Ubuntu 24.04 Server absichern: Best Practices 2026
Wenn du einen neuen ubuntu 24.04 server absichern möchtest, stehst du vor einer der wichtigsten Aufgaben für IT-Administratoren im Jahr 2026. Die Bedrohungslandschaft im Internet hat sich massiv weiterentwickelt, und Standard-Setups sind oftmals binnen Minuten Ziel automatisierter Botnetze. In diesem umfassenden Guide erfährst du detailliert, wie du deinen ubuntu 24.04 server absichern und gegen moderne Bedrohungen härten kannst – angefangen bei SSH über die UFW-Firewall bis hin zu AppArmor und automatisierten Updates. Unser Ziel ist absolute Linux Server Sicherheit für deine sensiblen Daten und Anwendungen.
Besonders wenn du Cloud-Dienste wie einen Nextcloud Server installieren und der Öffentlichkeit zugänglich machen willst, ist eine solide Basis-Sicherheit unerlässlich. Lass uns direkt starten und deinen Server in eine Festung verwandeln.
Inhalt
Warum du 2026 deinen ubuntu 24.04 server absichern musst
Im Jahr 2026 reicht es nicht mehr aus, einfach ein starkes Passwort zu vergeben. Automatisierte Angriffe, Zero-Day-Exploits und gezielte Ransomware-Kampagnen suchen ununterbrochen nach Schwachstellen in öffentlich erreichbaren Linux-Maschinen. Wenn wir einen ubuntu 24.04 server absichern, bauen wir eine “Defense-in-Depth”-Architektur auf. Das bedeutet: Wenn eine Sicherheitsschicht versagt, fängt die nächste den Angriff ab.
Ein Vergleich: Während man sich früher bei Distributionen fragte, was ist CentOS und welche Vorteile es für Enterprise-Sicherheit bietet, hat sich Ubuntu mit der Version 24.04 LTS als absoluter Standard etabliert. Offizielle Sicherheitsrichtlinien, wie die CIS Benchmarks für Ubuntu Linux, zeigen, dass Canonical große Fortschritte gemacht hat. Dennoch liegt die Verantwortung beim Administrator, das System aktiv zu härten.
Grundlagen: System aktualisieren und HWE Kernel 6.17 installieren
Die wichtigste Grundregel beim ubuntu 24.04 server absichern lautet: Halte dein System aktuell! Bevor wir spezifische Dienste konfigurieren, müssen wir sicherstellen, dass alle Pakete auf dem neuesten Stand sind und wir einen modernen Kernel nutzen.
1
2 sudo apt update && sudo apt upgrade -y
sudo apt dist-upgrade -y
Für maximale Hardware-Unterstützung und aktuelle Sicherheits-Patches im Jahr 2026 empfiehlt sich die Installation des Hardware Enablement (HWE) Kernels. In Ubuntu 24.04 (Noble Numbat) nutzen wir hierfür den Kernel 6.17 (oder aktueller):
1
2 sudo apt install --install-recommends linux-generic-hwe-24.04
sudo reboot
Benutzerkonten absichern (Root deaktivieren, Sudo konfigurieren)
Ein grundlegender Schritt, wenn wir einen ubuntu 24.04 server absichern, ist die strikte Trennung von Administrator- und Benutzerrechten. Der direkte Login als
1 | root |
sollte ausnahmslos deaktiviert sein.
Erstelle stattdessen einen dedizierten Administrations-User (ersetze “adminuser” durch deinen Wunschnamen):
1
2 sudo adduser adminuser
sudo usermod -aG sudo adminuser
Um die Ubuntu Server härten zu können, sollten wir dem Root-Account das Passwort entziehen, sodass niemand sich mit “root” anmelden kann:
1 sudo passwd -l root
SSH absichern: Ubuntu Remote-Zugriff härten
Die meisten Brute-Force-Angriffe zielen auf den SSH-Dienst (Port 22) ab. Wenn wir das Thema “ubuntu 24.04 server absichern” ernst nehmen, ist die SSH-Konfiguration unser wichtigster Hebel.
