Destructive Actions

Stand: 2026-05-26

Grundsatz

Destruktive Aktionen werden nicht als normale Writes behandelt. Sie brauchen einen eigenen Governance-Pfad mit Cooldown, doppelter Bestaetigung, Dependency-Check und separater Cleanup-Approval.

Nicht erlaubt

Weiterhin forbidden:

• generisches Delete
• freie Shell
• destroy all
• VM/LXC Delete ohne dedizierten Scope
• Firewall-/DNS-/NPM-/AD-/Exchange-/Intune-Destruktion
• Secret Export

Pflichtfelder

Destruktive Cleanup-Preflights muessen enthalten:

• destructive_action=true
• requires_separate_cleanup_approval=true
• mandatory_cooldown_minutes>=15
• mandatory_double_confirmation=true
• Dependency Check vor Destroy
• Archive-Anforderungen
• Rollback-Limitations

Rollback-Grenze

Nach einem echten remove_lxc ist rollback_possible=false. Eine Wiederherstellung waere ein Restore/Recreate aus Backup, kein einfacher Rollback.

Deshalb ist remove_lxc aktuell nicht aktiv.