Crowdsec Zähler und Stats Reset

Ich habe die Website heute bereinigt und neu generiert. Da meine eigenen Testzugriffe die Statistik verfälscht hatten, wurde ein Reset durchgeführt.

Neu integriert ist ein Angriffs-Zähler im Header der Seite. Dieser erfasst Zugriffe, die trotz Vorfilterung durchgeschlagen sind. Ich schätze, dass CrowdSec bereits etwa 60% aller schädlichen Anfragen vorab blockiert. Dennoch wurden bis zu diesem Post 48 Angriffe registriert.

Selbst bei einer privaten Website zeigt dies die hohe Aktivität automatisierter Bots, die permanent nach Schwachstellen suchen.

Wer einen Server bei Hetzner betreibt, kennt das Gefühl: Kaum ist die Kiste online, klopfen die ersten ungebetenen Gäste an. Bots, Scaper, Skript-Kiddies – das Internet ist ein Dorf, und leider haben nicht alle Nachbarn gute Absichten.

Nachdem ich mein VPN auf Tailscale umgezogen habe, war klar: Der verbleibende HTTP-Traffic für Immich, Paperless und mein Portal braucht einen Türsteher, der keine Gefangenen macht.

Warum CrowdSec? (Oder: Einer für alle, alle gegen die Bots)

Fail2Ban ist okay, aber es kämpft allein. CrowdSec ist wie eine globale Nachbarschaftswache auf Steroiden. Wenn ein Server in Japan angegriffen wird, weiß mein Server in Nürnberg Sekunden später Bescheid und zieht die Zugbrücke hoch. Es ist eine echte Gemeinschaftsleistung gegen Cyber-Kriminalität.

Das Thema Hosting beschäftigt mich schon lange, und dabei stieß ich immer wieder auf dasselbe Problem: Wie mache ich meine Daten von außen sicher zugänglich, ohne mein Heimnetz wie ein offenes Scheunentor stehen zu lassen?

Das Problem: Die IPv4-Sackgasse

Um einen Server von außen erreichbar zu machen, benötigt man eine eindeutige Adresse – die IP-Adresse. Hier liegt der Hund begraben:

• IPv4: Der alte Standard (z. B. 138.199.205.5). Einfach zu handhaben, aber Adressen sind knapp.
• IPv6: Der moderne Nachfolger (lang und kryptisch). Theoretisch unendlich verfügbar, praktisch aber oft durch DS-Lite (mein Provider) eingeschränkt.

Mein Problem: Mein Anschluss zu Hause hat keine öffentliche IPv4-Adresse. Von unterwegs – besonders aus ausländischen Netzen oder restriktiven WLANs – ist mein Heimserver per IPv6 oft schlicht nicht erreichbar.

Ich bin mit den groben Zügen der aktuellen Infrastruktur-Migration so gut wie durch.

Was ist neu?

Die Website verfügt nun über zwei klar getrennte Bereiche:

1. Öffentliches Portal: Der Haupteinstieg unter elgrundo.de.
2. Geschützter Bereich: Ein passwortgeschütztes internes Portal (intern.elgrundo.de), das über Nginx-Gruppen abgesichert ist.
3. Offene Statistiken: Ganz im Sinne von Open Source gewähre ich Zugriff auf die Besucherstatistiken (betrieben mit Umami).

Security-Roadmap

Das nächste große Projekt ist die tiefe Integration von CrowdSec in den Web-Stack. Manche mögen dieses Setup als „Overkill“ für eine persönliche Seite bezeichnen, aber es ist eine hervorragende Übung für professionelle Sicherheitskonzepte.

Hallo zusammen,

schön, dass ihr den Weg in diese kleine Ecke des Internets gefunden habt. Hallo!

Dies ist ein Erweiterungsprojekt meines Homelabs. Was als Corona-Projekt begann, gerät immer mehr außer Kontrolle. Und da ich schon immer verstehen wollte, wie man eine Website hostet… tadaaa!

Ermöglicht wird das Ganze durch CachyOS, Docker, Nginx, Hugo und PaperMod. Wie ihr seht, setze ich voll auf Open Source.

Mehr Inhalte werden folgen – oder auch nicht ;)