Asegurar un servidor Ubuntu para el uso público de OpenClaw

ssh -p 22 root@52.213.101.188

sudo apt update && apt full-upgrade -y
sudo apt autoremove --purge
sudo reboot

dpkg-reconfigure -plow unattended-upgrades

vi /etc/apt/apt.conf.d/20auto-upgrades

APT::Periodic::Update-Package-Lists "1";
APT::Periodic::Unattended-Upgrade "1";
APT::Periodic::AutocleanInterval "7";

sudo systemctl restart apt-daily.timer apt-daily-upgrade.timer

vi /etc/apt/apt.conf.d/50unattended-upgrades

Unattended-Upgrade::Automatic-Reboot "true";
Unattended-Upgrade::Automatic-Reboot-Time "04:00";

sudo adduser aaron
sudo usermod -aG sudo aaron
# OpenClaw Benutzer ohne root Rechte
sudo adduser openclaw

su - aaron
sudo -s
su - openclaw

ssh -p 22 aaron@52.213.101.188
sudo -s

sudo vi /etc/ssh/sshd_config

# Port auf einen High-Port ändern (Security through Obscurity)
# Die Verlegung des Dienstes auf Port 40000 bietet keine echte Sicherheit gegen gezielte Angriffe da automatisierte Werkzeuge den offenen Dienst schnell finden können. Diese Maßnahme dient primär der Reduzierung des Grundrauschens in den Protokolldateien da die meisten einfachen Skripte nur Standardports abfragen. Durch die geringere Anzahl an automatisierten Anmeldeversuchen bleiben die Systemprotokolle deutlich übersichtlicher was die Analyse echter Sicherheitsvorfälle erleichtert.
Port 40000

# Mit PermitRootLogin no wird der direkte Zugang für das root Konto vollständig unterbunden was eine Anmeldung über einen normalen Benutzer z.B. aaron erzwingt.
PermitRootLogin no

# Die Anweisung AllowUsers aaron erstellt eine Whitelist die den Zugriff exklusiv auf diesen einen Namen einschränkt.
AllowUsers aaron

# Brute-Force-Schutz härten
# MaxAuthTries 3 begrenzt die erlaubten Fehlversuche bei der Passworteingabe pro Verbindung während MaxSessions 2 die Anzahl der parallelen Sitzungen limitiert.
MaxAuthTries 3
MaxSessions 2
# ClientAliveCountMax 2 legt die maximale Anzahl an Prüfsignalen fest die der Server ohne Rückmeldung an den fernen Teilnehmer sendet bevor die Verbindung automatisch beendet wird. Dieser Wert arbeitet zusammen mit dem Zeitabstand für solche Abfragen. Wenn auf eine gesendete Abfrage keine Antwort erfolgt wird ein interner Zähler erhöht. Erreicht dieser Zähler den Wert 2 wird die Sitzung sofort getrennt. Das dient dazu das System vor verwaisten Verbindungen zu schützen die keine Aktivität mehr aufweisen aber dennoch Ressourcen verbrauchen oder ein Sicherheitsrisiko darstellen könnten. Durch diese Einstellung wird sichergestellt dass blockierte oder vergessene Sitzungen nicht dauerhaft bestehen bleiben.
ClientAliveCountMax 2

# Diese Parameter deaktivieren Funktionen für Datentunnel oder grafische Oberflächen um die Angriffsfläche des Systems zu minimieren.
TCPKeepAlive no
AllowTcpForwarding no
X11Forwarding no

# Logging erhöhen
LogLevel VERBOSE

PasswordAuthentication no
ChallengeResponseAuthentication no

sudo EDITOR=vi systemctl edit ssh.socket

# Die leere ListenStream= Direktive ist notwendig, um die Standardkonfiguration zu löschen.
# Die leere Zuweisung ListenStream= fungiert in diesem Kontext als Reset-Befehl. Ohne diese Zeile würde der SSH-Socket weiterhin auf dem Standardport 22 lauschen und den Port 40000 lediglich als zusätzliche Option hinzufügen.
[Socket] 
ListenStream= 
ListenStream=40000

