{"id":5526,"date":"2026-02-22T12:46:00","date_gmt":"2026-02-22T11:46:00","guid":{"rendered":"https:\/\/www.howto-do.it\/de\/?p=5526"},"modified":"2026-02-22T13:47:12","modified_gmt":"2026-02-22T12:47:12","slug":"ubuntu-24-04-server-absichern","status":"publish","type":"post","link":"https:\/\/www.howto-do.it\/de\/ubuntu-24-04-server-absichern\/","title":{"rendered":"Ubuntu 24.04 Server absichern: Best Practices 2026"},"content":{"rendered":"<p>Wenn du einen neuen <strong>ubuntu 24.04 server absichern<\/strong> m\u00f6chtest, stehst du vor einer der wichtigsten Aufgaben f\u00fcr IT-Administratoren im Jahr 2026. Die Bedrohungslandschaft im Internet hat sich massiv weiterentwickelt, und Standard-Setups sind oftmals binnen Minuten Ziel automatisierter Botnetze. In diesem umfassenden Guide erf\u00e4hrst du detailliert, wie du deinen ubuntu 24.04 server absichern und gegen moderne Bedrohungen h\u00e4rten kannst \u2013 angefangen bei SSH \u00fcber die UFW-Firewall bis hin zu AppArmor und automatisierten Updates. Unser Ziel ist absolute <strong>Linux Server Sicherheit<\/strong> f\u00fcr deine sensiblen Daten und Anwendungen.<\/p>\n<p>Besonders wenn du Cloud-Dienste wie einen <a href=\"https:\/\/www.howto-do.it\/de\/nextcloud-server-installieren\/\">Nextcloud Server installieren<\/a> und der \u00d6ffentlichkeit zug\u00e4nglich machen willst, ist eine solide Basis-Sicherheit unerl\u00e4sslich. Lass uns direkt starten und deinen Server in eine Festung verwandeln.<\/p>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Inhalt<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69cc088fe4c1f\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69cc088fe4c1f\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/www.howto-do.it\/de\/ubuntu-24-04-server-absichern\/#Warum_du_2026_deinen_ubuntu_2404_server_absichern_musst\" >Warum du 2026 deinen ubuntu 24.04 server absichern musst<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/www.howto-do.it\/de\/ubuntu-24-04-server-absichern\/#Grundlagen_System_aktualisieren_und_HWE_Kernel_617_installieren\" >Grundlagen: System aktualisieren und HWE Kernel 6.17 installieren<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/www.howto-do.it\/de\/ubuntu-24-04-server-absichern\/#Benutzerkonten_absichern_Root_deaktivieren_Sudo_konfigurieren\" >Benutzerkonten absichern (Root deaktivieren, Sudo konfigurieren)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/www.howto-do.it\/de\/ubuntu-24-04-server-absichern\/#SSH_absichern_Ubuntu_Remote-Zugriff_haerten\" >SSH absichern: Ubuntu Remote-Zugriff h\u00e4rten<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/www.howto-do.it\/de\/ubuntu-24-04-server-absichern\/#1_SSH-Keys_generieren\" >1. SSH-Keys generieren<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/www.howto-do.it\/de\/ubuntu-24-04-server-absichern\/#2_SSHD-Konfiguration_anpassen\" >2. SSHD-Konfiguration anpassen<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/www.howto-do.it\/de\/ubuntu-24-04-server-absichern\/#3_Fail2Ban_installieren\" >3. Fail2Ban installieren<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/www.howto-do.it\/de\/ubuntu-24-04-server-absichern\/#Firewall_mit_UFW_einrichten\" >Firewall mit UFW einrichten<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/www.howto-do.it\/de\/ubuntu-24-04-server-absichern\/#AppArmor_konfigurieren_und_Profile_aktivieren\" >AppArmor konfigurieren und Profile aktivieren<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-10\" href=\"https:\/\/www.howto-do.it\/de\/ubuntu-24-04-server-absichern\/#Automatische_Sicherheitsupdates_unattended-upgrades\" >Automatische Sicherheitsupdates (unattended-upgrades)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-11\" href=\"https:\/\/www.howto-do.it\/de\/ubuntu-24-04-server-absichern\/#Audit-Logging_mit_auditd\" >Audit-Logging mit auditd<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-12\" href=\"https:\/\/www.howto-do.it\/de\/ubuntu-24-04-server-absichern\/#Dateisystem-Sicherheit_Berechtigungen_SUIDSGID\" >Dateisystem-Sicherheit (Berechtigungen, SUID\/SGID)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-13\" href=\"https:\/\/www.howto-do.it\/de\/ubuntu-24-04-server-absichern\/#Netzwerk_haerten_sysctl_IPv6\" >Netzwerk h\u00e4rten (sysctl, IPv6)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-14\" href=\"https:\/\/www.howto-do.it\/de\/ubuntu-24-04-server-absichern\/#Monitoring_und_Intrusion_Detection\" >Monitoring und Intrusion Detection<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-15\" href=\"https:\/\/www.howto-do.it\/de\/ubuntu-24-04-server-absichern\/#Sicherheits-Checkliste_Zusammenfassung\" >Sicherheits-Checkliste (Zusammenfassung)<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-16\" href=\"https:\/\/www.howto-do.it\/de\/ubuntu-24-04-server-absichern\/#FAQ\" >FAQ<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-17\" href=\"https:\/\/www.howto-do.it\/de\/ubuntu-24-04-server-absichern\/#Wie_lange_dauert_es_einen_ubuntu_2404_server_absichern_zu_lassen\" >Wie lange dauert es, einen ubuntu 24.04 server absichern zu lassen?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-18\" href=\"https:\/\/www.howto-do.it\/de\/ubuntu-24-04-server-absichern\/#Kann_ich_UFW_und_Fail2Ban_gleichzeitig_nutzen\" >Kann ich UFW und Fail2Ban gleichzeitig nutzen?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-19\" href=\"https:\/\/www.howto-do.it\/de\/ubuntu-24-04-server-absichern\/#Muss_ich_AppArmor_nutzen_oder_reicht_SELinux\" >Muss ich AppArmor nutzen oder reicht SELinux?<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-20\" href=\"https:\/\/www.howto-do.it\/de\/ubuntu-24-04-server-absichern\/#Fazit\" >Fazit<\/a><\/li><\/ul><\/nav><\/div>\n<h2><span class=\"ez-toc-section\" id=\"Warum_du_2026_deinen_ubuntu_2404_server_absichern_musst\"><\/span>Warum du 2026 deinen ubuntu 24.04 server absichern musst<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Im Jahr 2026 reicht es nicht mehr aus, einfach ein starkes Passwort zu vergeben. Automatisierte Angriffe, Zero-Day-Exploits und gezielte Ransomware-Kampagnen suchen ununterbrochen nach Schwachstellen in \u00f6ffentlich erreichbaren Linux-Maschinen. Wenn wir einen ubuntu 24.04 server absichern, bauen wir eine &#8220;Defense-in-Depth&#8221;-Architektur auf. Das bedeutet: Wenn eine Sicherheitsschicht versagt, f\u00e4ngt die n\u00e4chste den Angriff ab.<\/p>\n<p>Ein Vergleich: W\u00e4hrend man sich fr\u00fcher bei Distributionen fragte, <a href=\"https:\/\/www.howto-do.it\/de\/was-ist-centos\/\">was ist CentOS<\/a> und welche Vorteile es f\u00fcr Enterprise-Sicherheit bietet, hat sich Ubuntu mit der Version 24.04 LTS als absoluter Standard etabliert. Offizielle Sicherheitsrichtlinien, wie die <a href=\"https:\/\/www.cisecurity.org\/benchmark\/ubuntu_linux\" target=\"_blank\" rel=\"noopener\">CIS Benchmarks f\u00fcr Ubuntu Linux<\/a>, zeigen, dass Canonical gro\u00dfe Fortschritte gemacht hat. Dennoch liegt die Verantwortung beim Administrator, das System aktiv zu h\u00e4rten.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Grundlagen_System_aktualisieren_und_HWE_Kernel_617_installieren\"><\/span>Grundlagen: System aktualisieren und HWE Kernel 6.17 installieren<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Die wichtigste Grundregel beim ubuntu 24.04 server absichern lautet: Halte dein System aktuell! Bevor wir spezifische Dienste konfigurieren, m\u00fcssen wir sicherstellen, dass alle Pakete auf dem neuesten Stand sind und wir einen modernen Kernel nutzen.