docs(network): Post-Upgrade Posture-Recheck Unraid 7.3.1 + AdGuard/libvirt-:53-Vorfall
Nach Major-Upgrade 7.2.4 -> 7.3.1 read-only Host-Listener gegen dokumentierte Annahmen geprueft: alle Ausnahmen intakt (InfluxDB 127.0.0.1:8181, AdGuard nur Tailscale, Gitea-SSH 222 LAN/TS, Traefik einziger 80/443-Owner, libvirt :53 weg). Docker-Socket-Lage festgehalten (nur komodo-periphery RW; Traefik C-3 ro, kein Regress). AdGuard-Boot-Race (libvirt-Default-Netz belegte :53 vor AdGuard) + Fix dokumentiert; Dauerfix-Empfehlung VM-Manager aus. SSH-Haertung nach Upgrade verifiziert. Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
This commit is contained in:
@@ -360,6 +360,54 @@ im Container, von dieser Haertung unberuehrt.
|
|||||||
|
|
||||||
---
|
---
|
||||||
|
|
||||||
|
## Post-Upgrade Posture-Recheck — Unraid 7.3.1 (2026-06-07)
|
||||||
|
|
||||||
|
Nach dem Major-Upgrade **7.2.4 → 7.3.1** read-only die Host-Listener-Landschaft
|
||||||
|
(`ss -tlnp`) gegen die dokumentierten Annahmen geprueft.
|
||||||
|
|
||||||
|
**Dokumentierte Ausnahmen verifiziert (alle weiterhin gueltig):**
|
||||||
|
|
||||||
|
| Dienst | Soll | Ist nach 7.3.1 | Status |
|
||||||
|
|---|---|---|---|
|
||||||
|
| InfluxDB 3 | nur `127.0.0.1:8181` | `127.0.0.1:8181` | ✅ |
|
||||||
|
| AdGuard-Admin | nur Tailscale `100.80.98.33:8082` | `100.80.98.33:8082` | ✅ |
|
||||||
|
| Gitea-SSH `222` | LAN/Tailscale, keine WAN-Freigabe | `0.0.0.0:222` (LAN/TS), WAN am Router zu | ✅ |
|
||||||
|
| Traefik `80/443` | einziger Owner | docker-proxy (Traefik) allein | ✅ |
|
||||||
|
| libvirt `:53` | darf nicht existieren | **weg** (Fix vom 2026-06-07 haelt) | ✅ |
|
||||||
|
|
||||||
|
**Docker-Socket (`/var/run/docker.sock`) — C-3-Kontext:**
|
||||||
|
|
||||||
|
| Container | Mount | Bewertung |
|
||||||
|
|---|---|---|
|
||||||
|
| komodo-periphery | **RW** | dokumentierte Ausnahme (Periphery startet/stoppt Container) |
|
||||||
|
| traefik | ro | C-3: Direkt-Mount (ro), nicht ueber Socket-Proxy — offener Audit-Punkt, kein Regress |
|
||||||
|
| glances / monitoring-promtail / glance-docker-socket-proxy | ro | unkritisch |
|
||||||
|
|
||||||
|
Keine neue RW-Socket-Exposure durch das Upgrade.
|
||||||
|
|
||||||
|
**Vorfall-Notiz AdGuard/DNS (Boot-Race, behoben 2026-06-07):** Das Upgrade hatte das
|
||||||
|
ungenutzte **libvirt-Default-Netz** auf Autostart gebracht; dessen `dnsmasq` belegte
|
||||||
|
beim Boot Port `53` **vor** AdGuard → AdGuards erster Start scheiterte am Bind und
|
||||||
|
liess den Container ohne Netz-Anbindung (`Networks={}`, keine Ports) zurueck. Fix:
|
||||||
|
`virsh net-autostart default --disable` + `virsh net-destroy default` (kein VM
|
||||||
|
betroffen, Liste leer) + AdGuard-Container aus der Compose `--force-recreate`
|
||||||
|
(re-attach `dns_net`, `:53` neu veroeffentlicht). DNS danach verifiziert aufloesend.
|
||||||
|
`libvirtd` laeuft weiter nur auf `127.0.0.1:16509`.
|
||||||
|
|
||||||
|
**Empfehlung (Dauerfix):** Da keine VMs genutzt werden, **Unraid VM Manager → Enable
|
||||||
|
VMs = No** — dann startet `libvirtd` gar nicht und der `:53`-Konflikt kann prinzipiell
|
||||||
|
nicht wiederkehren. Bis dahin verhindert der abgeschaltete Autostart die Wiederkehr.
|
||||||
|
|
||||||
|
**Beobachtungen (kein Regress, Inventar):** SMB (`:445/:139`) und Plex (`*:32400`)
|
||||||
|
lauschen auch auf der Tailscale-IP; durch die seit 2026-06-06 tag-restriktive
|
||||||
|
Tailnet-ACL akzeptabel.
|
||||||
|
|
||||||
|
**SSH-Haertung nach Upgrade:** key-only root unveraendert aktiv und verifiziert
|
||||||
|
(`prohibit-password`/`password no`/`kbd no`), go-Hook genau 1× gefeuert — siehe
|
||||||
|
Abschnitt „SSH-Konfiguration Host".
|
||||||
|
|
||||||
|
---
|
||||||
|
|
||||||
## Offene Entscheidungen
|
## Offene Entscheidungen
|
||||||
|
|
||||||
| Thema | Status | Naechster Schritt |
|
| Thema | Status | Naechster Schritt |
|
||||||
|
|||||||
Reference in New Issue
Block a user