homelab-doku/VPS/security.md

# Sicherheitsdokumentation

## Sicherheitsarchitektur

Die VPS nutzt mehrere Sicherheitslayer.

—

# Sicherheitskomponenten

| Komponente | Aufgabe |
|—|—|
| CrowdSec | Dynamische Angriffsblockierung |
| nftables | Paketfilterung |
| Docker Netzwerkisolierung | Segmentierung |
| WireGuard | Sicherer Fernzugriff |
| Nginx Proxy Manager | TLS Terminierung |
| authentik | Zentrale Authentifizierung |

—

# Firewall

## Aktueller Zustand

UFW ist deaktiviert.

Die VPS nutzt stattdessen:
- nftables
- Docker-verwaltete Regeln
- CrowdSec Integration

—

# Docker Isolation

Die Docker-Netzwerke sind durch nftables-Regeln segmentiert.

Vorhanden:
- RAW Regeln
- Netzwerkisolation
- Interface-basierte Filterung

—

# Öffentlich erreichbare Dienste

| Dienst | Port |
|—|—|
| NPM | 80 / 443 |
| Forgejo | 3000 |
| Forgejo SSH | 2222 |
| authentik | 9000 |
| TeamSpeak | 9987 / 10011 / 30033 |
| WireGuard | 51820 |

—

# Lokale Bindings

Folgende Dienste sind nur lokal erreichbar:

| Dienst | Binding |
|—|—|
| NPM Admin | 127.0.0.1:81 |
| Uptime Kuma | 127.0.0.1:3001 |
| AdGuard UI | 127.0.0.1:3002 |

—

# Sicherheitsbeobachtungen

## Positiv

- CrowdSec aktiv
- Docker Netzwerksegmentierung
- Localhost Bindings vorhanden
- VPN sauber getrennt
- geringe Angriffsfläche des Hosts

—

# Verbesserungspotenzial

## Hohe Priorität

- authentik nicht direkt öffentlich exposen
- Forgejo Exposure prüfen
- öffentliche Ports reduzieren

—

# Mittlere Priorität

- Compose Standards vereinheitlichen
- zentrale Loggingstrategie
- automatische Sicherheitsbenachrichtigungen

—

# Langfristige Ziele

- minimale Angriffsfläche
- vollständig dokumentierte Infrastruktur
- automatisierte Sicherheitsüberwachung
- reproduzierbare Konfiguration
- wartungsarme Architektur