Conversation
Kettwachsler
phpmacher@sueden.social
Ich bin kein #Devop, aber versuche mich aktuell mal an der Absicherung eines #vServers, den ich für #VPN nutzen möchte.
Macht das Sinn?:
1. UFW (Uncomplicated Firewall)
* neuer User anlegen, root deaktivieren bzw. 2FA
* nur per ssh-keys einloggen
* login per username/pw deaktivieren
* 2FA (noch unentschieden)
2. Docker
3. Wireguard
4. Nginx Reverse Proxy
5. Fail2ban
6. Cloudflared (DNS over HTTPS)
7. unattended-upgrades
8. Portainer
9. pihole (noch nicht sicher)
0
0
0
@martin_ueding @phpmacher
Kann man sicher so machen, jap. Als 2FA-Ersatz find ich Yubikeys ganz sexy. Dort kannst du deinen SSH-Key drauf speichern und sicherstellen dass du den Key gedrückt hast.
Ich mache mein privates VPN komplett mit Headscale - spart dir manuellen key-exchange, löst gleichzeitig DNS-Probleme und ist komplett selfhosted (nutzt Tailscale-Clients). Das ist je nach Routing-Anforderungen evtl. unpassend, aber ich mags sehr.
Kann man sicher so machen, jap. Als 2FA-Ersatz find ich Yubikeys ganz sexy. Dort kannst du deinen SSH-Key drauf speichern und sicherstellen dass du den Key gedrückt hast.
Ich mache mein privates VPN komplett mit Headscale - spart dir manuellen key-exchange, löst gleichzeitig DNS-Probleme und ist komplett selfhosted (nutzt Tailscale-Clients). Das ist je nach Routing-Anforderungen evtl. unpassend, aber ich mags sehr.
0
0
2