.com)
Wir zeigen in diesem Beitrag verschiedene Möglichkeiten zur Absicherung von Linux-Servern. Neben Zusatzlösungen wir Crowdsec, fail2ban, AppArmor oder Auditd, gibt es verschiedene Möglichkeiten, um Linux-Server relativ unkompliziert abzusichern.
Updates installieren ist ein wichtiger Sicherheitsfaktor
Um Linux sicher zu betreiben, ist zunächst die obligatorische Installation von Updates notwendig. Das erfolgt am Beispiel von Debian/Ubuntu zum Beispiel mit „sudo apt update && sudo apt upgrade“. Darüber hinaus gibt es zahlreiche weitere sinnvolle Möglichkeiten, um einen Linux-Server abzusichern.
10 wichtige Tipps, wie man die Sicherheit von Linux-Systemen verbessern kann, zeigen wir im Video und in der Bildergalerie.
Generell sollten auch auf Linux-Server Firewalls aktiviert werden. Neben der UFW auf Ubuntu-Systemen, lassen sich auch mit Iptables sichere Linux-Server betreiben, ohne UFW zu nutzen. Am Beispiel von UFW erfolgt die Aktivierung auf Ubuntu mit:
sudo ufw enable
Um die sicheren Standard-Regeln zu setzen, reichen folgende Befehle aus:
Das reicht für einen sicheren Betrieb auf Dauer nicht aus. Hier ist es sinnvoll in Zukunft weitere Regeln zu erstellen, um den Server so optimal wie nur möglich abzusichern. Die generelle Aktivierung der Firewall und die Definition der Standard-Regeln sind aber ein erster, wichtiger Schritt.
Neben UFW oder der manuellen Konfiguration von Firewalls, ist es durchaus eine Alternative auf Firehol zu setzen. Dieses Linux-Tool erleichtert die einfachere Konfiguration von IPtables. Mit Firehol arbeitet die firewall „stateful“, also zustandsorientiert. Bei diesem Ansatz setzt Firehol bei entsprechender Konfiguration automatisch Regeln für eingehenden Datenverkehr und für ausgehenden Datenverkehr. Die Installation von Firehol erfolgt mit:
sudo apt install firehol
Die Konfiguration erfolgt über die Datei „firehol.conf“. Starten lässt sich Firehol mit:
sudo /etc/init.d/firehol start
Eine Standard-Konfiguration kann mit dem folgenden Befehl geladen werden:
sudo firehol helpme > /tmp/firehol.conf
CrowdSec verwenden
Wir haben im Beitrag „Windows-Server mit CrowdSec IPS vor Cyberattacken schützen“ beschrieben, wie sich Windows-Server mit dem Community-getriebenen IPS CrowdSec schützen lassen. Dieser Ansatz lässt sich für Linux-Server auf die gleiche Art umsetzen und natürlich auch in Firewalls, zum Beispiel auf OPNsense. Vor allem auf Linux-Servern sollte das IPS-System zumindest überdacht werden. Ist das System über das Internet erreichbar, macht die Integration noch mehr Sinn.
Brute-Force-Angriffe mit fail2bean abwehren
Parallel zu CrowdSec kann es sinnvoll sein fail2ban auf einem Server zu installieren, um Angriffe über das Internet oder Brute-Force-Attacken abzuwehren. Die Installation erfolgt mit „sudo apt-get install fail2ban“. Anschließend erfolgt die Konfiguration über die Datei „/etc/fail2ban/jail.conf“. Eigene Regeln lassen sich wiederum über die Datei „/etc/fail2ban/jail.local“ anlegen.
