Server Admin Master-Class

Die Eingangstür vernageln.

• SSH Key-Only Guide
  Passwörter sind in Sekunden knackbar. `PasswordAuthentication no` in der `/etc/ssh/sshd_config` ist Pflicht. Nutze ED25519 Keys.
• Kein Root-Login
  `PermitRootLogin no`. Arbeite immer als normaler User und nutze `sudo` für Befehle. Das verhindert viele automatisierte Angriffe, die "root" als User probieren.
• Fail2Ban / CrowdSec Tool
  Installiere Tools, die IPs nach 3-5 Fehlversuchen automatisch bannen. Das hält die Logs sauber und blockt Brute-Force-Bots.

Nur reinlassen, was sein muss.

• Default Deny Policy UFW
  Alles ist verboten, außer es ist explizit erlaubt. Starte mit `ufw default deny incoming`.
• Datenbanken isolieren
  MySQL/Redis Ports (3306/6379) dürfen NIEMALS offen im Netz stehen. Binde sie an `127.0.0.1` oder nutze VPNs (WireGuard), wenn du von außen drauf musst.
• DDoS Schutz prüfen
  Bietet der Hoster eine Hardware-Firewall (Arbor/Voxility) an? Ohne Schutz ist dein Game-Server beim ersten Angriff offline.

Wissen, wen man anruft.

• Abuse-Prozess kennen
  Wenn dein Server gehackt wird, bekommst du eine "Abuse Message". Weißt du, wie du darauf reagierst (Stellungnahme schreiben, Logs prüfen)? Wenn nicht, wird gekündigt.
• Notfall-Konsole (KVM)
  Hast du Zugriff auf eine Web-Konsole (VNC/KVM) im Hoster-Panel? Das ist dein einziger Weg rein, wenn du dich per SSH ausgesperrt hast. Teste das VORHER!
• Support-Zeiten
  Ist der Support am Wochenende da? Bei billigen VPS oft nicht. Wenn der Server Freitagabend stirbt, wartest du bis Montag.

Daten auf dem Server sind flüchtig.

• Externer Speicher Borg
  Backups auf der gleichen Festplatte bringen nichts, wenn die Platte stirbt. Nutze S3, FTP-Backupspace oder eine Hetzner StorageBox.
• Automatisierung
  Menschen vergessen Backups. Cronjobs nicht. Richte tägliche, automatische Backups ein (z.B. nachts um 4 Uhr).
• Restore-Übung
  Ein Backup, das man nicht wiederherstellen kann, ist Datenmüll. Lösche testweise eine Datei und hole sie aus dem Backup zurück.

Besonderheiten bei Games.

• Docker nutzen! Docker
  Installiere Games (Minecraft, CS:GO) immer im Container. Wenn der Game-Server eine Sicherheitslücke hat, ist nur der Container betroffen, nicht dein ganzes Linux.
• Niemals als Root
  Game-Server Binaries sind oft unsicher. Starte sie niemals mit `sudo` oder als `root` User. Lege einen User `steam` oder `minecraft` an.
• Config Backup (Git)
  Speichere deine `server.cfg` in einem privaten Git-Repo. Wenn du etwas kaputt konfigurierst, kannst du zur Version von gestern zurück.

Lags vermeiden.

• Swap vermeiden
  Wenn der RAM voll ist und das System auf die Festplatte auslagert (Swap), laggt der Game-Server extrem. Deaktiviere Swap oder überwache RAM strikt.
• Ressourcen Limits
  Begrenze Docker-Container (z.B. `--memory="4g"`). Ein Memory-Leak im Game darf nicht dazu führen, dass dein SSH-Dienst abstürzt.

Ein Server ist wie ein Haustier.

• Unattended Upgrades
  Linux Sicherheitsupdates sollten sich automatisch installieren. Richte `unattended-upgrades` (Debian/Ubuntu) ein.
• Log Rotation
  Game-Server spammen Logs voll. Prüfe `logrotate`, sonst ist nach 3 Monaten die Festplatte voll und der Server stürzt ab.

Der Mensch ist die Schwachstelle.

• Rechte-Management
  Dein Co-Admin braucht keinen Root-Zugriff, nur um den Server neu zu starten. Gib ihm Rechte nur für den Docker-Container oder das Web-Panel.
• Kein "Schnell mal"
  Gib niemals temporär Passwörter raus ("Nur kurz zum Testen"). Passwörter werden weitergegeben oder in Textdateien gespeichert.