Micha/homelab-infra
1
0
Fork 0
Code Issues 1 Pull Requests 5 Actions Packages Projects Releases Wiki Activity

docs: commit pending status updates from 2026-06-06 sprint wrap-up

Browse Source 
Preserves uncommitted working-copy updates (Veeam recovery test done,
BitLocker decision, ACL rollout, freshness negative test) before the
documentation consolidation restructures these files.

Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
This commit is contained in:
Micha
2026-06-11 07:00:25 +02:00
parent 58c3324557
commit 42ed59a4d7
6 changed files with 50 additions and 46 deletions
Download Patch File Download Diff File Expand all files Collapse all files
docs/AI_CONTEXT.md
+16 -13
View File
@@ -1,6 +1,6 @@
# AI Context
Stand: 2026-06-05
Stand: 2026-06-06
Kurzer Kontext fuer KI-Agenten. Nicht als Ersatz fuer die echten Runbooks lesen.
@@ -47,25 +47,28 @@ Authoritativ: `docs/MASTER_TODO.md`.
Kurzfassung:
- Auth-/OIDC-/CrowdSec-/Hermes-Themen bewusst geparkt
- Wochenend-Sprint 2026-06-05: `docs/WEEKEND_EXECUTION_PLAN_2026-06-05.md`
und `docs/WEEKEND_STATUS_2026-06-05.md`
- Keine offenen Operator-Entscheidungen laut `docs/MASTER_TODO.md`.
- Aktiv: Family-Onboarding, physischer Unraid-Flash-Stick-Boot-Test,
Tailscale-Restore-Test und Authelia-OIDC-Rollout fuer Paperless/Immich/Nextcloud.
- Bewusst geparkt: CrowdSec, Hermes, USV, zweites Off-site-Ziel,
Borg append-only, Nextcloud-TOTP bis zur OIDC-/Familien-Login-Policy.
Letzte Bestaetigung:
- Windows-Image `baerchen`: Veeam Agent Free Job `baerchen-c-image` auf
`\\kallilabcore\backups\windows-images\baerchen`, erster Full-Backup-Lauf
2026-06-05 erfolgreich, GUI-Wert 53,8 GB, Dauer 0:11:31. Recovery-USB ist
erstellt; Boot-/SMB-/Restore-Point-Test ohne Restore ist noch offen.
- Veeam Storage Encryption ist beim ersten Full-Lauf nicht aktiv
(`StorageEncryptionEnabled=False`); nachtraegliche Aktivierung ist eine
Operator-Entscheidung, weil sie Passwort- und Restore-Prozess aendert.
- BitLocker fuer `baerchen` ist bewusst nicht aktiviert und bleibt
Operator-Entscheidung.
2026-06-05 erfolgreich, GUI-Wert 53,8 GB, Dauer 0:11:31. Recovery-USB-/SMB-/
Restore-Point-Test ohne echten Restore wurde am 2026-06-06 erfolgreich
abgeschlossen.
- Veeam Storage Encryption bleibt bewusst deaktiviert
(`StorageEncryptionEnabled=False`); neu bewerten bei Off-host-Auslagerung des
Windows-Images.
- BitLocker fuer `baerchen` ist bewusst deaktiviert; Recovery laeuft ueber
Veeam-Image, kein BitLocker-Key-Management.
- Tailscale-Inventar 2026-06-05 real gemessen: `Kallilabcore`
`100.80.98.33`, IPv6 `fd7a:115c:a1e0::2c01:62b2`, kein Exit Node, aber
aktiver Subnet Router fuer `192.168.178.0/24`. Dadurch ist die Tailnet-ACL
sicherheitsrelevant; Entscheidung Default-Allow vs tag-basierte ACL offen.
aktiver Subnet Router fuer `192.168.178.0/24`. Restriktive tag-basierte ACL
ist seit 2026-06-06 live; Default-Allow ist entfernt.
- Unraid-Flash-Backup-Artefaktpruefung: `ops/maintenance/check-unraid-flash-backup.sh`
prueft Artefakt, SHA256, Alter und Kern-Configs. Test 2026-06-05 gegen Host
erfolgreich laut `docs/MASTER_TODO.md`.
docs/AUDIT_2026-05-25_TODO.md
+7 -7
View File
@@ -3,9 +3,9 @@
Status: **kompakte Restliste**. Die erledigten Sprint-Tabellen und langen
Audit-Snapshots wurden aus der Arbeitskopie entfernt; Detailhistorie liegt in Git.
