docs(iwooos): correct Wazuh route readiness boundary [skip ci]

2026-06-25 15:33:19 +08:00
parent 1da350e29e
commit 11be182ccb
3 changed files with 31 additions and 9 deletions
--- a/docs/LOGBOOK.md
+++ b/docs/LOGBOOK.md
@@ -32,6 +32,27 @@

 **邊界**：本輪沒有呼叫 Telegram Bot API、沒有發送 Telegram live message、沒有寫入 Gateway queue、沒有寫入 report receipt、沒有啟用 scheduler、沒有 production write、沒有 secret read、沒有 provider switch，也沒有替換 OpenClaw。

+## 2026-06-25｜Wazuh route 已部署但 manager registry 仍未驗收狀態校正
+
+**背景**：Wazuh 用戶端消失事故文件仍保留較早期的 production route `404 / 0%` 說法，但正式站目前 `/api/iwooos/wazuh` 與 `/api/v1/iwooos/wazuh` 已回 `200 disabled_waiting_iwooos_wazuh_owner_gate`。若不校正，後續會把「route 未部署」誤判成主要 blocker，忽略真正 blocker 是 manager registry 與 owner evidence 尚未驗收。
+
+**校正**：
+- `docs/security/WAZUH-AGENT-DISAPPEARANCE-INCIDENT-READBACK-2026-06-24.md` 改為：production route 已部署且 schema 正常，但 `configured=false`、manager query accepted `0`、runtime gate `0`。
+- 同文件 P0-C 改為 `100% production route`、`0% manager metadata accepted`，避免把 route readback 與 agent registry 驗收混在一起。
+- `docs/security/WAZUH-AGENT-VISIBILITY-OWNER-EVIDENCE-PREFLIGHT.md` 邊界改為「不代表 IwoooS route 已啟用 manager live metadata」，不再說 production route 未部署。
+
+**只讀驗證**：
+- `python3 scripts/security/wazuh-readonly-production-readback.py --json`：`http_status=200`、`api_status=disabled_waiting_iwooos_wazuh_owner_gate`、`configured=false`、`runtime_gate_count=0`、`status=production_readback_passed`。
+- `https://awoooi.wooo.work/api/iwooos/wazuh` 與 `/api/v1/iwooos/wazuh`：皆回 `schema_version=iwooos_wazuh_readonly_status_v1`、`agent_visibility_no_false_green_count=1`、`active_response_authorized=false`、`host_write_authorized=false`。
+
+**完成度同步**：
+- IwoooS Wazuh production route readback：`100%`。
+- Wazuh manager registry accepted：`0%`。
+- Dashboard stored API / RBAC / rate-limit / TLS 修復：`0%`。
+- active response / host write / Kali active scan / auto block：`0% / false`。
+
+**邊界**：本輪只更新 repo 文件與 LOGBOOK，不連線 Wazuh manager、不讀 secret、不重新註冊 agent、不重啟服務、不修改 Nginx / firewall / Docker / K8s、不發 Telegram、不做 active scan，也不把 route `200` 說成 agent registry 已恢復。
+
 ## 2026-06-25｜Tenants 資產表格響應式卡片化正式驗證

 **背景**：使用者明確指出 AWOOOI 仍有大量文字與表格，難以快速理解全產品 / 網站 / 專案納管狀態。上一刀已在 `/zh-TW/awooop/tenants` 補上 `產品納管作戰圖`，但下方網站入口與原始碼範圍仍依賴寬表格，手機雖無全頁水平溢出，仍不符合專業操作台閱讀方式。
--- a/docs/security/WAZUH-AGENT-DISAPPEARANCE-INCIDENT-READBACK-2026-06-24.md
+++ b/docs/security/WAZUH-AGENT-DISAPPEARANCE-INCIDENT-READBACK-2026-06-24.md
@@ -9,7 +9,7 @@

 ## 1. 結論

-這次不能再用「Wazuh 已建置」或「Dashboard 可開」當成資安機制有效。現有 IwoooS 機制仍停在 source-side 只讀框架、前台邊界與 owner gate，production `/api/iwooos/wazuh` 尚未部署，因此沒有真正讀到 Wazuh manager 的 agent count、agent status、last seen 或 event refs。
+這次不能再用「Wazuh 已建置」或「Dashboard 可開」當成資安機制有效。IwoooS production `/api/iwooos/wazuh` 與 `/api/v1/iwooos/wazuh` 目前已部署並回 `200 disabled_waiting_iwooos_wazuh_owner_gate`，但仍是 owner gate disabled 狀態，`configured=false`、manager query accepted `0`、runtime gate `0`；因此它只能證明只讀路由存在，尚未真正讀到 Wazuh manager 的 agent count、agent status、last seen 或 event refs。

