Schwierigkeit: Mittel · Dauer: 45–90 Min · Ziel: Debian Hardening im Homelab: SSH, nftables, unattended-upgrades
Kurzproblem und Zielbild
In diesem Guide setzt du Debian Hardening im Homelab: SSH, nftables, unattended-upgrades mit reproduzierbaren Schritten, klaren Checks und belastbaren Recovery-Pfaden um.
Voraussetzungen
- Linux-/CLI-Grundlagen
- Admin-Zugriff auf die Zielsysteme
- Snapshot/Backup vor Änderungen
Schnellstart (funktionierende Basis)
hostnamectl
ip a
systemctl --failed
journalctl -p 3 -xb --no-pager | tail -n 30Schritt-für-Schritt Umsetzung
1) Ausgangszustand dokumentieren
date -Iseconds
uname -a
# aktuelle Versionen und relevante Konfig-Pfade notieren2) Kernkonfiguration sauber setzen
sudo apt update && sudo apt upgrade -y
sudo sed -n "1,120p" /etc/ssh/sshd_config
sudo nft list ruleset
sudo systemctl status unattended-upgrades3) Dienst/Funktion gezielt prüfen
sshd -t
sudo nft -c -f /etc/nftables.conf
sudo journalctl -u ssh -n 100 --no-pager4) Betriebsgrenzen testen
sudo nft -c -f /etc/nftables.conf
sshd -t
ssh -o PreferredAuthentications=publickey user@hostValidierung / Checks
sshd -t
sudo nft -c -f /etc/nftables.conf
sudo journalctl -u ssh -n 100 --no-pager
sudo sshd -T | egrep "passwordauthentication|permitrootlogin"
sudo unattended-upgrade --dry-run --debugTroubleshooting
Konfiguration wird nicht übernommen
Ursache: Syntax-/Reload-Fehler oder falscher Parameterpfad.
sudo journalctl -u ssh -n 200 --no-pager
sudo grep -E "PasswordAuthentication|PermitRootLogin" /etc/ssh/sshd_config
sudo systemctl restart sshDienst läuft, Funktion aber fehlerhaft
Ursache: Abhängigkeiten, Routing, Rechte oder Versionen inkonsistent.
sudo nft list ruleset
sudo ip route
ss -tulpn | egrep "22|80|443"Fazit
Mit einem klaren Ablauf, harten Checks und dokumentierten Grenzwerten bleibt das Setup wartbar statt zufällig stabil. Nächster Schritt: den Ablauf als monatliche Betriebsroutine einplanen.
