# Hardening Guide – Produkt <Name>

## Zielgruppe & Geltungsbereich
- Adressaten: Kunden-Administratoren, Integratoren, interne Ops-Teams
- Deployment-Scope: Docker, Kubernetes, Stand-alone Binary

## Mindestanforderungen an die Umgebung
- Betriebssystem: Linux Kernel >= 5.10, aktivierte Sicherheitsmodule (AppArmor/SELinux)
- Netzwerk: TLS 1.2+ Termination, Firewall-Regeln gemäß Tabelle `ports.csv`
- Benutzer: dedizierter Service-Account ohne Shell-Login, Mitglied der Gruppe `<product>`

## Installation & Initialkonfiguration
1. Paket/Container aus verifizierter Quelle (`hashes/<version>.txt`) beziehen.
2. Signatur prüfen: `cosign verify <image>` oder `gpg --verify <pkg>.sig`.
3. Standard-Konfigurationsdatei `config/default.yaml` kopieren und Kunden-spezifisch anpassen.
4. Secrets über `$PRODUCT_SECRET_PATH` einbinden (nicht in Klartextdateien hinterlegen).

## Härtungsschritte
- Entfernt ungenutzte Module/Plugins (`modules-disabled.txt`).
- Aktiviert Audit-Logging (`logging.enabled=true`) und leitet Logs an Syslog oder SIEM weiter.
- Erzwingt TLS-Zertifikatsprüfung für Upstream-Verbindungen (`tls.verify=true`).
- Setzt Resource Limits (`cpu=500m`, `memory=512Mi`) und aktiviert Read-Only Root Filesystem.

## Überwachung & Wartung
- Health-Checks: `GET /healthz` (erwartet `200 OK`).
- Sicherheitsupdates: mindestens monatlich `docker pull <image>:<version>` oder Paketmanager ausführen.
- Ereignisse überwachen: Authentifizierungsfehler, Konfigurationsänderungen, ungewöhnliche Netzwerkaktivitäten.

## Incident Response & Kontakt
- Vulnerability Disclosure Mail: security@example.com
- Notfallkontakt (24/7): +49-123-456789-0
- Dokumentiert jeden Befund im Corrective Action Log inkl. Referenz zu Kunden-Case oder Ticket.

## Änderungslog
- `<YYYY-MM-DD>` – Erstveröffentlichung Version `<version>`.
- `<YYYY-MM-DD>` – Aktualisiert Mindestanforderungen (Kernel-Version, TLS-Einstellungen).