security(authelia): borg-ui und code-server auf two_factor heben

Beide UIs haben effektiv Host-/Backup-Zugriff (Borg-Restore-Scope inkl.
/local/secrets, code-server mit Workspace-Mounts). Bisher liefen sie ueber
die catch-all-Regel mit nur one_factor. Files und Scrutiny waren bereits
two_factor; die Liste wird konsistent gezogen.

Wirkung erst nach manuellem Host-Merge (Ausnahme laut docs/WORKFLOW.md):
1. /mnt/user/appdata/authelia/config/configuration.yml mergen
2. docker restart authelia
3. Smoke-Test auf einer der vier 2FA-Domains
4. services/authelia-diff.sh muss exit 0 liefern

Audit-Restliste nachgezogen: Tier-1-Operator-2FA geschlossen, restliche
geparkte Auth-Themen (OIDC, CrowdSec, Nextcloud-2FA) bewusst weiter offen
mit aktualisierter Begruendung.

security/authelia/configuration.yml

@@ -41,10 +41,12 @@ access_control:
         - git.kaleschke.info
       policy: bypass
 
-    # Admin-Dienste - 2FA erforderlich
+    # Admin-Dienste - 2FA erforderlich (Operator-UIs mit Host-/Backup-Zugriff)
     - domain:
         - files.kaleschke.info
         - scrutiny.kaleschke.info
+        - borg.kaleschke.info
+        - code.kaleschke.info
       policy: two_factor
 
     # Alles andere mit Authelia-Middleware - 1FA.