# Unraid OS Flash - Restore-Runbook

Typ: Runbook · Stand: 2026-06-11 · Status: aktiv (Stick-Boot-Test offen)

Restore-Pfad fuer die Unraid-Flash-Konfiguration. Artefakt-Validierung ist
automatisiert und belegt; offen bleibt nur der physische Ersatzstick-Boot-Test
(siehe `docs/MASTER_TODO.md`).

## Voraussetzungen

- Borg-Artefakt `unraid-flash-config.tar.gz` und `.sha256` unter `/mnt/user/backups/borg/dumps/latest` oder im Hetzner-Borg-Repo verfuegbar
- Neuer leerer USB-Stick (Empfehlung: 16 GB, USB 2.0 kompatibel)
- Unraid USB Flash Creator oder manueller Restore-Pfad
- Offline-gesicherte Borg-Passphrase verfuegbar

## Artefakt-Validierung (ohne produktiven Stick)

Automatisiert via Repo-Skript `ops/maintenance/check-unraid-flash-backup.sh`
(read-only, keine Extraktion). Manuelle Einzelschritte:

1. SHA256-Pruefung: `sha256sum -c unraid-flash-config.tar.gz.sha256`
2. Artefakt-Inhalt pruefen: `tar -tzf unraid-flash-config.tar.gz | head -40` — erwartet `config/` als Prefix
3. Kern-Configs vorhanden: `super.dat`, `disk.cfg`, `ident.cfg`, `share.cfg`, `network.cfg`, `docker.cfg`, `go`, `domain.cfg`
4. Keine produktiven Konfigurationspfade (z. B. `config/ssh/`) ausserhalb des Test-Environments extrahieren
5. Manifest-Datei auf Vollstaendigkeit pruefen

Letzte Validierung: 2026-06-05, Exit 0, sha256 OK, 390 Eintraege, 8/8
Kern-Configs (siehe Reifegrad-Tabelle in `docs/RESTORE_MATRIX.md`).

## Vollstaendiger Restore-Test (auf Wegwerf-Stick)

1. Neuen USB-Stick mit Unraid USB Flash Creator formatieren und Basis-Unraid draufspielen
2. `config/`-Verzeichnis aus `unraid-flash-config.tar.gz` in den `/boot/config`-Pfad des neuen Sticks extrahieren
3. Im Testrahmen booten (kein Array starten, keine Shares mounten)
4. Pruefen: Unraid-Grundkonfiguration (Shares, Hostname, Netzwerk) ist sichtbar
5. Array-Zuordnung lesbar, ohne Drive-Assigns zu bestaetigen

**Smoke-Test-Kriterium:** Unraid bootet, Hostname ist `Kallilabcore`, Share-Konfiguration ist sichtbar, kein Array gestartet.

## Sonderregel

Das Artefakt enthaelt Host-Konfiguration und Secret-Material (SSH-Host-Keys,
Tailscale-State, `passwd`/`shadow`/`smbpasswd`, Lizenz-Key) und ist wie
Secret-Backup zu behandeln. Nicht auf oeffentlichen oder unverschluesselten
Testzielen extrahieren.