Skip to content

Security & Plattformbetrieb

Praxisnahe Security-Arbeit im Self-Hosted-Umfeld: private Zugriffswege, Reverse Tunneling, DNS-Filterung, reaktive Abwehr, first-party Analytics, serviceorientierte Observability und kontrollierte Exponierung von Webdiensten.

Aktuelle Security- und Operations-Bausteine

  • Tailscale Private Overlay
  • UFW Interface-Isolation
  • Pi-hole DNS Filtering
  • CrowdSec Intrusion Response
  • Nginx Proxy Manager
  • Plausible Analytics
  • PostgreSQL
  • ClickHouse
  • Netdata
  • Uptime Kuma
  • Portainer
  • Dozzle
  • Watchtower

Security Stack

Netzwerk-Segmentierung

Prinzip: Angriffsflaeche minimieren. Impl: Private Overlay-Pfade, workloadnahe Trennung auf Proxmox und kontrollierte Service-Einstiegspunkte statt ungebuendelter Direkt-Exponierung.

Firewall-Strategie

Prinzip: Mehrschichtige Abwehr. Impl: Interface-basierte UFW-Regeln, Pi-hole fuer DNS-Filterung, CrowdSec fuer reaktive Blockierung und Nginx Proxy Manager fuer gebuendelte Service-Exponierung.

Sicherer Fernzugriff

Prinzip: Keine offenen Management-Ports. Impl: Tailscale-Overlay auf WireGuard-Basis fuer private Administration, konsistente SSH-Pfade und kontrollierten Remote-Zugriff auf interne Plattformen.

Observability

Prinzip: Betriebszustand sichtbar halten. Impl: Netdata fuer Echtzeit-Metriken, Uptime Kuma fuer Service-Checks, Dozzle fuer Live-Logs und Watchtower fuer den routinemaessigen Container-Update-Lifecycle.

Operative Ergebnisse

  • Die Umgebung kombiniert privaten Tailscale-Ingress, DNS-Filterung, kontrollierte Service-Exponierung und CrowdSec-basierte Reaktion statt sich auf einen einzelnen Schutzmechanismus zu verlassen.
  • Metriken, Uptime, Logs, Analytics und der Container-Update-Zyklus sind sichtbar und strukturierter betreibbar, was den Wartungsaufwand fuer die Self-Hosted-Plattform senkt.

Oeffentliche Zusammenfassung; interne Hostnamen, Adressen, Secrets und Konfigurationsdetails werden nicht veroeffentlicht.

Zur Fallstudie: Self-Hosted Infrastructure >Zur Operations-Schicht: The Vienna Fortress >

Fallstudien

Mehrschichtige DNS-Filterung & IPS

Herausforderung: Interne Dienste und Clients brauchten Basisschutz gegen unerwuenschte Domains und auffaellige Zugriffsmuster.

Vorgehen: Pi-hole fuer DNS-Filterung mit CrowdSec fuer verhaltensbasierte Erkennung und Gegenmassnahmen kombiniert und Service-Zugriffe ueber kontrollierte Einstiegspunkte gebuendelt.

Ergebnis: Unerwuenschte Domains und auffaelliger Traffic werden frueher im Request-Pfad abgefangen und reduzieren die Exponierung der eigentlichen Services.

Privater Administrationspfad

Herausforderung: Verteilte Dienste und Dashboards mussten remote administrierbar sein, ohne Management-Flaechen breit freizugeben.

Vorgehen: Tailscale-Overlay, gemeinsame SSH-Aliasse und kontrollierte Reverse-Proxy-Einstiegspunkte statt direkter oeffentlicher Management-Zugaenge genutzt.

Ergebnis: Administration bleibt auf privaten Pfaden, waehrend Nutzer-Dienste strukturierter und mit geringerer Fehlkonfiguration exponiert werden.

The Vienna Fortress

Herausforderung: Ein werkzeugorientiertes privates Infrastruktur-Lab wurde mit wachsendem Stack schwerer zu ueberwachen, abzusichern und im Alltag wartbar zu halten.

Vorgehen: Eine Proxmox- und Docker-Plattform um Nginx Proxy Manager, Pi-hole, CrowdSec, Netdata, Uptime Kuma, Dozzle, Watchtower und Homepage aufgebaut und zusaetzlich eine Proxmox-API-Integration fuer ein React-Dashboard debuggt.

Ergebnis: Eine produktionsnaehere interne Plattform mit geschichteter Sicherheit, zentraler Sichtbarkeit und geringerem Wartungsaufwand geschaffen.