March 7, 2026

Rocky Linux / AlmaLinux Setup: Enterprise-Server richtig aufsetzen

Rocky Linux und AlmaLinux bieten eine stabile, Enterprise-kompatible Plattform für Serverumgebungen. Dieser Leitfaden beschreibt die Einrichtung eines neuen Servers von der ISO bis zur minimalen Basisinstallation, inklusive Netzwerk, Benutzerverwaltung, Sicherheit und Monitoring. Zielgruppe sind Einsteiger, IT-Studierende und Junior Network Engineers, die eine solide Basis für produktive Systeme schaffen möchten.

ISO-Download und Boot-Medium erstellen

Vor der Installation muss die passende ISO heruntergeladen und ein bootfähiges Medium vorbereitet werden.

ISO-Auswahl

  • Rocky Linux 9.x oder AlmaLinux 9.x für LTS-Support
  • Minimal ISO (DVD-Netinstall) für schlanke Installation

Boot-Medium erstellen

  • USB-Stick vorbereiten (≥4 GB)
  • Linux/macOS: dd, Windows: Rufus
sudo dd if=AlmaLinux-9.2-x86_64-minimal.iso of=/dev/sdX bs=4M status=progress && sync

Installation starten

Den Server von USB oder ISO starten und die Installation Schritt für Schritt durchführen.

BIOS/UEFI-Einstellungen

  • Boot-Reihenfolge auf USB setzen
  • UEFI oder Legacy Boot auswählen, je nach Hardware

Installationsprozess

  • Sprache, Tastatur und Zeitzone wählen
  • Netzwerk: DHCP oder statische IP-Adresse konfigurieren
  • Hostname festlegen
  • Partitionierung: Guided oder manuell (z. B. /boot, /, /home, Swap)
  • Root-Passwort und ersten Benutzer anlegen
  • Softwareauswahl: nur Minimalinstallation + OpenSSH-Server

Partitionierung und Dateisysteme

Eine sinnvolle Partitionierung sorgt für Performance und Wartbarkeit.

Beispiel Minimal-Layout

  • /boot → 1 GB, ext4
  • / → 20–50 GB, xfs
  • /home → Rest, xfs
  • Swap → 1–2×RAM

CLI-Beispiel manuelle Partitionierung

sudo fdisk /dev/sda
# n → neue Partition
# p → primär
# t → Typ ändern (82 für swap)
# w → Änderungen schreiben

Netzwerkkonfiguration

Ein korrekt konfiguriertes Netzwerk ist essenziell für Updates und Remote Management.

Statische IP-Adresse und DNS

sudo nano /etc/sysconfig/network-scripts/ifcfg-ens33
BOOTPROTO=static
IPADDR=192.168.1.100
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
DNS1=8.8.8.8
DNS2=8.8.4.4
ONBOOT=yes
sudo systemctl restart network

Verbindung testen

ping -c 4 8.8.8.8
ping -c 4 google.com
ip addr show

Benutzer- und Berechtigungsmanagement

Benutzerkonten korrekt anlegen und Rechte verteilen reduziert Sicherheitsrisiken.

Best Practices

  • Root nur für Notfälle verwenden
  • Admin-Benutzer mit sudo Rechten anlegen
  • SSH-Schlüssel-basierte Authentifizierung
  • Gruppen für Rollen und Dienste erstellen
  • Least-Privilege-Prinzip anwenden

CLI-Beispiele

sudo adduser adminuser
sudo usermod -aG wheel adminuser
mkdir -p /home/adminuser/.ssh
chmod 700 /home/adminuser/.ssh
nano /home/adminuser/.ssh/authorized_keys
chmod 600 /home/adminuser/.ssh/authorized_keys
chown -R adminuser:adminuser /home/adminuser/.ssh

SSH & Remote Access absichern

SSH ist der Hauptzugang für Administratoren und muss gehärtet werden.

