1.8 KiB
Sicherheitsdokumentation
Sicherheitsarchitektur
Die VPS nutzt mehrere Sicherheitslayer.
—
Sicherheitskomponenten
| Komponente | Aufgabe | |—|—| | CrowdSec | Dynamische Angriffsblockierung | | nftables | Paketfilterung | | Docker Netzwerkisolierung | Segmentierung | | WireGuard | Sicherer Fernzugriff | | Nginx Proxy Manager | TLS Terminierung | | authentik | Zentrale Authentifizierung |
—
Firewall
Aktueller Zustand
UFW ist deaktiviert.
Die VPS nutzt stattdessen:
- nftables
- Docker-verwaltete Regeln
- CrowdSec Integration
—
Docker Isolation
Die Docker-Netzwerke sind durch nftables-Regeln segmentiert.
Vorhanden:
- RAW Regeln
- Netzwerkisolation
- Interface-basierte Filterung
—
Öffentlich erreichbare Dienste
| Dienst | Port | |—|—| | NPM | 80 / 443 | | Forgejo | 3000 | | Forgejo SSH | 2222 | | authentik | 9000 | | TeamSpeak | 9987 / 10011 / 30033 | | WireGuard | 51820 |
—
Lokale Bindings
Folgende Dienste sind nur lokal erreichbar:
| Dienst | Binding | |—|—| | NPM Admin | 127.0.0.1:81 | | Uptime Kuma | 127.0.0.1:3001 | | AdGuard UI | 127.0.0.1:3002 |
—
Sicherheitsbeobachtungen
Positiv
- CrowdSec aktiv
- Docker Netzwerksegmentierung
- Localhost Bindings vorhanden
- VPN sauber getrennt
- geringe Angriffsfläche des Hosts
—
Verbesserungspotenzial
Hohe Priorität
- authentik nicht direkt öffentlich exposen
- Forgejo Exposure prüfen
- öffentliche Ports reduzieren
—
Mittlere Priorität
- Compose Standards vereinheitlichen
- zentrale Loggingstrategie
- automatische Sicherheitsbenachrichtigungen
—
Langfristige Ziele
- minimale Angriffsfläche
- vollständig dokumentierte Infrastruktur
- automatisierte Sicherheitsüberwachung
- reproduzierbare Konfiguration
- wartungsarme Architektur