Linux Hardening Checklist
Zur Navigation springen
Zur Suche springen
- SSH (Secure Shell) verwenden
- Sudo-Benutzer anlegen und Root-Login deaktivieren
- Basis-Firewall einrichten (nftables, bzw. ufw oder firewalld als Frontend)
- Nicht benötigte Linux-Dienste deaktivieren
- Brute-Force-Schutz installieren (fail2ban oder CrowdSec)
- SELinux oder AppArmor aktivieren
- System und Pakete aktuell halten
- USB- und Thunderbolt-Geräte deaktivieren (falls nicht benötigt)
- Strenge Passwort-Richtlinien durchsetzen
- Wiederverwendung alter Passwörter einschränken
- Unnötige Pakete entfernen, um die Angriffsfläche zu minimieren
- Passwort-Ablauf (Password Aging) einrichten
- Nicht benötigte SUID-/SGID-Binaries deaktivieren
- Logging und Auditing konfigurieren (z. B. auditd)
- Regelmäßige Backups durchführen
- Lauschende Netzwerk-Ports überwachen
- Separate Partitionen für das System anlegen (z. B. /tmp, /var)
- SSH-Key-Authentifizierung nutzen (Passwort-Login deaktivieren)
- Rootkit-/Integritätsprüfung einrichten (AIDE, Wazuh rootcheck; optional rkhunter/chkrootkit)
- Kernel-Parameter über sysctl.conf härten