SSH-Zugänge schützen
Der Zugriff per SSH ist auf vielen Servern zur Remote-Verwaltung notwendig. Dennoch ist es sinnvoll den Dienst so weit wie möglich einzuschränken. Die Konfiguration dazu erfolgt über die Datei „sshd_config“, zum Beispiel mit „sudo nano /etc/ssh/sshd_config“. Hier kann der Remote-Zugriff über Root mit dem Parameter „PermitRootLogin no“ gesetzt werden. Generell sollte die Authentifizierung per SSH mit Schlüsseln erfolgen, nicht mit Benutzername und Kennwort. Das lässt sich über „PasswordAuthentication no“ steuern.
10 wichtige Tipps, wie man die Sicherheit von Linux-Systemen verbessern kann, zeigen wir im Video und in der Bildergalerie.
Mandatory Access Control: AppArmor steuert Zugriffsrechte von Anwendungen
Mit AppArmor lassen sich Berechtigungen für installierte Workloads und Anwendungen steuern. Die Installation implementiert Mandatory Access Control (MAC). AppArmor setzt auf die Linux-Security-Module-Schnittstelle. Das Tool hat die Aufgabe auf höchster Systemebene die Prozesse in Linux zu überwachen und einzuschränken. Die einzelnen Profile dazu lassen sich mit dem Befehl „sudo aa-status“ abfragen. Anpassen lassen sich Profile in der Datei „/etc/apparmor.d/“
System Audit mit Auditd
Auditd ist das Auditing-System des Linux-Kernels. Die Lösung bietet eine Plattform zur Überwachung und Aufzeichnung von Systemaktivitäten. Es ermöglicht Administratoren, detaillierte Audit-Logs zu generieren, die für Sicherheitsüberprüfungen und Compliance-Zwecke zum Einsatz kommen. Die Installation von Auditd erfolgt über den Paketmanager mit „sudo apt-get install auditd“. Nach der Installation ist Auditd standardmäßig aktiviert und beginnt, Systemereignisse zu protokollieren. Die Hauptkonfigurationsdatei befindet sich unter „/etc/audit/auditd.conf“. Hier können Einstellungen wie die Größe und Anzahl der Log-Dateien, die Aufbewahrungsdauer der Logs und das Verhalten bei voller Log-Partition angepasst werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Audit-Regeln werden in der Datei „/etc/audit/audit.rules“ definiert. Diese Regeln bestimmen, welche Aktionen und Ereignisse protokolliert werden. Zum Beispiel können Regeln erstellt werden, um den Zugriff auf wichtige Dateien, Änderungen an Benutzer- und Gruppeninformationen oder den Einsatz bestimmter Systembefehle zu überwachen. Mit Befehlen wie „auditctl -l“ können die aktuellen Regeln angezeigt und mit „auditctl -a“ oder „auditctl -d“ neue Regeln hinzugefügt oder bestehende entfernt werden.
Die generierten Audit-Logs werden unter „/var/log/audit/audit.log“ gespeichert. Zur Analyse dieser Logs kann das Tool ausearch verwendet werden, um spezifische Ereignisse oder Muster zu suchen. Für eine detailliertere Analyse und Berichterstellung kann „aureport“ eingesetzt werden, das eine Übersicht über verschiedene Audit-Ereignisse und -Statistiken bietet.
Regelmäßige Überprüfung von Log-Dateien in Linux-Systemen
Die regelmäßige Überprüfung von Log-Dateien ist ein kritischer Bestandteil der Systemüberwachung und Sicherheit in Linux-Umgebungen. Log-Dateien bieten wertvolle Einblicke in das Systemverhalten und sind oft die ersten Anlaufstellen zur Identifizierung von Sicherheitsvorfällen, Fehlfunktionen und Systemfehlern. Tools wie „logwatch“ und „logcheck“ spielen eine zentrale Rolle in der automatisierten Log-Analyse. Sie scannen regelmäßig die Log-Dateien und generieren Berichte über ungewöhnliche oder verdächtige Aktivitäten. logwatch ist dabei besonders nützlich für detaillierte tägliche Zusammenfassungen, während logcheck speziell darauf ausgelegt ist, Anomalien und potenzielle Sicherheitsverletzungen zu identifizieren. Diese Tools helfen, die große Menge an Log-Daten zu filtern und relevante Informationen hervorzuheben, was eine effiziente Überwachung ermöglicht.
Kernel-Hardening-Tools für erhöhte Sicherheit in Linux-Systemen
Kernel-Hardening-Tools sind entscheidend für die Stärkung der Sicherheit auf der tiefsten Ebene eines Linux-Systems. Diese Tools ergänzen die Standard-Sicherheitsmechanismen des Kernels durch zusätzliche Schutzmaßnahmen gegen verschiedene Arten von Angriffen, insbesondere solche, die auf Schwachstellen im Kernel abzielen.
Zu den prominenten Kernel-Hardening-Tools gehören grsecurity und PAX. Grsecurity ist eine umfassende Sicherheitsverbesserung für den Linux-Kernel, die eine Vielzahl von Schutzmechanismen bietet, darunter Role-Based Access Control (RBAC), erweiterte Adressraum-Layout-Randomisierung (ASLR) und weitere Maßnahmen zur Verhinderung von Buffer-Overflow-Angriffen. PAX hingegen konzentriert sich auf die Prävention von Speicherfehlern und implementiert Techniken wie Non-Executable (NX) Speicher und Address Space Layout Randomization (ASLR), um die Ausnutzung von Sicherheitslücken zu erschweren.
Verschlüsselung von Daten mit LUKS
Die Verschlüsselung von Festplatten ist ein entscheidender Sicherheitsaspekt. Unter Linux ist LUKS (Linux Unified Key Setup) eine bewährte Methode, um sensible Daten auf Festplatten zu schützen. Mit LUKS können ganze Partitionen oder Festplatten verschlüsselt werden. Die Implementierung ist relativ unkompliziert und erfordert die Verwendung von Kryptografie-Tools wie "cryptsetup". Durch die Nutzung von LUKS wird die Verwaltung von Verschlüsselungsschlüsseln erleichtert. Die Einrichtung von LUKS für die Festplattenverschlüsselung erfolgt über sudo cryptsetup luksFormat /dev/sdX. Für die Erstellung von verschlüsselten Containern verwendet man dm-crypt, um sensible Daten sicher zu speichern.
10 wichtige Tipps, wie man die Sicherheit von Linux-Systemen verbessern kann, zeigen wir im Video und in der Bildergalerie.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d1/c3/d1c3ea28cb57ef0c781c3a2ffdb64873/0129392960v2.jpeg "Sicherheitsforschende haben eine Schwachstelle in Google Gemini entdeckt, bei der böswillige Akteure eine unauffällige Payload in eine Kalendereinladung einbetten, die es ihnen ermöglicht, die Datenschutzmaßnahmen zu umgehen und sensible Daten des Nutzers zu stehlen, ohne dass dieser interagieren muss. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/47/ea/47eaea73f1cd6fe1da92eb6934b65745/0129487546v2.jpeg "Apple hat eine kritische Zero-Day-Sicherheitslücke im Dynamic Link Editor geschlossen, die alle unterstützten Apple-Betriebssysteme betrifft und Angreifern ermöglicht, beliebigen Code auszuführen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bd/7b/bd7b5eab48b26e20fc849eb12e1bb6ae/0129167482v1.jpeg "KI-Anwendungen sind im Alltag angekommen. Der steigende Bedarf an Daten rückt Fragen zu Datenschutz, Governance und Vertrauen stärker in den Fokus, zeigt die Cisco-Studie. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/0f/ce/0fce7e5966d735b98a26a524b389bb40/0129086020v1.jpeg "Die beiden Gründer von Zeropoint Lavi Friedman (li.) und Joseph Gertz (re.) setzen auf einen Ansatz, der Netzwerkgrenzen nicht absichert, sondern physisch neu zieht. Keine Pakete rein, keine Daten raus – nur menschliche Interaktion und Pixel. (Bild: Zeropoint)")
:quality(80)/p7i.vogel.de/wcms/14/4d/144dfeb59fa22d4f60c9bc5f94784088/0129483540v1.jpeg "Das Jahr 2026 markiert einen Wendepunkt für die Cybersicherheit und Security-Teams bleibt nicht viel Zeit sich darauf einzustellen. (Bild: © Jss - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/68/4968cfb619f90613cca8ba77511df54d/0129472744v2.jpeg "Das BSI empfiehlt, klassische asymmetrische Verschlüsselungsverfahren bis Ende 2031 nicht mehr zu verwenden, da sie aufgrund der Entwicklungen im Quantencomputing nicht sicher sind, was einen dringenden Umstieg auf hybride Verfahren, die quantensichere Algorithmen integrieren, erforderlich mache. (Bild: Alex - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/cd/dacd0e89cad4438353a1e68ce241ee08/0129347964v1.jpeg "Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis. (Bild: © TommyNa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/55/235504bbda4efcf043fbef7c7acc23d3/0129423267v2.jpeg "Omnichannel-Inboxen verbinden alle Kundenkanäle in einer Plattform, aber ohne Zero-Trust-Architektur wird diese zentrale Schnittstelle zum Einfallstor für Angreifer. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/a0/63a08ef8cf2f357846891924a0c362b5/0129422042v1.jpeg "Active Directory Passwort-Resets explodieren insbesondere bei hybrider Arbeit. Sichere Self-Service-Passwort-Reset-Tools steuern dem entgegen. (Bild: Specops)")
:quality(80)/p7i.vogel.de/wcms/9f/4c/9f4c8b769319bae704bc65017a4ada98/0129424999v2.jpeg "Cyber-Resilienz 2026 bedeutet Handlungsfähigkeit unter laufendem Angriff, aber unkontrollierte Identitäten untergraben genau diese Fähigkeit und machen Systeme unsteuerbar. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/5f/ce/5fceb535aae0ba446c45d422e7c0c740/0129495522v2.jpeg "Kommt der Wunsch nach einer Nachbesserung der DSGVO einer Aufweichung des Datenschutzes gleich? (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/85/eb/85ebcb9d59c789244b0672056a79aa6d/0129519820v2.jpeg "Europas Cybersecurity-Startups erfinden die Abwehr neu: Auf dem Web Summit in Lissabon stellten junge Unternehmen aus Portugal, Deutschland und Estland Lösungen für Post-Quantum-Bedrohungen, souveräne KI und explodierende Cloud-Risiken vor. (Bild: © Bundi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/0b/a3/0ba3ddcd711a5cf0364daccb9f1e8811/0116833790.jpeg "CrowdSec ist für Windows, Linux und auf Firewalls ein mächtiger Dienst, der die Sicherheit deutlich erhöhen kann.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/2c/e7/2ce7778e338084fd742eb685d9f9e743/0116833787.jpeg "CrowdSec auf OPNsense nutzen, um Netzwerke zu schützen.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/79/a3/79a3ddfb188a694153d5d0f669e90f7c/0116833785.jpeg "CrowdSec ist ein Community-getriebenes IPS, das auch für Linux optimal eingesetzt werden kann.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/3b/4d/3b4d20beb9605cb2a17ef8ffc9d4ff5c/0116833788.jpeg "CrowdSec erstellt auch in Windows automatische Firewallregeln.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/03/03/0303ccc7d677075a1b793250917ada59/0129386519v1.jpeg "Das vertraute Admin-Werkzeug Notepad++ wurde zwischen Juni und Dezember 2025 zum Trojanischen Pferd: Die staatliche APT-Gruppe Lotus Blossom kaperte die Update-Infrastruktur für gezielte Spionage, während die Cybercrime-Bande Black Cat parallel gefälschte Download-Seiten streute. (Bild: © Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")