Empfohlene Einstellungen

  • Root-Login deaktivieren
  • Nur Schlüssel-basierte Authentifizierung
  • Optional: Port ändern
  • Fail2Ban installieren und konfigurieren
sudo nano /etc/ssh/sshd_config
PermitRootLogin no
PasswordAuthentication no
Port 2222
sudo systemctl restart sshd
sudo dnf install fail2ban -y
sudo systemctl enable fail2ban

Firewall & Security

Firewall schützt vor unautorisiertem Zugriff und unerwünschtem Netzwerkverkehr.

Firewalld Beispiel

sudo systemctl enable firewalld
sudo systemctl start firewalld
sudo firewall-cmd --set-default-zone=drop
sudo firewall-cmd --zone=public --add-port=2222/tcp --permanent
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
sudo firewall-cmd --zone=public --add-port=443/tcp --permanent
sudo firewall-cmd --reload
sudo firewall-cmd --list-all

Software-Management & Updates

Regelmäßige Updates sichern Stabilität und Sicherheit des Servers.

CLI-Befehle

sudo dnf update -y
sudo dnf install vim git curl wget htop -y

Monitoring & Logging

Kontinuierliches Monitoring und Logging helfen bei der Fehleranalyse und Sicherheitsüberwachung.

Wichtige Logs

  • /var/log/messages
  • /var/log/secure
  • /var/log/boot.log
  • Systemd Journal: journalctl -xe

CLI-Beispiele

sudo tail -f /var/log/messages
sudo tail -f /var/log/secure
sudo journalctl -xe

Backup & Wiederherstellung

Regelmäßige Backups schützen vor Datenverlust und ermöglichen schnelle Wiederherstellung.

Best Practices

  • Konfigurationsdateien regelmäßig sichern
  • Home-Verzeichnisse sichern
  • Datenbank-Exporte erstellen
  • Backups versionieren und extern speichern
  • Wiederherstellung testen

CLI-Beispiele

sudo tar -czvf /backup/etc-backup-$(date +%F).tar.gz /etc
sudo rsync -avz /home/ /backup/home/
mysqldump -u root -p database_name > /backup/db_backup_$(date +%F).sql

Sicherheitshärtung

Ein gehärtetes System reduziert Angriffsflächen und erhöht die Gesamtsicherheit.

Maßnahmen

  • Unnötige Dienste deaktivieren
  • SELinux in enforcing Mode
  • Regelmäßige Systemupdates
  • SSH-Härtung und Firewall prüfen
  • Security Audits regelmäßig durchführen

Automatisierung & Wartung

Automatisierte Aufgaben vereinfachen den Betrieb, reduzieren Fehler und gewährleisten Konsistenz.

Beispiele

  • Crontab für Updates und Backups
  • Logrotation konfigurieren
  • Health-Check-Skripte
  • Konfigurationen mit Git versionieren

Crontab-Beispiel

sudo crontab -e
0 2 * * * /usr/bin/dnf update -y
0 3 * * * /usr/bin/rsync -avz /home/ /backup/home/

Zusammenfassung

Ein Rocky Linux oder AlmaLinux Server, der nach diesen Best Practices installiert und konfiguriert wurde, bietet eine sichere, stabile und wartbare Basis. Mit korrektem Netzwerk-Setup, Benutzerverwaltung, SSH-Härtung, Firewall-Konfiguration, regelmäßigen Updates, Monitoring und Backup ist der Server bereit für produktive Dienste und zukünftige Erweiterungen.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Cost-Aware Operations: Image Pull Policies, Cache und Bandbreite

Registry Mirror Setup: Pulls beschleunigen und Ausfälle überleben

Air-Gapped Deployments: Images, Dependencies und Updates offline managen

Compose Migration zu Swarm: Wann der Schritt Sinn macht

Compose Migration zu Kubernetes: Mapping von Services, Volumes, Secrets

Kubernetes vs. Compose: Betriebsaufwand, Resilienz und Komplexität

Multi-Host Networking ohne Kubernetes: Optionen und Grenzen

Security Posture Reviews: Threat Modeling für Compose Stacks

Incident Response für Container: Forensik, Artefakte, Evidence

Observability: OpenTelemetry Collector in Compose integrieren

Debugging ohne Shell: Distroless Container in Produktion analysieren

Metrics Pipeline: Prometheus + exporters für Container und Host