From 46d6010c66fa99391c8215f1e7a85c465021db62 Mon Sep 17 00:00:00 2001 From: Micha Date: Tue, 23 Jun 2026 15:48:59 +0200 Subject: [PATCH] Record backend_net internal:true after live flip; close audit remediation backend_net was recreated with --internal (Codex live): egress from postgresql17 blocked, all 12 members reattached, frontends and DB connections verified. Move the parked #17 item to the MASTER_TODO Kurzlog and confirm the live state in NETWORK_INVENTORY. No dawarich_egress needed (sidekiq makes no external connections). Co-Authored-By: Claude Opus 4.8 --- docs/MASTER_TODO.md | 3 +-- docs/NETWORK_INVENTORY.md | 2 ++ 2 files changed, 3 insertions(+), 2 deletions(-) diff --git a/docs/MASTER_TODO.md b/docs/MASTER_TODO.md index d19c47f..d59504f 100644 --- a/docs/MASTER_TODO.md +++ b/docs/MASTER_TODO.md @@ -58,7 +58,6 @@ Bewusst nicht jetzt - Begruendungen in `docs/DECISIONS.md`, hier nur Thema und T | Filebrowser-Mount-Scope | naechster Hardening-Sprint | `docs/SERVICE_CATALOG.md` | | Scrutiny Privileged-Ausnahme | nur mit klarer Begruendung aendern | `docs/SERVICE_CATALOG.md` | | Immich Redis named volume | passende Wartung am Immich-Stack | `docs/SERVICE_CATALOG.md` | -| `backend_net` auf `internal:true` (Containment-Hardening) | naechstes Docker-Wartungsfenster; Prereq aus Audit-Egress-Analyse 2026-06-23: nur `dawarich_sidekiq` ist backend_net-only Worker -> Outbound messen, bei Egress-Bedarf dediziertes `dawarich_egress`-Netz analog `immich_egress` (DECISIONS 2026-06-16); alle anderen Mitglieder (DB/Cache + dual-homed) sind sicher | `HOMELAB_ARCHITECTURE_MASTER_V2.md` Abschnitt 3.1 | | Komodo keys named volume | gemeinsames Wartungsfenster mit Operator | Live-Volume `komodo_komodo_keys` nach `/mnt/user/appdata/komodo/keys` migrieren, Compose anpassen, Periphery-Reconnect pruefen, dann in Borg-Scope aufnehmen | | Storage-Wachstum (zweite NVMe, zweite Array-Disk, ZFS/BTRFS) | Trigger aus Capacity-Doku | `docs/STORAGE_LAYOUT.md`, `docs/CAPACITY_AND_LIFECYCLE.md` | | Wiederkehrende Restore-Drills | laufend nach Kadenz, inkl. quartalsweisem Frische-Negativtest (`run-restore-checks.sh freshness-negative`) | `docs/RESTORE_MATRIX.md`, `ops/restore-tests/schedule.md` | @@ -76,7 +75,7 @@ Bewusst nicht jetzt - Begruendungen in `docs/DECISIONS.md`, hier nur Thema und T ## Zuletzt erledigt (Kurzlog, max. 5 Eintraege) -- **2026-06-23** Audit-Remediation P1/P2-Kern: Vault `/admin` + Komodo public geschlossen (je 403, Traefik IP-Allowlist Tailnet+LAN), Off-site-Snapshots bewiesen (`.zfs/snapshot`, 7d Retention, Datei-Restore ok), `docs/AUTH_MATRIX.md` + Snapshot-Restore-Test (`hetzner-snapshot`) angelegt. Commits `23a6975..3e9c12e`. +- **2026-06-23** Audit-Remediation abgeschlossen: Vault `/admin` + Komodo public zu (403, IP-Allowlist), Off-site-Snapshots bewiesen + monatlicher Test, Live-Drift bereinigt, `backend_net` auf `internal:true` gesetzt (Egress live BLOCKED, 12/12 Member ok). Doku: `AUTH_MATRIX.md`, DECISIONS, Snapshot-Runbook. Commits `23a6975..` ff. - **2026-06-17** Offene TODOs gegen Live-Stand abgeglichen: Paperless-OIDC-Secret verdrahtet und Service-Smoke gruen; alter Tailscale-Docker-State nach `_archive/tailscale-removed-2026-06-06/` verschoben; Tailnet-Restpunkt geschlossen. - **2026-06-17** Komodo/Gitea-Webhooks normalisiert: aktive Komodo-Hooks fuer `Micha/homelab-infra` nutzen Branch-Filter `master`; DB-Backup vor Host-Hotfix erstellt. Workflow-Regel nachgezogen. - **2026-06-19** Backup-Hardening live verifiziert: Borg-Scope-Drift 0 (alle 33 Quellen konfiguriert), Dumps frisch (11/11 present), neue Dump-Alerts aktiv (25 Regeln, 0 feuern). Prometheus-`alerts.yml`-Stale-Handle (FUSE-Einzeldatei-Mount) per `--force-recreate` behoben und anschliessend dauerhaft auf Directory-Mount umgestellt (recreated, 25 Regeln aktiv). diff --git a/docs/NETWORK_INVENTORY.md b/docs/NETWORK_INVENTORY.md index 718f6c7..ee51f42 100644 --- a/docs/NETWORK_INVENTORY.md +++ b/docs/NETWORK_INVENTORY.md @@ -287,6 +287,8 @@ docker network inspect frontend_net | jq '.[0].Containers | keys' docker network inspect backend_net | jq '.[0].Internal' ``` +> Stand 2026-06-23: `backend_net` live als `internal: true` bestaetigt (Egress-Test aus `postgresql17` nach `1.1.1.1:443` = BLOCKED, 12/12 Member attached); zuvor Drift `internal:false`, per Audit-Remediation behoben. + ## SSH-Konfiguration Host Geprueft 2026-06-06 (read-only), **gehaertet 2026-06-07** via `ssh root@192.168.178.58`.