Protect mail archiver and document Hermes restore

docs/DISASTER_RECOVERY.md

@@ -139,6 +139,7 @@ Erwartete Basis unter `/mnt/user/appdata/secrets/`:
 - `postgres_password.txt`
 - `redis_password.txt`
 - `vaultwarden_admin_token.txt`
+- `hermes_runner_id_ed25519`
 
 Weitere relevante Secret-Pfade:
 
@@ -154,6 +155,8 @@ Diese Werte sind vor dem Start der betroffenen Dienste zu pruefen bzw. wieder in
 - `IMMICH_DB_PASSWORD`
 - `MAILARCHIVER_DB_CONNECTION`
 - `MAILARCHIVER_AUTH_PASSWORD`
+- `HERMES_DASHBOARD_HOST`
+- Hermes Host-`.env` fuer Provider-/API-/Home-Assistant-Tokens
 - `KOMODO_SECRET_KEY`
 - `KOMODO_JWT_SECRET`
 - `KOMODO_MONGO_PASSWORD`
@@ -267,7 +270,8 @@ Ziel:
 24. `ops/scrutiny/`
 25. `ops/speedtest/`
 26. `ops/grafana-influxdb/`
-27. `infra/ddns-updater/`
+27. `ops/hermes-agent/`
+28. `infra/ddns-updater/`
 
 **Regel:** Nach jeder Stufe kurz pruefen, bevor die naechste beginnt.
 
@@ -303,6 +307,7 @@ Ziel:
 - Borg UI startet und kennt sein Repo noch
 - aktuelle Dump-Artefakte sind vorhanden
 - Uptime Kuma / Homepage / ntfy sind wieder da
+- Hermes Gateway und Dashboard starten; `hermes.kaleschke.info` leitet anonym zu Authelia weiter
 
 ---
 
@@ -348,6 +353,19 @@ Relevant:
 - Dump-Ziel: `/mnt/user/backups/borg/dumps/latest`
 - Skript: `ops/borg-ui/scripts/pre-backup-dumps.sh`
 
+### Hermes Agent
+
+Hermes nutzt einen lokalen Build und hostseitige Runtime-Daten.
+
+Vor dem Start muessen vorhanden sein:
+
+- `/mnt/user/appdata/hermes-agent/data`
+- `/mnt/user/appdata/hermes-agent/ssh`
+- `/mnt/user/appdata/secrets/hermes_runner_id_ed25519`
+- die hostseitige Hermes `.env` mit Provider-/API-/Home-Assistant-Tokens
+
+Smoke-Test: `hermes-gateway` healthcheck ist gruen, `hermes.kaleschke.info` leitet fuer anonyme Requests zu Authelia weiter.
+
 ### Gitea
 
 Wenn weder externer Mirror noch lokaler Clone verfuegbar sind, ist `services/gitea/data` selbst Teil des kritischen Wiederanlaufs.