1. SSH-Keys generieren
Verwende auf deinem lokalen Rechner moderne Ed25519-Schlüssel anstelle von RSA:
1
2 ssh-keygen -t ed25519 -C "adminuser@meinserver"
ssh-copy-id adminuser@server_ip
2. SSHD-Konfiguration anpassen
Öffne die Datei
1 | /etc/ssh/sshd_config |
:
1 sudo nano /etc/ssh/sshd_config
Passe folgende Werte an, um Passwort-Logins zu verbieten und den Root-Login via SSH komplett zu sperren:
1
2
3
4
5 Port 2222
PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes
X11Forwarding no
Starte SSH neu:
1 | sudo systemctl restart ssh |
. Hinweis: Teste die neue Verbindung mit Port 2222 in einem zweiten Fenster, bevor du das aktuelle schließt!
3. Fail2Ban installieren
Um automatisierte Wörterbuchangriffe abzuwehren, nutzen wir Fail2Ban. Es blockiert IPs, die wiederholt falsche Login-Versuche starten (siehe auch Fail2Ban Dokumentation).
1
2 sudo apt install fail2ban
sudo systemctl enable --now fail2ban
Firewall mit UFW einrichten
Um deinen ubuntu 24.04 server absichern zu können, musst du den ein- und ausgehenden Datenverkehr kontrollieren. Die Uncomplicated Firewall (UFW) ist perfekt geeignet, um UFW Firewall einrichten so einfach wie möglich zu machen.
Zuerst blockieren wir alle eingehenden und erlauben alle ausgehenden Verbindungen:
1
2 sudo ufw default deny incoming
sudo ufw default allow outgoing
Nun erlauben wir unseren neuen SSH-Port, HTTP und HTTPS:
1
2
3 sudo ufw allow 2222/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
Aktiviere die Firewall:
1
2 sudo ufw enable
sudo ufw status verbose
AppArmor konfigurieren und Profile aktivieren
AppArmor ist ein Mandatory Access Control (MAC) System im Linux-Kernel. Möchtest du deinen ubuntu 24.04 server absichern, ist AppArmor unverzichtbar, da es Anwendungen in ihren Rechten beschränkt (Sandboxing).
Prüfe den Status von AppArmor:
1 sudo apparmor_status
Standardmäßig sind viele Profile bereits aktiv. Um AppArmor konfigurieren und erweitern zu können, installiere die zusätzlichen Profile:
1
2 sudo apt install apparmor-profiles apparmor-utils
sudo aa-enforce /etc/apparmor.d/*
Mit
1 | aa-enforce |
zwingst du die Profile in den “Enforce”-Modus, wodurch unautorisierte Aktionen von Webservern oder Datenbanken direkt blockiert werden.
Automatische Sicherheitsupdates (unattended-upgrades)
Ein Server ist nur sicher, wenn Schwachstellen sofort geschlossen werden. Niemand kann 24/7 manuell Patches einspielen. Daher ist
1 | unattended-upgrades |
elementar, um einen ubuntu 24.04 server absichern zu gewährleisten.
1
2 sudo apt install unattended-upgrades apt-listchanges
sudo dpkg-reconfigure -plow unattended-upgrades
In der Datei
1 | /etc/apt/apt.conf.d/50unattended-upgrades |
stellst du sicher, dass Sicherheitsupdates aktiviert sind:
1
2
3
4
5
6
7
8 Unattended-Upgrade::Allowed-Origins {
"${distro_id}:${distro_codename}";
"${distro_id}:${distro_codename}-security";
"${distro_id}ESMApps:${distro_codename}-apps-security";
"${distro_id}ESM:${distro_codename}-infra-security";
};
Unattended-Upgrade::Automatic-Reboot "true";
Unattended-Upgrade::Automatic-Reboot-Time "03:00";
Dies installiert Patches von der offiziellen Ubuntu Security Repositories automatisch und bootet den Server bei Bedarf um 03:00 Uhr nachts neu.
Audit-Logging mit auditd
Zur echten Linux Server Sicherheit gehört auch das Überwachen von Systemänderungen. Wenn wir einen ubuntu 24.04 server absichern, wollen wir genau wissen, wer wann welche Datei modifiziert hat.
1
2 sudo apt install auditd audispd-plugins
sudo systemctl enable --now auditd
Füge eine Regel hinzu, die Zugriffe auf die Schatten-Passwortdatei protokolliert:
1 sudo auditctl -w /etc/shadow -p wa -k shadow_changes
Logs findest du künftig unter
1 | /var/log/audit/audit.log |
.
Dateisystem-Sicherheit (Berechtigungen, SUID/SGID)
Beim ubuntu 24.04 server absichern spielt das Dateisystem eine zentrale Rolle. Besonders wenn du komplexe Partitionierungen nutzt (hierbei hilft das Verständnis, was ist LVM in Linux), solltest du /tmp, /var und /home auf separaten Partitionen mit den Mount-Optionen
1 | nosuid |
und
1 | noexec |
mounten.