<\/p>\n<pre>\n\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/>2<br \/><\/div><\/td><td><div class=\"text codecolorer\">sudo apt update &amp;amp;&amp;amp; sudo apt upgrade -y<br \/>\nsudo apt dist-upgrade -y<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n<p>F\u00fcr maximale Hardware-Unterst\u00fctzung und aktuelle Sicherheits-Patches im Jahr 2026 empfiehlt sich die Installation des Hardware Enablement (HWE) Kernels. In Ubuntu 24.04 (Noble Numbat) nutzen wir hierf\u00fcr den Kernel 6.17 (oder aktueller):<\/p>\n<pre>\n\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/>2<br \/><\/div><\/td><td><div class=\"text codecolorer\">sudo apt install --install-recommends linux-generic-hwe-24.04<br \/>\nsudo reboot<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n<h2><span class=\"ez-toc-section\" id=\"Benutzerkonten_absichern_Root_deaktivieren_Sudo_konfigurieren\"><\/span>Benutzerkonten absichern (Root deaktivieren, Sudo konfigurieren)<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Ein grundlegender Schritt, wenn wir einen ubuntu 24.04 server absichern, ist die strikte Trennung von Administrator- und Benutzerrechten. Der direkte Login als<\/p>\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/><\/div><\/td><td><div class=\"text codecolorer\">root<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n<p>sollte ausnahmslos deaktiviert sein.<\/p>\n<p>Erstelle stattdessen einen dedizierten Administrations-User (ersetze &#8220;adminuser&#8221; durch deinen Wunschnamen):<\/p>\n<pre>\n\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/>2<br \/><\/div><\/td><td><div class=\"text codecolorer\">sudo adduser adminuser<br \/>\nsudo usermod -aG sudo adminuser<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n<p>Um die <strong>Ubuntu Server h\u00e4rten<\/strong> zu k\u00f6nnen, sollten wir dem Root-Account das Passwort entziehen, sodass niemand sich mit &#8220;root&#8221; anmelden kann:<\/p>\n<pre>\n\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/><\/div><\/td><td><div class=\"text codecolorer\">sudo passwd -l root<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n<h2><span class=\"ez-toc-section\" id=\"SSH_absichern_Ubuntu_Remote-Zugriff_haerten\"><\/span>SSH absichern: Ubuntu Remote-Zugriff h\u00e4rten<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Die meisten Brute-Force-Angriffe zielen auf den SSH-Dienst (Port 22) ab. Wenn wir das Thema &#8220;ubuntu 24.04 server absichern&#8221; ernst nehmen, ist die SSH-Konfiguration unser wichtigster Hebel.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"1_SSH-Keys_generieren\"><\/span>1. SSH-Keys generieren<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Verwende auf deinem lokalen Rechner moderne Ed25519-Schl\u00fcssel anstelle von RSA:<\/p>\n<pre>\n\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/>2<br \/><\/div><\/td><td><div class=\"text codecolorer\">ssh-keygen -t ed25519 -C &quot;adminuser@meinserver&quot;<br \/>\nssh-copy-id adminuser@server_ip<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n<h3><span class=\"ez-toc-section\" id=\"2_SSHD-Konfiguration_anpassen\"><\/span>2. SSHD-Konfiguration anpassen<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>\u00d6ffne die Datei<\/p>\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/><\/div><\/td><td><div class=\"text codecolorer\">\/etc\/ssh\/sshd_config<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n<p>:<\/p>\n<pre>\n\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/><\/div><\/td><td><div class=\"text codecolorer\">sudo nano \/etc\/ssh\/sshd_config<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n<p>Passe folgende Werte an, um Passwort-Logins zu verbieten und den Root-Login via SSH komplett zu sperren:<\/p>\n<pre>\n\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/>2<br \/>3<br \/>4<br \/>5<br \/><\/div><\/td><td><div class=\"text codecolorer\">Port 2222<br \/>\nPermitRootLogin no<br \/>\nPasswordAuthentication no<br \/>\nPubkeyAuthentication yes<br \/>\nX11Forwarding no<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n<p>Starte SSH neu:<\/p>\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/><\/div><\/td><td><div class=\"text codecolorer\">sudo systemctl restart ssh<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n<p>. <em>Hinweis: Teste die neue Verbindung mit Port 2222 in einem zweiten Fenster, bevor du das aktuelle schlie\u00dft!