1. Warum Ihren Cloud-Mac härten?
Ein dedizierter Mac-Server ist ab dem Moment seiner Bereitstellung aus dem öffentlichen Internet erreichbar. Der Zugriff mit Benutzername und Passwort ist bequem, aber Passwörter können durch Brute-Force geknackt werden, und offene Verwaltungsports laden zu automatisierten Angriffen ein. Die gute Nachricht: Ein paar gut verständliche Schritte — SSH-Schlüssel, eine strenge Firewall und ein privates VPN — beseitigen den größten Teil dieses Risikos. Jeder MyRemoteMac-Server unterstützt bereits ab Werk schlüsselbasierte Authentifizierung, eine verwaltete Firewall und ein WireGuard-VPN.
Tiefenverteidigung: Keine einzelne Maßnahme reicht aus. Die Kombination aus schlüsselbasiertem SSH, einer standardmäßig sperrenden Firewall und einer nur über VPN möglichen Verwaltung zwingt einen Angreifer, mehrere unabhängige Schichten zu überwinden.
2. Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie Folgendes haben:
- Einen Mac-Server von MyRemoteMac mit SSH-Zugang
- Einen SSH-Client auf Ihrem lokalen Rechner (in macOS, Linux und modernem Windows integriert)
- Die IP-Adresse Ihres Servers und die Standard-Zugangsdaten
- Grundlegende Vertrautheit mit dem Terminal
3. Schritt 1: SSH-Schlüssel-Authentifizierung
Die schlüsselbasierte Authentifizierung ersetzt ein erratbares Passwort durch ein kryptografisches Schlüsselpaar. Sie behalten den privaten Schlüssel; der Server speichert nur Ihren öffentlichen Schlüssel, sodass es kein Passwort gibt, das ein Angreifer per Brute-Force knacken könnte.
Ein Schlüsselpaar erzeugen
Erzeugen Sie auf Ihrem lokalen Rechner einen modernen Ed25519-Schlüssel (überspringen Sie dies, wenn Sie bereits einen haben):
# Generate a modern Ed25519 key pair on your LOCAL machine
ssh-keygen -t ed25519 -C "you@example.com"
# Print the PUBLIC key (this is what you give the server)
cat ~/.ssh/id_ed25519.pub
# ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAA... you@example.com
Fügen Sie Ihren öffentlichen Schlüssel hinzu und deaktivieren Sie dann Passwörter
Öffnen Sie in Ihrem MyRemoteMac-Dashboard den Bereich Sicherheit und fügen Sie Ihren öffentlichen Schlüssel ein — oder wählen Sie ihn bei der Bereitstellung eines neuen Servers aus. Sobald Sie bestätigt haben, dass die Anmeldung per Schlüssel funktioniert, deaktivieren Sie die Passwort-Authentifizierung:
# On the SERVER, disable password login once your key works
sudo sed -i '' 's/^#*PasswordAuthentication.*/PasswordAuthentication no/' /etc/ssh/sshd_config
sudo sed -i '' 's/^#*ChallengeResponseAuthentication.*/ChallengeResponseAuthentication no/' /etc/ssh/sshd_config
# Restart the SSH daemon to apply
sudo launchctl kickstart -k system/com.openssh.sshd
4. Schritt 2: Die Firewall absichern
Geben Sie nur das frei, was Sie benötigen. MyRemoteMac umfasst eine verwaltete Netzwerk-Firewall, und Sie sollten außerdem die auf dem Host laufende macOS-Anwendungsfirewall als zweite Schicht aktivieren.
Die macOS-Anwendungsfirewall aktivieren
# Enable the built-in macOS application firewall
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --setglobalstate on
# Enable stealth mode (don't respond to pings / closed-port probes)
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --setstealthmode on
# Verify
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --getglobalstate
Eingehende Ports beschränken
Erlauben Sie in der verwalteten MyRemoteMac-Firewall (Dashboard oder API) eingehenden Datenverkehr nur auf den Ports, die Sie tatsächlich nutzen — typischerweise SSH (22), beschränkt auf Ihre IP oder Ihr VPN — und verweigern Sie standardmäßig alles andere.
5. Schritt 3: Privates VPN (WireGuard)
Die stärkste Absicherung besteht darin, Verwaltungsports überhaupt nicht öffentlich zugänglich zu machen. Jeder MyRemoteMac-Server umfasst einen privaten WireGuard-/IPSec-Tunnel: Verbinden Sie sich zuerst mit ihm und erreichen Sie dann SSH und VNC über das private Netzwerk.
