Files

T

Micha bbdf2ffb60 updates

Repo sauber machen

2026-04-15 13:40:03 +02:00

Secrets Map - Homelab

Dieses Dokument listet sensible Daten, deren Ablageorte und die vorgesehene Einbindungsart.

Grundregeln

Secrets liegen niemals im Git-Repository
Standardspeicherort: /mnt/user/appdata/secrets/
Berechtigungen: chmod 600
Nutzung in Docker ueber _FILE Variablen oder Komodo Stack Environment Variables

Service	Secret	Datei / Methode	Status
Vaultwarden	ADMIN_TOKEN	`vaultwarden_admin_token.txt` -> `ADMIN_TOKEN_FILE`	aktiv
PostgreSQL 17	DB Password	`postgres_password.txt` -> `POSTGRES_PASSWORD_FILE`	aktiv
Mealie	DB Password	Stack ENV `${MEALIE_DB_PASSWORD}`	aktiv
mealie-postgres	DB Password	Stack ENV `${POSTGRES_PASSWORD}`	aktiv
Paperless-ngx	DB Password	Stack ENV `${PAPERLESS_DBPASS}`	aktiv
code-server	Passwort	`code_server_password.txt` -> `PASSWORD_FILE`	aktiv
Immich (server)	DB Password	Stack ENV `${IMMICH_DB_PASSWORD}`	aktiv
immich-postgres	DB Password	`immich_db.txt` -> `POSTGRES_PASSWORD_FILE`	aktiv
mail-archiver	Auth Password	Stack ENV `${MAILARCHIVER_AUTH_PASSWORD}`	aktiv
Borg UI / Borg	Admin-Login, `SECRET_KEY`, SSH-Keys, Repo-Credentials	persistent unter `/mnt/user/appdata/borg-ui/data/`	aktiv

Dienst	Frueherer Secret-Pfad / Mechanismus	Status
Gotify	`gotify_password.txt` / `GOTIFY_DEFAULTUSER_PASS_FILE`	Dienst nicht mehr aktiv
diun	Stack ENV	Container entfernt

/mnt/user/appdata/secrets/
|-- vaultwarden_admin_token.txt
|-- postgres_password.txt
|-- code_server_password.txt
`-- immich_db.txt

Hinweise:

Mealie, Paperless, mail-archiver und der Immich-Server nutzen Stack Environment Variables statt Datei-Mounts.
Borg UI verwaltet Session-Secret, Admin-Login, SSH-Keys und Repo-Credentials in seiner persistenten /data-Struktur. Diese Daten liegen nicht im Git, muessen aber gesichert werden.

Wenn _FILE nicht unterstuetzt wird -> Stack Environment Variable in Komodo verwenden.

Secrets niemals direkt in die Compose-Datei schreiben.