84 lines
5.0 KiB
Markdown
84 lines
5.0 KiB
Markdown
# Codex-Prompt: KalliLab Konsolidierung (Bewertungs-Followup)
|
||
|
||
> **Status (Stand 2026-05-30):** Erstprompt fuer den Audit-Zyklus 2026-05-25, Stand weitgehend abgearbeitet. Verbleibende Punkte sind in `docs/AUDIT_2026-05-25_TODO.md` weiter gefuehrt (offen, geparkt, bewusst nicht umgesetzt). Datei bleibt im Repo als **Codex-Prompt-Vorlage** fuer kuenftige Konsolidierungs-Sweeps; inhaltlich nicht mehr aendern.
|
||
|
||
Stand: 2026-05-23
|
||
Auftraggeber: Operator
|
||
Quelle: `docs/archive/2026-05/STRATEGISCHE_BEWERTUNG_2026-05-23.md`
|
||
|
||
## Schritt 0 — Reviewe die Bewertung kritisch
|
||
|
||
Lies `docs/archive/2026-05/STRATEGISCHE_BEWERTUNG_2026-05-23.md` komplett. Bevor du irgendetwas anfasst, sag dem Operator ehrlich:
|
||
|
||
- Wo ist Claudes Befund richtig?
|
||
- Wo liegt Claude daneben oder hat etwas Wichtiges uebersehen?
|
||
- Welche Hausaufgaben unten wuerdest du anders priorisieren oder weglassen?
|
||
|
||
Erst nach Operator-Freigabe weitermachen.
|
||
|
||
## Lies vor jedem Block
|
||
|
||
`CLAUDE.md`, `docs/WORKFLOW.md`, betroffene Compose-Datei. Bei DR/Backup zusaetzlich `docs/DISASTER_RECOVERY.md` und `docs/RESTORE_MATRIX.md`.
|
||
|
||
## Hausaufgaben
|
||
|
||
### P0 — Quick Wins (≤ 1 Woche, hoher Nutzen)
|
||
|
||
1. **Externer Repo-Mirror** einrichten (GitHub privat oder zweites Gitea); Push-Mirror in Gitea aktivieren. Schliesst das groesste DR-Loch.
|
||
2. **Borg-Passphrase analog sichern** (Schliessfach oder Familienmitglied).
|
||
3. **Jellyfin entfernen, Plex bleibt.** Detail-Schritte in `docs/archive/2026-05/CODEX_JELLYFIN_REMOVAL_2026-05-23.md`. Kurzfassung: Plex-Smoke-Test → Komodo-Stop → Authelia-Bypass raus + Host-Sync → `git rm apps/jellyfin/` → Doku (MASTER 3.2/4.1/7.4/7.8, SERVICE_CATALOG, REPO_MAP, MIGRATION_LOG) → Appdata nach `_archive/` → Policy-Check → Push → Komodo-Destroy + Webhook weg.
|
||
4. **Glance oder Homepage** als einziges Dashboard waehlen, das andere stoppen und aus Repo entfernen.
|
||
5. **AdGuard Admin-Port 8082** hinter Authelia oder nur via Tailscale (Block F aus MASTER 10).
|
||
6. **Authelia 2FA-Pflicht** fuer alle aktiven User verifizieren bzw. aktivieren.
|
||
7. **Disk1 NTFS → XFS Phase 2** abschliessen, anschliessend `ALLOW_DISK1_NTFS=0` in posture-check.
|
||
|
||
### P1 — Stabilitaet und Ordnung (2–4 Wochen)
|
||
|
||
8. **Monitoring-Migration abschliessen**: `monitoring/` produktiv, `ops/grafana-influxdb` + `ops/loki` `down` + aus Repo entfernen.
|
||
9. **Uptime-Kuma abloesen** durch Blackbox + Grafana-Alerts (nach 7 Tagen Parallelbetrieb mit Paritaet, wie in SERVICE_CATALOG vorgesehen).
|
||
10. **Hermes-Agent Entscheidung**: produktiv mit klarem Alltagsnutzen oder vollstaendig entfernen. Kein weiteres Quartal "halb da".
|
||
11. **paperless-gpt und BentoPDF**: gleiche Frage. Produktiv im Workflow oder weg.
|
||
12. **Unraid USB-Flash-Backup** einrichten (eingebauter Mechanismus).
|
||
13. **Family-View-Dashboard** in Grafana: alles-gruen-Uebersicht fuer den Morgen-Check.
|
||
|
||
### P2 — Automatisierung und Transparenz (4–12 Wochen)
|
||
|
||
14. **Authelia OIDC-Provider** aktivieren; Nextcloud + Immich + Grafana als OIDC-Clients.
|
||
15. **Renovate Bot gegen Gitea** fuer kontrollierte Image-Update-PRs (loest die manuelle Digest-Pflege ab).
|
||
16. **Restore-Test fuer Immich** als eigener Sprint einplanen (groesster Datentopf ohne Mini-Restore).
|
||
17. **Immich Smartphone-Auto-Backup** fuer alle Familien-Geraete aktivieren — der eigentliche Familien-Nutzen.
|
||
18. **CrowdSec vor Traefik** als Bouncer fuer oeffentlich erreichbare Apps.
|
||
|
||
### P3 — Advanced (3–6 Monate)
|
||
|
||
19. Staging-Branch + zweites Komodo-Ziel in Tailscale-VM.
|
||
20. Restore-Test-Automatisierung als CI (Gitea Actions oder Drone).
|
||
21. Off-Site-Backup zu zweitem Ziel (zweites BorgBase-Repo oder Hetzner Storage Box).
|
||
22. Cold-Standby-Konzept dokumentieren.
|
||
23. Komodo-Self-Stack aus Komodo-Management herausnehmen, als handgepflegter `docker compose`-Service in `services/`.
|
||
|
||
### P4 — Nice-to-have / Spielwiese
|
||
|
||
24. Firefly III oder Actual Budget fuer `/mnt/user/finance`.
|
||
25. Wandtablet im Flur mit Family-Dashboard.
|
||
26. Home Assistant tiefer in ntfy-Workflows verzahnen (Frostwarnung, PV-Ueberschuss, Briefkasten).
|
||
27. Ecowitt-Wetter-Dashboard, sobald HA→InfluxDB-Pipeline aus `docs/HOME_ASSISTANT_INFLUXDB_ECOWITT.md` laeuft.
|
||
|
||
## Regeln (aus CLAUDE.md, nicht verhandelbar)
|
||
|
||
- Git → Push → Komodo. Keine direkten Komodo-Edits, kein `push --force`.
|
||
- Secrets nie ins Repo, nie loggen.
|
||
- Appdata-Pfade nicht blind loeschen — vor Removal nach `/mnt/user/appdata/_archive/<ding>-removed-<datum>/` verschieben, 14 Tage warten.
|
||
- Traefik dynamic config manueller Host-Sync.
|
||
- Working-Tree-Status nur aus `git status --short`, nie aus `git diff` ueber Linux-Mount.
|
||
- Nicht anfassen: Komodo native Auth (dokumentierte Ausnahme), Grafana/InfluxDB `user: "0"`, Image-Pinning ddns/glances/scrutiny.
|
||
- Bei zwei gescheiterten Versuchen: stop, `docs/GITOPS_DRIFT_RUNBOOK.md` Pflichtmatrix, Operator fragen.
|
||
|
||
## Arbeitsmodus pro Block
|
||
|
||
Lesen → minimal aendern → `ops/policy-checks/check_repo.ps1` → Commit → Push → Komodo + Smoke-Test → eine Zeile in `docs/MIGRATION_LOG.md`.
|
||
|
||
## Fertig pro Block
|
||
|
||
Kurz an Operator: Commit-SHA, Smoke-Test-Beleg, ggf. neuer Watchpoint.
|