LibreChat ist eine quelloffene Chat-Oberfläche, die sich als selbstgehostete Alternative zu ChatGPT, Claude und ähnlichen Diensten verstehen lässt. Statt sich an einen einzelnen Anbieter zu binden, bündelt die Anwendung zahlreiche KI-Modelle unter einer einheitlichen Oberfläche – von OpenAI, Anthropic und Google über OpenRouter bis hin zu lokal betriebenen Modellen via Ollama. Damit lässt sich frei zwischen den Modellen wechseln, ohne mehrere Konten und Weboberflächen parallel pflegen zu müssen. Für den Datenschutz besonders interessant: Da die Instanz auf dem eigenen Server läuft, bleiben Konversationen, Dokumente und Zugangsdaten in der eigenen Infrastruktur und verlassen diese nur gezielt beim Aufruf der jeweiligen Modell-API. Funktional steht LibreChat den großen Anbietern kaum nach und bringt unter anderem eine Konversationssuche, Datei-Uploads mit RAG-Anbindung, einen Agenten-Builder sowie eine Mehrbenutzerverwaltung mit Rollen und Rechten mit.
CrowdSec
Hermes Agent – der selbstlernende KI-Agent – mit Docker Compose und Traefik installieren
Hermes Agent von Nous Research ist ein autonomer KI-Agent, der dauerhaft auf dem eigenen Server läuft und sich – anders als klassische Chatbot-Wrapper – über die Zeit eigene Skills und Erinnerungen aufbaut. Erreichbar ist er wahlweise über das mitgelieferte Web-Dashboard, per CLI oder über Messenger wie Telegram, Discord, Slack, WhatsApp und Signal. Beim Sprachmodell ist man nicht an einen Anbieter gebunden – ob Anthropic, OpenAI, Gemini, OpenRouter oder lokale Inference-Server wie Ollama, alles ist über dieselbe Konfiguration ansprechbar.
Da Hermes ein Agent mit Schreibrechten ist (Code ausführen, Dateien anlegen, Browser steuern), gehört er hinter eine vernünftige Absicherung: in dieser Anleitung Traefik als Reverse-Proxy, CrowdSec gegen Brute-Force und das eingebaute Auth-Gate fürs Dashboard.
CrowdSec Manager – mit Docker Compose und Traefik installieren
Wer CrowdSec produktiv im Einsatz hat, kennt das: Jeder Blick auf aktuelle Bans, jede Whitelist-Anpassung, jede Alert-Analyse läuft über docker exec crowdsec cscli .... Das funktioniert, ist aber auf Dauer mühsam, vor allem wenn man mal eben schauen will, warum eine bestimmte IP gerade gebannt ist, oder eine neue AppSec-Whitelist für einen Self-Hosted-Dienst anlegen will. Die Antwort von CrowdSec selbst auf dieses Problem heißt CrowdSec Console, welche als Web-Oberfläche mit Dashboard, Alert-Übersicht, Bouncer-Management und mehr zur Verfügung gestellt wird. Wer aber eine selbst gehostete Alternative bevorzugt, für den könnte CrowdSec Manager interessant sein. Dabei handelt es sich um Community-Projekt, das die wichtigsten Funktionen einer Web-UI komplett lokal abbildet.
CrowdSec AppSec – Web Application Firewall aktivieren und testen
Bisher war CrowdSec unser verlässlicher Türsteher: Es hat IPs erkannt, die sich danebenbenehmen (z.B. durch zu viele fehlgeschlagene Logins), und diese dann via Bouncer auf Netzwerkebene blockiert. Das ist effektiv, hat aber eine Schwachstelle: Es ist “nur” Log-Parsing.
CrowdSec musste bisher warten, bis eine Anwendung (bei uns Traefik) einen Fehler in eine Logdatei schreibt, um darauf zu reagieren. Doch was passiert, wenn der Angriff gar keinen Fehler im Log erzeugt, sondern eine Sicherheitslücke in der Anwendung selbst ausnutzt (wie bei Log4Shell oder SQL-Injections)?
Traefik ab v3.6 mit CrowdSec installieren und konfigurieren
Wenn mehrere Dienste auf demselben Server über Port 80 (HTTP) oder 443 (HTTPS) kommunizieren, kann es zu Port-Konflikten kommen, da normalerweise nur ein Dienst einen bestimmten Port zur gleichen Zeit belegen kann. Traefik löst dieses Problem als Reverse-Proxy und Load-Balancer.
Traefik leitet alle eingehenden Anfragen auf Port 80 oder 443 an die richtigen Dienste weiter. Dies geschieht anhand von konfigurierten Regeln, die das Routing bestimmen. So wird sichergestellt, dass jeder Dienst erreichbar ist, ohne dass Port-Konflikte entstehen. Nutze Traefik für eine effiziente und reibungslose Kommunikation der Webdienste.
In dieser Anleitung erfahrt ihr, wie ihr Nextcloud mittels des Tools CrowdSec in wenigen Minuten absichern könnt.
WordPress ist das beliebteste Ziel für automatisierte Angriffe im Netz, weshalb ein ungeschütztes System oft schon nach wenigen Minuten von Bots gescannt wird. Anstatt das CMS jedoch mit ressourcenhungrigen Security-Plugins zu belasten, wehren wir Angreifer mit CrowdSec direkt an der Haustür unseres Traefik-Proxys ab. Dafür etablieren wir einen zweigleisigen Schutz: Die klassische Log-Analyse sperrt IPs automatisch aus, sobald sie Brute-Force-Attacken auf den Login versuchen. Gleichzeitig analysiert die AppSec-Komponente (WAF) jeden HTTP-Request in Echtzeit und blockiert gezielte Exploits, wie manipulierte PHP-Uploads, zuverlässig durch Virtual Patching. In diesem Beitrag zeige ich euch, wie schnell sich dieser doppelte Schutz in unser bestehendes Docker-Setup integrieren lässt.
[🕰️ Outdated] Traefik V3 Installation, Konfiguration und CrowdSec-Security
Wenn mehrere Dienste auf demselben Server über Port 80 (HTTP) oder 443 (HTTPS) kommunizieren, kann es zu Port-Konflikten kommen, da normalerweise nur ein Dienst einen bestimmten Port zur gleichen Zeit belegen kann. Traefik löst dieses Problem als Reverse-Proxy und Load-Balancer.
Traefik leitet alle eingehenden Anfragen auf Port 80 oder 443 an die richtigen Dienste weiter. Dies geschieht anhand von konfigurierten Regeln, die das Routing bestimmen. So wird sichergestellt, dass jeder Dienst erreichbar ist, ohne dass Port-Konflikte entstehen. Nutze Traefik für eine effiziente und reibungslose Kommunikation der Webdienste.
In dieser Anleitung seht ihr, wie ihr in kurzer Zeit euren Mailcow E-Mail Server mittels CrowdSec zusätzlich absichern könnt.
- 1
- 2
