Das NordBastion-Polarbär-Maskottchen an einer nordischen Steinschmiede, der Panzerplatten und Messingvorhängeschlösser auf einen kleinen Server-Turm auf einem Amboss schweißt, cyan-Schutzglyphen umwickeln seine Basis, bernsteinfarbenes Schmiedeherd-Glühen und bernsteinfarbene Schweißfunken
Anleitung · Checkliste·10 Min. Lesezeit · 60 Min. Praxis

VPS-Härtung — die OPSEC-Checkliste für die erste Stunde.
Acht Schritte. Auf jedem frischen Server ausführen.

Die universelle Vor-Start-Checkliste bevor eine Workload auf einem frischen VPS startet. Nur SSH-Schlüssel, benutzerdefinierter Port, Firewall, Auto-Updates, fail2ban, Snapshot, dokumentierte Wiederherstellung. Getestet auf Debian 12 / Ubuntu 22-24 / Alpine.

Die acht Schritte
  1. 01

    SSH key auth

  2. 02

    Disable root + change port

  3. 03

    Firewall baseline

  4. 04

    Unattended-upgrades

  5. 05

    Fail2ban

  6. 06

    Time + swap

  7. 07

    Baseline snapshot

  8. 08

    Recovery doc

Schritt 01–02 · SSH

Schlüssel, nicht Passwörter. Benutzerdefinierter Port, nicht 22.

Auf Ihrem Laptop ein ed25519-Schlüsselpaar generieren (kleiner, schneller, moderner):

ssh-keygen -t ed25519 -C "you@laptop"
ssh-copy-id -p 22 root@<vps-ip>
ssh root@<vps-ip>     # should now work without password

Auf dem VPS /etc/ssh/sshd_config bearbeiten:

Port 54871                  # pick a random number 1024-65535
PermitRootLogin no          # use a non-root user with sudo
PasswordAuthentication no   # keys only
PubkeyAuthentication yes

Zuerst einen Nicht-Root-Sudo-Benutzer erstellen (adduser bear; usermod -aG sudo bear; ssh-copy-id -p 22 bear@vps), die Anmeldung testen, DANN sshd neu starten: systemctl restart sshd. Wenn Sie sich aussperren, gibt die Panel-Konsole Shell-Zugang ohne SSH.

Schritt 03 · Firewall

Standardmäßig eingehende Verbindungen ablehnen. Nur das Notwendige freischalten.

apt install -y ufw
ufw default deny incoming
ufw default allow outgoing
ufw allow 54871/tcp      # custom SSH port
ufw allow 80/tcp         # if running a web service
ufw allow 443/tcp        # if running TLS
ufw enable
ufw status verbose

Replizieren Sie denselben Regelsatz in der Bastion-Firewall von NordBastion über das Panel (Networking → Firewall). Die Bastion-Firewall blockiert, bevor das Paket den VPS erreicht, und spart CPU bei volumetrischem Scanning. Tiefenverteidigung.

Schritt 04–05 · Auto-Updates + fail2ban

Zwei Pakete, fünf Minuten, echte Wirkung.

apt install -y unattended-upgrades fail2ban
dpkg-reconfigure -plow unattended-upgrades   # accept defaults
systemctl enable --now fail2ban
fail2ban-client status                       # shows sshd jail

unattended-upgrades wendet Sicherheits-Patches automatisch an; fail2ban sperrt IPs, die innerhalb von 10 Minuten 5 Authentifizierungsversuche scheitern, für 1 Stunde. Keines erfordert weitere Konfiguration für den Basisanwendungsfall — beide sind aggressive Standardwerte, die für alle funktionieren.

Schritt 06 · Zeit + Swap

Zeitzone auf UTC setzen. Swapfile hinzufügen.

timedatectl set-timezone UTC

fallocate -l 2G /swapfile
chmod 600 /swapfile
mkswap /swapfile
swapon /swapfile
echo "/swapfile none swap sw 0 0" >> /etc/fstab
free -h                                       # confirm swap is active

UTC auf dem Server vereinfacht die Log-Korrelation über Bastionen und Clients in jeder Zeitzone. Eine 2–4-GB-Swapfile schützt vor OOM-Kill-Spitzen; bei kleinen Tarifen ist es wichtig, bei großen Tarifen ist es günstige Absicherung.

