richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/vps@hostinger/VPS security.md

1.3 KiB
Raw Blame History

VPS Beveiligingsmaatregelen

Server hardening

  • Root SSH-login uitgeschakeld
  • Dedicated non-root gebruiker (deploy) met sudo-rechten
  • SSH key authenticatie
  • UFW firewall — alleen poorten 22, 80 en 443 open
  • fail2ban actief — IP-adressen worden 1 uur geblokkeerd na 5 mislukte SSH-pogingen binnen 10 minuten

Netwerk & encryptie

  • HTTPS afgedwongen via Nginx + Let's Encrypt
  • Umami gebonden aan 127.0.0.1 — niet publiek bereikbaar
  • PostgreSQL alleen op intern Docker-netwerk
  • SSL automatisch vernieuwd via Certbot

Applicatiebeveiliging

  • Umami standaardwachtwoord direct wijzigen bij eerste login
  • APP_SECRET gerandomiseerd met openssl rand -base64 32
  • Cookieloze tracking — geen persoonsgegevens opgeslagen
  • data-domains attribuut beperkt tracking tot productiedomein

Nog te doen

  • Periodieke database backups instellen (cronjob) — een cronjob op de VPS die dagelijks een dump maakt en bijv. naar je lokale machine of een object storage stuurt. Nu verlies je bij een VPS-crash alles wat na je laatste handmatige backup binnenkomt.
  • fail2ban installeren voor SSH brute-force bescherming — blokkeert automatisch IP-adressen die te vaak fout inloggen via SSH. Eén commando om te installeren, vrijwel geen configuratie nodig.