docs(logbook): record Wazuh live metadata gate readback [skip ci]
This commit is contained in:
Your Name
@@ -27,6 +27,52 @@
|
||||
- Wazuh live metadata gate readback:正式站 `100%`,owner / secret metadata / live query / runtime gate 仍 `0`。
|
||||
- 本段沒有 SSH、沒有 active scan、沒有 Telegram live send、沒有 Ansible apply、沒有 host write、沒有 secret value collection、沒有 destructive operation。
|
||||
|
||||
## 2026-06-27|D1I IwoooS Wazuh 即時中繼資料閘門:API / Runtime board / 前台讀回完成
|
||||
|
||||
**背景**:D1G 已把 Wazuh 正式只讀路由接進 Runtime 資安讀回,但 `wazuh-readonly-live-metadata-env-gate.snapshot.json` 仍主要停在 snapshot / guard / 靜態前台卡片。此段把「正式路由讀回、負責人、機密來源中繼資料、管理節點健康、唯讀範圍、啟用後讀回」做成正式 API 與 Runtime 第八條 P0 線,避免 Wazuh 已建置或 route 200 被誤判成可查即時中繼資料。
|
||||
|
||||
**完成內容**:
|
||||
- 新增 `iwooos_wazuh_live_metadata_gate.py`,讀取已提交的 gate 快照並合併 Wazuh 正式只讀路由公開安全彙總;公開回應只保留計數、中文邊界標記、項目狀態與不可假綠燈規則,不回傳機密明文、原始 Wazuh 載荷、agent 原名、內網拓樸或原始欄位清單。
|
||||
- 新增 `GET /api/v1/iwooos/wazuh-live-metadata-gate`;此端點只讀,不查主機、不保存原始載荷、不改 K8s / ArgoCD / Docker / Nginx / firewall、不啟用 Wazuh 主動回應。
|
||||
- `GET /api/v1/iwooos/runtime-security-readback` 新增 `wazuh_live_metadata_gate` lane;`source_snapshot_count=9`、`p0_lane_count=8`,並新增負責人、機密中繼資料、管理節點健康、唯讀範圍、啟用後讀回與即時查詢彙總。
|
||||
- `/zh-TW/iwooos` Runtime board 改為八條 P0 資安線;Wazuh 即時中繼資料閘門卡片改成 API 讀回,API 未部署或失敗時保守顯示 0 / false,不把靜態文案當完成狀態。
|
||||
- `wazuh-readonly-route-boundary-guard.py` 從 3 個 source 擴充為 4 個 source,新增即時中繼資料閘門 service 邊界掃描。
|
||||
|
||||
**Commit / deploy**:
|
||||
- Code commit:`10a925bab feat(iwooos): expose Wazuh live metadata gate readback`。
|
||||
- Deploy marker:`eb711d130 chore(cd): deploy 10a925b [skip ci]`。
|
||||
- Gitea Actions:code-review `#3553` 成功;CD `#3552` 成功,tests 已讀到 `Successful in 1m45s`。
|
||||
|
||||
**正式 API 讀回**:
|
||||
- `/api/v1/iwooos/wazuh-live-metadata-gate?_v=10a925b-live-metadata-gate`:`200`,`schema_version=iwooos_wazuh_live_metadata_gate_readback_v1`,`status=blocked_waiting_live_metadata_owner_response`,`production_route_readback_passed_count=1`,`live_metadata_owner_response_accepted_count=0`,`secret_source_metadata_accepted_count=0`,`wazuh_api_live_query_authorized_count=0`,`wazuh_active_response_authorized_count=0`,`host_write_authorized_count=0`,`runtime_gate_count=0`,`wazuh_live_route_http_status=200`,`wazuh_live_route_degraded_count=1`,`wazuh_live_status=disabled_waiting_iwooos_wazuh_owner_gate`,items `6`。
|
||||
- `/api/v1/iwooos/runtime-security-readback?_v=10a925b-live-metadata-gate`:`200`,`schema_version=iwooos_runtime_security_readback_v1`,`p0_lane_count=8`,`source_snapshot_count=9`,`wazuh_live_metadata_gate_live_query_authorized_count=0`,`runtime_gate_count=0`,`wazuh_live_metadata_gate` lane 存在。
|
||||
