Security Center - TimWa Command Center

⚙ Infrastructure

🔥 Firewall (UFW) SECURE

Status ACTIVE

Default Incoming DENY

Active Rules 6

Dev-Ports geschlossen FIXED

22/SSH 80/HTTP 443/HTTPS 8001/API 8080/Alt 8443/Alt 8000 8081 8052 19000-06

🔒 SSL/TLS TLSv1.3

Issuer Let's Encrypt (E8)

Protocol TLSv1.3

Cipher AES-256-GCM

Zertifikate gesamt 6

timson-software-engineering	60 Tage
trading-unified-dashboard	60 Tage
sailing-monitor	58 Tage
acoustic-monitor	56 Tage
bewerbungs-cockpit	68 Tage
monitor.die-segelfreunde.de	EXPIRED

🔑 SSH Access HARDENED

PermitRootLogin prohibit-password

PasswordAuth DISABLED

PubkeyAuth ENABLED

Port 22

🛡 Fail2Ban IDS 3 JAILS

Active Jails sshd, nginx-limit-req, nginx-http-auth

Currently Banned

Total Banned

Active Jails

🌐 Web Server (Nginx)

🛡 Security Headers 8/8 HEADERS

X-Frame-Options SAMEORIGIN

X-Content-Type-Options nosniff

X-XSS-Protection 1; mode=block

Referrer-Policy strict-origin

HSTS 31536000s

Permissions-Policy ACTIVE

Content-Security-Policy ACTIVE

server_tokens OFF (hidden)

🔗 API Endpoints BLOCKED

/docs (Swagger) 403 BLOCKED

/openapi.json 403 BLOCKED

/redoc SPA Fallback (kein API)

/auth/register ADMIN-ONLY

API-Routen gesamt 591

📦 Docker & Container

📦 Docker Engine CURRENT

Version 29.2.1

Latest 29.2.1

Container 22 running

Networks 9 isolated

👤 Container Users NON-ROOT

cmms-backend appuser (uid 999)

cmms-celery-worker appuser (uid 999)

cmms-celery-beat appuser (uid 999)

Redis redis (non-root)

PostgreSQL postgres (non-root)

🔸 Redis Cache AUTH ON

Authentication REQUIREPASS

Unauthenticated ping NOAUTH (blocked)

Network Exposure Docker-intern

Health Check HEALTHY

📈 Monitoring & Netzwerk

💾 Disk Usage 46%

Gesamt 75 GB

Belegt 50 GB

Frei 22 GB

Cleanup-Ergebnis +13 GB freigegeben

💻 Betriebssystem CURRENT

OS Ubuntu 24.04.2 LTS

Kernel 6.8.0-52

Auto-Updates unattended-upgrades

🛡 Docker UFW-Bypass PROTECTED

DOCKER-USER Chain ACTIVE

Erlaubte Ports 80, 443, 8001, 8080, 8443

Default Policy DROP

Persistenz iptables-save

💾 DB Backup AUTOMATED

Schedule Taeglich 03:00 UTC

Letztes Backup 01.03.2026 16:45

Groesse 7.7 MB (gzip)

Aufbewahrung 14 Tage

🔌 Tunnel (ngrok) STOPPED

Status NICHT AKTIV

Letzter Zweck Expo Dev (Mobile)

Gestoppt am 01.03.2026

📝 Behobene Findings (01.03.2026 + 05.04.2026)

✅ CRITICAL: Nginx Security Headers (7/7) + server_tokens off 16:15

✅ CRITICAL: Redis Passwort-Authentifizierung aktiviert 16:17

✅ CRITICAL: Disk-Cleanup: 33 GB freigegeben (87% → 46%) 16:17

✅ HIGH: Dev-Ports 8000, 8081, 8052, 19000-19006 in UFW geschlossen 16:18

✅ HIGH: /docs und /openapi.json blockiert (HTTP 403) 16:15

✅ HIGH: Non-Root Container (appuser) fuer Backend + Celery 16:24

✅ HIGH: /auth/register auf ADMIN-Only beschraenkt (bereits gesichert) 16:10

✅ MEDIUM: SSH PermitRootLogin auf prohibit-password gesetzt 16:18

✅ MEDIUM: Fail2Ban: 2 neue Nginx-Jails (limit-req, http-auth) 16:19

✅ MEDIUM: ngrok untersucht und gestoppt 16:44

✅ HIGH: Content-Security-Policy Header hinzugefuegt (8/8 Headers) 16:43

✅ HIGH: Docker UFW-Bypass mit DOCKER-USER Chain gefixt (DROP default) 16:44

✅ HIGH: Automatisches PostgreSQL-Backup (taeglich 03:00 UTC, 14 Tage Retention) 16:45

✅ MEDIUM: Docker CE von 29.2.0 auf 29.2.1 aktualisiert

✅ CRITICAL: SSL Certbot Renewal gefixt (webroot /var/www/certbot) 05.04 15:30

✅ HIGH: Security Headers aktualisiert (HSTS, X-Frame, Permissions-Policy) 05.04 15:25

✅ HIGH: Kernel Update 6.8.0-106 auf 6.8.0-107 + Reboot 05.04 15:35

✅ HIGH: 51 Sicherheitsupdates installiert (Docker CE 29.3.1, containerd 2.2.2) 05.04 15:24

✅ MEDIUM: Unattended-Upgrades aktiviert fuer automatische Sicherheitspatches 05.04 15:24

✅ HIGH: ZEUS-MV DB Backup eingerichtet (taeglich 03:00 UTC, 14 Tage Retention) 05.04 15:00

✅ MEDIUM: iptables-persistent installiert (Firewall-Regeln ueberleben Reboot) 05.04 15:25 16:46

💡 Verbleibende Empfehlungen (05.04.2026)

MEDIUM SSL-Zertifikat fuer monitor.die-segelfreunde.de erneuern oder loeschen (Domain zeigt nicht auf diesen Server — DNS-Problem).