3.4 KiB
3.4 KiB
Audit-Restliste 2026-05-25
Status: kompakte Restliste. Die erledigten Sprint-Tabellen und langen Audit-Snapshots wurden aus der Arbeitskopie entfernt; Detailhistorie liegt in Git.
Aktuell offene Punkte
| Prioritaet | Punkt | Naechster Schritt |
|---|---|---|
| P0 | Alt-Volumes nach Burn-in freigeben | Ab 2026-06-02 ops/maintenance/release-alt-volumes.sh --dry-run pruefen, danach nur bei sauberem Ergebnis mit --execute freigeben |
| P1 | Hetzner-Account-Hygiene | Mit docs/EXTERNAL_OPERATOR_RUNBOOK.md im Hetzner-Konto bestaetigen; keine Secret-Werte ins Repo |
| P1 | Borg --append-only fuer Hetzner pruefen |
Produktiven Borg-UI-SSH-Key in der Storage-Box-authorized_keys per forced command auf borg serve --append-only einschraenken; separaten Maintenance-Key offline halten |
| P1 | FRITZ!Box-Servicefenster | FRITZ!Box-Konfig-Backup und UI-Gegencheck fuer IPv6-Portfreigaben/Selbstfreigaben; FRITZ!OS 154.08.25 ist technisch bereits beobachtet |
| P2 | Family-Onboarding praktisch starten | Familienkonten, Vaultwarden-Organisation und Immich-Mobile-Backup gemeinsam einrichten |
Bewusst geparkt
| Punkt | Entscheidung |
|---|---|
| Authelia 2FA fuer Operator-UIs | In diesem Zyklus nicht umgesetzt; erst mit finaler Auth-Policy |
| Authelia OIDC fuer Apps | Geparkt bis klare Familien-/SSO-Entscheidung |
| CrowdSec vor Traefik | Erst nach Auth-Policy neu bewerten |
| Nextcloud 2FA/Brute-Force-Haertung | Gemeinsam mit OIDC/Familienkonten entscheiden |
| Hermes-Agent | NAS-Stack bleibt deaktiviert; Review-Deadline 2026-07-25 |
| USV | Anschaffung verschoben; Power-Loss-Risiko bewusst akzeptiert |
| Zweites Off-site-Ziel | Bewusst nicht umgesetzt; neu bewerten bei Hetzner-Problemen, stark wachsendem Datenwert oder geaenderter Betreiber-Praeferenz |
Zuletzt geschlossen
- Externer Betreibercheck vorbereitet:
docs/EXTERNAL_OPERATOR_RUNBOOK.mdundops/maintenance/check-external-operator.sh; Live-Baseline am 2026-06-01: FRITZ!OS154.08.25, keine Public-AAAA-Records fuer*.kaleschke.info, Host ohne globale Provider-IPv6, WAN443/tcpoffen und80/tcp/222/tcpgeschlossen. - Family-View Dashboard ist repo-seitig gebaut:
monitoring/grafana/dashboards/family-status.jsonzeigt Family-App-Uptime, Backup-Alter, TLS-Restlaufzeit, Critical-Container und Image-Drift. - Alt-Volume-Freigabe ist vorbereitet:
ops/maintenance/release-alt-volumes.sh --dry-runvalidiert aktive Pfade, Container-Health, Restore-Freshness und gemountete Altpfade; Test am 2026-06-01 fand vier Kandidaten und keine Blocker, Ausfuehrung bleibt wegen Cutoff bis 2026-06-02 gesperrt. - Borg-Nachlauf nach dem 2026-05-31-Sprint ist belegt: Archiv
Taegliche-Sicherung-2026-06-01T04:30:26.913, 101669 Dateien,rc=0; Freshness-Check am 2026-06-01: Critical 0, Warnings 0. - H:/ Nearline-Pull am 2026-06-01 repariert und manuell validiert: kuratierte Borg-Dumps Exit 0, Gitea-Bundles Exit 1 (Robocopy-Erfolg mit Kopien), Report
nearline-pull-2026-06-01-082553.md. - Immich-, Paperless-, Gitea- und Vaultwarden-Restore-Pfade sind belegt.
- H:/ Nearline-Pull laeuft seit 2026-05-28 als Windows Scheduled Task.
- FRITZ!Box-Portfreigaben sind bereinigt: WAN-seitig bleibt
443/tcp. - InfluxDB 3 Core ist effektiv nur auf
127.0.0.1:8181gebunden. - Renovate ist produktiv, Major-Updates werden bewusst manuell entschieden.
- Policy-Check bleibt ohne Criticals; bekannte Root-Ausnahmen sind dokumentiert.