docs(awooop): record 188 key rotation verification

2026-05-13 20:05:41 +08:00
parent bcf2ed7841
commit 21042ad0e7
2 changed files with 25 additions and 4 deletions
--- a/docs/LOGBOOK.md
+++ b/docs/LOGBOOK.md
@@ -7937,7 +7937,7 @@ yaml ok
 - 下一步仍需輪換 188 deploy key，清理/限制歷史 job log 可見性，並用一次受控 workflow_dispatch 確認新 workflow 不再暴露 secret；這部分由 T14e 接手。
 - 目前整體進度更新：約 85%。

-### 2026-05-13 — T14e/P0：188 deploy key 已輪換，CD 暫停讀取該 secret（awaiting workflow dispatch verification）
+### 2026-05-13 — T14e/P0：188 deploy key 已輪換，CD 188 secret path 已驗證停用

 **完成事項**：

@@ -7965,11 +7965,31 @@ secret_update_status=204
 ```text
 ruby -e 'require "yaml"; YAML.load_file(".gitea/workflows/cd.yaml"); puts "yaml ok"'
 yaml ok
+
+Gitea workflow_dispatch:
+run 2075 success
+jobs 2483/tests success, 2484/build-and-deploy success, 2485/post-deploy-checks success
+
+Log hygiene scan:
+job=2483 key_hits=0 step_hits=0
+job=2484 key_hits=0 step_hits=0
+job=2485 key_hits=0 step_hits=0
+
+Production smoke:
+GET https://awoooi.wooo.work/api/v1/health -> 200
+awoooi-api    192.168.0.110:5000/awoooi/api:6064e6d03fe43346cd8f98880e89120640a5811d
+awoooi-worker 192.168.0.110:5000/awoooi/api:6064e6d03fe43346cd8f98880e89120640a5811d
+awoooi-web    192.168.0.110:5000/awoooi/web:6064e6d03fe43346cd8f98880e89120640a5811d
+
+Local temp key cleanup:
+temp_key_removed
 ```

 判讀：

 - 已暴露的舊 188 deploy key 在 188 host 端失效。
 - Gitea secret 已換成新 key，但 CD 暫時不使用它，避免再次透過 Gitea Actions log 暴露 multiline secret。
- 下一步：推版後用受控 `workflow_dispatch` 跑 CD，確認 `Sync Ops Scripts to 188` 被 skip，且 job log 不再出現 `SSH_KEY_188` / `DEPLOY_SSH_KEY_188` env 內容。
- 目前整體進度更新：約 86%。
+- 受控 `workflow_dispatch` 已確認 `Sync Ops Scripts to 188` 未執行，且 job log 不再出現 188 deploy key / private-key header / 舊 key comment。
+- 尚未處理歷史 Gitea job log 的可見性；這是剩餘安全事件收尾項。
+- 188 ops scripts 自動同步仍暫停，需改成 file-secret 或 Ansible-controlled channel 後再恢復。
+- 目前整體進度更新：約 87%。
--- a/docs/superpowers/specs/2026-04-15-MASTER-ai-autonomous-flywheel-v2.md
+++ b/docs/superpowers/specs/2026-04-15-MASTER-ai-autonomous-flywheel-v2.md
@@ -2066,7 +2066,8 @@ Phase 6 完成後
 - 新 188 CD deploy ed25519 keypair 已產生（public fingerprint：`SHA256:68UY6RnOJTEH4KQNGZJbMFWTUrdpFE0onPd95RDQEBI`），public key 已加入 `ollama@192.168.0.188:~/.ssh/authorized_keys`，comment `gitea-cd-deploy-188-20260513`。
 - Gitea Actions secret `DEPLOY_SSH_KEY_188` 已更新，API 回傳 `204`；188 上舊 public key comment `gitea-cd-deploy-188` 已移除，新 key SSH 測試成功。
 - `.gitea/workflows/cd.yaml` 的 `Sync Ops Scripts to 188` step 已改為 `if: ${{ false }}`，CD 暫時不讀取該 secret，避免再次透過 Actions log 暴露 multiline private key。
- 邊界：仍需受控 `workflow_dispatch` 驗證 step skip 與 log hygiene；188 ops scripts 自動同步需改成 file-secret 或 Ansible-controlled channel 後再恢復。
+- 驗證：受控 Gitea `workflow_dispatch` run `2075` success；jobs `2483/tests`、`2484/build-and-deploy`、`2485/post-deploy-checks` 全 success。三個 job log 掃描 188 deploy key / private-key header / 舊 key comment 皆 `0`；production health `200`；API/Worker/Web image 已到 `6064e6d03fe43346cd8f98880e89120640a5811d`。
+- 收尾：本機暫存 private key 已移除；歷史 Gitea job log 可見性尚待處理。188 ops scripts 自動同步需改成 file-secret 或 Ansible-controlled channel 後再恢復。

 ---