Unsere Infrastruktur - burningboard.net

Souverän, sicher, transparent

burningboard.net läuft nicht irgendwo in einer anonymen Cloud-Blackbox. Wir betreiben die komplette Infrastruktur selbst - vom Betriebssystem über die Datenbank bis zum Backup. Jede Komponente kennen wir, jede Komponente kontrollieren wir.

Das bedeutet für dich: Deine Daten bleiben in unserer Hand, in Deutschland, ohne Tracker und ohne externes Logging. Hier erfährst du, wie wir das technisch umsetzen.

Made in Germany 🇩🇪 100 % Open Source Keine Tracker Selbst gewartet

Aufgeräumte, segmentierte Architektur

Statt alles auf einem großen Haufen laufen zu lassen, ist jeder Dienst in einer eigenen, isolierten FreeBSD-Jail gekapselt - mit eigenem Netzsegment. Fällt ein Dienst aus oder wird kompromittiert, bleibt der Schaden eingegrenzt.

Internet

Reverse Proxy

nginx · TLS-Verschlüsselung, HTTP/3 (QUIC) und Media-Cache

Web & Streaming

Puma & Streaming-API · liefert die Mastodon-Oberfläche aus

Hintergrund-Worker

Sidekiq · verarbeitet Föderation, Mails und Medien

Datenbank

PostgreSQL & Valkey · Inhalte, Konten und Caches

Eine strikte Firewall (pf) erlaubt nach dem Prinzip „alles verboten, außer ausdrücklich erlaubt“ nur genau die Verbindungen, die zwischen den Segmenten wirklich nötig sind.

Sicherheit von Grund auf

Isolierte Jails

Jeder Dienst läuft in einer eigenen FreeBSD-Jail mit minimalen Rechten - wie wasserdichte Schotten in einem Schiff.

Default-Deny-Firewall

pf blockiert standardmäßig jeglichen Verkehr; freigeschaltet sind nur die nötigen Pfade zwischen den Netzsegmenten. Bekannte Angriffsquellen werden automatisch geblockt.

Gehärtetes System

Das FreeBSD-Basissystem läuft mit erhöhtem securelevel, sodass selbst mit Root-Rechten zentrale Systemdateien nicht heimlich verändert werden können.

Datenintegrität mit ZFS

Das ZFS-Dateisystem erkennt mit Prüfsummen stille Datenfehler und ermöglicht jederzeit konsistente Snapshots.

Datenhoheit & Souveränität

Gehostet in Deutschland

Server und Daten stehen in deutschen Rechenzentren - unter deutschem und europäischem Datenschutzrecht.

Keine Tracker, kein externes Logging

Wir binden keine Analyse-Dienste, keine Werbenetzwerke und keine externen Logging-Plattformen ein. Was auf dem Server passiert, bleibt auf dem Server.

Alles in eigener Hand

Wir warten sämtliche Systeme selbst - kein Managed Hosting, keine Fremdzugriffe. Updates, Konfiguration und Betrieb liegen komplett bei uns.

Durchweg Open Source

Vom Betriebssystem bis zur Anwendung setzen wir auf freie, quelloffene Software. Kein Vendor-Lock-in, volle Nachvollziehbarkeit.

Backups, die wir ernst nehmen

Daten sind nur so sicher wie ihr letztes funktionierendes Backup. Deshalb sichern wir nach dem bewährten 3-2-1-Prinzip - mehrfach, an getrennten Orten.

Tägliche ZFS-Snapshots
Automatische Snapshots frieren den Zustand des Systems regelmäßig ein und erlauben punktgenaue Wiederherstellung.
Verschlüsselt an zwei Standorte
Die Snapshots werden täglich verschlüsselt an zwei voneinander unabhängige Offsite-Ziele übertragen - die Daten verlassen den Server bereits verschlüsselt.
Zusätzliche Anwendungs-Backups
Ergänzend sichern wir täglich die Mastodon-Datenbank auf Anwendungsebene.
Zweimal jährlich getestet
Ein Backup, das man nie zurückgespielt hat, ist nur eine Hoffnung. Wir testen die vollständige Wiederherstellung zweimal pro Jahr. Eine Totmannschaltung („Dead Man's Switch“) schlägt Alarm, falls ein Backup-Lauf ausbleibt.

Überwachung - getrennt vom Hauptsystem

Auf einem separaten, ausschließlich internen Netz überwachen wir Verfügbarkeit und Auslastung mit Prometheus, Grafana und Loki. Diese Werkzeuge laufen bewusst auf eigenen virtuellen Maschinen eines getrennten Proxmox-VE-Clusters - also nicht auf dem Instanz-Server selbst. So bleibt das Monitoring auch dann aussagekräftig, wenn am Hauptsystem etwas klemmt. Auch der Volltext-Suchindex (OpenSearch) läuft auf einer eigenen Maschine.

Unter der Haube

Der komplette Stack auf einen Blick:

FreeBSD 15

Betriebssystem

ZFS

Dateisystem & Snapshots

Bastille

Jail-Verwaltung

pf

Firewall

nginx

Reverse Proxy

PostgreSQL

Datenbank

Valkey

In-Memory-Cache

OpenSearch

Volltextsuche

Ruby on Rails

Mastodon-Anwendung

Prometheus · Grafana · Loki

Monitoring & Logs

sanoid · syncoid

Backups

IPv6

natives Dual-Stack

Fragen zur Technik?

Du willst mehr über unser Setup wissen oder selbst etwas Ähnliches aufbauen? Schreib uns gerne: @tux oder @larvitz.