Netzwerkisolation zwischen Compose-Stacks durchsetzen Verschiedene Compose-Stacks auf demselben Host können sich standardmäßig gegenseitig erreichen — das ist oft unerwünscht. Das Problem: Default-Isolation existiert nicht Compose erstellt pro Stack ein eigenes Netzwerk (). Auf den ersten Blick sieh…
Dawarich - Standortverlauf und Reisen selbst tracken Dawarich ist eine selbstgehostete Alternative zu Google Maps Timeline, mit der der eigene Standortverlauf vollständig privat gespeichert und visualisiert werden kann. Was ist Dawarich? Dawarich importiert GPS-Standortdaten aus verschiedenen Quelle…
AppArmor und seccomp in Docker - Systemaufrufe einschränken Docker-Container teilen den Host-Kernel – wer den Angriffsfläche minimieren will, schränkt Systemaufrufe und Dateizugriffe mit seccomp und AppArmor ein. Was sind seccomp und AppArmor? seccomp (Secure Computing Mode): Filtert Systemaufrufe (…
Gluetun WebUI - grafische Oberfläche zur Gluetun-Verwaltung Die Gluetun WebUI ergänzt den Gluetun VPN-Container um eine browserbasierte Oberfläche, über die Verbindungsstatus, Serverauswahl und Kill-Switch-Zustand überwacht werden können. Was ist die Gluetun WebUI? Gluetun selbst bringt eine eingeba…
Rootless Docker einrichten - Container ohne Root-Rechte betreiben Rootless Docker lässt den Daemon als normaler Benutzer laufen – ein Container-Escape führt so maximal zu einem kompromittierten Benutzeraccount, nicht zum Root-Zugriff. Was Rootless Docker bedeutet Im normalen Betrieb läuft als root u…
Netzwerkzugriff von Containern nach außen einschränken Standardmäßig können Container frei ins Internet kommunizieren — das ist für Datenbanken und interne Services oft unnötig und ein Sicherheitsrisiko. Das Standard-Verhalten Jeder Container kann standardmäßig beliebige externe Verbindungen aufbaue…
Images scannen mit Trivy - Schwachstellen in Docker-Images finden Trivy scannt Docker-Images auf bekannte Sicherheitslücken in OS-Paketen und Anwendungsabhängigkeiten — und lässt sich einfach in CI-Pipelines integrieren. Installation Grundnutzung Typische Ausgabe: Auf kritische Schwachstellen fokuss…
Den Docker-Socket absichern - das unterschätzte Sicherheitsrisiko Der Docker-Socket ist effektiv ein root-Shell auf dem Host — wer ihn in einen Container mountet, gibt diesem Container vollen Host-Zugriff. Warum der Socket so mächtig ist Wer den Docker-Socket hat, kann: Neue Container starten (auch …
Headscale - Tailscale Control-Server selbst hosten Headscale ist eine Open-Source-Implementierung des Tailscale Control-Servers, mit der ein eigenes WireGuard-Mesh-Netzwerk ohne Cloud-Abhängigkeit betrieben werden kann. Was ist Headscale? Tailscale baut auf WireGuard auf und erzeugt automatisch ein …
Linux Capabilities in Docker begrenzen - cap-drop und cap-add Docker-Container laufen mit einem reduzierten, aber immer noch signifikanten Set an Linux-Capabilities — wer wirklich absichern will, muss aktiv kürzen. Was sind Linux Capabilities? Linux teilt Root-Privilegien in granulare Einheiten auf.…
CrowdSec - kollaborative Sicherheitslösung gegen Angreifer CrowdSec ist ein Open-Source-Sicherheitssystem, das Angriffe erkennt, blockiert und Bedrohungsdaten mit der Community teilt. Was ist CrowdSec? CrowdSec analysiert Logs von Webservern, SSH-Diensten und anderen Anwendungen und erkennt automati…
Cloudflared Cloudflare Tunnel Daemon — sichere Zero-Trust-Verbindung ohne offene Ports. Was ist Cloudflared? Cloudflared ist der offizielle Tunnel-Client von Cloudflare. Er baut eine ausgehende Verbindung von einem Docker-Container zu Cloudflares Netzwerk auf und macht lokale Dienste über eine Domai…
Lufi - Dateien temporär hochladen und teilen Lufi ist ein datenschutzfreundlicher Datei-Sharing-Dienst, der Uploads clientseitig verschlüsselt und nach konfigurierbarer Zeit automatisch löscht. Was ist Lufi? Lufi steht für "Let's Upload that FIle" und ist eine selbst gehostete Alternative zu WeTrans…
Read-only Container-Filesystem - und wo man dann doch schreiben muss Ein Read-only-Filesystem zwingt zur expliziten Entscheidung, wo Daten persistiert werden — und reduziert nebenbei die Angriffsfläche. Das Grundprinzip Der Container kann jetzt nichts mehr in sein Filesystem schreiben. Jeder Schreib…
Container nicht als root betreiben - USER im Dockerfile setzen Standardmäßig laufen Container-Prozesse als root (UID 0) — das ist unnötig und vergößert die Angriffsfläche erheblich. Das Problem Ein Prozess als root im Container bedeutet: Wenn der Prozess kompromittiert wird, hat der Angreifer root-R…
Netzwerkisolation zwischen Compose-Stacks - Dienste gezielt absichern Jeder Container, der im selben Docker-Netzwerk ist, kann alle anderen Container in diesem Netzwerk direkt ansprechen — das ist oft mehr Zugriff als nötig. Das Standard-Verhalten Ohne explizite Netzwerk-Konfiguration packt Compose …