<\/em><\/p>\n<h3><span class=\"ez-toc-section\" id=\"3_Fail2Ban_installieren\"><\/span>3. Fail2Ban installieren<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Um automatisierte W\u00f6rterbuchangriffe abzuwehren, nutzen wir <a href=\"https:\/\/www.howto-do.it\/de\/howto\/fail2ban-ueberwacht-logfiles-nicht\/\">Fail2Ban<\/a>. Es blockiert IPs, die wiederholt falsche Login-Versuche starten (siehe auch <a href=\"https:\/\/www.fail2ban.org\" target=\"_blank\" rel=\"noopener\">Fail2Ban Dokumentation<\/a>).<\/p>\n<pre>\n\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/>2<br \/><\/div><\/td><td><div class=\"text codecolorer\">sudo apt install fail2ban<br \/>\nsudo systemctl enable --now fail2ban<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n<h2><span class=\"ez-toc-section\" id=\"Firewall_mit_UFW_einrichten\"><\/span>Firewall mit UFW einrichten<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Um deinen ubuntu 24.04 server absichern zu k\u00f6nnen, musst du den ein- und ausgehenden Datenverkehr kontrollieren. Die <em>Uncomplicated Firewall (UFW)<\/em> ist perfekt geeignet, um <strong>UFW Firewall einrichten<\/strong> so einfach wie m\u00f6glich zu machen.<\/p>\n<p>Zuerst blockieren wir alle eingehenden und erlauben alle ausgehenden Verbindungen:<\/p>\n<pre>\n\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/>2<br \/><\/div><\/td><td><div class=\"text codecolorer\">sudo ufw default deny incoming<br \/>\nsudo ufw default allow outgoing<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n<p>Nun erlauben wir unseren neuen SSH-Port, HTTP und HTTPS:<\/p>\n<pre>\n\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/>2<br \/>3<br \/><\/div><\/td><td><div class=\"text codecolorer\">sudo ufw allow 2222\/tcp<br \/>\nsudo ufw allow 80\/tcp<br \/>\nsudo ufw allow 443\/tcp<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n<p>Aktiviere die Firewall:<\/p>\n<pre>\n\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/>2<br \/><\/div><\/td><td><div class=\"text codecolorer\">sudo ufw enable<br \/>\nsudo ufw status verbose<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n<h2><span class=\"ez-toc-section\" id=\"AppArmor_konfigurieren_und_Profile_aktivieren\"><\/span>AppArmor konfigurieren und Profile aktivieren<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>AppArmor ist ein Mandatory Access Control (MAC) System im Linux-Kernel. M\u00f6chtest du deinen ubuntu 24.04 server absichern, ist AppArmor unverzichtbar, da es Anwendungen in ihren Rechten beschr\u00e4nkt (Sandboxing).<\/p>\n<p>Pr\u00fcfe den Status von AppArmor:<\/p>\n<pre>\n\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/><\/div><\/td><td><div class=\"text codecolorer\">sudo apparmor_status<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n<p>Standardm\u00e4\u00dfig sind viele Profile bereits aktiv. Um <strong>AppArmor konfigurieren<\/strong> und erweitern zu k\u00f6nnen, installiere die zus\u00e4tzlichen Profile:<\/p>\n<pre>\n\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/>2<br \/><\/div><\/td><td><div class=\"text codecolorer\">sudo apt install apparmor-profiles apparmor-utils<br \/>\nsudo aa-enforce \/etc\/apparmor.d\/*<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n<p>Mit<\/p>\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/><\/div><\/td><td><div class=\"text codecolorer\">aa-enforce<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n<p>zwingst du die Profile in den &#8220;Enforce&#8221;-Modus, wodurch unautorisierte Aktionen von Webservern oder Datenbanken direkt blockiert werden.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Automatische_Sicherheitsupdates_unattended-upgrades\"><\/span>Automatische Sicherheitsupdates (unattended-upgrades)<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Ein Server ist nur sicher, wenn Schwachstellen sofort geschlossen werden. Niemand kann 24\/7 manuell Patches einspielen. Daher ist<\/p>\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/><\/div><\/td><td><div class=\"text codecolorer\">unattended-upgrades<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n<p>elementar, um einen ubuntu 24.04 server absichern zu gew\u00e4hrleisten.