#Hosting · 8 Min. Lesezeit · Tim Rinkel

KeyHelp absichern: 2FA, Updates und Backups auf die Storage Box – Teil 2 der Serie

KeyHelp läuft – jetzt wird es wetterfest: Zwei-Faktor-Login, automatische Updates, Fail2ban-Check und verschlüsselte Backups auf eine Hetzner Storage Box, Schritt für Schritt.

KeyHelp absichern: 2FA, Updates und Backups auf die Storage Box – Teil 2 der Serie

Hinweis: Dieser Beitrag enthält Affiliate-Links (mit * gekennzeichnet). Kaufst du über einen dieser Links, erhalte ich eine kleine Provision — für dich ändert sich der Preis nicht.

Dein KeyHelp läuft, die erste Domain ist drauf — falls nicht, starte mit Teil 1: KeyHelp auf einem Hetzner-Server installieren. Jetzt kommt der Teil, den viele aufschieben und genau einmal bereuen: die Absicherung. Die gute Nachricht vorweg: KeyHelp nimmt dir erstaunlich viel davon ab. Fail2ban gegen SSH-Angriffe? Schon installiert. Let’s-Encrypt-Zertifikate verlängern? Macht KeyHelp automatisch. System-Updates? Laufen von selbst, wenn du es erlaubst.

Bleiben fünf Dinge, die du selbst anstoßen musst. Gehen wir sie der Reihe nach durch — am Ende ist dein Server gegen die häufigsten Pannen gewappnet: geklaute Passwörter, vergessene Updates und den einen Moment, in dem du ein Backup gebraucht hättest.

Schritt 1: Zwei-Faktor-Authentifizierung fürs Panel

Dein KeyHelp-Login ist die Schaltzentrale für alles — Domains, Postfächer, Datenbanken. Ein geklautes Passwort reicht, um das alles zu übernehmen. Deshalb zuerst: 2FA aktivieren. In KeyHelp findest du die Option in deinem Benutzerprofil (oben rechts auf deinen Benutzernamen → Profil bearbeiten → Zwei-Faktor-Authentifizierung). Du scannst den QR-Code mit einer Authenticator-App deiner Wahl (z. B. Aegis, 2FAS oder Google Authenticator) und bestätigst einmal mit dem angezeigten Code.

KeyHelp Profileinstellungen, Tab Zwei-Faktor-Authentifizierung: QR-Code und geheimer Schlüssel im Bild unkenntlich gemacht
2FA im Profil aktivieren: QR-Code scannen, Code bestätigen, fertig. QR-Code und Schlüssel sind hier bewusst unkenntlich — sie sind das Geheimnis, das du niemals teilst.

Wichtig: Sichere die Wiederherstellungs-Codes an einem Ort außerhalb des Servers — Passwort-Manager oder Zettel im Schrank. Falls dein Handy mal verloren geht, kommst du sonst nicht mehr rein. Für den absoluten Notfall gibt es die KeyHelp-Toolbox auf der Konsole, mit der sich 2FA für einen Account zurücksetzen lässt — aber darauf willst du dich nicht verlassen müssen.

Schritt 2: Automatische Updates kontrollieren

KeyHelp aktualisiert sich selbst — gesteuert wird das über die Wartungsintervalle. Prüfe einmal im Admin-Bereich unter Einstellungen → Wartungsintervalle, ob die Aufgaben „Control Panel aktualisieren“ und „Server-Dienste aktualisieren“ auf „Aktiviert“ stehen — ab Werk sind sie das. Dort siehst du auch, wann jede Aufgabe zuletzt gelaufen ist und in welchem Rhythmus sie ausgeführt wird.

KeyHelp Wartungsintervalle mit aktivierten Update-Aufgaben, letztem Lauf und Intervall
Die Wartungsintervalle: „Control Panel aktualisieren“ und „Server-Dienste aktualisieren“ stehen ab Werk auf Aktiviert.

Ob die Automatik funktioniert, verrät dir das Dashboard: Unter Anwendungen listet KeyHelp jede installierte Komponente mit Versionsstand — von Debian über PHP bis zur Backup-Software Restic. Steht dort „Die Software auf Ihrem Server ist auf dem neuesten Stand“, ist alles gut.

KeyHelp Admin-Dashboard mit Anwendungsliste und Versionsständen, alles aktuell
Das Dashboard zeigt jede Komponente mit Version — und meldet, wenn alles aktuell ist.

Schritt 3: Login-Schutz fürs Panel schärfen

KeyHelp bringt einen eigenen Brute-Force-Schutz für die Login-Maske mit — unabhängig von Fail2ban. Unter Konfiguration → Login & Sessions stellst du ein, nach wie vielen Fehlversuchen eine IP gesperrt wird und wie lange. Die Standardwerte sind brauchbar; wer mag, macht sie strenger. Wenn du mit fester IP arbeitest, kannst du zusätzlich die Session-Laufzeit kurz halten — dann fliegen vergessene Logins im Bürorechner schneller raus.

