1.6 KiB
1.6 KiB
VAULTWARDEN
Produktiv-Vault (Self-Hosted):
- Software: Vaultwarden
- Zugriff:
- LAN: HTTPS über lokalen Reverse Proxy (Caddy)
- Internet: HTTPS über Pangolin-Tunnel
- Enthält:
- alle regulären Zugänge
- Organisationen / Secrets
- Risiko:
- abhängig von Tunnel / Internet / Heimnetz
Kritischer Eintrag:
Name: "Hetzner Login (NOTFALL manuell pflegen!)"
Zweck:
- Sichtbarer Hinweis bei JEDEM Login
- Erzwingt bewusste manuelle Pflege des Notfall-Zugangs
NOTFALL-STRATEGIE
Notfall-Passwortsafe:
- Software: KeePassXC
- Dateiformat: notfall.kdbx
- Plattformen:
- Linux
- Windows
- Speicherort:
- verschlüsselter Cloud-Speicher => auf Schulcampus/Dokumente/Notfall/Notfall.kdbx
- im U-Netz: Dokumente/Kram/Notfall
- unabhängig vom Heimnetz / Tunnel
Schutz:
- Starkes Master-Passwort (wie immer)
Inhalt (bewusst minimal):
- Hetzner Login
- ggf. Hetzner Recovery Codes
Pflegeregel:
Wenn Hetzner-Passwort oder 2FA geändert wird: -> Eintrag in notfall.kdbx MANUELL auf BEIDEN Speichern aktualisieren
Keine Automatisierung! (Bewusste Entscheidung).
DESIGN-ENTSCHEIDUNG
- Keine Admin-API-Exports aus Vaultwarden
- Keine Cronjobs mit sensiblen Tokens
- Keine Abhängigkeit von kostenpflichtigen Cloud-Abos
- Notfallzugang bewusst getrennt gehalten
Fokus auf:
- Robustheit
- Transparenz
- Plattform-Kompatibilität
- Langfristige Wartbarkeit
aktuelles Skript
--8<-- "/docs/docker/vaultwarden/docker-compose.yml"