<\/p>\n<pre>\n\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/>2<br \/><\/div><\/td><td><div class=\"text codecolorer\">sudo apt install unattended-upgrades apt-listchanges<br \/>\nsudo dpkg-reconfigure -plow unattended-upgrades<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n<p>In der Datei<\/p>\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/><\/div><\/td><td><div class=\"text codecolorer\">\/etc\/apt\/apt.conf.d\/50unattended-upgrades<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n<p>stellst du sicher, dass Sicherheitsupdates aktiviert sind:<\/p>\n<pre>\n\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/>2<br \/>3<br \/>4<br \/>5<br \/>6<br \/>7<br \/>8<br \/><\/div><\/td><td><div class=\"text codecolorer\">Unattended-Upgrade::Allowed-Origins {<br \/>\n&nbsp; &nbsp; &quot;${distro_id}:${distro_codename}&quot;;<br \/>\n&nbsp; &nbsp; &quot;${distro_id}:${distro_codename}-security&quot;;<br \/>\n&nbsp; &nbsp; &quot;${distro_id}ESMApps:${distro_codename}-apps-security&quot;;<br \/>\n&nbsp; &nbsp; &quot;${distro_id}ESM:${distro_codename}-infra-security&quot;;<br \/>\n};<br \/>\nUnattended-Upgrade::Automatic-Reboot &quot;true&quot;;<br \/>\nUnattended-Upgrade::Automatic-Reboot-Time &quot;03:00&quot;;<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n<p>Dies installiert Patches von der <a href=\"https:\/\/ubuntu.com\/security\" target=\"_blank\" rel=\"noopener\">offiziellen Ubuntu Security Repositories<\/a> automatisch und bootet den Server bei Bedarf um 03:00 Uhr nachts neu.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Audit-Logging_mit_auditd\"><\/span>Audit-Logging mit auditd<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Zur echten <strong>Linux Server Sicherheit<\/strong> geh\u00f6rt auch das \u00dcberwachen von System\u00e4nderungen. Wenn wir einen ubuntu 24.04 server absichern, wollen wir genau wissen, wer wann welche Datei modifiziert hat.<\/p>\n<pre>\n\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/>2<br \/><\/div><\/td><td><div class=\"text codecolorer\">sudo apt install auditd audispd-plugins<br \/>\nsudo systemctl enable --now auditd<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n<p>F\u00fcge eine Regel hinzu, die Zugriffe auf die Schatten-Passwortdatei protokolliert:<\/p>\n<pre>\n\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/><\/div><\/td><td><div class=\"text codecolorer\">sudo auditctl -w \/etc\/shadow -p wa -k shadow_changes<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n<p>Logs findest du k\u00fcnftig unter<\/p>\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/><\/div><\/td><td><div class=\"text codecolorer\">\/var\/log\/audit\/audit.log<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n<p>.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Dateisystem-Sicherheit_Berechtigungen_SUIDSGID\"><\/span>Dateisystem-Sicherheit (Berechtigungen, SUID\/SGID)<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Beim ubuntu 24.04 server absichern spielt das Dateisystem eine zentrale Rolle. Besonders wenn du komplexe Partitionierungen nutzt (hierbei hilft das Verst\u00e4ndnis, <a href=\"https:\/\/www.howto-do.it\/de\/was-ist-lvm-in-linux\/\">was ist LVM in Linux<\/a>), solltest du \/tmp, \/var und \/home auf separaten Partitionen mit den Mount-Optionen<\/p>\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/><\/div><\/td><td><div class=\"text codecolorer\">nosuid<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n<p>und<\/p>\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/><\/div><\/td><td><div class=\"text codecolorer\">noexec<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n<p>mounten.