KeyHelp Konfiguration Login und Sitzungen: Brute-Force-Schutz, Sitzungs-Leerlaufzeit, Sitzung an IP-Adresse binden und Zugriffsbeschränkung auf Administratorkonten
Unter Konfiguration → Login & Sitzungen regelst du Brute-Force-Schutz, Session-Laufzeit und wer sich überhaupt als Admin anmelden darf.

Schritt 4: Fail2ban — läuft schon, aber wirf einen Blick drauf

Hier kommt die Überraschung für alle, die Anleitungen zum „Fail2ban installieren“ gegoogelt haben: KeyHelp richtet Fail2ban bei der Installation automatisch ein, inklusive Schutz für SSH auf Port 22. Bots, die Passwörter durchprobieren, werden nach wenigen Versuchen ausgesperrt. Überzeug dich selbst — verbinde dich per SSH und schau nach:

fail2ban-client status
fail2ban-client status sshd

Das Ergebnis überrascht die meisten: KeyHelp richtet gleich zehn Jails ein — neben SSH auch eigene Schutzregeln für die Datenbank, die Mail-Dienste (Postfix, Dovecot), FTP, phpMyAdmin und die Webmailer (Roundcube, SnappyMail), dazu ein „recidive“-Jail, das Wiederholungstäter länger aussperrt. Die Zahlen auf einem ganz normalen Einsteiger-Server nach wenigen Tagen Laufzeit: über 4.000 abgewehrte SSH-Login-Versuche, fast 600 gebannte IPs. Der Bot-Beschuss ist auf jedem öffentlichen Server Alltag — und genau deshalb gibt es dieses Tutorial. Wer tiefer einsteigen will, kann in /etc/fail2ban eigene Regeln ergänzen — für den Einstieg ist die Vorkonfiguration aber völlig ausreichend. Mehr SSH-Härtung (eigener Benutzer, Root-Login deaktivieren) bekommt ein eigenes Tutorial im Server-Hub.

PuTTY-Terminal mit fail2ban-client status: 10 aktive Jails und sshd-Jail mit 4095 Fehlversuchen und 586 gebannten IPs
fail2ban auf einem frischen KeyHelp-Server: zehn Jails aktiv, der sshd-Jail hat bereits Tausende Login-Versuche abgewehrt.

Schritt 5: Backups — der Schritt, der dich eines Tages rettet

Jetzt zum wichtigsten Kapitel. Ein Server ohne externes Backup ist eine Wette, die du irgendwann verlierst: kaputtes Update, gelöschte Datenbank, gehackte Website oder schlicht ein Hardware-Defekt. Die Regel ist einfach: Das Backup gehört auf eine andere Maschine. Ein Backup auf dem Server selbst hilft dir nicht, wenn der Server das Problem ist.

KeyHelp hat dafür eine moderne Backup-Verwaltung an Bord — unter der Haube arbeiten die bewährten Open-Source-Werkzeuge Restic (Backup) und rclone (Übertragung). Als Ziel eignet sich fast alles: ein zweiter Server per SFTP, WebDAV-Speicher oder Cloud-Dienste. Die naheliegendste Lösung, wenn dein Server ohnehin bei Hetzner läuft: eine Hetzner Storage Box* — günstiger Speicherplatz im selben Rechenzentrum-Netz, erreichbar per SFTP und WebDAV, also genau die Protokolle, die KeyHelp spricht.

KeyHelp Backup-Übersicht mit den Funktionen Backup erstellen, regelmäßige Backups planen, wiederherstellen und Repository-Verwaltung
Die Backup-Zentrale in KeyHelp: erstellen, planen, wiederherstellen — unter der Haube arbeitet Restic.

So richtest du es ein:

  • Repository anlegen: In KeyHelp unter Einstellungen → Backup → Repository-Verwaltung ein neues Repository erstellen, als Typ SFTP wählen und die Zugangsdaten deiner Storage Box eintragen (Host, Benutzername, Passwort oder SSH-Key).
  • Repository-Passwort setzen — und sichern! KeyHelp verschlüsselt jedes Backup mit einem Passwort, das ist Pflicht. Ohne dieses Passwort sind deine Backups wertlos. Leg es zusätzlich in deinen Passwort-Manager — nicht nur auf den Server.
  • Zeitplan festlegen: Nächtliche Backups sind für die meisten Setups ideal — zu einer Uhrzeit, zu der wenig auf dem Server los ist.
  • Aufbewahrung begrenzen: Eine sinnvolle Rotation (z. B. 7 tägliche + 4 wöchentliche Sicherungen) hält den Speicherverbrauch im Zaum — Restic speichert ohnehin platzsparend nur Änderungen.
KeyHelp-Dialog Repository hinzufügen mit Pflicht-Passwortfeldern, Snapshot-Rotation und geöffnetem Speicher-Typ-Dropdown
Repository hinzufügen: Pflicht-Passwort, Snapshot-Rotation und Speicher-Typ — von Lokal über SFTP bis WebDAV.
Globale Backup-Einstellungen im KeyHelp-Adminbereich: lokale Benutzer-Repositorys, Dropbox-App, CPU-Kern-Limit und Kompressionsrate
Im Admin-Bereich legst du die Grundregeln fest: Benutzer-Repositorys, Kompression und CPU-Limit.
KeyHelp-Dialog für regelmäßige Backups: Zeitplan mit Intervall täglich, Backup-Umfang vollständig, Repository-Auswahl und E-Mail-Benachrichtigung
Der Zeitplan-Dialog: Intervall und Uhrzeit wählen, Backup-Umfang festlegen, Repository auswählen — den Rest erledigt KeyHelp.

