fix: DockerSecretsResolver - don't normalize absolute paths like /var/www/html/...

2025-11-24 21:28:25 +01:00
parent 4eb7134853
commit 77abc65cd7
1327 changed files with 91915 additions and 9909 deletions
--- a/deployment/infrastructure/SECRETS.md
+++ b/deployment/infrastructure/SECRETS.md
@@ -0,0 +1,122 @@
+# Secrets Management
+
+Anleitung zur Verwaltung von Secrets für die Infrastruktur-Stacks.
+
+## Übersicht
+
+Secrets werden als Dateien in `secrets/` Verzeichnissen pro Stack gespeichert und via Docker Secrets in Container eingebunden.
+
+## Secrets-Struktur
+
+```
+infrastructure/
+├── traefik/secrets/
+│   └── acme_email.txt
+├── gitea/secrets/
+│   ├── postgres_password.txt
+│   └── redis_password.txt
+└── postgresql/secrets/
+    └── postgres_password.txt
+```
+
+## Secrets-Generierung
+
+### Passwort-Generierung
+
+```bash
+# Sichere Passwort-Generierung (32 Bytes, Base64)
+openssl rand -base64 32 > secrets/password.txt
+chmod 600 secrets/password.txt
+```
+
+### E-Mail für Let's Encrypt
+
+```bash
+# Traefik ACME E-Mail
+echo "your-email@example.com" > traefik/secrets/acme_email.txt
+chmod 600 traefik/secrets/acme_email.txt
+```
+
+## Setup pro Stack
+
+### Traefik
+
+```bash
+cd traefik
+echo "your-email@example.com" > secrets/acme_email.txt
+chmod 600 secrets/acme_email.txt
+```
+
+### Gitea
+
+```bash
+cd gitea
+openssl rand -base64 32 > secrets/postgres_password.txt
+openssl rand -base64 32 > secrets/redis_password.txt
+chmod 600 secrets/*.txt
+```
+
+### PostgreSQL
+
+```bash
+cd postgresql
+openssl rand -base64 32 > secrets/postgres_password.txt
+chmod 600 secrets/postgres_password.txt
+```
+
+## Sicherheitsrichtlinien
+
+1. **Nie committen:** Secrets-Dateien sind gitignored
+2. **Sichere Berechtigungen:** Immer `chmod 600` für Secrets-Dateien
+3. **Rotation:** Passwörter regelmäßig rotieren (empfohlen: alle 90 Tage)
+4. **Backup:** Secrets sicher aufbewahren (verschlüsselt)
+
+## Secrets-Rotation
+
+### Passwort ändern
+
+1. Neues Passwort generieren
+2. Passwort in Secrets-Datei aktualisieren
+3. Stack neu starten: `docker compose restart`
+4. Services aktualisieren, die das Passwort nutzen
+
+**Beispiel (PostgreSQL):**
+```bash
+# Neues Passwort generieren
+openssl rand -base64 32 > secrets/postgres_password.txt.new
+
+# Passwort in Datenbank ändern
+docker compose exec postgres psql -U postgres -c "ALTER USER postgres WITH PASSWORD '$(cat secrets/postgres_password.txt.new)';"
+
+# Secrets-Datei aktualisieren
+mv secrets/postgres_password.txt.new secrets/postgres_password.txt
+
+# Stack neu starten
+docker compose restart
+```
+
+## Backup von Secrets
+
+**Wichtig:** Secrets müssen sicher gesichert werden!
+
+```bash
+# Secrets verschlüsselt sichern (z.B. mit GPG)
+tar czf secrets-backup.tar.gz infrastructure/*/secrets/
+gpg -c secrets-backup.tar.gz
+rm secrets-backup.tar.gz
+
+# Oder mit Ansible Vault
+ansible-vault encrypt secrets-backup.tar.gz
+```
+
+## Wiederherstellung
+
+```bash
+# Secrets aus Backup wiederherstellen
+gpg -d secrets-backup.tar.gz.gpg | tar xzf -
+# Oder
+ansible-vault decrypt secrets-backup.tar.gz
+tar xzf secrets-backup.tar.gz
+chmod 600 infrastructure/*/secrets/*
+```
+