security: public Deploy härten (Reverse-Proxy, GoTrue-Rate-Limit, RLS-Revoke)

Für die öffentlich erreichbare Instanz (dev.openbureau.ch):

1. Reverse-Proxy nur /auth/* durchreichen — /rest, /storage, /realtime raus.
   PostgREST /rest/v1/ gab die komplette DB-Schema-Beschreibung (OpenAPI) preis;
   der Browser nutzt Supabase nur fürs Login, Daten laufen über /api/*.
   (Caddy-Block in create-openbureau-lxc.sh + proxmox/README.md angepasst.)
2. GoTrue GOTRUE_RATE_LIMIT_TOKEN_REFRESH=100 — bremst Brute-Force aufs /token,
   das public direkt gegen GoTrue läuft (nicht übers Node-Rate-Limit).
3. db/schema.sql: revoke all from anon/authenticated auf posts/comments/forums/
   threads; grants nur noch service_role. RLS bleibt so auch bei künftigen
   Policies dicht (Defense-in-Depth statt "RLS ohne Policy").

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

proxmox/README.md

@@ -69,8 +69,12 @@ Den passenden Reverse-Proxy-Eintrag gibt das Skript am Ende selbst aus. Für
 
 ```caddy
 dev.openbureau.ch {
-	@sb path /auth/* /rest/* /storage/* /realtime/*
-	reverse_proxy @sb 192.168.1.134:8000
+	# Nur /auth/* muss public ans Supabase-Gateway (Browser-Login). Alle Daten
+	# laufen über /api/* (Node spricht kong intern an). /rest, /storage,
+	# /realtime bewusst NICHT exponieren — sonst gibt /rest/v1/ die ganze
+	# DB-Schema-Beschreibung preis (PostgREST-OpenAPI).
+	@auth path /auth/*
+	reverse_proxy @auth 192.168.1.134:8000
 	reverse_proxy 192.168.1.134:8080
 }
 ```