diff --git a/setup-hugo-host.sh b/setup-hugo-host.sh
index b99b7f5..834dfa3 100755
--- a/setup-hugo-host.sh
+++ b/setup-hugo-host.sh
@@ -153,7 +153,11 @@ net.ipv6.conf.all.accept_redirects = 0
 kernel.dmesg_restrict = 1
 EOF
 
-sysctl --system >/dev/null
+# Nur unsere eigene Datei anwenden, nicht --system (Debian-Defaults setzen Keys,
+# die in einem unprivileged LXC read-only sind und set -e auslösen würden).
+# || true: in unpriv LXC ist z.B. kernel.dmesg_restrict ebenfalls read-only —
+# nicht kritisch, einfach ignorieren.
+sysctl -p /etc/sysctl.d/99-hardening.conf >/dev/null 2>&1 || true
 
 # ── 7. Nginx-Site einrichten ──────────────────────────────────────────────────