schwarzerregen

// serviços em execução

Personal Site live

Site estático servido via nginx + Cloudflare Tunnel. Zero portas abertas no servidor. TLS terminado pelo Cloudflare externamente.

nginx cloudflare tunnel static html hsts

Vault ↗ otp required

Hub privado com autenticação OTP por email. File server integrado com FileBrowser, protegido por nginx auth_request. Sessão com cookie HttpOnly + SameSite.

flask otp sqlite filebrowser csrf auth_request

SSH Wall of Shame ↗ live

Monitoramento em tempo real das tentativas de invasão SSH. Mapa mundial com marcadores, top 10 usernames e feed ao vivo via SSE.

fastapi sse leaflet.js ipinfo.io geolocation

Remote SSH Access zero trust

Acesso remoto via Cloudflare Access + cloudflared. SSH disponível de qualquer lugar do mundo sem abrir nenhuma porta no firewall.

cloudflare access cloudflared ssh over tunnel port 2222

Auth Service hardened

OTP via email com rate limiting duplo: por IP e por email. Proteção contra DoS de lockout com threshold separado para wildcard. CSRF em todos os formulários.

flask rate limit lockout protection httponly cookie

SSH Hardening hardened

fail2ban + UFW bloqueando força bruta. Porta 2222, maxretry=3, bantime=1h, PasswordAuthentication=no, root login desabilitado.

fail2ban ufw sshd key-only auth

// arquitetura

Orquestração Docker Compose · 4 containers

Redes internas vault_net · auth_net · monitor_net

Hardening de container cap_drop: ALL · read_only · no-new-privileges · tmpfs

Pinagem de imagem SHA256 digest em todas as imagens externas

Proxy reverso nginx · auth_request · rate limiting · CSP

TLS / exposição Cloudflare termina externamente · HTTP interno

Persistência SQLite (auth state) · JSON (monitor state)

Hardware Ryzen 7 5700X · RTX 4060 Ti · São Paulo

Infraestrutura própria, sem cloud, sem VPS. Construída do zero numa madrugada depois de descobrir que um smartwatch vendia dados de localização. O russo tenta entrar. O sistema anota, geotageia, e exibe no mapa. Tudo monitorado, tudo registrado.

The Lab