# Secrets Map - Homelab Dieses Dokument listet sensible Daten, deren Ablageorte und die vorgesehene Einbindungsart. ## Grundregeln - Secrets liegen **niemals im Git-Repository** - Standardspeicherort: `/mnt/user/appdata/secrets/` - Berechtigungen: `chmod 600` - Nutzung in Docker ueber `_FILE` Variablen oder Komodo Stack Environment Variables --- ## Aktive Secrets | Service | Secret | Datei / Methode | Status | |---|---|---|---| | Vaultwarden | ADMIN_TOKEN | `vaultwarden_admin_token.txt` -> `ADMIN_TOKEN_FILE` | aktiv | | PostgreSQL 17 | DB Password | `postgres_password.txt` -> `POSTGRES_PASSWORD_FILE` | aktiv | | Mealie | DB Password | Stack ENV `${MEALIE_DB_PASSWORD}` | aktiv | | mealie-postgres | DB Password | Stack ENV `${POSTGRES_PASSWORD}` | aktiv | | Paperless-ngx | DB Password | Stack ENV `${PAPERLESS_DBPASS}` | aktiv | | code-server | Passwort | `code_server_password.txt` -> `PASSWORD_FILE` | aktiv | | Immich (server) | DB Password | Stack ENV `${IMMICH_DB_PASSWORD}` | aktiv | | immich-postgres | DB Password | `immich_db.txt` -> `POSTGRES_PASSWORD_FILE` | aktiv | | mail-archiver | Auth Password | Stack ENV `${MAILARCHIVER_AUTH_PASSWORD}` | aktiv | | Borg UI / Borg | Admin-Login, `SECRET_KEY`, SSH-Keys, Repo-Credentials | persistent unter `/mnt/user/appdata/borg-ui/data/` | aktiv | --- ## Historisch entfernte Secrets | Dienst | Frueherer Secret-Pfad / Mechanismus | Status | |---|---|---| | Gotify | `gotify_password.txt` / `GOTIFY_DEFAULTUSER_PASS_FILE` | Dienst nicht mehr aktiv | | diun | Stack ENV | Container entfernt | --- ## Pfadstruktur ```text /mnt/user/appdata/secrets/ |-- vaultwarden_admin_token.txt |-- postgres_password.txt |-- code_server_password.txt `-- immich_db.txt ``` Hinweise: - Mealie, Paperless, mail-archiver und der Immich-Server nutzen Stack Environment Variables statt Datei-Mounts. - Borg UI verwaltet Session-Secret, Admin-Login, SSH-Keys und Repo-Credentials in seiner persistenten `/data`-Struktur. Diese Daten liegen nicht im Git, muessen aber gesichert werden. --- ## Regel Wenn `_FILE` nicht unterstuetzt wird -> Stack Environment Variable in Komodo verwenden. Secrets niemals direkt in die Compose-Datei schreiben.