homelab-doku/VPS/security.md

# Sicherheitsdokumentation

## Sicherheitsarchitektur

Die VPS nutzt mehrere Sicherheitslayer.

---

## Sicherheitskomponenten

| Komponente | Aufgabe |
|---|---|
| CrowdSec | Dynamische Angriffsblockierung |
| nftables | Paketfilterung |
| Docker Netzwerkisolierung | Segmentierung |
| WireGuard | Sicherer Fernzugriff |
| Nginx Proxy Manager | TLS Terminierung |
| authentik | Zentrale Authentifizierung |

---

## Firewall

### Aktueller Zustand

UFW ist deaktiviert.

Die VPS nutzt stattdessen:

- nftables
- Docker-verwaltete Regeln
- CrowdSec Integration

---

## Docker Isolation

Die Docker-Netzwerke sind durch nftables-Regeln segmentiert.

Vorhanden:

- RAW Regeln
- Netzwerkisolation
- Interface-basierte Filterung

---

## Öffentlich erreichbare Dienste

| Dienst | Port |
|---|---|
| NPM | 80 / 443 |
| Forgejo | 3000 |
| Forgejo SSH | 2222 |
| authentik | 9000 |
| TeamSpeak | 9987 / 10011 / 30033 |
| WireGuard | 51820 |

---

## Lokale Bindings

Folgende Dienste sind nur lokal erreichbar:

| Dienst | Binding |
|---|---|
| NPM Admin | 127.0.0.1:81 |
| Uptime Kuma | 127.0.0.1:3001 |
| AdGuard UI | 127.0.0.1:3002 |

---

## Sicherheitsbeobachtungen

### Positiv

- CrowdSec aktiv
- Docker Netzwerksegmentierung
- Localhost Bindings vorhanden
- VPN sauber getrennt
- geringe Angriffsfläche des Hosts

---

## Verbesserungspotenzial

### Hohe Priorität

- authentik nicht direkt öffentlich exposen
- Forgejo Exposure prüfen
- öffentliche Ports reduzieren

---

### Mittlere Priorität

- Compose Standards vereinheitlichen
- zentrale Loggingstrategie
- automatische Sicherheitsbenachrichtigungen

---

## Langfristige Ziele

- minimale Angriffsfläche
- vollständig dokumentierte Infrastruktur
- automatisierte Sicherheitsüberwachung
- reproduzierbare Konfiguration
- wartungsarme Architektur