# Die Überprüfung der Konfiguration mit dem Testbefehl stellt sicher dass keine Syntaxfehler vorliegen die den Dienst am Starten hindern könnten.
sshd -t
# Danach wird die Systemverwaltung angewiesen die Konfigurationseinheiten neu einzulesen damit die manuellen Änderungen am Socket vom System erkannt werden.
systemctl daemon-reload
# Der Neustart des Sockets aktiviert die Überwachung von Port 40000 für eingehende Anfragen während der Neustart des Dienstes die gesamte Umstellung finalisiert.
systemctl restart ssh.socket
systemctl restart ssh.service

ssh -p 40000 aaron@52.213.101.188

ssh -p 22 root@52.213.101.188

# Standard-Richtlinien setzen
ufw default deny outgoing
ufw default deny incoming

# SSH auf neuem Port erlauben
ufw allow in 40000/tcp
ufw allow out 40000/tcp

# Webserver-Traffic erlauben
ufw allow in 80/tcp
ufw allow out 80/tcp
ufw allow in 443/tcp
ufw allow out 443/tcp

# DNS und NTP ausgehend erlauben
ufw allow out 53/udp
ufw allow out 53/tcp
ufw allow out 123/udp

# Listet alle Regeln auf die dem System bereits hinzugefügt wurden selbst wenn diese im aktuellen Moment noch nicht aktiv geschaltet sind.
sudo ufw show added
# Filterdienst wird gestartet und der Schutzmechanismus fest im Betriebssystem verankert damit er bei jedem zukünftigen Systemstart automatisch geladen wird.
sudo ufw enable
# Gibt eine Übersicht aller derzeit aktiven Regeln aus und versieht jede einzelne Zeile mit einer fortlaufenden Nummer was die gezielte Bearbeitung oder das Löschen einzelner Einträge erheblich vereinfacht.
sudo ufw status numbered
# Durch ufw reload wird das gesamte Regelwerk neu eingelesen um aktuelle Änderungen sofort wirksam zu machen ohne dabei laufende Netzwerkverbindungen zu unterbrechen.
sudo ufw reload
# Liefert einen umfassenden Bericht über den gesamten Betriebszustand inklusive der grundlegenden Sicherheitsvorgaben für den ein und ausgehenden Datenverkehr sowie der aktuell eingestellten Protokollierungstiefe.
ufw status verbose

sudo apt install fail2ban -y

sudo vi /etc/fail2ban/jail.local

[DEFAULT]
# Die Zeile bantime 24h legt fest dass eine blockierte IP Adresse für genau eine 24h Stunden keine Verbindung zum Server herstellen darf.
bantime  = 24h
# Der Parameter findtime = 100m definiert das Zeitfenster, innerhalb dessen die Fehlversuche gezählt werden. Fail2Ban betrachtet dabei immer ein gleitendes Fenster der letzten 10 Minuten ab dem aktuellsten Ereignis.
findtime = 100m
# Nur wenn die Anzahl der Fehlversuche (maxretry) innerhalb dieses spezifischen Zeitraums erreicht wird, wird die IP-Adresse gesperrt.
maxretry = 3

[sshd]
# Aktiviert den Schutz
enabled = true
# Definiert den Port auf dem der Dienst lauscht (muss mit sshd_config übereinstimmen)
port    = 40000
# Verweist auf die Filterdatei mit den Suchmustern für SSH Angriffe
filter  = sshd
# Pfad zur Protokolldatei in der Anmeldeversuche aufgezeichnet werden
logpath = /var/log/auth.log
# Nutzt das moderne Systemprotokoll zum effizienten Auslesen der Daten
backend = systemd

# Sorgt dafür dass der Dienst bei jedem Bootvorgang automatisch startet damit der Schutz ohne manuelle Eingriffe immer aktiv bleibt.
sudo systemctl enable fail2ban 
# Neustart, um alle Änderungen an der Konfiguration wie den neuen Port 40000 oder die Sperrdauer in das laufende System zu übernehmen.
sudo systemctl restart fail2ban
# Zeigt den aktuellen Zustand des Filters sowie eine Liste aller momentan blockierten Teilnehmer und die Anzahl der registrierten Angriffsversuche an.
sudo fail2ban-client status sshd

sudo apt update && apt install auditd debsums apt-listchanges libpam-tmpdir -y

sudo vi /etc/sysctl.d/99-hardening.conf

# Keine Speicherabbilder für Dienste: Ein Absturz von SSH hinterlässt kein Passwort im Speicherprotokoll.
fs.suid_dumpable = 0
# Versteckt Kerneladressen: Ein Angreifer sieht nicht wo genau im Speicher eine Funktion liegt die er ausnutzen will.
kernel.kptr_restrict = 2
# Härtet den Programmübersetzer: Schadcode kann nicht über den Netzwerkfilter in den Kernel eingeschleust werden.
net.core.bpf_jit_harden = 2
# Sperrt BPF für normale Nutzer: Ein einfacher Benutzer kann keine fremden Datenpakete auf dem Server mitlesen.
kernel.unprivileged_bpf_disabled = 1
# Protokolliert ungültige Pakete: Ein Paket von einer internen Adresse das von außen kommt wird als Bedrohung gemeldet.
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1
# Verbietet Umleitungen: Ein fremder Rechner kann deinen Server nicht anweisen Daten über einen unsicheren Umweg zu schicken.
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0
# Keine Routenvorgabe durch Pakete: Ein Paket kann nicht selbst bestimmen welchen Weg es durch das Netz nimmt um Filter zu umgehen.
net.ipv4.conf.default.accept_source_route = 0

