1.8 KiB
1.8 KiB
Sicherheitsdokumentation
Sicherheitsarchitektur
Die VPS nutzt mehrere Sicherheitslayer.
Sicherheitskomponenten
| Komponente | Aufgabe |
|---|---|
| CrowdSec | Dynamische Angriffsblockierung |
| nftables | Paketfilterung |
| Docker Netzwerkisolierung | Segmentierung |
| WireGuard | Sicherer Fernzugriff |
| Nginx Proxy Manager | TLS Terminierung |
| authentik | Zentrale Authentifizierung |
Firewall
Aktueller Zustand
UFW ist deaktiviert.
Die VPS nutzt stattdessen:
- nftables
- Docker-verwaltete Regeln
- CrowdSec Integration
Docker Isolation
Die Docker-Netzwerke sind durch nftables-Regeln segmentiert.
Vorhanden:
- RAW Regeln
- Netzwerkisolation
- Interface-basierte Filterung
Öffentlich erreichbare Dienste
| Dienst | Port |
|---|---|
| NPM | 80 / 443 |
| Forgejo | 3000 |
| Forgejo SSH | 2222 |
| authentik | 9000 |
| TeamSpeak | 9987 / 10011 / 30033 |
| WireGuard | 51820 |
Lokale Bindings
Folgende Dienste sind nur lokal erreichbar:
| Dienst | Binding |
|---|---|
| NPM Admin | 127.0.0.1:81 |
| Uptime Kuma | 127.0.0.1:3001 |
| AdGuard UI | 127.0.0.1:3002 |
Sicherheitsbeobachtungen
Positiv
- CrowdSec aktiv
- Docker Netzwerksegmentierung
- Localhost Bindings vorhanden
- VPN sauber getrennt
- geringe Angriffsfläche des Hosts
Verbesserungspotenzial
Hohe Priorität
- authentik nicht direkt öffentlich exposen
- Forgejo Exposure prüfen
- öffentliche Ports reduzieren
Mittlere Priorität
- Compose Standards vereinheitlichen
- zentrale Loggingstrategie
- automatische Sicherheitsbenachrichtigungen
Langfristige Ziele
- minimale Angriffsfläche
- vollständig dokumentierte Infrastruktur
- automatisierte Sicherheitsüberwachung
- reproduzierbare Konfiguration
- wartungsarme Architektur