Fundamente
Von Null zum Defender I.
Homelab, erster Server, alle die sagen 'Security mach ich später'.
Du hast gerade ein paar Server übernommen. Ein Homelab. Einen ersten VPS. Ein Wochenendprojekt das versehentlich in Produktion ging. Noch brennt nichts — aber du spürst schon: wenn jemand zu genau hinschaut, bricht was. Du brauchst keinen Universitätskurs. Du brauchst die fünf häufigsten Wege zu stoppen auf denen self-hosted Kisten gepwnt werden.
90 % der realen Self-Hosted-Kompromittierungen nutzen drei Sachen aus: Default-Credentials, fehlende TLS-Härtung und offene Ports die keiner kannte. Dieser Track schaltet alle drei in unter einer Stunde ab — und lehrt dich einen Security-Scan zu lesen wie ein Operator, nicht wie ein Textbuch.
- M-001
Ship HSTS before the crawler comes
A compliance crawler hits hodlberg.ag in 60s. Add Strict-Transport-Security, verify, reload — without breaking production.
⏱️ 5 min⚡ 120 XP🎯 5 goalsLaunch → - M-002
Lock down SSH before the bots find you
Fresh Ubuntu box, sshd still wide open. Disable root login + password auth, reload sshd. The scans are already inbound.
⏱️ 6 min⚡ 140 XP🎯 5 goalsLaunch → - M-003
Firewall: only what you actually need
An exposed DB host listening on seven ports. Configure UFW to allow only SSH, enable, confirm.
⏱️ 5 min⚡ 130 XP🎯 5 goalsLaunch → - M-004
TLS in three commands
hodlberg.ag still serves plaintext HTTP. Press demo in 10 minutes. Issue a cert, flip to HTTPS, verify.
⏱️ 7 min⚡ 150 XP🎯 6 goalsLaunch → - M-005
Misconfig Hunt — fix the top three
Claw Score dropped to D overnight. Three critical findings. Fix them all and rescan to A.
⏱️ 8 min⚡ 160 XP🎯 5 goalsLaunch → - M-006
Fail2ban: protect SSH from brute-force attacks
Your SSH server is under brute-force attack. Configure fail2ban: enable sshd jail, reduce bantime to 3600s, maxretry to 3, harden port.
⏱️ 10 min⚡ 200 XP🎯 7 goalsLaunch →
Concrete outcomes. No lecture notes.
- 01Ein Server der auf echtem Security-Scan A erreicht — nicht theoretisch sondern tatsächlich
- 02TLS mit Strict-Transport-Security, CSP und den Headers die Google wirklich prüft
- 03Eine UFW-Firewall bei der SSH die einzige offene Tür ist
- 04Eine SSH-Config die Root-Login verweigert, Passwörter verweigert, Keys only
- 05Dein erster Nginx-Hardening-Patch — in echte simulierte Shell getippt, von echtem Audit verifiziert
- 06Den Reflex niemals `sudo` in einer Shell zu fahren deren History du nicht erklären kannst
- ▸Indie-Entwickler:innen die ihr erstes Side-Projekt auf eine Public Domain shippen
- ▸Homelab-Betreiber:innen die gerade von einem Bot-Scan gebissen wurden
- ▸DevOps-Engineers die in Security pivotieren ohne 20 Stunden Video schauen zu wollen
- ▸Alle die gerade 'self-hosted' in einer Job-Description gelesen haben und nervös wurden
Jede Mission in diesem Track mappt auf mindestens ein Control aus BSI-Grundschutz, ISO 27001 Anhang A, und NIS2 Artikel 21. Du gehst nicht mit einem Zertifikat raus das du einem Auditor zeigst — aber du erkennst die Controls wenn der Auditor sie nennt.
Ich hab 8 VPS-Kisten. Hab Foundations an einem Sonntagnachmittag durchgezogen. Montag früh hatten alle 8 einen A-Grade SSL-Labs-Score und ein sauberes Security-Audit. Mein altes Leben ist vorbei.
Defender I
Schließe alle 5 Missionen End-to-End ab. Finales Goal jeder Mission muss vom Simulator verifiziert werden (nicht nur übersprungen).
- ✓W3C Verifiable Credential signiert mit `did:web:clawguru.org`
- ✓LinkedIn-Zertifizierungs-Badge — shareable, recruiter-erkennbar
- ✓Schaltet den Stack-Hardening-Track frei
- ✓Zugang zum Defender-Guild-Discord (invite-only, opt-in)
Questions we already got.
Brauche ich Linux-Erfahrung?+
Nein. Die ersten zwei Missionen setzen voraus dass du nie ein Terminal geöffnet hast. Du tippst, Dinge passieren, wir erklären. Wenn du dich schon mit bash auskennst, pflügst du in unter einer Stunde durch.
Ist das Terminal echt?+
Voll simulierte Shell — xterm.js läuft eine State-Machine im Browser. Kein echter Server wird berührt, keine Credentials nötig, nichts verlässt den Browser. Du kannst die Commands auch kopieren und danach gegen deine echte Kiste laufen lassen.
Was passiert wenn ich eine Mission überspringe?+
Jede Mission ist in sich geschlossen. Missionen 1 und 2 setzen Kontext (HSTS, SSH), aber du kannst direkt zu UFW oder der Misconfig-Hunt springen wenn das deine aktuelle Dringlichkeit ist. Kein Gate.
Ersetzt das ein richtiges Security-Audit?+
Nein. Das ist Selbsteinschätzung und Operator-Hygiene. Hebt deinen Score von 'leichtes Ziel' auf 'für Angreifer nicht mehr lukrativ'. Für formale Audits willst du weiterhin einen Menschen.
Was bekomme ich am Ende?+
Ein herunterladbares Defender-I-Credential — ein W3C Verifiable Credential signiert von ClawGuru. LinkedIn-shareable. Recruiter können es verifizieren ohne uns zu kontaktieren.
Wöchentlicher Security-Report
Kritische CVEs, Fix-Anleitungen und Hardening-Tipps — kostenlos, jede Woche.