# Bring up the WireGuard tunnel from your local machine
wg-quick up wg0
# Now reach your Mac over the PRIVATE address, not its public IP
ssh you@10.0.0.2
Sobald der Tunnel steht, beschränken Sie SSH und VNC in Ihrer Firewall ausschließlich auf das VPN-Subnetz. Ihr Mac wird dann für öffentliche Port-Scanner unsichtbar.
6. Schritt 4: Fortlaufende Härtung
Sicherheit ist ein fortlaufender Prozess, keine einmalige Aufgabe. Wenden Sie diese dauerhaften Maßnahmen an:
- Halten Sie macOS aktuell — installieren Sie Sicherheitsupdates umgehend, um bekannte Schwachstellen zu schließen.
- Aktivieren Sie FileVault — die vollständige Festplattenverschlüsselung schützt Ihre ruhenden Daten.
- Verwenden Sie einen Nicht-Root-Admin-Benutzer — arbeiten Sie über sudo, anstatt sich als Root anzumelden.
- Rotieren und begrenzen Sie SSH-Schlüssel — entfernen Sie nicht mehr genutzte Schlüssel aus dem Bereich Sicherheit.
- Überwachen Sie Authentifizierungsprotokolle — achten Sie auf fehlgeschlagene Anmeldungen und unerwartete Sitzungen.
- Sichern Sie regelmäßig — kombinieren Sie die Härtung mit Off-Site-Backups für Widerstandsfähigkeit gegen Ransomware.
7. Fehlerbehebung
Ausgesperrt nach Deaktivierung der Passwort-Anmeldung
Verbinden Sie sich erneut per VNC / Bildschirmfreigabe über das Dashboard, aktivieren Sie die Passwort-Anmeldung vorübergehend wieder und überprüfen Sie, dass Ihr öffentlicher Schlüssel mit den richtigen Berechtigungen in ~/.ssh/authorized_keys steht (700 für ~/.ssh, 600 für die Datei).
SSH fragt weiterhin nach einem Passwort
Überprüfen Sie die Berechtigungen: ~/.ssh muss 700 und authorized_keys 600 sein. Stellen Sie sicher, dass in sshd_config PubkeyAuthentication auf yes gesetzt ist und dass Sie mit ssh -i den passenden privaten Schlüssel anbieten.
Durch eine Firewall-Regel ausgesperrt
Halten Sie beim Ändern von Firewall-Regeln immer eine VNC-/Bildschirmfreigabe-Sitzung geöffnet. Falls Sie SSH verlieren, verwenden Sie VNC, um die Regel rückgängig zu machen, und wenden Sie sie dann erneut an, beschränkt auf Ihr VPN-Subnetz.
8. Sicherheits-Checkliste
Gehen Sie diese Checkliste nach der Bereitstellung jedes neuen Mac-Servers durch:
- SSH-Schlüssel-Authentifizierung aktiviert
- Passwort-Anmeldung deaktiviert (oder auf das VPN beschränkt)
- macOS-Anwendungsfirewall mit Tarnmodus aktiviert
- Eingehende Ports standardmäßig gesperrt; SSH und VNC auf das VPN beschränkt
- FileVault aktiviert und macOS auf dem neuesten Stand
- Ungenutzte SSH-Schlüssel entfernt und Off-Site-Backups eingerichtet
Kurz gesagt: schlüsselbasiertes SSH, deaktivierte Passwort-Anmeldung, eine standardmäßig sperrende Firewall, Verwaltung über VPN, FileVault aktiviert und regelmäßig rotierte Schlüssel. Erledigen Sie dies einmal, und Ihr Cloud-Mac ist erheblich schwerer anzugreifen.
Verwandte Leitfäden
Remote-Xcode-Entwicklung
Richten Sie einen schnellen, produktiven Remote-Xcode-Workflow auf einem dedizierten Mac ein.
iOS ohne Mac entwickeln
Erstellen und veröffentlichen Sie iOS-Apps von Windows oder Linux aus mit einem Remote-Mac.
Jenkins Mac Build-Agent
Konfigurieren Sie einen sicheren Jenkins-Build-Agent auf einem dedizierten Mac Mini.