Zum Inhalt

Secrets und Credentials

Stand: 2026-05-25

Ziel

Secrets muessen fuer Automationen nutzbar sein, duerfen aber nicht in Git, Wiki, Prompts oder Logs landen. Vaultwarden bleibt die fuehrende Secret-Quelle.

Grundregeln

  • Secrets liegen in Vaultwarden.
  • Doku nennt nur den Vaultwarden-Eintragsnamen.
  • Lokale Shell-Variablen sind temporaer.
  • BW_SESSION wird nicht gespeichert.
  • Private SSH Keys werden nicht kopiert oder exportiert.
  • Service-Tokens bekommen minimale Rechte und eigene Namen.

Empfohlene Eintraege

Eintrag Zweck
Lanstyle / Gitea API Token OpenCode Gitea API fuer OpenCode/Git-Automation
Lanstyle / NetBox API Token Agent Legacy Write aktuell funktionierender NetBox API Token fuer Agenten
Lanstyle / NetBox API Token Pepper 2026-05-25 NetBox API_TOKEN_PEPPERS, damit v2 Tokens moeglich sind
Lanstyle / Proxmox API Token Agent Proxmox API, zuerst read-only evaluieren
Lanstyle / UniFi API UniFi Discovery und spaeter geplante Aenderungen
Lanstyle / Nginx Proxy Manager API NPM Discovery und Proxy-Verwaltung
Lanstyle / n8n Owner/Admin n8n Adminzugang
Lanstyle / n8n API Token AI Infra n8n API fuer Workflow-Anlage und Statusabfragen
Lanstyle / SMTP Relay Mailversand fuer Dienste

Lokale Arbeitsdateien

Falls waehrend einer Umstellung eine lokale Secret-Uebersicht benoetigt wird, liegt sie nur unter:

local-private/

Dieser Ordner ist zu ignorieren, nicht zu committen und nach Rotation aufzuraeumen.

Automatisierung

Bevorzugt:

bw config server https://vault.lanstyle.de
bw unlock --raw
bw get item "<Eintragsname>"

Agenten duerfen Secret-Werte intern verwenden, aber nicht ausgeben.

Stand 2026-05-25

  • Vaultwarden CLI war lokal entsperrt und wurde fuer die Ablage neuer Service-Secrets genutzt.
  • NetBox Pepper und funktionierender NetBox Legacy-Write-Token wurden in der Organisation Lanstyle IT Solutions GmbH abgelegt.
  • Proxmox API Token root@pam!lanstyle-agent wurde angelegt und in derselben Organisation abgelegt.
  • NPM API-Zugang wurde als Lanstyle / Nginx Proxy Manager API abgelegt.
  • Ungueltige NetBox-Zwischenstaende wurden aus Vaultwarden entfernt.
  • Klartextwerte wurden nicht in Git oder Markdown gespeichert.