Schritt 07–08 · Snapshot + Wiederherstellungsdokumentation

Den sauberen Zustand erfassen. Den Wiederherstellungspfad aufschreiben.

Snapshot. Im Panel: Server → Ihr Server → Snapshots → Erstellen. Nennen Sie ihn baseline-hardened-JJJJ-MM-TT. NordBastion-Snapshots sind off-host, verschlüsselt und dauern Sekunden. Sie können in etwa 90 Sekunden wiederherstellen — Ihr zukünftiges Ich wird Ihnen dafür danken, wenn ein Upgrade schiefläuft.

Wiederherstellungsdokumentation. Auf Papier oder in einem Passwort-Manager aufschreiben:

  • NordBastion-Konto-E-Mail + (Passwort-Gedächtnisstütze, nicht das Passwort selbst)
  • Wo Ihr privater SSH-Schlüssel auf dem Laptop gespeichert ist
  • Die benutzerdefinierte SSH-Portnummer
  • Der Nicht-Root-sudo-Benutzername auf dem VPS
  • Der Name des Basis-Snapshots, auf den wiederhergestellt werden soll
  • Hinweis: „Die Panel-Konsole funktioniert ohne SSH — nutzen Sie sie zur Wiederherstellung nach einer Sperrung”

OPSEC ist die Disziplin, Dinge heute aufzuschreiben, damit das zukünftige Ich sich erholen kann, wenn das aktuelle Ich vergessen hat. Die Schmiede ist geschlossen, wenn das Dokument vollständig ist.

FAQ · Absicherung

Fragen, beantwortet.

Acht Fragen, die ein erstmaliger VPS-Kunde beim Durchlaufen der Checkliste stellt.

Ist SSH-Schlüsselauthentifizierung tatsächlich sicherer als ein starkes Passwort?

Ja, mit weitem Abstand. Ein Passwort — auch ein 16-stelliges zufälliges — ist in einem realistischen Bedrohungsmodell per Brute-Force angreifbar; ein ed25519-SSH-Schlüssel hat 256 Bit Entropie und ist es nicht. Ein Schlüssel ist auch an das Gerät gebunden, auf dem er lebt, sodass ein Angreifer sowohl die Schlüsseldatei ALS AUCH die Passphrase benötigt, die ihn entschlüsselt. PasswordAuthentication vollständig in sshd_config deaktivieren und die Brute-Force-Angriffsfläche geht auf null.

Hilft es tatsächlich, den SSH-Port von 22 auf einen zufälligen zu ändern?

Das hält einen entschlossenen Angreifer nicht auf — er wird alle 65.535 Ports scannen. Es REDUZIERT jedoch das Volumen automatisierten Lärms von Bots, die nur Port 22 versuchen, was bedeutet: sauberere Logs und weniger beanspruchtes fail2ban. Einen zufälligen Port zwischen 1024 und 65535 wählen, ihn irgendwo aufschreiben, wo Sie ihn nicht verlieren, die Firewall aktualisieren, um ihn zu erlauben. Netto-Gewinn: etwa 90 Prozent weniger Log-Lärm.

UFW oder nftables — welches?

UFW für jemanden, der lernt oder einen einzelnen VPS betreibt — es ist ein benutzerfreundlicher Wrapper, die Syntax ist für Menschen lesbar und liegt oben auf iptables oder nftables. nftables direkt, wenn Sie strengere Regelkomposition, anonyme Mengen wünschen oder mehr als eine Handvoll Server betreiben und Konsistenz möchten. Beide erzeugen dasselbe Ergebnis auf Kernel-Ebene.

Soll ich unattended-upgrades auch für den Kernel ausführen?

Sicherheits-Patches ja — sie beheben kritische CVEs, und die Alternative ist, sie offen zu lassen. Vollständige Kernel-Paket-Upgrades sind riskanter, da sie einen Neustart erfordern; unattended-upgrades startet standardmäßig nicht neu. /etc/apt/apt.conf.d/50unattended-upgrades lesen und entscheiden: Die meisten NordBastion-Kunden belassen die unattended-Konfiguration auf „security-only” und starten monatlich manuell in einem ruhigen Zeitfenster neu.