Und dann der Schritt, den fast alle auslassen: Teste die Wiederherstellung. Spiel eine einzelne Datei oder ein Postfach probeweise zurück. Ein Backup, das du nie restauriert hast, ist nur eine Hoffnung — kein Backup.

Und was ist mit den SSL-Zertifikaten?

Nichts zu tun — und genau das ist die Nachricht: Let’s-Encrypt-Zertifikate verlängert KeyHelp automatisch, lange bevor sie ablaufen — dahinter steckt das Wartungsintervall „SSL/TLS-Zertifikate warten“, das dir in Schritt 2 schon begegnet ist. Du erkennst den Normalzustand daran, dass deine Domains im Browser das Schloss-Symbol zeigen. Aktiviert wird Let’s Encrypt übrigens pro Domain: Beim Anlegen (oder später über Domains → Bearbeiten) wählst du im Tab Sicherheit einfach „Let’s-Encrypt-Zertifikat“ aus und setzt den Haken bei „Sichere Verbindung erzwingen“ — mehr ist es nicht. Die Übersicht unter Sicherheit → SSL/TLS-Zertifikate ist dagegen nur für eigene, hochgeladene Zertifikate gedacht; Let’s-Encrypt-Zertifikate tauchen dort gar nicht auf. Nur wenn eine Domain ihre DNS-Einträge wechselt, lohnt ein Kontrollblick.

KeyHelp Domain hinzufügen, Tab Sicherheit: Let’s-Encrypt-Zertifikat ausgewählt, sichere Verbindung erzwingen aktiviert, optional HSTS
Beim Anlegen einer Domain: Tab „Sicherheit“ → Let’s-Encrypt-Zertifikat plus erzwungenes HTTPS — den Rest verlängert KeyHelp automatisch.
KeyHelp-Übersicht SSL/TLS-Zertifikate: nur das selbstsignierte System-Zertifikat gelistet, Let’s-Encrypt-Zertifikate erscheinen hier nicht
Die Übersicht Sicherheit → SSL/TLS-Zertifikate verwaltet nur eigene Zertifikate — hier steht normalerweise nur das System-Zertifikat.

Wie es jetzt weitergeht

Dein KeyHelp ist damit gegen die häufigsten Ausfälle und Angriffe gewappnet — mit erstaunlich wenig Handarbeit. Die nächsten Etappen:

Häufige Fragen

Muss ich Fail2ban selbst installieren?
Nein. KeyHelp installiert und konfiguriert Fail2ban automatisch mit, inklusive SSH-Schutz. Du kannst die Konfiguration unter /etc/fail2ban erweitern, musst es für den Einstieg aber nicht. Mit „fail2ban-client status“ prüfst du jederzeit, ob der Dienst läuft.
Wie oft sollte ich Backups machen?
Für die meisten privaten Server und kleinen Projekte: einmal pro Nacht. Restic sichert platzsparend nur Änderungen, daher kosten tägliche Backups kaum Speicher. Entscheidender als die Frequenz ist, dass die Backups extern liegen und du die Wiederherstellung einmal getestet hast.
Was passiert, wenn ich das Repository-Passwort verliere?
Dann sind die Backups unbrauchbar — die Verschlüsselung lässt sich nicht umgehen, das ist ihr Sinn. Bewahre das Passwort deshalb an mindestens zwei Orten auf, zum Beispiel im Passwort-Manager und als Ausdruck. Es gibt keinen „Passwort vergessen“-Knopf.
Ich habe mein 2FA-Gerät verloren — bin ich ausgesperrt?
Nicht endgültig. Wenn du die Wiederherstellungs-Codes gesichert hast, nutzt du einen davon. Falls nicht, hilft die KeyHelp-Toolbox: Per SSH auf dem Server kannst du damit die Zwei-Faktor-Authentifizierung für deinen Account zurücksetzen. Voraussetzung ist also, dass dein SSH-Zugang funktioniert.
Reicht das lokale Backup auf dem Server nicht aus?
Nein. Ein lokales Backup schützt nur gegen versehentlich gelöschte Dateien — nicht gegen Hardware-Defekt, einen gehackten Server oder ein zerschossenes System. Die wichtigen Kopien gehören auf eine andere Maschine, zum Beispiel eine Storage Box oder einen zweiten Server.

Quellen: KeyHelp Knowledge Base — Backup, Keyweb — KeyHelp 21.1: Neue Backup-Verwaltung, KeyHelp Wiki — Toolbox, KeyHelp Community — Fail2ban

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert