Bitte lies Dir den Disclaimer durch, bevor Du eine Anleitung umsetzt...

Haftungsausschluss / Disclaimer

Basissystem – Installation – 6/6

Nachdem das verschlüsselte Basissystem nun booten kann, kümmern wir uns um etwas Fein-Tuning, einen neuen Benutzer und die Firewall…

## 8 ## Grundkonfiguration des Basissystems – SSH absichern und Firewall installieren

Nun verbinden wir uns wieder per SSH auf unseren Server.
Falls wir nicht mehr verbunden sind, melden wir uns als Benutzer „root“ über den Port 55544 an.

Fein-Tuning

Überflüssige Consolen spawns entfernen
debian-baseimage-13-etc-inittab-angepasst
nano /etc/inittab
Von Zeile: 1:2345:respawn:/sbin/getty 38400 tty1
Bis Zeile: 6:23:respawn:/sbin/getty 38400 tty6
auskommentieren.

ipv6 dekativieren
( echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6 )

### besser gleich persistent:
echo "net.ipv6.conf.all.disable_ipv6 = 1" > /etc/sysctl.d/01-disable-ipv6.conf

Zeitzone anpassen
dpkg-reconfigure tzdata
– Europe / Berlin

Locales bauen
debian-baseimage-14-dpkg-reconfigure-localesdebian-baseimage-15-dpkg-reconfigure-locales
dpkg-reconfigure locales
[*] de_DE.UTF-8 UTF-8
Default: de_DE.UTF-8

### Generating locales (this might take a while)…
### de_DE.UTF-8… done
### en_US.UTF-8… done
### Generation complete.
### *** update-locale: Warning: LANGUAGE (en_US:en) is not compatible with LANG (de_DE.UTF-8). Disabling it.

Neuen Benutzer anlegen

### Hier natürlich „Deinen“ Benutzer eintragen. „Bla“ ist hier nur zu Testzwecken gewählt…

adduser bla
– Enter new UNIX password: {…} [Copy / Paste von oben!]
– Retype new UNIX password: {…} [Copy / Paste von oben!]
– Full Name []: BlaBla
### Rest leer lassen und „durchEntern“ :)

Public-Key-Verfahren für neuen Benutzer einrichten
mkdir /home/bla/.ssh
chown -R bla:bla /home/bla
nano /home/bla/.ssh/authorized_keys
### [Copy / Paste „User-Key“ – den „Schloss“-Teil]

chown bla:root /home/bla/.ssh/authorized_keys
chmod 0600 /home/bla/.ssh/authorized_keys

Sudo Befehle mit bla-User ermöglichen
visudo -f /etc/sudoers.d/server
— snip it —
bla ALL=(ALL:ALL) ALL
—————

sshd config ändern
debian-baseimage-16-etc-ssh-sshd_config-angepasst
nano /etc/ssh/sshd_config
– PermitRootLogin no
– PasswordAuthentication no

ssh neu starten
service ssh reload

JETZT ausprobieren, ob Du Dich als bla mit dem Key auch wirklich anmelden kannst! Wenn nicht: Config überprüfen!!!
NICHT weitermachen, wenn der Login nicht geht, sonst hast Du Dich ausgesperrt!

Shorewall aufsetzen und für SSH anpassen

apt-get install shorewall

cd /usr/share/doc/shorewall/examples/one-interface/ && cp interfaces policy rules zones /etc/shorewall/
### Befehl bitte in eine Zeile kopieren…

cd

Shorewall automatisch beim Serverstart hochfahren lassen
debian-baseimage-17-etc-default-shorewall-angepasst
nano /etc/default/shorewall
### startup=1

Logging von gedropten Paketen deaktivieren
debian-baseimage-18-etc-shorewall-policy-original
nano /etc/shorewall/policy
### net / all / drop: Log level entfernen. (Sprich: „info“ löschen…) Sonst knallt uns das LOG voll.

Erste eigene Regel für SSH anlegen
debian-baseimage-19-etc-shorewall-rules-angepasst
nano /etc/shorewall/rules
### Zeile anfügen (für SSH):
— snip it —
# SSH Port aufmachen
ACCEPT net $FW tcp 55544 - - 5/min:8
—————
### WICHTIG: Hier unbedingt DEINEN SSH-Port eintragen! Sonst hast Du Dich ausgesperrt :/

Update-Script anlegen

apt-get install debian-goodies
### Brauchen wir für ‚checkrestart‚ – dieses Script sieht nach, ob wir nach dem Update diverser Bibliotheken irgendwelche Dienste neu starten müssen

nano upup
#!/bin/bash
apt-get update
apt-get upgrade
checkrestart

Script ausführbar machen
chmod 700 upup

System updaten – geht in Zukunft ohne viel Tipperei ;)
./upup

System neu starten
reboot

Server entsperren / über SSH verbinden

  • Erst als „root“ mittels des „rootcrypt“-Keys und des in dropbear eingestellten Ports (55544) zwecks HDD-Entschlüsselung über PW. 15 bis 30 Sekunden warten…
  • Ab jetzt mit dem User „bla“ und seinem ‚bla‘-Key + PW vom Key anmelden – Port 55544

Installation endgültig abgeschlossen!

„And there you have it!“

Du hast jetzt ein Debian-7 Basissystem auf Deinem Server. Verschlüsselt, mit ’sicherem‘ Login und per Firewall abgeschottet. Es dürfte nur noch der SSH-Port offen sein.

Von hier aus kannst Du dann sämtliche Dienste und Programme installieren, die Du noch für Deinen Server brauchst.

„Irgendwann“ kommen dazu sicher auch noch ein paar Tutorials. Versprochen :)

Bis dahin wünsche ich viel Glück mit Deinem Server und hoffe, dass Dir dieses Tutorial bei der Installation geholfen hat ^^

Navigation

Vorheriger Artikel | HOME
Basissystem Begleittext Download (Rechtsklick – „Ziel speichern unter…“)

Anzeige *

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.