Micha
796901ec6b
docs(network): Post-Upgrade Posture-Recheck Unraid 7.3.1 + AdGuard/libvirt-:53-Vorfall
...
Nach Major-Upgrade 7.2.4 -> 7.3.1 read-only Host-Listener gegen dokumentierte
Annahmen geprueft: alle Ausnahmen intakt (InfluxDB 127.0.0.1:8181, AdGuard nur
Tailscale, Gitea-SSH 222 LAN/TS, Traefik einziger 80/443-Owner, libvirt :53 weg).
Docker-Socket-Lage festgehalten (nur komodo-periphery RW; Traefik C-3 ro, kein Regress).
AdGuard-Boot-Race (libvirt-Default-Netz belegte :53 vor AdGuard) + Fix dokumentiert;
Dauerfix-Empfehlung VM-Manager aus. SSH-Haertung nach Upgrade verifiziert.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com >
2026-06-07 21:26:59 +02:00
Micha
de7b714b4d
docs(network): SSH-Host-Haertung dokumentieren (key-only root, upgrade-sichere Persistenz)
...
Host gehaertet 2026-06-07: PermitRootLogin prohibit-password,
PasswordAuthentication no, KbdInteractiveAuthentication no; PubkeyAuthentication yes.
Persistenz upgrade-sicher via idempotentem /boot/config/ssh-harden.sh aus
/boot/config/go (sshd -t vor HUP-Reload, Syslog-Selbst-Verifikation).
Manueller Post-Upgrade-Check und Rollback dokumentiert.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com >
2026-06-07 11:02:07 +02:00
Micha
2a87220862
plex: expose via traefik domain
2026-06-06 13:41:39 +02:00
Micha
0177350e64
docs: close guest iot network setup
2026-06-06 13:23:35 +02:00
Micha
a4c79d9d81
docs: record guest iot preflight
2026-06-06 13:14:07 +02:00
Micha
18a90fbb4b
ops: add guest iot network preflight
2026-06-06 13:13:01 +02:00
Micha
c3491eb382
tailscale: auf natives Plugin konsolidieren, redundanten Docker-Stack entfernen, ACL-Haertung dokumentieren
...
- host-services/tailscale/ (userspace-only Docker-Stack) entfernt; Komodo stop/destroy durch Operator, danach git rm
- Glance-Widget Tailscale-Docker entfernt
- HOMELAB_ARCHITECTURE/SERVICE_CATALOG/DISASTER_RECOVERY/CLAUDE/RESTORE_MATRIX: tailscale als natives Unraid-Plugin dokumentiert; Restore-State-Pfad korrigiert auf /boot/config/plugins/tailscale/state (Flash-Backup)
- NETWORK_INVENTORY: restriktive tag-basierte grants-ACL (2026-06-06; tag:server/tag:operator, tag:family vorbereitet) und Subnet-Router-Befund dokumentiert
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com >
2026-06-06 10:58:59 +02:00
Micha
dda6021116
docs: record tailscale acl plan and watcher activation
2026-06-05 23:27:40 +02:00
Micha
bc3ecad45a
backup: windows image baseline for baerchen
2026-06-05 22:19:27 +02:00
Micha
16e661be87
Document fritzbox config backup
2026-06-01 14:19:13 +02:00
Micha
12c05376d0
Close fritzbox service window docs
2026-06-01 13:02:03 +02:00
Micha
dfd0ccbb9a
Refine external IPv6 operator check
2026-06-01 12:51:16 +02:00
Micha
ae5d4aedfc
Prepare external operator checks
2026-06-01 12:48:00 +02:00
Micha
4e34582008
Trim documentation to active runbooks
2026-05-31 23:26:12 +02:00
Micha
ab8bfea7c8
Close documented backup follow-ups
2026-05-31 23:07:34 +02:00
Micha
19604e0114
Record FRITZBox WAN cleanup (80/tcp out, VONETS UPnP off)
...
Operator umgesetzt 2026-05-28:
- 80/tcp aus FRITZBox-UI entfernt; Mobilfunk-validiert: http
liefert Timeout, https weiter erreichbar.
- 222/tcp bleibt bewusst nicht eingerichtet (Tailscale-only-
Linie). MASTER Sektion 10 entsprechend praezisiert.
- UPnP-Selbstfreigabe-Recht fuer PC-192-168-178-71 deaktiviert.
Identifiziert als VONETS-WiFi-Bridge (vermutlich SolarEdge-
Wechselrichter). SolarEdge-Cloud-Sync ist outbound und
braucht keine UPnP.
Aktiver WAN-Endstand: ausschliesslich 443/tcp -> 192.168.178.58.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com >
2026-05-28 15:32:10 +02:00
Micha
6a445094bd
Record FRITZBox port exposure drift
2026-05-27 18:06:43 +02:00
Micha
48099fb48d
Update audit follow-up documentation
2026-05-26 20:24:50 +02:00
Micha
5b6e7b8b66
Record AdGuard Tailscale validation
2026-05-26 15:00:35 +02:00
Micha
5cb401797d
Bind AdGuard admin to Tailscale
2026-05-26 14:55:49 +02:00
Micha