2.4 KiB
2.4 KiB
Secrets Map — Homelab
Dieses Dokument listet alle sensiblen Daten (Passwörter, Tokens, Keys) und deren Speicherorte.
Grundregeln
- Secrets liegen niemals im Git-Repository
- Speicherort:
/mnt/user/appdata/secrets/ - Berechtigungen:
chmod 600 - Nutzung in Docker über
_FILEVariablen oder Komodo/Portainer Stack Environment Variables
Übersicht
| Service | Secret | Datei / Methode | Status |
|---|---|---|---|
| Vaultwarden | ADMIN_TOKEN | vaultwarden_admin_token.txt → ADMIN_TOKEN_FILE |
✅ |
| PostgreSQL 17 | DB Password | postgres_password.txt → POSTGRES_PASSWORD_FILE |
✅ |
| Mealie | DB Password | Stack ENV ${MEALIE_DB_PASSWORD} (kein _FILE-Support) |
✅ |
| mealie-postgres | DB Password | Stack ENV ${POSTGRES_PASSWORD} |
✅ |
| Gotify | User Passwort | gotify_password.txt → GOTIFY_DEFAULTUSER_PASS_FILE |
✅ |
| Paperless-ngx | DB Password | Stack ENV ${PAPERLESS_DBPASS} (kein _FILE-Support) |
✅ |
| code-server | Passwort | code_server_password.txt → PASSWORD_FILE |
✅ |
| Immich (server) | DB Password | Stack ENV ${IMMICH_DB_PASSWORD} |
✅ |
| immich-postgres | DB Password | immich_db.txt → POSTGRES_PASSWORD_FILE |
✅ |
| mail-archiver | Auth Password | Stack ENV ${MAILARCHIVER_AUTH_PASSWORD} |
✅ |
| Borg UI / BorgBase | Admin-Login, SECRET_KEY, SSH-Keys, Repo-Passphrasen |
app-intern persistiert unter /mnt/user/appdata/borg-ui/data/ (DB + SSH-Key-Verzeichnis), nicht im Git |
🔄 |
| ❌ Container entfernt (2026-03-28) |
Pfadstruktur
/mnt/user/appdata/secrets/
├── vaultwarden_admin_token.txt
├── postgres_password.txt
├── gotify_password.txt
├── code_server_password.txt
└── immich_db.txt
Hinweis: Mealie, Paperless, mail-archiver und Immich-Server nutzen Stack Environment Variables statt Datei-Mounts, da
_FILE-Support nicht vorhanden oder unzuverlässig ist.
Hinweis zu Borg UI: Die Anwendung erzeugt bzw. verwaltet ihr Session-Secret, den Admin-Login, SSH-Keys und Repo-Credentials in der persistenten
/data-Struktur. Damit liegen keine Secrets im Git, aber die Sicherung von/mnt/user/appdata/borg-ui/data/ist für Restore und Disaster Recovery Pflicht.
Regel
Wenn _FILE nicht unterstützt wird → Stack Environment Variable in Komodo/Portainer verwenden.
Secrets niemals direkt in die Compose-Datei schreiben.