<\/p>\n<p>Suche zudem nach verwaisten Dateien mit gesetztem SUID-Bit, die Angreifern Rechteausweitung erm\u00f6glichen k\u00f6nnten:<\/p>\n<pre>\n\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/><\/div><\/td><td><div class=\"text codecolorer\">sudo find \/ -perm -4000 -type f -exec ls -la {} \\; 2&gt;\/dev\/null<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n<p>Entferne das SUID-Bit von Programmen, die es nicht zwingend ben\u00f6tigen:<\/p>\n<pre>\n\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/><\/div><\/td><td><div class=\"text codecolorer\">sudo chmod u-s \/bin\/ping<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n<h2><span class=\"ez-toc-section\" id=\"Netzwerk_haerten_sysctl_IPv6\"><\/span>Netzwerk h\u00e4rten (sysctl, IPv6)<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Auf Netzwerkebene k\u00f6nnen wir unseren ubuntu 24.04 server absichern, indem wir Kernel-Parameter in der Datei<\/p>\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/><\/div><\/td><td><div class=\"text codecolorer\">\/etc\/sysctl.conf<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n<p>anpassen. Dies sch\u00fctzt vor SYN-Floods, IP-Spoofing und Man-in-the-Middle-Angriffen.<\/p>\n<p>F\u00fcge diese Zeilen zu<\/p>\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/><\/div><\/td><td><div class=\"text codecolorer\">\/etc\/sysctl.conf<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n<p>hinzu:<\/p>\n<pre>\n\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/>2<br \/>3<br \/>4<br \/>5<br \/>6<br \/>7<br \/>8<br \/>9<br \/>10<br \/>11<br \/>12<br \/>13<br \/><\/div><\/td><td><div class=\"text codecolorer\"># IP Spoofing Protection<br \/>\nnet.ipv4.conf.all.rp_filter = 1<br \/>\nnet.ipv4.conf.default.rp_filter = 1<br \/>\n<br \/>\n# Ignore ICMP broadcast requests<br \/>\nnet.ipv4.icmp_echo_ignore_broadcasts = 1<br \/>\n<br \/>\n# SYN Flood Protection<br \/>\nnet.ipv4.tcp_syncookies = 1<br \/>\n<br \/>\n# Disable ICMP Redirect Acceptance<br \/>\nnet.ipv4.conf.all.accept_redirects = 0<br \/>\nnet.ipv6.conf.all.accept_redirects = 0<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n<p>Wende die \u00c4nderungen an mit:<\/p>\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/><\/div><\/td><td><div class=\"text codecolorer\">sudo sysctl -p<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n<p>.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Monitoring_und_Intrusion_Detection\"><\/span>Monitoring und Intrusion Detection<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Pr\u00e4vention ist gut, Erkennung ist besser. Um das Setup beim ubuntu 24.04 server absichern abzurunden, installieren wir AIDE (Advanced Intrusion Detection Environment) sowie Rootkit Hunter.<\/p>\n<pre>\n\n<div class=\"codecolorer-container text default\" style=\"overflow:auto;white-space:nowrap;width:435px;\"><table cellspacing=\"0\" cellpadding=\"0\"><tbody><tr><td class=\"line-numbers\"><div>1<br \/>2<br \/>3<br \/><\/div><\/td><td><div class=\"text codecolorer\">sudo apt install rkhunter aide<br \/>\nsudo rkhunter --update<br \/>\nsudo rkhunter --check<\/div><\/td><\/tr><\/tbody><\/table><\/div>\n\n<\/pre>\n<p>AIDE erstellt eine Datenbank deiner Dateisystemstruktur und alarmiert dich, falls System-Binaries heimlich ver\u00e4ndert wurden.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Sicherheits-Checkliste_Zusammenfassung\"><\/span>Sicherheits-Checkliste (Zusammenfassung)<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Hast du alle Best Practices angewandt, um deinen ubuntu 24.04 server absichern zu k\u00f6nnen? Hier ist die Zusammenfassung f\u00fcr das Jahr 2026:<\/p>\n<ul>\n<li>&#x2705; System ist aktuell und nutzt HWE Kernel 6.17<\/li>\n<li>&#x2705; Root-Login ist deaktiviert<\/li>\n<li>&#x2705; SSH l\u00e4uft auf einem non-standard Port, nur Key-Auth erlaubt<\/li>\n<li>&#x2705; UFW Firewall blockiert alle unn\u00f6tigen Ports<\/li>\n<li>&#x2705; AppArmor ist im Enforce-Modus<\/li>\n<li>&#x2705; Fail2Ban \u00fcberwacht Auth-Logs<\/li>\n<li>&#x2705; Unattended-Upgrades spielen Sicherheits-Patches nachts automatisch ein<\/li>\n<li>&#x2705; Auditd und RKHunter \u00fcberwachen das Dateisystem<\/li>\n<li>&#x2705; Sysctl-Parameter gegen Spoofing und SYN-Floods sind aktiv<\/li>\n<\/ul>\n<h2><span class=\"ez-toc-section\" id=\"FAQ\"><\/span>FAQ<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<h3><span class=\"ez-toc-section\" id=\"Wie_lange_dauert_es_einen_ubuntu_2404_server_absichern_zu_lassen\"><\/span>Wie lange dauert es, einen ubuntu 24.04 server absichern zu lassen?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Wenn du die Befehle aus diesem Guide nutzt, dauert das initiale <strong>SSH absichern Ubuntu<\/strong>, die Firewall-Konfiguration und das H\u00e4rten etwa 30 bis 45 Minuten. Das Einrichten von spezifischen AppArmor-Profilen f\u00fcr komplexe Apps kann etwas l\u00e4nger dauern.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Kann_ich_UFW_und_Fail2Ban_gleichzeitig_nutzen\"><\/span>Kann ich UFW und Fail2Ban gleichzeitig nutzen?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Ja, absolut! UFW fungiert als statische Firewall, w\u00e4hrend Fail2Ban die UFW-Regeln dynamisch anpasst, um Angreifer beim ubuntu 24.04 server absichern in Echtzeit auszusperren.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Muss_ich_AppArmor_nutzen_oder_reicht_SELinux\"><\/span>Muss ich AppArmor nutzen oder reicht SELinux?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Ubuntu setzt standardm\u00e4\u00dfig auf AppArmor. SELinux kannst du zwar installieren, es ist aber komplexer und bei Ubuntu 24.04 nicht vorinstalliert. F\u00fcr die meisten Anwendungsf\u00e4lle im Jahr 2026 ist AppArmor die bessere Wahl, um deinen ubuntu 24.04 server absichern zu k\u00f6nnen.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Fazit\"><\/span>Fazit<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Du hast jetzt alle Werkzeuge und das Wissen, um deinen <strong>ubuntu 24.04 server absichern<\/strong> zu k\u00f6nnen \u2013 und zwar richtig. Von SSH-H\u00e4rtung \u00fcber Firewall-Konfiguration bis hin zu automatischen Updates und Intrusion Detection: Jede Schicht z\u00e4hlt. Sicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Halte dein System aktuell, pr\u00fcfe regelm\u00e4\u00dfig die Logs und passe deine Konfiguration an neue Bedrohungen an. Dein Server wird es dir danken!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Erfahre, wie du deinen Ubuntu 24.04 Server absichern kannst. Praxis-Guide 2026 inkl. SSH, Firewall, AppArmor &#038; automatischen Updates f\u00fcr maximale Sicherheit.<\/p>\n","protected":false},"author":20,"featured_media":5525,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_kadence_starter_templates_imported_post":false,"_kad_post_transparent":"","_kad_post_title":"","_kad_post_layout":"","_kad_post_sidebar_id":"","_kad_post_content_style":"","_kad_post_vertical_padding":"","_kad_post_feature":"","_kad_post_feature_position":"","_kad_post_header":false,"_kad_post_footer":false,"_kad_post_classname":"","rank_math_title":"Ubuntu 24.04 Server absichern: Best Practices 2026","rank_math_description":"Erfahre, wie du deinen Ubuntu 24.04 Server absichern kannst. Praxis-Guide 2026 inkl. SSH, Firewall, AppArmor & automatischen Updates f\u00fcr maximale Sicherheit.","rank_math_focus_keyword":"ubuntu 24.04 server absichern","footnotes":""},"categories":[48],"tags":[],"class_list":["post-5526","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicherheit"],"_links":{"self":[{"href":"https:\/\/www.howto-do.it\/de\/wp-json\/wp\/v2\/posts\/5526","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.howto-do.it\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.howto-do.it\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.howto-do.it\/de\/wp-json\/wp\/v2\/users\/20"}],"replies":[{"embeddable":true,"href":"https:\/\/www.howto-do.it\/de\/wp-json\/wp\/v2\/comments?post=5526"}],"version-history":[{"count":1,"href":"https:\/\/www.howto-do.it\/de\/wp-json\/wp\/v2\/posts\/5526\/revisions"}],"predecessor-version":[{"id":5527,"href":"https:\/\/www.howto-do.it\/de\/wp-json\/wp\/v2\/posts\/5526\/revisions\/5527"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.howto-do.it\/de\/wp-json\/wp\/v2\/media\/5525"}],"wp:attachment":[{"href":"https:\/\/www.howto-do.it\/de\/wp-json\/wp\/v2\/media?parent=5526"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.howto-do.it\/de\/wp-json\/wp\/v2\/categories?post=5526"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.howto-do.it\/de\/wp-json\/wp\/v2\/tags?post=5526"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}