Debian Server Setup: Minimalinstallation und sauberes Grundsystem

Ein sauber installiertes Debian-System bildet die Grundlage für stabile, sichere und wartbare Serverumgebungen. Dieser Leitfaden richtet sich an Einsteiger, IT-Studierende und Junior Network Engineers und beschreibt Schritt für Schritt die Minimalinstallation, Netzwerk-Setup, Benutzer- und Berechtigungsmanagement sowie Sicherheitsmaßnahmen für ein sauberes Grundsystem.

Debian ISO herunterladen und Boot-Medium erstellen

Bevor die Installation beginnen kann, muss das passende ISO-Image heruntergeladen und ein bootfähiges Medium erstellt werden.

ISO-Auswahl

• Debian Stable (aktuell z. B. Debian 12 “Bookworm”) für LTS-Support und Stabilität
• Netinst-Image (minimal) für schlanke Installation ohne unnötige Pakete

Boot-Medium erstellen

• USB-Stick vorbereiten (≥4 GB)
• Linux/macOS: dd, Windows: Rufus

sudo dd if=debian-12.3.0-amd64-netinst.iso of=/dev/sdX bs=4M status=progress && sync

Installation starten

Den Server von USB starten und Schritt für Schritt die Installation durchführen.

BIOS/UEFI-Einstellungen

• Boot-Reihenfolge auf USB setzen
• UEFI oder Legacy Boot wählen, je nach Hardware

Installationsprozess

• Sprache, Region und Tastatur auswählen
• Netzwerkkonfiguration: DHCP oder statische IP einstellen
• Hostname und Domain-Name festlegen
• Partitionierung: manuell oder guided mit LVM
• Root-Passwort setzen, ersten Benutzer anlegen
• Softwareauswahl: nur Standard System Utilities und SSH-Server

Partitionierung und Dateisysteme

Eine sinnvolle Partitionierung sorgt für Performance, einfache Wartung und Backups.

Beispiel Minimallayout

• /boot → 1 GB, ext4
• / → 20–50 GB, ext4
• /home → Rest, ext4
• Swap → 1–2×RAM

CLI-Beispiel manuelle Partitionierung

sudo fdisk /dev/sda
# n → neue Partition
# p → primär
# t → Typ ändern (82 für swap)
# w → Änderungen schreiben

Netzwerkkonfiguration

Netzwerkzugang ist entscheidend für Updates, Remote Management und Paketinstallation.

Statische IP und DNS einrichten

sudo nano /etc/network/interfaces
auto ens33
iface ens33 inet static
    address 192.168.1.100
    netmask 255.255.255.0
    gateway 192.168.1.1
    dns-nameservers 8.8.8.8 8.8.4.4
sudo systemctl restart networking

Verbindung testen

ping -c 4 8.8.8.8
ping -c 4 google.com
ip addr show

Benutzer- und Berechtigungsmanagement

Benutzerkonten sauber anlegen und Berechtigungen korrekt verteilen, um Sicherheitsrisiken zu minimieren.

Best Practices

• Root nur für Notfälle verwenden
• Administratoren mit sudo Rechten
• SSH-Schlüssel statt Passwörter
• Gruppen für Rollen und Dienste erstellen
• Minimalrechte nach dem Prinzip “Least Privilege”

CLI-Beispiele

sudo adduser adminuser
sudo usermod -aG sudo adminuser
mkdir -p /home/adminuser/.ssh
chmod 700 /home/adminuser/.ssh
nano /home/adminuser/.ssh/authorized_keys
chmod 600 /home/adminuser/.ssh/authorized_keys
chown -R adminuser:adminuser /home/adminuser/.ssh

SSH-Zugang absichern

SSH ist der zentrale Remote-Zugang. Sichere Konfiguration verhindert unbefugten Zugriff.

Empfohlene Einstellungen

• Root-Login deaktivieren: /etc/ssh/sshd_config
• Nur Schlüssel-basierte Authentifizierung
• Standard-Port ändern (optional)
• Fail2Ban gegen Brute-Force-Angriffe einsetzen

sudo nano /etc/ssh/sshd_config
PermitRootLogin no
PasswordAuthentication no
Port 2222
sudo systemctl restart sshd
sudo apt install fail2ban
sudo systemctl enable fail2ban

Firewall & Security

Die Firewall schützt vor unerwünschtem Zugriff und bietet grundlegende Netzwerksicherheit.

UFW konfigurieren

sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow 2222/tcp
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw enable
sudo ufw status verbose

Software-Management & Updates

Regelmäßige Updates und minimal installierte Pakete erhöhen die Sicherheit und Stabilität.

CLI-Beispiele

sudo apt update
sudo apt upgrade -y
sudo apt install vim git curl wget htop -y

Monitoring & Logging

Kontinuierliche Überwachung und Protokollierung unterstützen Fehleranalyse und Sicherheitskontrolle.

Wichtige Logs

• /var/log/syslog
• /var/log/auth.log
• /var/log/kern.log
• Journalctl für Systemd-Logs

CLI-Beispiele

sudo tail -f /var/log/syslog
sudo tail -f /var/log/auth.log
sudo journalctl -xe

Backup & Wiederherstellung

Regelmäßige Backups sichern System- und Benutzerdaten gegen Datenverlust.

Best Practices

• Konfigurationsdateien separat sichern
• Home-Verzeichnisse regelmäßig sichern
• Datenbank-Exporte erstellen (mysqldump, pg_dump)
• Backups versionieren und extern speichern
• Regelmäßige Wiederherstellung testen

CLI-Beispiele

sudo tar -czvf /backup/etc-backup-$(date +%F).tar.gz /etc
sudo rsync -avz /home/ /backup/home/
mysqldump -u root -p database_name > /backup/db_backup_$(date +%F).sql

Sicherheitshärtung

Eine gehärtete Debian-Basis reduziert Angriffsflächen und erhöht die Systemsicherheit.

Empfohlene Maßnahmen

• Unnötige Dienste deaktivieren
• AppArmor aktivieren
• Regelmäßige Systemupdates durchführen
• SSH-Härtung und Firewall prüfen
• Security Audits regelmäßig durchführen

Automatisierung & Maintenance

Automatisierte Aufgaben vereinfachen den Betrieb, reduzieren Fehler und gewährleisten Konsistenz.

Beispiele

• Crontab für regelmäßige Updates und Backups
• Logrotation für Systemlogs
• Health-Check-Skripte für Dienste
• Versionierung von Konfigurationsdateien mit Git

Crontab-Beispiel

sudo crontab -e
0 2 * * * /usr/bin/apt update && /usr/bin/apt upgrade -y
0 3 * * * /usr/bin/rsync -avz /home/ /backup/home/

Zusammenfassung

Mit einer Minimalinstallation und sauberen Basis-Konfiguration bietet ein Debian-Server eine stabile, sichere und wartbare Plattform. Durch Netzwerk-Setup, Benutzer- und Berechtigungsmanagement, SSH-Härtung, Firewall-Konfiguration, Software-Management, Monitoring, Backup und Security-Härtung entsteht eine solide Grundlage für produktive Serverdienste und zukünftige Erweiterungen.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.