docs: commit pending status updates from 2026-06-06 sprint wrap-up
Preserves uncommitted working-copy updates (Veeam recovery test done, BitLocker decision, ACL rollout, freshness negative test) before the documentation consolidation restructures these files. Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
This commit is contained in:
+16
-13
@@ -1,6 +1,6 @@
|
||||
# AI Context
|
||||
|
||||
Stand: 2026-06-05
|
||||
Stand: 2026-06-06
|
||||
|
||||
Kurzer Kontext fuer KI-Agenten. Nicht als Ersatz fuer die echten Runbooks lesen.
|
||||
|
||||
@@ -47,25 +47,28 @@ Authoritativ: `docs/MASTER_TODO.md`.
|
||||
|
||||
Kurzfassung:
|
||||
|
||||
- Auth-/OIDC-/CrowdSec-/Hermes-Themen bewusst geparkt
|
||||
- Wochenend-Sprint 2026-06-05: `docs/WEEKEND_EXECUTION_PLAN_2026-06-05.md`
|
||||
und `docs/WEEKEND_STATUS_2026-06-05.md`
|
||||
- Keine offenen Operator-Entscheidungen laut `docs/MASTER_TODO.md`.
|
||||
- Aktiv: Family-Onboarding, physischer Unraid-Flash-Stick-Boot-Test,
|
||||
Tailscale-Restore-Test und Authelia-OIDC-Rollout fuer Paperless/Immich/Nextcloud.
|
||||
- Bewusst geparkt: CrowdSec, Hermes, USV, zweites Off-site-Ziel,
|
||||
Borg append-only, Nextcloud-TOTP bis zur OIDC-/Familien-Login-Policy.
|
||||
|
||||
Letzte Bestaetigung:
|
||||
|
||||
- Windows-Image `baerchen`: Veeam Agent Free Job `baerchen-c-image` auf
|
||||
`\\kallilabcore\backups\windows-images\baerchen`, erster Full-Backup-Lauf
|
||||
2026-06-05 erfolgreich, GUI-Wert 53,8 GB, Dauer 0:11:31. Recovery-USB ist
|
||||
erstellt; Boot-/SMB-/Restore-Point-Test ohne Restore ist noch offen.
|
||||
- Veeam Storage Encryption ist beim ersten Full-Lauf nicht aktiv
|
||||
(`StorageEncryptionEnabled=False`); nachtraegliche Aktivierung ist eine
|
||||
Operator-Entscheidung, weil sie Passwort- und Restore-Prozess aendert.
|
||||
- BitLocker fuer `baerchen` ist bewusst nicht aktiviert und bleibt
|
||||
Operator-Entscheidung.
|
||||
2026-06-05 erfolgreich, GUI-Wert 53,8 GB, Dauer 0:11:31. Recovery-USB-/SMB-/
|
||||
Restore-Point-Test ohne echten Restore wurde am 2026-06-06 erfolgreich
|
||||
abgeschlossen.
|
||||
- Veeam Storage Encryption bleibt bewusst deaktiviert
|
||||
(`StorageEncryptionEnabled=False`); neu bewerten bei Off-host-Auslagerung des
|
||||
Windows-Images.
|
||||
- BitLocker fuer `baerchen` ist bewusst deaktiviert; Recovery laeuft ueber
|
||||
Veeam-Image, kein BitLocker-Key-Management.
|
||||
- Tailscale-Inventar 2026-06-05 real gemessen: `Kallilabcore`
|
||||
`100.80.98.33`, IPv6 `fd7a:115c:a1e0::2c01:62b2`, kein Exit Node, aber
|
||||
aktiver Subnet Router fuer `192.168.178.0/24`. Dadurch ist die Tailnet-ACL
|
||||
sicherheitsrelevant; Entscheidung Default-Allow vs tag-basierte ACL offen.
|
||||
aktiver Subnet Router fuer `192.168.178.0/24`. Restriktive tag-basierte ACL
|
||||
ist seit 2026-06-06 live; Default-Allow ist entfernt.
|
||||
- Unraid-Flash-Backup-Artefaktpruefung: `ops/maintenance/check-unraid-flash-backup.sh`
|
||||
prueft Artefakt, SHA256, Alter und Kern-Configs. Test 2026-06-05 gegen Host
|
||||
erfolgreich laut `docs/MASTER_TODO.md`.