Suche zudem nach verwaisten Dateien mit gesetztem SUID-Bit, die Angreifern Rechteausweitung ermöglichen könnten:
1 sudo find / -perm -4000 -type f -exec ls -la {} \; 2>/dev/null
Entferne das SUID-Bit von Programmen, die es nicht zwingend benötigen:
1 sudo chmod u-s /bin/ping
Netzwerk härten (sysctl, IPv6)
Auf Netzwerkebene können wir unseren ubuntu 24.04 server absichern, indem wir Kernel-Parameter in der Datei
1 | /etc/sysctl.conf |
anpassen. Dies schützt vor SYN-Floods, IP-Spoofing und Man-in-the-Middle-Angriffen.
Füge diese Zeilen zu
1 | /etc/sysctl.conf |
hinzu:
1
2
3
4
5
6
7
8
9
10
11
12
13 # IP Spoofing Protection
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
# Ignore ICMP broadcast requests
net.ipv4.icmp_echo_ignore_broadcasts = 1
# SYN Flood Protection
net.ipv4.tcp_syncookies = 1
# Disable ICMP Redirect Acceptance
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
Wende die Änderungen an mit:
1 | sudo sysctl -p |
.
Monitoring und Intrusion Detection
Prävention ist gut, Erkennung ist besser. Um das Setup beim ubuntu 24.04 server absichern abzurunden, installieren wir AIDE (Advanced Intrusion Detection Environment) sowie Rootkit Hunter.
1
2
3 sudo apt install rkhunter aide
sudo rkhunter --update
sudo rkhunter --check
AIDE erstellt eine Datenbank deiner Dateisystemstruktur und alarmiert dich, falls System-Binaries heimlich verändert wurden.
Sicherheits-Checkliste (Zusammenfassung)
Hast du alle Best Practices angewandt, um deinen ubuntu 24.04 server absichern zu können? Hier ist die Zusammenfassung für das Jahr 2026:
- ✅ System ist aktuell und nutzt HWE Kernel 6.17
- ✅ Root-Login ist deaktiviert
- ✅ SSH läuft auf einem non-standard Port, nur Key-Auth erlaubt
- ✅ UFW Firewall blockiert alle unnötigen Ports
- ✅ AppArmor ist im Enforce-Modus
- ✅ Fail2Ban überwacht Auth-Logs
- ✅ Unattended-Upgrades spielen Sicherheits-Patches nachts automatisch ein
- ✅ Auditd und RKHunter überwachen das Dateisystem
- ✅ Sysctl-Parameter gegen Spoofing und SYN-Floods sind aktiv
FAQ
Wie lange dauert es, einen ubuntu 24.04 server absichern zu lassen?
Wenn du die Befehle aus diesem Guide nutzt, dauert das initiale SSH absichern Ubuntu, die Firewall-Konfiguration und das Härten etwa 30 bis 45 Minuten. Das Einrichten von spezifischen AppArmor-Profilen für komplexe Apps kann etwas länger dauern.
Kann ich UFW und Fail2Ban gleichzeitig nutzen?
Ja, absolut! UFW fungiert als statische Firewall, während Fail2Ban die UFW-Regeln dynamisch anpasst, um Angreifer beim ubuntu 24.04 server absichern in Echtzeit auszusperren.
Muss ich AppArmor nutzen oder reicht SELinux?
Ubuntu setzt standardmäßig auf AppArmor. SELinux kannst du zwar installieren, es ist aber komplexer und bei Ubuntu 24.04 nicht vorinstalliert. Für die meisten Anwendungsfälle im Jahr 2026 ist AppArmor die bessere Wahl, um deinen ubuntu 24.04 server absichern zu können.
Fazit
Du hast jetzt alle Werkzeuge und das Wissen, um deinen ubuntu 24.04 server absichern zu können – und zwar richtig. Von SSH-Härtung über Firewall-Konfiguration bis hin zu automatischen Updates und Intrusion Detection: Jede Schicht zählt. Sicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Halte dein System aktuell, prüfe regelmäßig die Logs und passe deine Konfiguration an neue Bedrohungen an. Dein Server wird es dir danken!
- Über den Autor
- Aktuelle Beiträge
Mark ist IT-Administrator beim EDV-Dienstleister Biteno GmbH und schreibt außerdem für die Redaktion von Text-Center.