 2026-06-25 10:43 CST 再次只讀確認：112 的 Wazuh manager、indexer、dashboard 都仍為 active；manager 端 `1514` 觀察到多條 agent transport 連線；受管節點 A 的 agent service active 且 transport 已建立。但 Dashboard stored API / API check 仍在出錯，已觀察到 `400 / 429 / 500`、stored API unreachable、login 500、run_as / internal user 權限錯誤與 TLS client trust 錯誤。這表示「Dashboard 用戶端消失」目前不能簡化成所有 agent 都停了；更精準的故障層是 Dashboard 到 Wazuh API 的 stored API、RBAC / run_as、rate-limit 與 TLS trust。

@@ -19,7 +19,7 @@

 | 檢查面 | 證據 | 判定 |
 |--------|------|------|
-| IwoooS production route | `https://awoooi.wooo.work/api/iwooos/wazuh` 與 `/api/v1/iwooos/wazuh` 皆為 `404` | IwoooS 尚未讀到 Wazuh live metadata |
+| IwoooS production route | `https://awoooi.wooo.work/api/iwooos/wazuh` 與 `/api/v1/iwooos/wazuh` 皆回 `200 disabled_waiting_iwooos_wazuh_owner_gate`；`configured=false`、`runtime_gate_count=0` | 路由已部署，但 owner gate 未開，IwoooS 尚未讀到 Wazuh live metadata |
 | 公開 Wazuh domain | `wazuh.wooo.work` 未形成可用公開入口 | 不可用公開 domain 代表 Wazuh runtime 狀態 |
 | 110 agent | `wazuh-agent.service` active running；啟動於 2026-06-23 14:50 CST；本機 agent key 存在 | 110 agent 端未消失 |
 | 110 manager target | `ossec.conf` manager address 指向 `192.168.0.112` | 112 是 manager control plane |
@@ -35,8 +35,8 @@

 1. IwoooS 先前只建立 readback plan、前台卡與 release gate，沒有真正接 Wazuh manager agent registry。
 2. `active_runtime_gate=0` 是正確邊界，但前台文案容易讓人誤會「Wazuh 已整合」等於「agent 消失會被抓到」。
-3. 缺少 production 只讀 API：`agent_total`、`agent_active`、`agent_disconnected`、`last_seen_present` 都沒有 live readback。
-4. 缺少 no-false-green 告警：Dashboard 429/500、Wazuh API 401、agent 連線存在、IwoooS route 404 這些狀態沒有被合成一張 AI 事件卡。
+3. production 只讀 API 已部署，但仍缺少 manager live metadata：`agent_total`、`agent_active`、`agent_disconnected`、`last_seen_present` 都沒有 accepted readback。
+4. 缺少 no-false-green 告警：Dashboard 429/500、Wazuh API 401、agent 連線存在、IwoooS route 200 但 owner gate disabled 這些狀態仍需合成一張 AI 事件卡。
 5. 缺少 owner evidence：誰在 2026-06-23 14:48 後建立、重啟、登入或調整 112/Wazuh，尚未有脫敏 owner 回覆。
 6. 原 source-side API 缺少 agent count 退化分類：若 Wazuh manager registry 回 `agent_total=0` 或低於預期下限，不能再沿用正常 `readonly_metadata_available` 狀態。