|
||||
|
||||
@@ -3,9 +3,9 @@
|
||||
Status: **kompakte Restliste**. Die erledigten Sprint-Tabellen und langen
|
||||
Audit-Snapshots wurden aus der Arbeitskopie entfernt; Detailhistorie liegt in Git.
|
||||
|
||||
Letzter Sync mit `docs/MASTER_TODO.md`: 2026-06-05. Offene Punkte sind deckungsgleich;
|
||||
neue Restore-Runbook-Stubs (Unraid Flash / AdGuard / Tailscale / Redis 8) wurden
|
||||
in `docs/RESTORE_MATRIX.md` ergaenzt.
|
||||
Letzter Sync mit `docs/MASTER_TODO.md`: 2026-06-06. Offene Punkte sind
|
||||
deckungsgleich; diese Datei ist nur noch die Audit-Restliste, nicht die
|
||||
fuehrende Arbeitsliste.
|
||||
|
||||
## Aktuell offene Punkte
|
||||
|
||||
@@ -25,17 +25,17 @@ Ergebnis des Restore-Skills-Audits (Session 2026-06-02/03). Die kritischen Bugfi
|
||||
| P2 | Mailarchiver-Restore-Test | **erledigt 2026-06-03** | Data-Protection-Keys + 645M pg_restore + HTTP 200. Report `/mnt/user/backups/restore-reports/mailarchiver-2026-06-03.md` |
|
||||
| P2 | Mealie-Restore-Test | **erledigt 2026-06-03** | Borg-Data + pg_restore + HTTP 200, 3 Rezepte. Report `/mnt/user/backups/restore-reports/mealie-2026-06-03.md` |
|
||||
| P2 | Traefik-Restore-Test | **erledigt 2026-06-03** | dynamic/ + letsencrypt/ aus Borg, File-Provider + Ping 200. CF-Token bewusst nicht im Smoke. Report `/mnt/user/backups/restore-reports/traefik-2026-06-03.md` |
|
||||
| P3 | Negativ-Test fuer Frische-Check | offen | Einmal pro Quartal bewusst kaputten Dump einfuettern und pruefen ob `homelab-alerts` feuert |
|
||||
| P3 | Negativ-Test fuer Frische-Check | **validiert 2026-06-06** | Quartalsweise wiederholen: `ops/restore-tests/run-restore-checks.sh freshness-negative`; Host-Report `/mnt/user/backups/restore-reports/freshness-negative-2026-06-06-130320.md` |
|
||||
| P3 | End-to-end-DR-Drill | offen | Komplett-Bootstrap Phase 1-5 auf einem Wegwerf-Host; realistisch nur mit zweiter Hardware |
|
||||
|
||||
## Bewusst geparkt
|
||||
|
||||
| Punkt | Entscheidung |
|
||||
|---|---|
|
||||
| Authelia 2FA fuer Operator-UIs (Rest) | Tier-1-Operator-UIs sind 2026-06-03 auf `two_factor` gehoben (`files`, `scrutiny`, `borg`, `code`). Restliche Admin-UIs (`monitoring`, `glances`, `glance`, `speedtest`, `paperless-gpt`, `pdf`, `mail`, `hermes`, `sp`) bleiben bewusst auf `one_factor`, bis die finale Auth-Policy steht. |
|
||||
| Authelia OIDC fuer Apps | Geparkt bis klare Familien-/SSO-Entscheidung |
|
||||
| Authelia 2FA fuer Operator-UIs (Rest) | **Erledigt 2026-06-06:** Catch-all `*.kaleschke.info` steht in Repo und Host-Config auf `two_factor`; Login-Smoke erfolgreich. |
|
||||
| Authelia OIDC fuer Apps | **Aktiv seit 2026-06-06:** Grafana und Mealie live verifiziert; Paperless, Immich und Nextcloud verbleiben als aktiver Rollout-Block in `docs/MASTER_TODO.md`. |
|
||||
| CrowdSec vor Traefik | Bewusst nicht umgesetzt: einzige WAN-Tuer ist `443/tcp`, Operator-Pfad ist Tailscale, Authelia-`regulation:` deckt Auth-Brute-Force ab. Neu bewerten bei breiterer Attack Surface. |
|
||||
| Nextcloud 2FA/Brute-Force-Haertung | UI-Schritt fuer Operator-Account (`twofactor_totp` aktivieren) bleibt offen. App-weite Familien-Policy gemeinsam mit OIDC entscheiden. |
|
||||
| Nextcloud 2FA/Brute-Force-Haertung | **Geparkt 2026-06-06:** Operator-TOTP erst zusammen mit der app-weiten OIDC-/Familien-Login-Policy entscheiden. |
|
||||
| Hermes-Agent | NAS-Stack bleibt deaktiviert; Review-Deadline 2026-07-25 |
|
||||
| USV | Anschaffung verschoben; Power-Loss-Risiko bewusst akzeptiert |
|
||||
| Zweites Off-site-Ziel | Bewusst nicht umgesetzt; neu bewerten bei Hetzner-Problemen, stark wachsendem Datenwert oder geaenderter Betreiber-Praeferenz |
|
||||
|
||||
@@ -7,7 +7,7 @@ Kurzlebiges Arbeitsboard fuer den Wochenend-Sprint. Fuehrende Liste bleibt
|
||||
|
||||
| Owner | Aufgabe | Status | Naechster Schritt |
|
||||
|---|---|---|---|
|
||||
| Codex | Veeam-Erstbackup `baerchen-c-image` | erledigt | Erster Full-Lauf 2026-06-05 geschrieben; Recovery-Test bleibt offen |
|
||||
| Codex | Veeam-Erstbackup `baerchen-c-image` | erledigt | Erster Full-Lauf 2026-06-05 geschrieben; Recovery-USB-/SMB-/Restore-Point-Test am 2026-06-06 erfolgreich |
|
||||
| Codex | Veeam-Verifikationshilfe | erledigt | Hilfsskript bleibt fuer spaetere Checks verfuegbar |
|
||||
| Claude | Restore-/Altdoku-Bereinigung | erledigt | Keine weitere Arbeit an Veeam/Windows/Restore-Matrix ohne neuen Widerspruch |
|
||||
| Claude | Family-/Network-Ausfuehrungspaket | erledigt | Masterliste und Weekend-Plan sind nachgezogen |
|
||||
@@ -17,9 +17,9 @@ Kurzlebiges Arbeitsboard fuer den Wochenend-Sprint. Fuehrende Liste bleibt
|
||||
| Zeitpunkt | Aufgabe | Ergebnis, das dokumentiert wird |
|
||||
|---|---|---|
|
||||
| Erledigt | Veeam-Erstbackup `baerchen-c-image` pruefen | 2026-06-05 19:46, Full-Lauf erfolgreich, Veeam-GUI 53,8 GB, Dauer 0:11:31 |
|
||||
| Als naechstes | Recovery-USB `VEEAMRE` booten | Boot OK, Netzwerk OK, SMB-Ziel sichtbar |
|
||||
| Im Recovery-Test | Restore Point anzeigen; falls spaeter verschluesselt: Passwort testen | Restore Point sichtbar; vor echtem Restore abgebrochen |
|
||||
| Spaeter | BitLocker-Entscheidung treffen | `aktivieren`, `spaeter`, oder `bewusst aus` in `docs/MASTER_TODO.md`/Baseline nachziehen |
|
||||
| Erledigt | Recovery-USB `VEEAMRE` booten | Boot OK, Netzwerk OK, SMB-Ziel sichtbar |
|
||||
| Erledigt | Restore Point anzeigen | Restore Point sichtbar; vor echtem Restore abgebrochen |
|
||||
| Erledigt | BitLocker-Entscheidung treffen | bewusst deaktiviert; Recovery ueber Veeam-Image, kein BitLocker-Key-Management |
|
||||
|
||||
## Heute bereits geschlossen
|
||||
|
||||
@@ -32,6 +32,9 @@ Kurzlebiges Arbeitsboard fuer den Wochenend-Sprint. Fuehrende Liste bleibt
|
||||
