Homeserver mit Raspberry: Setup, Sicherheit und Netzwerk

von

Stefan
in

Nachdem wir im ersten Teil den Raspberry Pi vorbereitet und Raspberry Pi OS Lite installiert haben, widmen wir uns nun den Systemeinstellungen, Sicherheitsmaßnahmen und dem Netzwerk-Setup. Ziel ist es, eine stabile und sichere Grundlage für den späteren Serverbetrieb zu schaffen.

Hostname und Zeitzone festlegen

Ein eindeutiger Hostname erleichtert die Verwaltung und hilft, den Raspberry Pi im Netzwerk zu identifizieren.

sudo raspi-config
  • System Options → Hostname: z. B. homeserver
  • Localisation Options → Timezone: Richtige Zeitzone einstellen
  • Keyboard Layout: Falls nötig, deutsches Layout wählen

Änderungen werden nach einem Neustart aktiv:

sudo reboot

Statische IP-Adresse konfigurieren

Damit der Raspberry Pi im Heimnetzwerk immer unter derselben IP erreichbar ist, setzen wir eine feste IP-Adresse.

sudo nano /etc/dhcpcd.conf

Am Ende der Datei hinzufügen:

interface eth0
static ip_address=192.168.1.100/24
static routers=192.168.1.1
static domain_name_servers=192.168.1.1 8.8.8.8

Neustart des Dienstes:

sudo systemctl restart dhcpcd

Tipp: Alternativ kann die feste IP auch direkt im Router vergeben werden.

SSH-Keys einrichten für sichere Anmeldung

Statt Passwörtern empfehlen wir SSH-Schlüssel für eine sichere und komfortable Anmeldung:

Auf dem Client-Rechner:

ssh-keygen
ssh-copy-id pi@192.168.1.100

Jetzt ist die Anmeldung ohne Passwort möglich, und wir können die Passwort-Authentifizierung deaktivieren:

sudo nano /etc/ssh/sshd_config

Folgende Zeilen anpassen:

PasswordAuthentication no
PermitRootLogin no

Neustart des SSH-Dienstes:

sudo systemctl restart ssh

Firewall mit UFW konfigurieren

UFW (Uncomplicated Firewall) ist einfach zu bedienen und schützt vor unerwünschtem Zugriff:

sudo apt install ufw -y
sudo ufw allow OpenSSH
sudo ufw enable

Weitere Dienste können später explizit freigegeben werden, z. B.:

sudo ufw allow 80/tcp    # HTTP
sudo ufw allow 443/tcp   # HTTPS

Fail2ban gegen Brute-Force-Angriffe

Fail2ban schützt den SSH-Zugang vor wiederholten Fehlversuchen:

sudo apt install fail2ban -y
sudo systemctl enable fail2ban --now

Standardmäßig ist SSH bereits abgesichert. Anpassungen erfolgen in /etc/fail2ban/jail.local, z. B.:

[sshd]
enabled = true
port    = ssh
filter  = sshd
logpath = /var/log/auth.log
maxretry = 5

Automatische Updates

Sicherheitsupdates können automatisch installiert werden:

sudo apt install unattended-upgrades -y
sudo dpkg-reconfigure unattended-upgrades

So bleibt das System ohne manuelles Eingreifen aktuell.

7. VPN für Fernzugriff vorbereiten

Für sicheren Zugriff von außen empfiehlt sich ein VPN:

  • WireGuard: Modern und performant
  • OpenVPN: Bewährte Lösung mit breiter Unterstützung

Die Installation erfolgt später, wenn der Server von außen erreichbar sein soll.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert