38 lines
2.3 KiB
Markdown
38 lines
2.3 KiB
Markdown
# Audit-Restliste 2026-05-25
|
|
|
|
Status: **kompakte Restliste**. Die erledigten Sprint-Tabellen und langen
|
|
Audit-Snapshots wurden aus der Arbeitskopie entfernt; Detailhistorie liegt in Git.
|
|
|
|
## Aktuell offene Punkte
|
|
|
|
| Prioritaet | Punkt | Naechster Schritt |
|
|
|---|---|---|
|
|
| P0 | Borg-Lauf nach den Dumps vom 2026-05-31 21:42 bestaetigen | Nach dem naechsten regulaeren Lauf pruefen, ob die frischen Dumps im Hetzner-Borg-Archiv liegen |
|
|
| P0 | Alt-Volumes nach Burn-in freigeben | Nicht vor 2026-06-02 loeschen; vorher aktiven Pfad und letzten Borg-Lauf pruefen |
|
|
| P1 | Hetzner-Account-Hygiene | Starkes einzigartiges Passwort, Backup-Zahlungsweg und Login-Benachrichtigungen extern bestaetigen |
|
|
| P1 | Borg `--append-only` fuer Hetzner pruefen | Rollback-faehigen Test fuer `borg serve --append-only` in Hetzner `authorized_keys` planen |
|
|
| P1 | FRITZ!Box-Servicefenster | FRITZ!OS-Update, FRITZ!Box-Konfig-Backup und IPv6-Exposure-Pruefung gemeinsam erledigen |
|
|
| P2 | Family-View Dashboard als JSON bauen | Erst nach manuellem Grafana-Layout-Check; Metriken fuer Borg, Certs und Critical-Container sind vorhanden |
|
|
| P2 | Family-Onboarding praktisch starten | Familienkonten, Vaultwarden-Organisation und Immich-Mobile-Backup gemeinsam einrichten |
|
|
|
|
## Bewusst geparkt
|
|
|
|
| Punkt | Entscheidung |
|
|
|---|---|
|
|
| Authelia 2FA fuer Operator-UIs | In diesem Zyklus nicht umgesetzt; erst mit finaler Auth-Policy |
|
|
| Authelia OIDC fuer Apps | Geparkt bis klare Familien-/SSO-Entscheidung |
|
|
| CrowdSec vor Traefik | Erst nach Auth-Policy neu bewerten |
|
|
| Nextcloud 2FA/Brute-Force-Haertung | Gemeinsam mit OIDC/Familienkonten entscheiden |
|
|
| Hermes-Agent | NAS-Stack bleibt deaktiviert; Review-Deadline 2026-07-25 |
|
|
| USV | Anschaffung verschoben; Power-Loss-Risiko bewusst akzeptiert |
|
|
| Zweites Off-site-Ziel | Bewusst nicht umgesetzt; neu bewerten bei Hetzner-Problemen, stark wachsendem Datenwert oder geaenderter Betreiber-Praeferenz |
|
|
|
|
## Zuletzt geschlossen
|
|
|
|
- Immich-, Paperless-, Gitea- und Vaultwarden-Restore-Pfade sind belegt.
|
|
- H:/ Nearline-Pull laeuft seit 2026-05-28 als Windows Scheduled Task.
|
|
- FRITZ!Box-Portfreigaben sind bereinigt: WAN-seitig bleibt `443/tcp`.
|
|
- InfluxDB 3 Core ist effektiv nur auf `127.0.0.1:8181` gebunden.
|
|
- Renovate ist produktiv, Major-Updates werden bewusst manuell entschieden.
|
|
- Policy-Check bleibt ohne Criticals; bekannte Root-Ausnahmen sind dokumentiert.
|