| Veeam-Erstbackup | Full-Lauf 2026-06-05 erfolgreich geschrieben: Veeam-GUI 53,8 GB, Dauer 0:11:31, MetaCheck 0 Fehler/0 Warnungen, VSS success; Veeam Storage Encryption war nicht aktiv |
|
||||
| Cold-Backup-Rotation | Bewusst Hetzner-only; kein aktives Todo mehr |
|
||||
| USV | Bewusst auf Q3/2026 geparkt; Power-Loss bleibt akzeptiertes Risiko |
|
||||
| Veeam-Recovery-Test | Recovery-USB bootet, SMB-Ziel erreichbar, Restore Point sichtbar; vor echtem Restore abgebrochen |
|
||||
| BitLocker | Bewusst deaktiviert; kein aktives Todo mehr |
|
||||
| Operator-Entscheidungen | Laut `docs/MASTER_TODO.md` Stand 2026-06-06 keine offenen Operator-Entscheidungen |
|
||||
|
||||
## Nicht ohne neue Freigabe anfassen
|
||||
|
||||
|
||||
@@ -221,7 +221,7 @@ Kopier-/Doppelbestand:
|
||||
## Offene Punkte
|
||||
|
||||
- ~~WinRE/Secure Boot/TPM Admin-Check~~ **Erledigt 2026-06-05** (siehe Abschnitt "Admin-Nachlauf 2026-06-05"): WinRE aktiviert, Secure Boot `True`, TPM ready/enabled.
|
||||
- **BitLocker-Entscheidung offen:** Alle Laufwerke `FullyDecrypted`, Protection `Off`. Vor Aktivierung: Recovery Keys fuer mindestens `C:` und `D:` an drei Orten sichern (Vaultwarden, `D:\30_Finanzen\BitLocker-RecoveryKey-baerchen-<DATUM>.txt`, physisch). Verweis: `docs/MASTER_TODO.md` Abschnitt "Windows / Workstation baerchen".
|
||||
- **BitLocker bewusst deaktiviert (Entscheidung 2026-06-06):** Alle Laufwerke `FullyDecrypted`, Protection `Off`. Recovery laeuft ueber das Veeam-Image; kein BitLocker-Key-Management. Bei spaeterer Aktivierung waere ein neuer Aenderungsblock mit Recovery-Key-Ablage noetig.
|
||||
- Optional: `D:\11_Bilder` ReadOnly-Attribut beobachten; fuer Windows-Shell-Ordner ist das in der Praxis meist unkritisch.
|
||||
- Optional: `D:\13_Musik` bleibt leer, solange aus dem Backup keine Musikdaten nachgezogen werden muessen.
|
||||
- Optional: `G:\Apps`, `G:\Workspace`, `D:\WSL` in der Homelab-/Dev-Doku ergaenzen.
|
||||
@@ -314,7 +314,7 @@ Admin-Nachlauf 2026-06-05:
|
||||
- TPM: vorhanden, ready, enabled, activated, owned
|
||||
- BitLocker-Status geprueft:
|
||||
- `C:`, `D:`, `E:`, `G:`, `H:` sind `FullyDecrypted`, Protection `Off`
|
||||
- BitLocker wurde nicht automatisch aktiviert, weil dafuer eine bewusste Recovery-Key- und Lockout-Entscheidung noetig ist.
|
||||
- BitLocker wurde bewusst nicht aktiviert (Entscheidung 2026-06-06); Recovery laeuft ueber das Veeam-Image.
|
||||
- OneDrive Per-Machine Standalone Update Task wurde deaktiviert.
|
||||
- SSH-Aliases angelegt und getestet:
|
||||
- `kallilabcore` -> `root@100.80.98.33`
|
||||
@@ -322,4 +322,4 @@ Admin-Nachlauf 2026-06-05:
|
||||
|
||||
Weiter offen:
|
||||
|
||||
- BitLocker-Entscheidung fuer mindestens `C:` und `D:` treffen. Vor Aktivierung Recovery Keys extern sichern.
|
||||
- Kein BitLocker-Todo mehr. Spaetere Aktivierung nur als neuer bewusster Aenderungsblock mit externer Recovery-Key-Ablage.
