authelia: Repo-Baseline an Host-2FA-Endzustand angleichen

Expliziten 2FA-Block auf files/scrutiny reduziert (borg/code sind via
Catch-all *.kaleschke.info=two_factor weiterhin 2FA). Damit matcht die
Repo-access_control-Sektion den Host-Stand -> authelia-diff.sh wird clean,
sobald der Host-Repo-Mirror auf diesen Commit gezogen ist.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

security/authelia/configuration.yml

@@ -41,17 +41,17 @@ access_control:
         - git.kaleschke.info
       policy: bypass
 
-    # Admin-Dienste - 2FA erforderlich (Operator-UIs mit Host-/Backup-Zugriff)
+    # Expliziter 2FA-Block (Tier-1-Operator-UIs). Redundant, seit die Catch-all
+    # unten ohnehin alles auf two_factor zwingt - bleibt nur zur Lesbarkeit.
+    # borg/code brauchen hier keinen Eintrag mehr: sie sind via Catch-all 2FA.
     - domain:
         - files.kaleschke.info
         - scrutiny.kaleschke.info
-        - borg.kaleschke.info
-        - code.kaleschke.info
       policy: two_factor
 
     # Alles andere mit Authelia-Middleware - 2FA (Haertung 2026-06-06).
     # Vorher one_factor; alle restlichen Admin-UIs (monitoring, glances, glance,
-    # speedtest, pdf, mail, paperless-gpt, hermes, sp ...) sind damit two_factor.
+    # speedtest, pdf, mail, paperless-gpt, hermes, sp, borg, code ...) sind damit two_factor.
     # Voraussetzung: Operator-Account hat Authelia-TOTP enrolled (Tier-1-UIs nutzen es bereits).
     # Komodo hat bewusst keine ForwardAuth-Middleware und wird hier nicht ausgewertet.
     - domain: "*.kaleschke.info"