Document hetzner account hygiene

docs/EXTERNAL_OPERATOR_RUNBOOK.md

@@ -24,6 +24,8 @@ Erwarteter Stand vom 2026-06-01:
 - FRITZ!Box-UI-Gegencheck vom 2026-06-01: Remote-HTTPS auf die FRITZ!Box ist aus, FTP/FTPS auf Speichermedien ist aus, nur `443/tcp -> 192.168.178.58` ist als WAN-Freigabe sichtbar, keine aktive IPv6-Freigabe sichtbar, UPnP-Selbstfreigaben aus.
 - FRITZ!Box-Konfig-Backup vom 2026-06-01 ist extern/off-system in Vaultwarden abgelegt; Datei und Kennwort nicht ins Repo schreiben.
 - Borg UI nutzt `borg 1.4.x`; Repository `appdata-critical` liegt auf Hetzner Storage Box `ssh://...your-storagebox.de:23/./hetzner_borg_appdata_critical`.
+- Hetzner-Account-Hygiene vom 2026-06-01: 2FA aktiv, Recovery Key offline gedruckt, Zahlung ok.
+- Storage Box vom 2026-06-01: SSH aktiv, SMB/WebDAV aus, separater Maintenance-Key in Vaultwarden, produktiver Borg-UI-Key und Maintenance-Key nach Passwort-Recovery getestet.
 - Restore-Freshness: `Critical 0`, `Warnings 0`.
 
 ## 2. Hetzner Account-Hygiene
@@ -33,7 +35,7 @@ Im Hetzner-/Storage-Box-Konto pruefen und extern/off-system dokumentieren:
 | Punkt | Soll |
 |---|---|
 | Passwort | stark, eindeutig, im Passwortmanager |
-| 2FA | aktiv, Recovery-Codes offline auffindbar |
+| 2FA | aktiv, Recovery Key offline auffindbar |
 | Kontakt-E-Mail | aktuell und ohne Homelab-Abhaengigkeit erreichbar |
 | Zahlungsweg | gueltig, Fallback bekannt |
 | Storage Box | Produkt, Benutzer und Rechnungsstatus sichtbar |
@@ -53,22 +55,29 @@ Hetzner bestaetigt auch, dass append-only moeglich ist. Borg selbst setzt
 append-only pro SSH-Key typischerweise ueber einen forced command in
 `authorized_keys` um.
 
-Empfohlenes Zielmodell:
+Zielmodell, aber **nicht ungeprueft auf der produktiven Storage Box anwenden**:
 
 ```text
-command="borg serve --append-only --restrict-to-repository /home/hetzner_borg_appdata_critical",restrict ssh-ed25519 <backup-public-key> borg-ui-append-only
-command="borg serve --restrict-to-repository /home/hetzner_borg_appdata_critical",restrict ssh-ed25519 <maintenance-public-key> borg-maintenance
+command="borg-1.4 serve --append-only --restrict-to-repository /home/hetzner_borg_appdata_critical",restrict ssh-ed25519 <backup-public-key> borg-ui-append-only
+ssh-ed25519 <maintenance-public-key> borg-maintenance
 ```
 
 Hinweise:
 
+- Stand 2026-06-01: Ein forced-command-Versuch auf der produktiven
+  Storage-Box-`authorized_keys` brach die Key-Authentifizierung. Recovery
+  erfolgte per Storage-Box-Passwort und Upload einer bereinigten
+  `authorized_keys` mit Borg-UI-Key und Maintenance-Key. Daher Append-only erst
+  nach Hetzner-Support-Klaerung oder in einem temporaren Sub-Account/Scratch-Repo
+  erneut testen.
 - Pfad auf der Storage Box vor dem Eintragen pruefen. Bei Hetzner werden Pfade
   im Borg-Repo haeufig relativ als `./repo-name` verwendet; in
   `authorized_keys` muss der serverseitige Pfad zur Storage-Box-Home-Struktur
   passen.
-- Der produktive Borg-UI-Key sollte append-only sein.
+- Der produktive Borg-UI-Key sollte langfristig append-only sein, ist aktuell
+  aber bewusst wieder uneingeschraenkt, damit die produktiven Backups laufen.
 - Ein separater Maintenance-Key bleibt fuer bewusste Retention/Prune/Compact
-  noetig und darf nicht auf dem produktiven Homelab-Host liegen.
+  noetig und liegt in Vaultwarden; lokale temporare Key-Dateien wurden geloescht.
 - Append-only verhindert nicht, dass ein kompromittierter Client Archive als
   geloescht markiert; es verhindert die unmittelbare physische Entfernung.
   Nach einem Vorfall keine unbeschraenkte Schreiboperation ausfuehren, bevor