Protect Traefik dashboard with Authelia
Protect Traefik dashboard with Authelia
This commit is contained in:
@@ -336,7 +336,7 @@ labels:
|
||||
- `tls=true` immer explizit setzen
|
||||
- wenn Traefik aktiv ist, werden direkte Host-Ports entfernt
|
||||
- Admin-Dienste standardmaessig nicht ohne Middleware veroeffentlichen
|
||||
- `dashboard-auth@file` bleibt fuer das Traefik-Dashboard reserviert; dokumentierte Ausnahmen wie `Komodo` bleiben moeglich
|
||||
- Das Traefik-Dashboard nutzt ebenfalls `authelia@file`; dokumentierte Ausnahmen wie `Komodo` bleiben moeglich
|
||||
- **File-Provider nur noch für:** `middlewares.yml`, `tls.yml`, `dashboards.yml` — keine Service-Routen mehr via File-Provider
|
||||
- dokumentierte Ausnahmen muessen in Abschnitt 10 begruendet werden
|
||||
|
||||
|
||||
@@ -44,6 +44,7 @@ Dieses Dokument ist nur noch ein historischer Verlauf. Der aktuelle operative Ab
|
||||
### 2026-04-17 - Sicherheits- und Doku-Abgleich
|
||||
|
||||
- `code-server` hinter `authelia@file,secure-headers@file` abgesichert.
|
||||
- Traefik-Dashboard von `dashboard-auth@file` auf `authelia@file,secure-headers@file` umgestellt; BasicAuth-Hash aus dem Repo entfernt.
|
||||
- Redis von Klartext in der Compose auf Secret-Datei unter `/mnt/user/appdata/secrets/redis_password.txt` umgestellt.
|
||||
- Redis-Passwort bewusst **nicht** rotiert; Live-Passwort bleibt vorerst unveraendert.
|
||||
- `mail-archiver` in der Architektur-Doku an den realen Traefik-Betrieb angepasst.
|
||||
|
||||
@@ -28,7 +28,7 @@ services:
|
||||
# ──────────────────────────────────────────────────────────────────
|
||||
# Komodo Core – Management-UI (Portainer-Ersatz)
|
||||
# Netz: frontend_net (Traefik) + komodo_net (MongoDB/Periphery)
|
||||
# Admin-Dienst: dashboard-auth@file + secure-headers@file Pflicht
|
||||
# Admin-Dienst: bewusst ohne pauschale ForwardAuth-Middleware; dokumentierte Ausnahme
|
||||
# ──────────────────────────────────────────────────────────────────
|
||||
komodo-core:
|
||||
image: ghcr.io/mbecker20/komodo:latest@sha256:d0a201fdf7113b7a47fe925e0a8a9c337f632980a27f151729030f05e99e22c0
|
||||
|
||||
@@ -47,7 +47,7 @@ services:
|
||||
- traefik.http.routers.traefik.tls=true
|
||||
- traefik.http.routers.traefik.tls.certresolver=le
|
||||
- traefik.http.routers.traefik.service=api@internal
|
||||
- traefik.http.routers.traefik.middlewares=dashboard-auth@file,secure-headers@file
|
||||
- traefik.http.routers.traefik.middlewares=authelia@file,secure-headers@file
|
||||
|
||||
dns:
|
||||
- 1.1.1.1
|
||||
|
||||
@@ -1,10 +1,6 @@
|
||||
# traefik/dynamic/middlewares.yml
|
||||
http:
|
||||
middlewares:
|
||||
dashboard-auth:
|
||||
basicAuth:
|
||||
users:
|
||||
- "admin:$apr1$g4oZDj2C$EKV1bTs/BPcj4PrgVTl.J."
|
||||
secure-headers:
|
||||
headers:
|
||||
sslRedirect: true
|
||||
|
||||
Reference in New Issue
Block a user