49 lines
1.8 KiB
Markdown
49 lines
1.8 KiB
Markdown
# Sicherheitsdokumentation
|
|
|
|
## Sicherheitsprinzip
|
|
|
|
Die VPS ist öffentlich erreichbar und verwendet mehrere Schutzebenen. Nginx Proxy Manager nimmt Webverbindungen an, authentik schützt geeignete Dienste durch zentrale Anmeldung, nftables filtert Netzwerkverkehr und CrowdSec blockiert erkannte Angreifer dynamisch.
|
|
|
|
## Sicherheitskomponenten
|
|
|
|
| Komponente | Aufgabe |
|
|
|---|---|
|
|
| nftables | Paketfilterung auf dem Host |
|
|
| Docker-Netzwerkisolierung | Trennung der Container-Netzwerke |
|
|
| CrowdSec | Erkennung und dynamische Blockierung von Angriffen |
|
|
| WireGuard | Verschlüsselter privater Zugriff |
|
|
| Nginx Proxy Manager | Reverse Proxy und TLS-Terminierung |
|
|
| authentik | Zentrale Authentifizierung |
|
|
|
|
## Firewall und Isolation
|
|
|
|
UFW ist deaktiviert. Die VPS verwendet stattdessen nftables, Docker-verwaltete Firewallregeln und die CrowdSec-Integration.
|
|
|
|
Die Docker-Netzwerke sind durch RAW-Regeln, Netzwerkisolation und interface-basierte Filterung segmentiert. CrowdSec ist in die INPUT Chain integriert.
|
|
|
|
## Öffentlich erreichbare Dienste
|
|
|
|
| Dienst | Port |
|
|
|---|---|
|
|
| Nginx Proxy Manager | `80/tcp`, `443/tcp` |
|
|
| Forgejo | `3000/tcp` |
|
|
| Forgejo SSH | `2222/tcp` |
|
|
| authentik | `9000/tcp` |
|
|
| TeamSpeak | `9987/udp`, `10011/tcp`, `30033/tcp` |
|
|
| WireGuard | `51820/udp` |
|
|
|
|
## Nur lokal erreichbare Dienste
|
|
|
|
Bindings auf `127.0.0.1` nehmen nur Verbindungen vom Server selbst an und sind nicht direkt aus dem Internet erreichbar.
|
|
|
|
| Dienst | Binding |
|
|
|---|---|
|
|
| NPM Admin | `127.0.0.1:81` |
|
|
| Uptime Kuma | `127.0.0.1:3001` |
|
|
| AdGuard UI | `127.0.0.1:3002` |
|
|
|
|
## Weiterführende Dokumentation
|
|
|
|
- Netzwerkrollen und Routing: [Netzwerk](networking.md)
|
|
- WireGuard-Konfiguration: [WireGuard](wireguard.md)
|
|
- Offene Sicherheitsarbeiten: [Bekannte Themen und Verbesserungspotenzial](known-issues.md)
|