# Installation
sudo apt install lynis
# Audit starten
sudo lynis audit system

sudo vi /etc/sysctl.d/99-lynis-hardening.conf

# Diese Einstellung sorgt dafür, dass die Prozess-ID (PID) an den Namen der Core-Dumps angehängt wird. Dies erleichtert die Zuordnung von Fehlern und verhindert das einfache Überschreiben älterer Berichte.
kernel.core_uses_pid = 1
# Hiermit wird der „Reverse Path Filter“ aktiviert. Das System prüft dabei, ob eingehende Pakete über die plausible Schnittstelle ankommen, über die auch die Antwort gesendet würde. Dies ist ein wichtiger Schutz gegen IP-Spoofing.
net.ipv4.conf.all.rp_filter = 1
# Diese Zeile wendet die Filterregel für den Rückpfad als Standardwert auf alle Netzwerkschnittstellen des Systems an.
net.ipv4.conf.default.rp_filter = 1
# Diese Option deaktiviert die sogenannten „Magic SysRq“-Tastenkombinationen. Damit wird verhindert, dass Personen mit physischem Zugriff auf den Server kritische Befehle direkt über die Tastatur auslösen können.
kernel.sysrq = 0

sudo sysctl -p /etc/sysctl.d/99-hardening.conf
sudo sysctl -p /etc/sysctl.d/99-lynis-hardening.conf

# Cron und Systemdateien schützen
sudo chmod 600 /etc/crontab
sudo chmod 700 /etc/cron.d
sudo chmod 700 /etc/cron.daily
sudo chmod 700 /etc/cron.hourly
sudo chmod 700 /etc/cron.weekly
sudo chmod 700 /etc/cron.monthly
sudo chmod 600 /etc/at.deny
sudo chmod 600 /etc/ssh/sshd_config

# Die Einschränkung von Werkzeugen zur Programmerstellung wie Compilern erschwert es Angreifern erheblich eigene Schadsoftware direkt auf dem Zielsystem zu bauen und auszuführen.
sudo chmod 700 /usr/bin/gcc
sudo chmod 700 /usr/bin/make

# Das restlose Entfernen veralteter Dienste wie Telnet beseitigt zudem bekannte Sicherheitslücken die durch eine unverschlüsselte Übertragung von Daten entstehen würden.
sudo apt purge rsh-client rsh-redone-client telnet -y

# Zeigt den Warntext bei einer lokalen Anmeldung direkt an der Konsole an
sudo vi /etc/issue

# Stellt den Rechtstext für Anmeldeversuche über das Netzwerk bereit
sudo vi /etc/issue.net

*****************************************************************************
AUTHORIZED USERS ONLY.
This system is restricted to authorized users for business purposes only.
All activities on this system are logged and monitored. Unauthorized 
access or use is strictly prohibited and may be subject to criminal 
and/or civil penalties. By continuing, you consent to these terms.
*****************************************************************************

sudo postconf -e "smtpd_banner = \$myhostname ESMTP"
sudo postconf -e "disable_vrfy_command = yes"
sudo systemctl restart postfix

sudo apt install rkhunter -y

sudo vi /etc/rkhunter.conf

UPDATE_MIRRORS=1
MIRRORS_MODE=0
WEB_CMD=/usr/bin/wget

sudo /etc/default/rkhunter

# Diese Einstellung sorgt für die tägliche und selbstständige Durchführung einer vollständigen Systemüberprüfung im Hintergrund. Damit wird sichergestellt dass potenzielle Manipulationen an Dateien zeitnah erkannt werden ohne dass ein manueller Start durch einen privilegierten Nutzer erforderlich ist.
CRON_DAILY_RUN="true"
# Mit dieser Option wird die regelmäßige Aktualisierung der internen Datenbank für Dateieigenschaften und Signaturen aktiviert. Dies ist entscheidend um die Erkennungsrate gegen neue Bedrohungen hoch zu halten da veraltete Informationen die Schutzwirkung des Programms erheblich mindern würden.
CRON_DB_UPDATE="true"
# Diese Zeile bewirkt die automatische Erneuerung der Dateireferenzen sobald Software über die Paketverwaltung des Systems installiert oder aktualisiert wird. Durch diesen Abgleich werden Fehlalarme vermieden die sonst entstehen würden wenn rechtmäßige Programmänderungen als unbefugte Eingriffe missverstanden werden.
APT_AUTOGEN="true"

