From 85a8d0c2f26c94eb67252263b28b298d7698892a Mon Sep 17 00:00:00 2001 From: Micha Date: Fri, 17 Apr 2026 13:11:43 +0200 Subject: [PATCH] Protect Traefik dashboard with Authelia Protect Traefik dashboard with Authelia --- HOMELAB_ARCHITECTURE_MASTER_V2.md | 2 +- docs/MIGRATION_LOG.md | 1 + ops/komodo/docker-compose.yml | 2 +- traefik/docker-compose.yml | 2 +- traefik/dynamic/middlewares.yml | 4 ---- 5 files changed, 4 insertions(+), 7 deletions(-) diff --git a/HOMELAB_ARCHITECTURE_MASTER_V2.md b/HOMELAB_ARCHITECTURE_MASTER_V2.md index f9b723d..044038a 100644 --- a/HOMELAB_ARCHITECTURE_MASTER_V2.md +++ b/HOMELAB_ARCHITECTURE_MASTER_V2.md @@ -336,7 +336,7 @@ labels: - `tls=true` immer explizit setzen - wenn Traefik aktiv ist, werden direkte Host-Ports entfernt - Admin-Dienste standardmaessig nicht ohne Middleware veroeffentlichen -- `dashboard-auth@file` bleibt fuer das Traefik-Dashboard reserviert; dokumentierte Ausnahmen wie `Komodo` bleiben moeglich +- Das Traefik-Dashboard nutzt ebenfalls `authelia@file`; dokumentierte Ausnahmen wie `Komodo` bleiben moeglich - **File-Provider nur noch für:** `middlewares.yml`, `tls.yml`, `dashboards.yml` — keine Service-Routen mehr via File-Provider - dokumentierte Ausnahmen muessen in Abschnitt 10 begruendet werden diff --git a/docs/MIGRATION_LOG.md b/docs/MIGRATION_LOG.md index c17d63d..1c4d132 100644 --- a/docs/MIGRATION_LOG.md +++ b/docs/MIGRATION_LOG.md @@ -44,6 +44,7 @@ Dieses Dokument ist nur noch ein historischer Verlauf. Der aktuelle operative Ab ### 2026-04-17 - Sicherheits- und Doku-Abgleich - `code-server` hinter `authelia@file,secure-headers@file` abgesichert. +- Traefik-Dashboard von `dashboard-auth@file` auf `authelia@file,secure-headers@file` umgestellt; BasicAuth-Hash aus dem Repo entfernt. - Redis von Klartext in der Compose auf Secret-Datei unter `/mnt/user/appdata/secrets/redis_password.txt` umgestellt. - Redis-Passwort bewusst **nicht** rotiert; Live-Passwort bleibt vorerst unveraendert. - `mail-archiver` in der Architektur-Doku an den realen Traefik-Betrieb angepasst. diff --git a/ops/komodo/docker-compose.yml b/ops/komodo/docker-compose.yml index 820bf19..6363f20 100644 --- a/ops/komodo/docker-compose.yml +++ b/ops/komodo/docker-compose.yml @@ -28,7 +28,7 @@ services: # ────────────────────────────────────────────────────────────────── # Komodo Core – Management-UI (Portainer-Ersatz) # Netz: frontend_net (Traefik) + komodo_net (MongoDB/Periphery) - # Admin-Dienst: dashboard-auth@file + secure-headers@file Pflicht + # Admin-Dienst: bewusst ohne pauschale ForwardAuth-Middleware; dokumentierte Ausnahme # ────────────────────────────────────────────────────────────────── komodo-core: image: ghcr.io/mbecker20/komodo:latest@sha256:d0a201fdf7113b7a47fe925e0a8a9c337f632980a27f151729030f05e99e22c0 diff --git a/traefik/docker-compose.yml b/traefik/docker-compose.yml index 4642159..bd417c4 100644 --- a/traefik/docker-compose.yml +++ b/traefik/docker-compose.yml @@ -47,7 +47,7 @@ services: - traefik.http.routers.traefik.tls=true - traefik.http.routers.traefik.tls.certresolver=le - traefik.http.routers.traefik.service=api@internal - - traefik.http.routers.traefik.middlewares=dashboard-auth@file,secure-headers@file + - traefik.http.routers.traefik.middlewares=authelia@file,secure-headers@file dns: - 1.1.1.1 diff --git a/traefik/dynamic/middlewares.yml b/traefik/dynamic/middlewares.yml index 3b088d7..a6da378 100644 --- a/traefik/dynamic/middlewares.yml +++ b/traefik/dynamic/middlewares.yml @@ -1,10 +1,6 @@ # traefik/dynamic/middlewares.yml http: middlewares: - dashboard-auth: - basicAuth: - users: - - "admin:$apr1$g4oZDj2C$EKV1bTs/BPcj4PrgVTl.J." secure-headers: headers: sslRedirect: true