5.3 KiB
External Operator Runbook
Stand: 2026-06-01
Dieses Runbook schliesst die Betreiber-Aufgaben, die nicht vollstaendig aus dem Repo automatisierbar sind: Hetzner-Account-Hygiene, Borg-Append-Only und FRITZ!Box-Servicefenster. Keine Secret-Werte ins Repo schreiben.
1. Vorher pruefen
Auf dem Unraid-Host:
bash /mnt/user/services/homelab-infra/ops/maintenance/check-external-operator.sh
Erwarteter Stand vom 2026-06-01:
- FRITZ!Box 7590 meldet FRITZ!OS
154.08.25. - FRITZ!Box IPv6-Firewall meldet
FirewallEnabled=1;InboundPinholeAllowed=1bedeutet, dass IPv6-Freigaben technisch moeglich sind und in der UI gegengeprueft werden muessen. - Public DNS fuer
*.kaleschke.infoliefert A-Records auf217.249.115.154, keine AAAA-Records. - Host hat keine globale Provider-IPv6-Adresse; sichtbar ist nur Tailscale-IPv6
fd7a:115c:a1e0::2c01:62b2. - WAN-Smoke gegen die Public-IP:
443/tcpoffen,80/tcpund222/tcpgeschlossen. - Borg UI nutzt
borg 1.4.x; Repositoryappdata-criticalliegt auf Hetzner Storage Boxssh://...your-storagebox.de:23/./hetzner_borg_appdata_critical. - Restore-Freshness:
Critical 0,Warnings 0.
2. Hetzner Account-Hygiene
Im Hetzner-/Storage-Box-Konto pruefen und extern/off-system dokumentieren:
| Punkt | Soll |
|---|---|
| Passwort | stark, eindeutig, im Passwortmanager |
| 2FA | aktiv, Recovery-Codes offline auffindbar |
| Kontakt-E-Mail | aktuell und ohne Homelab-Abhaengigkeit erreichbar |
| Zahlungsweg | gueltig, Fallback bekannt |
| Storage Box | Produkt, Benutzer und Rechnungsstatus sichtbar |
| SSH/SFTP/WebDAV/SMB | nur benoetigte Protokolle aktiv |
| Recovery | Kundennummer, Login-Pfad und Support-Pfad extern notiert |
Im Repo nur das Datum der Bestaetigung dokumentieren, nie Zugangsdaten.
3. Borg Append-Only
Ziel: Der produktive Backup-Client darf neue Archive schreiben, aber nicht normal prune/delete/compact als unbeschraenkter Client ausfuehren.
Hetzner dokumentiert Borg-Zugriff auf Storage Boxen inklusive --remote-path
fuer Borg-Versionen; fuer Borg 1.4 wird --remote-path=borg-1.4 empfohlen.
Hetzner bestaetigt auch, dass append-only moeglich ist. Borg selbst setzt
append-only pro SSH-Key typischerweise ueber einen forced command in
authorized_keys um.
Empfohlenes Zielmodell:
command="borg serve --append-only --restrict-to-repository /home/hetzner_borg_appdata_critical",restrict ssh-ed25519 <backup-public-key> borg-ui-append-only
command="borg serve --restrict-to-repository /home/hetzner_borg_appdata_critical",restrict ssh-ed25519 <maintenance-public-key> borg-maintenance
Hinweise:
- Pfad auf der Storage Box vor dem Eintragen pruefen. Bei Hetzner werden Pfade
im Borg-Repo haeufig relativ als
./repo-nameverwendet; inauthorized_keysmuss der serverseitige Pfad zur Storage-Box-Home-Struktur passen. - Der produktive Borg-UI-Key sollte append-only sein.
- Ein separater Maintenance-Key bleibt fuer bewusste Retention/Prune/Compact noetig und darf nicht auf dem produktiven Homelab-Host liegen.
- Append-only verhindert nicht, dass ein kompromittierter Client Archive als geloescht markiert; es verhindert die unmittelbare physische Entfernung. Nach einem Vorfall keine unbeschraenkte Schreiboperation ausfuehren, bevor die Borg-Transaktionen bewertet wurden.
Nach Aenderung:
- Einen regulaeren Borg-Lauf abwarten oder manuell starten.
check-external-operator.shausfuehren.- In
docs/AUDIT_2026-05-25_TODO.mdnur das Ergebnis dokumentieren.
4. FRITZ!Box-Servicefenster
Vor dem Fenster:
- Familie informieren: Internet/Telefonie koennen kurz weg sein.
- Aktuellen Repo-Stand und Borg-Freshness pruefen.
- FRITZ!Box-Konfig exportieren:
System -> Sicherung -> Sichern. - Sicherungsdatei nicht ins Repo legen; im Passwortmanager/off-system ablegen.
In der FRITZ!Box:
| Bereich | Soll |
|---|---|
System -> Update |
FRITZ!OS aktuell; am 2026-06-01 per TR-064 154.08.25 beobachtet |
Internet -> Freigaben -> Portfreigaben |
nur 443/tcp -> 192.168.178.58:443 |
| IPv6-Portfreigaben | keine aktiven Freigaben; insbesondere kein 222/tcp, kein Admin-Port |
| Selbststaendige Portfreigaben/UPnP | fuer Kallilabcore aus; neue Geraete nur bewusst erlauben |
| Gastnetz | bleibt aus, solange keine Gastnetz-Policy gepflegt wird |
| Ausfallschutz | bewusst aus; nur neu bewerten, wenn ein Mobilfunk-Fallback gewuenscht ist |
Nach dem Fenster:
bash /mnt/user/services/homelab-infra/ops/maintenance/check-external-operator.sh
Dann in docs/NETWORK_INVENTORY.md aktualisieren:
- FRITZ!OS-Version
- IPv6-Status
- aktive Portfreigaben
- Datum der Konfig-Sicherung
Quellen
- Hetzner Docs: Storage Box Zugriff mit SSH/rsync/BorgBackup, inklusive
Borg-Versionen,
--remote-pathund Append-Only-Hinweis: https://docs.hetzner.com/storage/storage-box/access/access-ssh-rsync-borg/ - BorgBackup Docs:
borg serve --append-onlyund forced commands inauthorized_keys: https://borgbackup.readthedocs.io/en/stable/deployment/pull-backup.html - AVM FRITZ!Box Hilfe: IPv6-Portfreigaben werden separat verwaltet; eingehende Zugriffe sind standardmaessig nicht offen: https://help.avm.de/fritzbox.php?hardware=145&language=en&oem=avme&set=009&topic=hilfe_internet_freigabe_ipv6
- AVM FRITZ!Box Hilfe: Sicherung der FRITZ!Box-Einstellungen: https://help.avm.de/fritzbox.php?hardware=145&language=en&oem=avme&set=009&topic=hilfe_system_export