# Dieser Befehl dient der Aktualisierung der internen Datenbanken des Programms. Er lädt die neuesten Signaturen und Informationen über bekannte Rootkits, Backdoors und andere bösartige Software von den offiziellen Servern herunter, um die Erkennungsrate des Systems auf dem aktuellen Stand zu halten.
sudo rkhunter --update
# Mit dieser Anweisung wird ein sogenanntes „Property Update“ durchgeführt. Das Programm analysiert die aktuellen Dateieigenschaften (wie etwa Dateigröße oder Hash-Werte) der wichtigen Systemdateien und speichert diese als vertrauenswürdige Basislinie in einer Datenbank. Dies ist notwendig, damit das Tool bei künftigen Prüfungen feststellen kann, ob Dateien unbefugt verändert wurden. Dieser Schritt sollte immer nach einer gewollten Systemaktualisierung oder Softwareinstallation ausgeführt werden, um Fehlalarme zu vermeiden.
sudo rkhunter --propupd
# Dies ist der eigentliche Prüfbefehl, der den Scanvorgang startet. Das Werkzeug vergleicht die laufenden Prozesse und Dateien des Systems mit der zuvor erstellten Datenbank sowie den aktuellen Signaturen. Dabei wird nach verdächtigen Verzeichnissen, versteckten Dateien und bekannten Anzeichen für eine Kompromittierung des Kernels oder der Systemanwendungen gesucht.
sudo rkhunter --check

sudo apt install auditd audispd-plugins

sudo vi /etc/audit/rules.d/audit.rules

# Zeichnet auf wenn Benutzergruppen erstellt oder in ihren Berechtigungen verändert werden.
-w /etc/group -p wa -k identity
# Überwacht die zentrale Datei für Nutzerinformationen um Manipulationen an Konten zu erkenne
-w /etc/passwd -p wa -k identity
# Protokolliert Zugriffe auf die verschlüsselten Passwörter was für die Erkennung von Diebstahlsversuchen kritisch ist.
-w /etc/shadow -p wa -k identity
# Jede Änderung an den Befugnissen für die Ausführung von Befehlen mit erweiterten Rechten wird festgehalten.
-w /etc/sudoers -p wa -k identity
# Verhindert dass die Identität des Systems im Netzwerk unbemerkt modifiziert wird.
-w /etc/hostname -p wa -k system-locale
# Stellt sicher dass Änderungen an Schnittstellen oder Routingtabellen nachvollziehbar bleiben.
-w /etc/network -p wa -k system-locale
# Überwacht die Datei welche die Informationen über die jeweils letzten Anmeldungen der Nutzer speichert.
-w /var/log/lastlog -p wa -k logins
# Registriert Ereignisse die mit fehlgeschlagenen Anmeldeversuchen und daraus resultierenden Sperrungen zusammenhängen.
-w /var/run/faillock -p wa -k logins
# Diese Anweisung bewirkt dass auf Systemen mit einer Architektur von 64 Bit jeder einzelne Start eines Programms lückenlos aufgezeichnet wird. Der Systemaufruf namens execve ist für das Ausführen von Anwendungen zuständig und wird hierbei bei jedem Beenden des Vorgangs protokolliert. Dies ermöglicht es der administrativen Ebene genau zu rekonstruieren welcher Nutzer zu welchem Zeitpunkt welchen Befehl auf der Konsole gestartet hat. Selbst wenn ein Nutzer wie z.B. aaron versucht Spuren zu verwischen bleiben diese Aktionen im Audit Protokoll dauerhaft gespeichert.
-a always,exit -F arch=b64 -S execve -k command-execution

# Dieser Befehl wird verwendet, um die Audit-Regeln aus den Konfigurationsdateien (normalerweise unter /etc/audit/rules.d/) zu kompilieren und direkt in den laufenden Kernel zu laden. Dadurch werden Änderungen am Regelwerk sofort wirksam, ohne dass ein Neustart des Dienstes oder des Systems erforderlich ist.
sudo augenrules --load
# Listet alle aktuell im Kernel geladenen Audit-Regeln auf. Dies ermöglicht eine direkte Kontrolle darüber, ob die gewünschten Überwachungsregeln erfolgreich aktiviert wurden und welche Systemereignisse momentan vom Kernel protokolliert werden.
sudo auditctl -l