Infrastructure

Security

Sicherheit ist mein oberstes Gebot, daher hier ein paar Details:

  • Der Zugang zu meinen Servern (SSH) erfordert eine 2-Faktor-Authentifizierung
  • Unterstützte Updates werden automatisch installiert (einschließlich automatischem Neustart, falls erforderlich)
  • Alle Domains sind DNSSEC-signiert
  • Unterstützung von DANE für den E-Mail-Verkehr
  • DMARC (p=reject) Einträge auf meinen Domains
  • HSTS mit Preloading
  • Ich verwende 2-Faktor-Authentifizierung für alle Dienste von Drittanbietern, sofern diese unterstützt werden (njal.la, 1984.is, github, twitter, mastodon, …)
  • Ich verwende CAA, TLSA und SSHFP DNS-Einträge
  • Ich überwache die Zertifikatstransparenzprotokolle für unsere Domäne, um grobe Zertifikate zu erkennen.

DNS (Authoritative)

Ich benutze njal.la & inwx.de mit der Kombination von 1984.is als Nameserver mit folgenden Gründen:

  • DNSSEC und sicherheitsbezogene DNS-Einträge (CAA, TLSA und SSHFP) unterstützen
  • 2-Faktor-Authentifizierung unterstützen (TOTP, Yubikey)
  • Tor-freundlich sind
  • günstig

Email

Ich benutze mailbox.org für meine Emails:

  • im Allgemeinen ein datenschutzfreundlicher E-Mail-Anbieter ist (minimale Informationen sind bei der Registrierung erforderlich)
  • sie Tor-freundlich sind (und einen kleinen Tor-Exit-Relay betreiben)
  • Mailbox-Zugang über Onion-Dienste anbieten
  • DKIM unterstützen
  • DANE unterstützen
  • unterstützen die 2-Faktor-Authentifizierung