be Portal Onlinehilfe

Best Practice Anleitung Setup Ubuntu Server 24.04 LTS

Einleitung

Diese Anleitung gibt eine Orientierung für die notwendigen Schritte bei der Installation eines Ubuntu Server Hosts. Die Verantwortung für die Konfiguration liegt bei on-prem Installationen bei der Kunden-IT, daher betrachten Sie diese Anleitung bitte lediglich als Hilfestellung.

Interne IT-Richtlinien insbesondere zu Security und Datenschutz müssen individuell berücksichtigt werden.

Ubuntu Einrichtung

Zu vewendendes Image

Server Install Image herunterladen und in neuer VM starten:

https://releases.ubuntu.com/noble/

Installation

Für die meisten Installationsschritte können die Defaults verwendet werden (vgl. Bilder). Im Setup kann mit den Pfeiltasten navigiert, mit Space Checkboxen ausgewählt und mit Enter der aktuelle Schritt bestätigt werden.

Step1.png
Step5.png
Step4.png
Step3.png
Step6.png
Step13.png

Im nachfolgenden Schritt OpenSSH-Server installieren auswählen:

Step12.png
Step11.png

Im nachfolgenden Schritt einen User und Passwort erstellen:

Verwenden Sie bitte local_admin als best-practice Usernamen und vergeben ein sicheres Passwort.

Step10.png
Step9.png
Step8.png
Step7.png

Netzwerk konfigurieren

Mit nachfolgenden Befehlen die Netzwerk-Config öffnen:

cd /etc/netplan/
sudo vi 50-cloud-init.yaml

Nach unten gezeigtem Schema

  • unter adresses eine IP-Adresse vergeben

  • unter routes den Standardgateway definieren

  • unter nameservers den DNS definieren

Beispiel-Konfiguration

Internet2.png

Mit ESC und der Eingabe :x wird gespeichert und die Config verlassen.

Mit nachfolgenden Befehlen wird die Netzwerk-Config angewendet und getestet. Antwortet der Google Server, war die Konfiguration erfolgreich.

Internet3.png

Sicherheitsrelevante Anpassungen

IPv6 deaktivieren

Überprüfen ob IPv6 aktiv ist:

ip a

Hier sind dann inet6 Einträge erkennbar, wenn IPv6 aktiv ist:

image-20241028-065134.png

Zum Deaktivieren:

sudo vi /etc/default/grub

Dann im Config-File folgende Anpassung vornehmen

image-20241028-065415.png

Anschließend wieder mit ESC und :x speichern.

Danach folgende zwei Befehle ausführen, damit die Änderungen aktiv werden

sudo update-grub
sudo reboot

Nach dem Neustart nochmals via SSH auf den Server verbinden und mit ip a prüfen ob IPv6 deaktiviert wurde:

Ip6Config3.png

Remote root Login deaktivieren

sudo vi /etc/ssh/sshd_config

Kommentar # vor PermitRootLogin entfernen und no setzen:

image-20241028-073726.png

Anschließend wieder mit ESC und :x speichern.

Testen ob die Config fehlerfrei ist:

sudo sshd -t

Wenn nach dem Ausführen des Befehls nichts angezeigt wird ist die Config fehlerfrei. Dann können die Änderungen mit folgendem Befehl angewendet werden:

sudo systemctl restart sshd

Hostname ändern

Folgenden Befehl verwenden und <NAMEN_WÄHLEN> durch einen passenden Namen für den Server ersetzen
(z.B. be-portal-prod):

sudo hostnamectl set-hostname <NAMEN_WÄHLEN>

Dann Config anpassen, damit der Hostname persistiert:

sudo vi /etc/cloud/cloud.cfg
image-20241028-080621.png

Wieder mit ESC + :x speichern.

Neuen Namen in Hosts Liste aufnehmen:

sudo vi /etc/hosts

In die Liste einen neuen Eintrag für 127.0.0.1 hinzufügen und den zuvor vergebenen Hostnamen eintragen:

image-20241028-081104.png

Wieder mit ESC + :x speichern.

Firewall installieren

Es ist wichtig folgende Befehle in gegebener Reihenfolge auszuführen, da sonst keine SSH Verbindung zum Server mehr möglich sein könnte!
Nur SSH zulassen:

sudo ufw allow ssh

Firewall aktivieren:

sudo ufw enable

Status der Firewall überprüfen:

sudo ufw status verbose

Das Ergebnis sollte so aussehen:

image-20241028-082708.png

Speicherplatz erweitern

Zuerst in vSphere der VM eine neue Platte mit der benötigten Speichergröße hinzufügen.

Anschließend wieder per SSH auf den Server verbinden und Partitionierungsprogramm starten:

sudo fdisk /dev/sdb

Dann mit n eine neue Partition anlegen und bei allen Prompts zur Konfiguration der Platte mit Enter (Default) bestätigen.

Anschließend mit t den Partitionstypen anpassen und 8e (= LVM Linux) eingeben.

Mit w werden die Änderungen gespeichert und das Partitionierungsprogramm verlassen.

Mit nachfolgendem Befehl kann die neue Partition nochmal überprüft werden:

fdisk -l
image-20241030-132454.png

Zuletzt werden die Platten zu einem einzigen logischen Volume zusammengeführt:

sudo pvcreate /dev/sdb1
sudo vgextend ubuntu-vg /dev/sdb1
sudo vgdisplay ubuntu-vg | grep "Free"
sudo lvextend -l +100%FREE /dev/mapper/ubuntu--vg-ubuntu--lv

Ubuntu Updates

Im letzten Schritt werden noch Ubuntu Updates installiert, um den neusten Stand, sowie Sicherheitspatches zu gewährleisten.

Auf Updates überprüfen:

sudo apt update

Wenn vorhanden, Updates installieren:

sudo apt upgrade

Anschließend den Prompt mit Enter (Default Ja) bestätigen.

Falls ein weiterer Prompt bezüglich der Änderung der /etc/cloud/cloud.cfg erscheint diesen mit Enter (Default N) ablehnen, um die Anpassungen der Config aus den vorherigen Schritten beizubehalten.

Am Ende den Server nochmal neu starten:

sudo reboot

Monitoring / Patching

Richten Sie entsprechend ihrer internen IT Richtlinien etwaige Monitoring und automatisches Security Patching ein.

Backups der VM

Richten Sie entsprechend ihrer internen IT Richtlinien ein automatisches Backup der VM ein. Typischerweise werden die VMs täglich gesichert.