Ubuntu-Server-24.04-Fresh-Install-Härtungs-Checkliste

Jeder Ubuntu-24.04-Host, der unserer gemanagten Flotte beitritt, durchläuft denselben Härtungs-Pass, bevor irgendeine Workload darauf landen darf. Die Defaults aus dem Cloud-Image sind anständig — vor fünf Jahren waren sie es nicht — aber „anständig" ist kein Security-Baseline. Es gibt einen kleinen Satz an Änderungen, die das Threat Model materiell verschieben, und einen noch kleineren Satz an Ergänzungen, die den seltenen Vorfall fangen, wenn doch etwas durchkommt.

Dies ist die Checkliste, die wir als Ansible-Rolle auf jedem neuen Host fahren.

Der Erste-Stunde-Pass

# SSH — nur Keys, Cipher einschränken, root + Passwort deaktivieren
sed -i 's/^#PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_config
sed -i 's/^#PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
cat >> /etc/ssh/sshd_config.d/00-hardening.conf <<EOF
KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com
EOF
systemctl restart ssh
 
# UFW — standardmäßig deny, nur das Nötige erlauben
ufw default deny incoming
ufw default allow outgoing
ufw allow from <bastion-cidr> to any port 22
ufw enable
 
# fail2ban — SSH-Brute-Force-Jail
apt install -y fail2ban
systemctl enable --now fail2ban

Danach ist der Host nur über den Bastion erreichbar, nur mit SSH-Keys, nur auf modernen Cipher.

Der vollständige Beitrag behandelt:

• AppArmor-Profile im Enforce-Modus (die Defaults, die an sein sollten)
• auditd-Konfiguration — Datei-Integrität für /etc, /usr/sbin, Syscall-Monitoring
• Der Kernel-sysctl-Härtungs-Pass (net.ipv4.tcp_syncookies, rp_filter, etc.)
• needrestart, um Libraries zu fangen, die einen Reboot-nach-Upgrade brauchen
• chrony für Zeit-Sync (weil Kerberos und TLS davon abhängen)
• Das Host-Inventory-Beacon, das den Host bei unserem Config-Management auto-registriert

Wir fahren diese Checkliste auf jedem Ubuntu-24.04-Host am Tag Null.