Ist fail2ban notwendig, wenn ich die Passwort-Authentifizierung bereits deaktiviere?

Streng erforderlich, nein — sobald die Passwort-Authentifizierung deaktiviert ist, kann Brute-Force auf SSH nicht erfolgreich sein. fail2ban bleibt für andere Dienste nützlich (Mail, Web-App-Login-Seiten, alles mit einer Anmeldedaten-Schicht). Günstige Absicherung: apt install fail2ban, die Standardeinstellungen akzeptieren und weitermachen. Die 30 Sekunden für die Installation sind die saubereren Logs und den Bonus-Diensteschutz wert.

Was ist mit Vollverschlüsselung der Festplatte?

Nicht Teil der ersten Stunde — vollständige Festplattenverschlüsselung mit benutzerseitig gehaltenem Schlüssel erfordert entweder eine benutzerdefinierte ISO-Installation (LUKS beim Booten mit einer Passphrase einbinden, die jemand eingeben muss) oder die kommende NordBastion-LUKS-on-Provision-Option (Panel-Roadmap). Behandeln Sie die Festplatte vorerst als von NordBastion lesbar (im unwahrscheinlichen Fall einer Vorladung) und behandeln Sie NordBastions jurisdiktionellen Schutz als die Schicht, die sie sicher hält. Wenn Ihr Bedrohungsmodell FDE vor dem Start erfordert, installieren Sie Debian über die Rettungs-ISO in ein LUKS-Root-Volume und entsperren Sie durch die Panel-Konsole bei jedem Booten — machbar, aber eine bedeutsame Änderung des operativen Aufwands.

Wie oft sollte ich Snapshots erstellen?

Drei sinnvolle Rhythmen. (1) Vor jeder bedeutsamen Änderung (Paket-Upgrade, Konfigurationsbearbeitung, OS-Upgrade). (2) Nach einem Zeitplan — einmal pro Woche ist ein vernünftiger Standard für jede Produktionsworkload. (3) Vor jeder Backup-Verifikationsübung, damit Sie beweisen können, dass die Wiederherstellung funktioniert. NordBastion-Snapshots sind Off-Host und verschlüsselt; sie verbrauchen nicht Ihren VPS-Speicher und können in etwa 90 Sekunden wiederhergestellt werden.

Soll ich den VPS überwachen, und wie?

Für die erste Stunde: noch nicht — die Absicherung erledigen, den Workload zum Laufen bringen, dann Monitoring hinzufügen, sobald Sie etwas haben, das es wert ist, überwacht zu werden. Leichte Optionen: node_exporter + Prometheus + Grafana auf einem zweiten kleinen VPS, Netdata als Single-Binary-Self-Hosted-Dashboard, oder noch einfacher, ein kostenloser externer Uptime-Checker (UptimeRobot, BetterStack), der die öffentlichen Ports anpingt. Einen wählen, konfigurieren und vergessen — Monitoring ist am nützlichsten, wenn es still bleibt.

Weiter

Server gehärtet. Jetzt etwas darauf aufbauen.

WireGuard VPN Tor hidden service Lightning node Mastodon Katalog

Zuletzt überprüft · 2026-05-20 · Getestet · Debian 12 · Ubuntu 22.04 / 24.04 · Alpine 3.19+

Part of the series

Anonymous VPS hosting in 2026 — the cluster.

This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.

Säulen-Leitfaden
Read the pillar · Anonymous VPS hosting in 2026

Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.

Open the pillar
Fundamentals
No-KYC VPS, explained

What “no KYC” actually means — and what it does not.

Continue →
Fundamentals
Nordic jurisdictions for privacy hosting

Why Sweden, Finland, Norway and Iceland — the legal floor of each.

Continue →
Zahlungen
How to pay a VPS with Monero

XMR end-to-end — wallet, transfer, confirmations, change.

Continue →
Zahlungen
How to pay a VPS with Bitcoin Lightning

Lightning invoice → paid VPS in under 30 seconds.

Continue →