Letzter Sync mit `docs/MASTER_TODO.md`: 2026-06-05. Offene Punkte sind deckungsgleich;
neue Restore-Runbook-Stubs (Unraid Flash / AdGuard / Tailscale / Redis 8) wurden
in `docs/RESTORE_MATRIX.md` ergaenzt.
Letzter Sync mit `docs/MASTER_TODO.md`: 2026-06-06. Offene Punkte sind
deckungsgleich; diese Datei ist nur noch die Audit-Restliste, nicht die
fuehrende Arbeitsliste.
## Aktuell offene Punkte
@@ -25,17 +25,17 @@ Ergebnis des Restore-Skills-Audits (Session 2026-06-02/03). Die kritischen Bugfi
| P2 | Mailarchiver-Restore-Test | **erledigt 2026-06-03** | Data-Protection-Keys + 645M pg_restore + HTTP 200. Report `/mnt/user/backups/restore-reports/mailarchiver-2026-06-03.md` |
| P2 | Mealie-Restore-Test | **erledigt 2026-06-03** | Borg-Data + pg_restore + HTTP 200, 3 Rezepte. Report `/mnt/user/backups/restore-reports/mealie-2026-06-03.md` |
| P2 | Traefik-Restore-Test | **erledigt 2026-06-03** | dynamic/ + letsencrypt/ aus Borg, File-Provider + Ping 200. CF-Token bewusst nicht im Smoke. Report `/mnt/user/backups/restore-reports/traefik-2026-06-03.md` |
| P3 | Negativ-Test fuer Frische-Check | offen | Einmal pro Quartal bewusst kaputten Dump einfuettern und pruefen ob `homelab-alerts` feuert |
| P3 | Negativ-Test fuer Frische-Check | **validiert 2026-06-06** | Quartalsweise wiederholen: `ops/restore-tests/run-restore-checks.sh freshness-negative`; Host-Report `/mnt/user/backups/restore-reports/freshness-negative-2026-06-06-130320.md` |
| P3 | End-to-end-DR-Drill | offen | Komplett-Bootstrap Phase 1-5 auf einem Wegwerf-Host; realistisch nur mit zweiter Hardware |
## Bewusst geparkt
| Punkt | Entscheidung |
|---|---|
| Authelia 2FA fuer Operator-UIs (Rest) | Tier-1-Operator-UIs sind 2026-06-03 auf `two_factor` gehoben (`files`, `scrutiny`, `borg`, `code`). Restliche Admin-UIs (`monitoring`, `glances`, `glance`, `speedtest`, `paperless-gpt`, `pdf`, `mail`, `hermes`, `sp`) bleiben bewusst auf `one_factor`, bis die finale Auth-Policy steht. |
| Authelia OIDC fuer Apps | Geparkt bis klare Familien-/SSO-Entscheidung |
| Authelia 2FA fuer Operator-UIs (Rest) | **Erledigt 2026-06-06:** Catch-all `*.kaleschke.info` steht in Repo und Host-Config auf `two_factor`; Login-Smoke erfolgreich. |
| Authelia OIDC fuer Apps | **Aktiv seit 2026-06-06:** Grafana und Mealie live verifiziert; Paperless, Immich und Nextcloud verbleiben als aktiver Rollout-Block in `docs/MASTER_TODO.md`. |
| CrowdSec vor Traefik | Bewusst nicht umgesetzt: einzige WAN-Tuer ist `443/tcp`, Operator-Pfad ist Tailscale, Authelia-`regulation:` deckt Auth-Brute-Force ab. Neu bewerten bei breiterer Attack Surface. |
| Nextcloud 2FA/Brute-Force-Haertung | UI-Schritt fuer Operator-Account (`twofactor_totp` aktivieren) bleibt offen. App-weite Familien-Policy gemeinsam mit OIDC entscheiden. |
| Nextcloud 2FA/Brute-Force-Haertung | **Geparkt 2026-06-06:** Operator-TOTP erst zusammen mit der app-weiten OIDC-/Familien-Login-Policy entscheiden. |