Kasm Workspaces - Desktop-Streaming und Browser-Isolation im Container Kasm Workspaces streamt vollständige Desktop-Umgebungen und Browser-Instanzen direkt in den Browser des Nutzers. Was ist Kasm Workspaces? Kasm Workspaces ist eine Container-basierte Streaming-Plattform, die Desktop-Anwendungen, B…
Jlesage Firefox - Firefox vollständig im Docker-Container ausführen Das jlesage/firefox-Image führt einen vollständigen Firefox-Browser im Docker-Container aus und macht ihn über einen integrierten VNC/noVNC-Webserver im Browser bedienbar. Was ist jlesage/firefox? Manchmal ist es sinnvoll, einen Bro…
Secrets in Docker Compose richtig übergeben - nicht als Umgebungsvariable Umgebungsvariablen für Secrets wirken bequem — sind aber ein bekanntes Sicherheitsproblem, das sich mit wenig Aufwand vermeiden lässt. Warum ENV-Vars für Secrets problematisch sind Außerdem erben alle Kindprozesse im Container…
CyberChef - Daten analysieren, kodieren und transformieren CyberChef ist eine browserbasierte Werkzeugsammlung zur Analyse, Kodierung, Dekodierung und Transformation von Daten – selbst gehostet und offline nutzbar. Was ist CyberChef? CyberChef wurde ursprünglich vom britischen GCHQ entwickelt und is…
Gluetun - VPN-Client-Container mit Kill-Switch für alle Dienste Gluetun ist ein Docker-Container, der eine VPN-Verbindung aufbaut und anderen Containern als Netzwerk-Gateway dient — mit eingebautem Kill-Switch, der den Datenverkehr bei VPN-Abbruch sofort blockiert. Was ist Gluetun? Gluetun löst ein …
CryptPad - verschlüsselte Zusammenarbeit ohne Datenweitergabe CryptPad ist eine Ende-zu-Ende-verschlüsselte Kollaborationsplattform für Dokumente, Tabellen und Präsentationen – ohne dass der Server Inhalte lesen kann. Was ist CryptPad? CryptPad bietet eine Suite von kollaborativen Werkzeugen (Textdo…
KeeWeb - KeePass-Passwortdatenbank im Browser öffnen KeeWeb ist eine selbstgehostete Web-App zum Öffnen und Bearbeiten von KeePass-Datenbanken direkt im Browser. Was ist KeeWeb? KeeWeb bietet eine moderne Oberfläche für KeePass-kompatible -Datenbanken – ohne Installation, direkt im Browser. Die Anwe…
Authelia - Zwei-Faktor-Login-Gateway für selbstgehostete Dienste Authelia ist ein Open-Source-Authentifizierungsserver, der selbstgehostete Dienste mit Zwei-Faktor-Authentifizierung und Single-Sign-On absichert. Was ist Authelia? Authelia sitzt als vorgelagerter Authentifizierungs-Proxy vor beliebig…
Element - Matrix-Chat-Client im Browser selbst hosten Element ist die offizielle Web-Oberfläche für das dezentrale Matrix-Protokoll und ermöglicht sicheres, verschlüsseltes Chatten ohne Abhängigkeit von zentralen Servern. Was ist Element? Matrix ist ein offenes, föderiertes Kommunikationsprotokoll, …
Bitwarden - Passwort-Manager selbst hosten mit Vaultwarden Vaultwarden ist eine ressourcenschonende, inoffizielle Bitwarden-Server-Implementierung, die alle offiziellen Bitwarden-Clients vollständig unterstützt. Was ist Vaultwarden? Vaultwarden (früher Bitwarden_RS) implementiert die Bitwarden-Serve…
Den Benutzer zur docker-Gruppe hinzufügen - und warum das eine Sicherheitsentscheidung ist Ohne weitere Konfiguration erfordert jeder Docker-Befehl . Der schnelle Fix: Benutzer zur -Gruppe hinzufügen. Das ist bequem — aber keine neutrale technische Entscheidung. Die Befehle Nach einem Logout/Login i…
Keycloak - Identity-Provider und SSO für alle Dienste Keycloak ist ein leistungsfähiger Open-Source-Identity-Provider für Single Sign-On, OAuth2 und OpenID Connect. Was ist Keycloak? Keycloak ist eine vollständige Identity- und Access-Management-Lösung, die Authentifizierung und Autorisierung als ze…
Jitsi Meet - Open-Source-Videokonferenzen ohne Account Jitsi Meet ist eine vollständig selbstgehostete Videokonferenzlösung, die ohne Account oder installierte Software direkt im Browser funktioniert. Was ist Jitsi Meet? Jitsi Meet ermöglicht verschlüsselte Videokonferenzen für beliebig viele Teilne…
AdGuard Home DNS-basierter Werbeblocker und Tracking-Schutz für das gesamte Heimnetzwerk. Was ist AdGuard Home? AdGuard Home ist ein selbst gehosteter DNS-Server, der Werbe- und Tracking-Domains auf DNS-Ebene blockiert — noch bevor eine Verbindung aufgebaut wird. Damit profitieren alle Geräte im Net…
Mailcow - vollständiger Mailserver in einem Docker-Stack Mailcow ist ein vollständiger, produktionsreifer Mailserver-Stack mit Web-Admin-Oberfläche, Spam-Filter, DKIM und allem, was für den eigenen E-Mail-Betrieb benötigt wird. Was ist Mailcow? Mailcow bündelt Postfix, Dovecot, Rspamd, ClamAV, SOGo …
Caddy Automatischer HTTPS-Reverse-Proxy und Webserver mit eingebautem Let's-Encrypt-Support. Was ist Caddy? Caddy ist ein moderner Webserver, der TLS-Zertifikate vollautomatisch über Let's Encrypt oder ZeroSSL ausstellt und erneuert — ohne manuelle Konfiguration. Er eignet sich hervorragend als Reve…