- API 回應未命中:`192.168.0.`、`工作視窗`、`批准!繼續`、`My request for Codex`、`In app browser`、`WAZUH_API_PASSWORD`。
|
||||
|
||||
**正式站瀏覽器驗證**:
|
||||
- Mobile `390x844`:`/zh-TW/iwooos?_v=10a925b-live-metadata-gate-mobile` 可見 `八條 P0 資安線`、`Wazuh 即時中繼資料閘門`、`路由已讀回` 與執行期關閉文案;`clientWidth=384`、`scrollWidth=384`、horizontal overflow `false`、console error `0`、敏感片語命中 `0`。
|
||||
- Desktop `1280x900`:`/zh-TW/iwooos?_v=10a925b-live-metadata-gate-desktop` 可見同一組關鍵文案;`clientWidth=1274`、`scrollWidth=1274`、horizontal overflow `false`、console error `0`、敏感片語命中 `0`。
|
||||
|
||||
**本地驗證**:
|
||||
- `pytest apps/api/tests/test_iwooos_runtime_security_readback.py apps/api/tests/test_iwooos_wazuh_api.py -q`:`11 passed`。
|
||||
- IwoooS / Wazuh / security coverage / public redaction / Telegram template 子集:`96 passed`。
|
||||
- `py_compile`:IwoooS API、runtime readback、Wazuh live metadata gate、Wazuh readonly status 通過。
|
||||
- `wazuh-readonly-live-metadata-env-gate.py --root .`:`route_readback=1 owner=0 secret_meta=0 live_query=0 runtime_gate=0`。
|
||||
- `wazuh-readonly-route-boundary-guard.py --root .`:`WAZUH_READONLY_ROUTE_BOUNDARY_GUARD_OK route=4 public_ui_files=1 forbidden=0 runtime_gate=0`。
|
||||
- `security-mirror-progress-guard.py --root .`、`source-control-owner-response-guard.py --root .`、`iwooos-frontend-display-redaction-guard.py --root .`:通過。
|
||||
- `doc-secrets-sanity-check.py ...`:`DOC_SECRET_SANITY_OK scanned_files=1034`。
|
||||
- JSON parse、`git diff --check`:通過。
|
||||
- `pnpm --dir apps/web typecheck`:本臨時 worktree 缺 `apps/web/node_modules/typescript`,未能本地執行;已由 Gitea CD 與 production browser readback 補正式驗證。
|
||||
|
||||
**完成度 / 邊界**:
|
||||
- Wazuh 即時中繼資料閘門 API / Runtime board / 前台讀回:`100%`。
|
||||
- IwoooS Runtime 資安讀回層:`95% -> 96%`。
|
||||
- IwoooS 整體資安推進:`65% -> 66%`;不因 route 200、API 可見、CD 成功或 UI 可見提高執行期驗收。
|
||||
- Wazuh live metadata enable:仍 `0%`。
|
||||
- Wazuh manager registry accepted:仍 `0`。
|
||||
- 負責人回覆接受、機密來源中繼資料接受、唯讀範圍接受、啟用後讀回、Wazuh 即時查詢、主動回應、主機寫入、Kali 主動掃描、Telegram 實發、機密收集、執行期閘門:仍全部 `0 / false`。
|
||||
|
||||
**下一個 P0**:取得正式負責人回覆封包:即時中繼資料負責人、機密注入負責人、機密來源中繼資料參照、Wazuh 管理節點健康參照、TLS 驗證參照、唯讀帳號範圍參照、agent 別名映射政策、啟用後讀回指令、回滾負責人、維護窗口、驗證計畫,以及不提供機密明文 / 不提供原始載荷聲明。驗收前不得啟用 Wazuh 即時中繼資料環境變數、不得查 live Wazuh API、不得重啟 Wazuh / Docker / Nginx / firewall、不得重新註冊 agent、不得啟用主動回應。
|
||||
|
||||
## 2026-06-26|D1G IwoooS Wazuh live route 紅燈前移:Runtime board 與正式站讀回完成
|
||||
|
||||
**背景**:正式站已確認 `/api/iwooos/wazuh` 不是 registry empty,而是 `disabled_waiting_iwooos_wazuh_owner_gate`;過去這個狀態只在頁面下方 Wazuh 卡片可見,容易讓 Runtime 資安總板看起來像只剩靜態 snapshot。此段把 Wazuh 只讀路由的公開安全 aggregate 狀態接進 Runtime 資安讀回首屏,讓 disabled、misconfigured、empty、below expected、unavailable 都成為 P0 紅燈。
|
||||
|
||||
Reference in New Issue
Block a user