| Hermes-Agent | NAS-Stack bleibt deaktiviert; Review-Deadline 2026-07-25 |
| USV | Anschaffung verschoben; Power-Loss-Risiko bewusst akzeptiert |
| Zweites Off-site-Ziel | Bewusst nicht umgesetzt; neu bewerten bei Hetzner-Problemen, stark wachsendem Datenwert oder geaenderter Betreiber-Praeferenz |
docs/WEEKEND_STATUS_2026-06-05.md
+7 -4
View File
@@ -7,7 +7,7 @@ Kurzlebiges Arbeitsboard fuer den Wochenend-Sprint. Fuehrende Liste bleibt
| Owner | Aufgabe | Status | Naechster Schritt |
|---|---|---|---|
| Codex | Veeam-Erstbackup `baerchen-c-image` | erledigt | Erster Full-Lauf 2026-06-05 geschrieben; Recovery-Test bleibt offen |
| Codex | Veeam-Erstbackup `baerchen-c-image` | erledigt | Erster Full-Lauf 2026-06-05 geschrieben; Recovery-USB-/SMB-/Restore-Point-Test am 2026-06-06 erfolgreich |
| Codex | Veeam-Verifikationshilfe | erledigt | Hilfsskript bleibt fuer spaetere Checks verfuegbar |
| Claude | Restore-/Altdoku-Bereinigung | erledigt | Keine weitere Arbeit an Veeam/Windows/Restore-Matrix ohne neuen Widerspruch |
| Claude | Family-/Network-Ausfuehrungspaket | erledigt | Masterliste und Weekend-Plan sind nachgezogen |
@@ -17,9 +17,9 @@ Kurzlebiges Arbeitsboard fuer den Wochenend-Sprint. Fuehrende Liste bleibt
| Zeitpunkt | Aufgabe | Ergebnis, das dokumentiert wird |
|---|---|---|
| Erledigt | Veeam-Erstbackup `baerchen-c-image` pruefen | 2026-06-05 19:46, Full-Lauf erfolgreich, Veeam-GUI 53,8 GB, Dauer 0:11:31 |
| Als naechstes | Recovery-USB `VEEAMRE` booten | Boot OK, Netzwerk OK, SMB-Ziel sichtbar |
| Im Recovery-Test | Restore Point anzeigen; falls spaeter verschluesselt: Passwort testen | Restore Point sichtbar; vor echtem Restore abgebrochen |
| Spaeter | BitLocker-Entscheidung treffen | `aktivieren`, `spaeter`, oder `bewusst aus` in `docs/MASTER_TODO.md`/Baseline nachziehen |
| Erledigt | Recovery-USB `VEEAMRE` booten | Boot OK, Netzwerk OK, SMB-Ziel sichtbar |
| Erledigt | Restore Point anzeigen | Restore Point sichtbar; vor echtem Restore abgebrochen |
| Erledigt | BitLocker-Entscheidung treffen | bewusst deaktiviert; Recovery ueber Veeam-Image, kein BitLocker-Key-Management |
## Heute bereits geschlossen
@@ -32,6 +32,9 @@ Kurzlebiges Arbeitsboard fuer den Wochenend-Sprint. Fuehrende Liste bleibt
| Veeam-Erstbackup | Full-Lauf 2026-06-05 erfolgreich geschrieben: Veeam-GUI 53,8 GB, Dauer 0:11:31, MetaCheck 0 Fehler/0 Warnungen, VSS success; Veeam Storage Encryption war nicht aktiv |
| Cold-Backup-Rotation | Bewusst Hetzner-only; kein aktives Todo mehr |
| USV | Bewusst auf Q3/2026 geparkt; Power-Loss bleibt akzeptiertes Risiko |
| Veeam-Recovery-Test | Recovery-USB bootet, SMB-Ziel erreichbar, Restore Point sichtbar; vor echtem Restore abgebrochen |
| BitLocker | Bewusst deaktiviert; kein aktives Todo mehr |
| Operator-Entscheidungen | Laut `docs/MASTER_TODO.md` Stand 2026-06-06 keine offenen Operator-Entscheidungen |
## Nicht ohne neue Freigabe anfassen