1.8 KiB
1.8 KiB
Sicherheitsdokumentation
Sicherheitsprinzip
Die VPS ist öffentlich erreichbar und verwendet mehrere Schutzebenen. Nginx Proxy Manager nimmt Webverbindungen an, authentik schützt geeignete Dienste durch zentrale Anmeldung, nftables filtert Netzwerkverkehr und CrowdSec blockiert erkannte Angreifer dynamisch.
Sicherheitskomponenten
| Komponente | Aufgabe |
|---|---|
| nftables | Paketfilterung auf dem Host |
| Docker-Netzwerkisolierung | Trennung der Container-Netzwerke |
| CrowdSec | Erkennung und dynamische Blockierung von Angriffen |
| WireGuard | Verschlüsselter privater Zugriff |
| Nginx Proxy Manager | Reverse Proxy und TLS-Terminierung |
| authentik | Zentrale Authentifizierung |
Firewall und Isolation
UFW ist deaktiviert. Die VPS verwendet stattdessen nftables, Docker-verwaltete Firewallregeln und die CrowdSec-Integration.
Die Docker-Netzwerke sind durch RAW-Regeln, Netzwerkisolation und interface-basierte Filterung segmentiert. CrowdSec ist in die INPUT Chain integriert.
Öffentlich erreichbare Dienste
| Dienst | Port |
|---|---|
| Nginx Proxy Manager | 80/tcp, 443/tcp |
| Forgejo | 3000/tcp |
| Forgejo SSH | 2222/tcp |
| authentik | 9000/tcp |
| TeamSpeak | 9987/udp, 10011/tcp, 30033/tcp |
| WireGuard | 51820/udp |
Nur lokal erreichbare Dienste
Bindings auf 127.0.0.1 nehmen nur Verbindungen vom Server selbst an und sind nicht direkt aus dem Internet erreichbar.
| Dienst | Binding |
|---|---|
| NPM Admin | 127.0.0.1:81 |
| Uptime Kuma | 127.0.0.1:3001 |
| AdGuard UI | 127.0.0.1:3002 |
Weiterführende Dokumentation
- Netzwerkrollen und Routing: Netzwerk
- WireGuard-Konfiguration: WireGuard
- Offene Sicherheitsarbeiten: Bekannte Themen und Verbesserungspotenzial