Linux-Server & Homelab Grundlagen

In den 1990ern entstand der LAMP-Stack (Linux, Apache, MySQL, PHP) und ermöglichte kleinen Teams, öffentliche Webserver ohne teure kommerzielle Unix-Lizenzen zu betreiben. Amazon Web Services (2006) baute seinen gesamten Cloud-Stack auf Linux auf. Docker (2013) nutzte Linux Namespaces und Cgroups für Container-Isolation — ohne Linux gäbe es keine Container. Kubernetes (2014, von Google) orchestriert Container und hat die Software-Deployment-Welt verändert. Der gemeinsame Nenner: immer Linux, immer Open Source, immer mit Fokus auf Stabilität und Sicherheit.

• LAMP-Stack (1990s): Linux + Apache + MySQL + PHP — Demokratisierung des Webhosting
• AWS (2006): Gesamter Cloud-Stack auf Linux — EC2-Instanzen sind Linux-VMs
• Docker (2013): Linux-Namespaces und Cgroups als Container-Basis
• Kubernetes (2014): Google open-sourced Borg — Container-Orchestrierung auf Linux
• 96 % der Top-500-Supercomputer und 100 % der Top-500-Webserver laufen Linux
• Android: Linux-Kernel mit Google-spezifischen Patches — 3+ Milliarden Geräte

Der häufigste Einstiegspunkt für Angriffe auf Linux-Server ist nicht ein Zero-Day-Exploit, sondern Konfigurationsfehler. Root-SSH erlaubt, Standard-Credentials nicht geändert, veraltete Software, offene Ports ohne Firewall. Shodan.io indiziert täglich Millionen verwundbarer Server — frei zugänglich für jeden Angreifer. Ein frisch aufgesetzter Debian/Ubuntu-Server wird innerhalb von Minuten von automatisierten Scannern entdeckt und auf Standard-Credentials getestet.

• Root-SSH deaktivieren: PermitRootLogin no in /etc/ssh/sshd_config
• SSH-Key-Auth statt Passwort: ssh-keygen + authorized_keys — kein Passwort-Brute-Force möglich
• Standard-Ports ändern: SSH auf Port 2222 oder ähnlich — reduziert automatisierten Scan-Traffic
• fail2ban: Blockiert IP nach fehlgeschlagenen Login-Versuchen — schützt vor Brute-Force
• UFW/nftables: Alle Ports außer notwendigen blockieren — Default-Deny-Philosophie
• Veraltete Pakete: unattended-upgrades für automatische Sicherheitsupdates aktivieren

CIS (Center for Internet Security) veröffentlicht kostenlose Hardening-Guides für alle gängigen Linux-Distributionen — Hunderte von Einzelmaßnahmen, priorisiert nach Risiko. Tools wie Lynis (open source) führen automatische Sicherheitsaudits durch und geben konkrete Empfehlungen. Systemd ermöglicht Service-Sandboxing: Mit ProtectSystem, PrivateTmp und NoNewPrivileges können Systemdienste in ihrer Wirkung massiv eingeschränkt werden.

• CIS Benchmarks: Kostenlose Hardening-Guides für Ubuntu, Debian, CentOS (cisecurity.org)
• Lynis: Open-Source-Tool für automatischen Server-Sicherheitsaudit — apt install lynis
• Systemd-Sandboxing: ProtectSystem=strict, PrivateTmp=true in Service-Units
• AppArmor/SELinux: Mandatory Access Control — Prozesse auf erlaubte Dateien beschränken
• auditd: Kernel-Level-Logging aller sicherheitsrelevanten Ereignisse
• rkhunter + chkrootkit: Erkennung von Rootkits und versteckten Backdoors

Ein frisch aufgesetzter Linux-Server folgt einer definierten Hardening-Reihenfolge: System-Update, SSH-Hardening, Firewall, Nutzer-Management, Monitoring und Backup. Diese Reihenfolge ist nicht zufällig — jeder Schritt baut auf dem vorherigen auf und schließt Einfallstore von außen nach innen.

• Sofort nach Aufsetzen: apt update && apt upgrade -y — Basis-Updates einspielen
• Neuen Admin-User anlegen, Root-Passwort deaktivieren, SSH-Keys hinterlegen
• ufw: ufw default deny incoming && ufw allow ssh && ufw enable
• Automatische Sicherheitsupdates: apt install unattended-upgrades && dpkg-reconfigure -plow unattended-upgrades
• Monitoring mit Prometheus + Grafana oder netdata — Anomalien früh erkennen
• Tägliches Backup nach 3-2-1-Regel — rsync + rclone in S3-kompatiblen Speicher