|
||||
|
||||
@@ -1,6 +1,6 @@
|
||||
# Windows Image Backup Baseline - baerchen
|
||||
|
||||
Stand: 2026-06-05
|
||||
Stand: 2026-06-06
|
||||
|
||||
Dieses Runbook beschreibt den Windows-Image-Backup-Workflow fuer den frisch
|
||||
aufgesetzten Windows-11-Rechner `baerchen`. Ziel ist ein schneller Bare-Metal-
|
||||
@@ -22,7 +22,7 @@ Unraid-SMB-Share `backups`.
|
||||
| Share-Modell | bestehender Unraid-Share `backups`, kein neuer Share |
|
||||
| SMB-User | `micha` (bestehender Unraid-User mit Read/Write auf `backups`) |
|
||||
| Veeam Job | `baerchen-c-image` |
|
||||
| Verschluesselung | Stand erster Lauf: Veeam Storage Encryption **nicht aktiv** (`StorageEncryptionEnabled=False` im Job-Log); optional separat aktivieren und neues Full-Backup erzeugen |
|
||||
| Verschluesselung | Veeam Storage Encryption **bewusst nicht aktiv** (`StorageEncryptionEnabled=False` im Job-Log); neu bewerten nur bei Off-host-Auslagerung des Windows-Images |
|
||||
| Recovery Media | USB-Stick `VEEAMRE` auf Laufwerk F: erstellt |
|
||||
|
||||
## Bewusste Entscheidungen
|
||||
@@ -33,8 +33,8 @@ Unraid-SMB-Share `backups`.
|
||||
- Es wurde vorerst kein dedizierter SMB-User `veeam-baerchen` angelegt, um
|
||||
keine Unraid-Share-/User-Aenderung zu erzwingen. Der produktive Job nutzt
|
||||
den bestehenden User `micha`.
|
||||
- BitLocker wurde am 2026-06-05 nicht aktiviert. TPM, Secure Boot und WinRE
|
||||
wurden geprueft; BitLocker bleibt ein separater Security-Schritt.
|
||||
- BitLocker bleibt bewusst deaktiviert (Entscheidung 2026-06-06). Recovery
|
||||
laeuft ueber das Veeam-Image; kein BitLocker-Key-Management.
|
||||
- Der Recovery-Stick ist Teil des Restore-Pfads und muss getrennt vom Rechner
|
||||
aufbewahrt werden.
|
||||
|
||||
@@ -65,14 +65,13 @@ Veeam Agent -> Job `baerchen-c-image`
|
||||
- Shared folder: `\\kallilabcore\backups\windows-images\baerchen`
|
||||
- Credentials: bestehender Unraid-SMB-User `micha`
|
||||
- Compression: `Optimal`
|
||||
- Storage encryption: Stand erster Lauf **nicht aktiv**
|
||||
- Storage encryption: **bewusst nicht aktiv**
|
||||
- Schedule: Workstation-Schedule in Veeam; Stand 2026-06-05: taeglich nachts
|
||||
eingerichtet.
|
||||
|
||||
Wenn Veeam Storage Encryption spaeter aktiviert wird, ist das
|
||||
Veeam-Job-Passwort nicht aus dem Repo wiederherstellbar. Es muss dann in
|
||||
Vaultwarden als eigener Eintrag/Secure Note liegen und vor dem ersten
|
||||
verschluesselten Full-Backup getestet werden.
|
||||
Wenn Veeam Storage Encryption spaeter doch aktiviert wird, ist das ein neuer
|
||||
bewusster Aenderungsblock: Passwort in Vaultwarden anlegen, Job umstellen,
|
||||
neues Full-Backup erzeugen und Recovery-Test wiederholen.
|
||||
|
||||
## Secrets und Ablageorte
|
||||
|
||||
@@ -80,9 +79,9 @@ Keine Secret-Werte in dieses Repository schreiben.