@@ -47,7 +47,7 @@
 目前機器可讀狀態固定為：

 - `manager_agent_registry_readback_passed=false`
- `iwooos_live_route_readback_passed=false`
+- `iwooos_live_route_readback_passed=false`（production route 已回 `200`，但尚未接入 manager live metadata）
 - `dashboard_agent_list_recovered=false`
 - `manager_transport_established_connection_count=6`
 - `dashboard_stored_api_unreachable_observed=true`
@@ -84,7 +84,7 @@
 |------|------|----------|------------|
 | P0-A | Wazuh manager agent registry 只讀驗收 | owner 提供脫敏 `agent_total / active / disconnected / last_seen` ref，或經 server-side secret metadata 啟用 IwoooS 只讀 API；source-side 已能把 registry 空或低於預期判成退化，並新增 owner evidence 收件預檢 | `56%` source-side、`0%` live registry accepted |
 | P0-B | Dashboard stored API / rate-limit / TLS trust 修復 gate | 查明 `/api/check-stored-api` 429/500 根因；維修前有 owner、rollback、postcheck；維修後 Dashboard 與 API count 一致 | `35%` |
-| P0-C | IwoooS live metadata route 正式部署 | `/api/iwooos/wazuh` 不再 404，回傳 schema `iwooos_wazuh_readonly_status_v1`，不洩漏 agent identity / internal IP / secret | `55%` source-side、`0%` production |
+| P0-C | IwoooS live metadata route 正式部署 | `/api/iwooos/wazuh` 不再 404，回傳 schema `iwooos_wazuh_readonly_status_v1`，不洩漏 agent identity / internal IP / secret；下一步是 manager live metadata owner gate | `100%` production route、`0%` manager metadata accepted |
 | P0-D | Wazuh agent disappearance alert card | 產出 `ai_automation_alert_card_v1`，包含 agent count delta、Dashboard API status、manager health、next gate、owner；本輪已新增 `wazuh_dashboard_api_readback_degraded` formatter / test / guard、AwoooP `/runs/ai-alert-cards` delivery readback contract 與 Runs 前台面板 | `92%` source-side、`0%` production receipt |
 | P0-E | 112/Wazuh owner response | 回覆 owner role/team、decision、reason、affected scope、redacted evidence refs、rollback owner、followup owner | `0%` |
 | P1-A | 110/188 agent receipt heartbeat | 每台 host 定期只讀確認 service active、manager target、1514 established、last evidence ref | `45%` |
@@ -94,7 +94,7 @@
 ## 6. 下一步

 1. 請 Wazuh/112 owner 補脫敏 agent registry evidence：`agent_total`、`active`、`disconnected`、`never_connected`、`last_seen` 時間窗，不提供密碼或 raw payload。
-2. 啟用 IwoooS `/api/iwooos/wazuh` 前，先完成 production route readback、server-side env owner、secret source metadata、readonly account scope 與 rollback owner。
+2. 啟用 IwoooS Wazuh manager live metadata 前，先完成 server-side env owner、secret source metadata、readonly account scope、rollback owner 與 postcheck。
 3. 若 owner 批准維修 Dashboard stored API，必須先做 read-only preflight：rate-limit 現況、stored API 指向、TLS trust、API user scope、Dashboard 與 manager 版本、回滾方式。
 4. 補 IwoooS AI 事件卡正式 readback：source-side formatter 已能把 Dashboard/API mismatch 分類為 `wazuh_dashboard_api_readback_degraded`，AwoooP 已有 `/api/v1/platform/runs/ai-alert-cards` 只讀 delivery readback contract 與 Runs 前台面板；下一步需 production deploy、live outbound readback、AwoooP timeline 顯示與 IwoooS 前台 readback。

@@ -102,7 +102,8 @@

 - 現場只讀鑑別：`70%`。
 - 真正 agent registry 驗收：`0%`。
- IwoooS live readback production：`0%`。
+- IwoooS production route readback：`100%`。
+- Wazuh manager registry live metadata accepted：`0%`。
 - Dashboard stored API 修復：`0%`。
 - SOC / Wazuh no-false-green 納管：`66%`。
 - active response / host write / auto block：`0%`，保持關閉。
--- a/docs/security/WAZUH-AGENT-VISIBILITY-OWNER-EVIDENCE-PREFLIGHT.md
+++ b/docs/security/WAZUH-AGENT-VISIBILITY-OWNER-EVIDENCE-PREFLIGHT.md
@@ -123,4 +123,4 @@ WAZUH_AGENT_VISIBILITY_OWNER_EVIDENCE_PREFLIGHT_OK fields=23 checks=10 aliases=6

 ## 邊界

-本預檢通過只代表收件格式和安全邊界已固定，不代表 Wazuh agent registry 已驗收、不代表 Dashboard stored API 已修復、不代表 IwoooS production route 已部署、不代表主機乾淨，也不授權 active response、host write、Kali active scan、secret rotation、Nginx / Docker / K8s / firewall 操作。
+本預檢通過只代表收件格式和安全邊界已固定，不代表 Wazuh agent registry 已驗收、不代表 Dashboard stored API 已修復、不代表 IwoooS route 已啟用 manager live metadata、不代表主機乾淨，也不授權 active response、host write、Kali active scan、secret rotation、Nginx / Docker / K8s / firewall 操作。