Linux Hardening Checklist

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
  • SSH (Secure Shell) verwenden
  • Sudo-Benutzer anlegen und Root-Login deaktivieren
  • Basis-Firewall einrichten (nftables, bzw. ufw oder firewalld als Frontend)
  • Nicht benötigte Linux-Dienste deaktivieren
  • Brute-Force-Schutz installieren (fail2ban oder CrowdSec)
  • SELinux oder AppArmor aktivieren
  • System und Pakete aktuell halten
  • USB- und Thunderbolt-Geräte deaktivieren (falls nicht benötigt)
  • Strenge Passwort-Richtlinien durchsetzen
  • Wiederverwendung alter Passwörter einschränken
  • Unnötige Pakete entfernen, um die Angriffsfläche zu minimieren
  • Passwort-Ablauf (Password Aging) einrichten
  • Nicht benötigte SUID-/SGID-Binaries deaktivieren
  • Logging und Auditing konfigurieren (z. B. auditd)
  • Regelmäßige Backups durchführen
  • Lauschende Netzwerk-Ports überwachen
  • Separate Partitionen für das System anlegen (z. B. /tmp, /var)
  • SSH-Key-Authentifizierung nutzen (Passwort-Login deaktivieren)
  • Rootkit-/Integritätsprüfung einrichten (AIDE, Wazuh rootcheck; optional rkhunter/chkrootkit)
  • Kernel-Parameter über sysctl.conf härten