|
||||
|
||||
| Secret | Ablage |
|
||||
|---|---|
|
||||
| Veeam Job Encryption Password | nur noetig, falls Veeam Storage Encryption aktiviert wird; Ziel: Vaultwarden Secure Note `Veeam baerchen backup encryption password` |
|
||||
| Veeam Job Encryption Password | nicht noetig, solange Veeam Storage Encryption bewusst deaktiviert bleibt; Ziel bei spaeterer Aktivierung: Vaultwarden Secure Note `Veeam baerchen backup encryption password` |
|
||||
| SMB Credential fuer Backup-Ziel | bestehender Unraid/Vaultwarden-Eintrag fuer User `micha` |
|
||||
| BitLocker Recovery Key | noch nicht aktiv; Ziel bei Aktivierung: `D:\30_Finanzen\BitLocker-RecoveryKey-baerchen-<DATUM>.txt`, Vaultwarden Secure Note, physischer Ausdruck |
|
||||
| BitLocker Recovery Key | nicht noetig, weil BitLocker bewusst deaktiviert ist; Ziel bei spaeterer Aktivierung: `D:\30_Finanzen\BitLocker-RecoveryKey-baerchen-<DATUM>.txt`, Vaultwarden Secure Note, physischer Ausdruck |
|
||||
|
||||
## Recovery Media
|
||||
|
||||
@@ -173,12 +172,10 @@ den Job erfolgreich schreibt, liegt das meist an getrennten Credentials:
|
||||
Veeam nutzt gespeicherte Job-Credentials, waehrend die interaktive Windows-
|
||||
Sitzung zusaetzlich per `net use` authentifiziert werden muss.
|
||||
|
||||
## Offene Punkte
|
||||
## Verbleibende Optionen
|
||||
|
||||
- Entscheiden, ob Veeam Storage Encryption nachtraeglich aktiviert werden soll.
|
||||
Wenn ja: Passwort in Vaultwarden anlegen, Job umstellen und ein neues Full-
|
||||
Backup erzeugen.
|
||||
- Optional: BitLocker C: separat aktivieren und Recovery-Key an den drei
|
||||
vorgesehenen Orten sichern.
|
||||
- Optional: spaeter dedizierten SMB-User `veeam-baerchen` anlegen, falls die
|
||||
Unraid-User-/Share-Policy wieder angefasst wird.
|
||||
- Veeam Storage Encryption und BitLocker sind keine offenen Entscheidungen mehr;
|
||||
beide bleiben bewusst deaktiviert und werden nur bei neuem Risiko-/Ablageprofil
|
||||
erneut bewertet.
|
||||
|
||||
@@ -45,7 +45,8 @@ Noch offen:
|
||||
- Manuelle Screenshots in `H:\Windows-Neuaufsetzen-Backup\14_Screenshots` ablegen.
|
||||
- BitLocker-Status mit Adminrechten pruefen. **Nachlauf 2026-06-05:** Status
|
||||
wurde geprueft; C:/D:/E:/G:/H: sind `FullyDecrypted`, Protection `Off`.
|
||||
Offen bleibt nur die bewusste BitLocker-Entscheidung.
|
||||
**Entscheidung 2026-06-06:** BitLocker bleibt bewusst deaktiviert; Recovery
|
||||
laeuft ueber Veeam-Image, kein BitLocker-Key-Management.
|
||||
- Passwortmanager, 2FA-Recovery-Codes und Browser-Sync manuell pruefen. **Erledigt 2026-06-06 laut Operator-Bestaetigung.**
|
||||
- Banking4-Speicherort explizit pruefen. **Erledigt 2026-06-06 laut Operator-Bestaetigung.**
|
||||
- Banking4 im Programm selbst oeffnen und aktuellen Datentresor/Backup-Export bestaetigen. Der Key und der Datentresor sind bereits lokal auf H: gesichert. **Erledigt 2026-06-06 laut Operator-Bestaetigung.**
|
||||
@@ -469,7 +470,7 @@ Direkt nach der Installation:
|
||||
- Windows-Aktivierung prüfen
|
||||
- Laufwerksbuchstaben sauber vergeben
|
||||
- Windows Defender und Firewall prüfen
|
||||
- BitLocker bewusst aktivieren oder deaktiviert lassen
|
||||
- BitLocker bewusst deaktiviert lassen (Entscheidung 2026-06-06)
|
||||
- Wiederherstellungspunkt erstellen
|
||||
|
||||
Basisprogramme:
|
||||
|
||||
Reference in New Issue
Block a user