Infomaniak liefert auf VPS-Angeboten ein sauberes Betriebssystem, doch die Betriebssicherheit muss kundenseitig aufgebaut werden. Für ein KMU ist nicht die "perfekte" Architektur entscheidend, sondern eine konsistente Sicherheitsbasis, die danach zuverlässig betrieben wird.
Kontext: VPS Lite vs VPS Cloud
Bei VPS Lite steht eine providerseitig verwaltete Firewall im Manager zur Verfügung. VPS Cloud bietet ein roheres System mit mehr Flexibilität, verlangt aber mehr Sicherheitsdisziplin im Betrieb. In beiden Fällen ist das gelieferte OS nur der Startpunkt: Kontrollen wie fail2ban, striktes SSH-Zugriffsmodell oder umfassendes Auditing sind nicht automatisch vorhanden.
Methodik
Eine Managed Firewall reduziert die Angriffsfläche, ersetzt aber keine Systemabsicherung. Entscheidend ist Defense-in-Depth mit ergänzenden Kontrollen auf mehreren Ebenen.
Security-Basiskontrollen
1) SSH über Jumphost
Statt breiter direkter SSH-Zugriffe verbessert ein Jumphost (Bastion) Nachvollziehbarkeit und reduziert Exposure. Praktisch heißt das: SSH nur mit Schlüsseln, Entfernung des Standardbenutzers ubuntu für menschliche Logins, ein persönlicher Account pro freigegebenem Zugriff, minimale sudo-Rechte und zeitnahe Entfernung veralteter Zugriffe.
2) UFW (Host-Firewall)
UFW erlaubt explizites Steuern von eingehendem und ausgehendem Traffic auf Serverebene. Ein sinnvoller Start: "deny incoming" als Standard und nur notwendige Ports freigeben (typisch 22, 80, 443). Das bleibt wichtig, auch wenn bereits eine Provider-Firewall aktiv ist.
3) Interne Dienste an localhost binden
Interne Komponenten (Datenbanken, private APIs, Admin-Tools) an 127.0.0.1 oder ein privates Netz binden, statt sie öffentlich erreichbar zu machen.
4) Automatische Security-Updates
unattended-upgrades aktivieren und feste Wartungsfenster planen. So verkleinern Sie das Zeitfenster zwischen verfügbarem Patch und produktiver Installation.
5) fail2ban (Brute-Force und Missbrauch)
fail2ban überwacht Logs (insbesondere SSH) und sperrt IPs mit wiederholten verdächtigen Anmeldeversuchen automatisch. Mit wenig Aufwand sinkt damit das tägliche Angriffsrauschen deutlich.
6) auditd plus ausgelagerte Logs
auditd protokolliert sicherheitsrelevante Ereignisse (SSH, sudoers, Änderungen an kritischen Dateien). Best Practice ist Log-Offloading auf ein separates System oder einen dedizierten Dienst, damit Spuren auch bei Kompromittierung des Haupt-VPS erhalten bleiben.
Ergänzende Best Practices
- Getestete Backups — nicht nur sichern, sondern Wiederherstellung real prüfen.
- Monitoring und Alerting — Services, Disk, App-Fehler und Netzwerk-Anomalien aktiv überwachen.
- MFA im Provider-Account — Zugriff auf das Infomaniak-Manager-Konto zwingend mit MFA absichern.
- Incident-Runbook — kurzes Vorgehen (Erkennen, Eindämmen, Wiederherstellen, Kommunikation) dokumentieren und regelmäßig testen.
- SSHD-Hardening — Root-Login per SSH deaktivieren, erlaubte Benutzer einschränken und Idle-Timeouts strenger setzen.
- Egress-Filterung — ausgehenden Traffic auf notwendige Ziele begrenzen, um Exfiltration zu erschweren.
- Zeit-Synchronisierung — NTP/chrony durchsetzen für korrelierbare Logs und bessere Forensik.
Prioritäten-Checkliste
Tag 0
Sofortige Reduktion der Angriffsfläche
UFW aktivieren, öffentliche Ports begrenzen, SSH-Keys erzwingen, riskante Zugänge deaktivieren, fail2ban installieren.
Woche 1
Nachvollziehbarkeit und Resilienz aufbauen
auditd ausrollen, Logs auslagern, Backups verifizieren, Monitoring und Alarme einführen.
Laufend
Sicherheitsniveau kontinuierlich betreiben
Regelmäßige Zugriffsprüfungen, Patch-Management, Restore-Tests, Firewall-Überprüfung und laufende Sicherheitsverbesserung.
Unterstützung bei der VPS-Absicherung?
Wir unterstützen Schweizer KMU dabei, VPS-Infrastrukturen robust aufzubauen und sicher zu betreiben: Zugriffe, Firewall, Audit, Monitoring, Backups und Betriebsprozesse.
Wenn Sie Ihre VPS-Infrastruktur pragmatisch absichern möchten, kontaktieren Sie d-side solutions.
Luc Demierre
Gründer & IT-Ingenieur — d-side solutions Sàrl, Bulle
Plant und sichert Linux-Infrastrukturen für Schweizer KMU mit Fokus auf pragmatischen Betrieb und Resilienz.