README: Admin-Initial-Passwort ist seit Pentest-12 zufällig

Die README versprach weiterhin "admin@admin.com / admin" als Default, aber Pentest Runde 12 hat das hardcoded "admin" entfernt (Komplexitäts-Policy-Verletzung). Der Seed generiert jetzt ein 28-Zeichen-Zufallspasswort und schreibt es einmal nach stdout. Aktualisiert: - Quick-Start-Header: Hinweis statt direktes Passwort - "Erste Inbetriebnahme"-Block: docker-logs-Befehl + SEED_ADMIN_PASSWORD-Alternative - "Erster Login"-Sektion: vollständige Anleitung inkl. Beispiel-Ausgabe - "Production-Deployment"-Checkliste: aktualisiert - .env.example: SEED_ADMIN_PASSWORD-Block dokumentiert Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-24 14:56:55 +02:00
parent 771f46d2ac
commit 69a52ffe03
2 changed files with 56 additions and 11 deletions
@@ -86,9 +86,17 @@ SSRF_BLOCK_PRIVATE_IPS=false
 ADMINER_DESIGN=dracula

 # ============== SEED ==============
-# Bei leerer DB seedet der Container automatisch (legt admin@admin.com / admin
-# + Stammdaten an) – nichts zu konfigurieren.
+# Bei leerer DB seedet der Container automatisch (legt admin@admin.com +
+# Stammdaten an) – nichts zu konfigurieren.
 # Nur wenn man eine NICHT-leere DB nochmal forciert seeden will (z.B. nach
 # Reset / Stammdaten-Update), kurz auf 'true' setzen, neu starten, dann
 # wieder zurück.
 RUN_SEED=false
+
+# Initial-Passwort für admin@admin.com beim Seed. Mindestens 25 Zeichen,
+# sonst wird der Wert ignoriert und stattdessen ein 28-Zeichen-Zufalls-
+# passwort erzeugt und EINMAL nach stdout geschrieben:
+#   docker logs opencrm-app 2>&1 | grep -A 5 "Initial-Passwort"
+# Wer keine Lust auf die Log-Suche hat, setzt hier ein eigenes starkes
+# Passwort vor dem ersten `docker compose up -d`.
+# SEED_ADMIN_PASSWORD=