24 lines
1.3 KiB
Markdown
24 lines
1.3 KiB
Markdown
# VPS Beveiligingsmaatregelen
|
|
|
|
### Server hardening
|
|
- Root SSH-login uitgeschakeld
|
|
- Dedicated non-root gebruiker (`deploy`) met sudo-rechten
|
|
- SSH key authenticatie
|
|
- UFW firewall — alleen poorten 22, 80 en 443 open
|
|
- fail2ban actief — IP-adressen worden 1 uur geblokkeerd na 5 mislukte SSH-pogingen binnen 10 minuten
|
|
|
|
### Netwerk & encryptie
|
|
- HTTPS afgedwongen via Nginx + Let's Encrypt
|
|
- Umami gebonden aan `127.0.0.1` — niet publiek bereikbaar
|
|
- PostgreSQL alleen op intern Docker-netwerk
|
|
- SSL automatisch vernieuwd via Certbot
|
|
|
|
### Applicatiebeveiliging
|
|
- Umami standaardwachtwoord direct wijzigen bij eerste login
|
|
- `APP_SECRET` gerandomiseerd met `openssl rand -base64 32`
|
|
- Cookieloze tracking — geen persoonsgegevens opgeslagen
|
|
- `data-domains` attribuut beperkt tracking tot productiedomein
|
|
|
|
### Nog te doen
|
|
- [ ] Periodieke database backups instellen (cronjob) — een cronjob op de VPS die dagelijks een dump maakt en bijv. naar je lokale machine of een object storage stuurt. Nu verlies je bij een VPS-crash alles wat na je laatste handmatige backup binnenkomt.
|
|
- [ ] fail2ban installeren voor SSH brute-force bescherming — blokkeert automatisch IP-adressen die te vaak fout inloggen via SSH. Eén commando om te installeren, vrijwel geen configuratie nodig.
|