fix(restore): nextcloud permissions on unraid shfs (no-new-privileges removal)

Zweiter Erstlauf 2026-06-03 scheiterte weiterhin mit 503, obwohl
config.php korrekt gepatcht war.

Ursache: Unraid's FUSE/shfs-Dateisystem auf User-Shares ignoriert
chown -R 33:33 still — Dateien bleiben bei sshd:sshd. Der
Nextcloud-Entrypoint versucht intern chmod/chown auf /var/www/html und
/var/www/html/data, was mit no-new-privileges:true blockiert wird.

Fix:
- no-new-privileges vom restoretest-nextcloud Container entfernt,
  damit der Entrypoint Rechte im Container selbst setzen kann
  (Test-Postgres und Test-Redis behalten no-new-privileges)
- Host-seitiger chown durch chmod a+rwX ersetzt (funktioniert auf shfs)
- Vertretbar im isolierten Smoke-Kontext (127.0.0.1, Wegwerf-Daten,
  kein Traefik)

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

ops/restore-tests/nextcloud-compose.test.yml

@@ -57,5 +57,10 @@ services:
       # Restore-Lab-Pfade: alles isoliert, keine produktiven Mounts.
       - /mnt/user/backups/restore-lab/nextcloud/html:/var/www/html
       - /mnt/user/backups/restore-lab/nextcloud/data:/var/www/html/data
-    security_opt:
-      - no-new-privileges:true
+    # KEIN no-new-privileges fuer den Smoke-Test-Container.
+    # Der Nextcloud-Entrypoint fuehrt intern chown/chmod auf /var/www/html
+    # und /var/www/html/data aus. Auf Unraid (FUSE/shfs) ignoriert das
+    # Host-Dateisystem chown-Aufrufe von aussen, deshalb muss der
+    # Container-Entrypoint die Rechte selbst setzen koennen. Im isolierten
+    # Smoke-Kontext (127.0.0.1, kein Traefik, Wegwerf-Daten) ist das
+    # vertretbar. Test-Postgres und Test-Redis behalten no-new-privileges.