docs(logbook): record Wazuh host coverage gate [skip ci]
This commit is contained in:
ogt
@@ -27,6 +27,59 @@
|
||||
- 本輪沒有安裝新 SDK、沒有呼叫付費 AI API、沒有發 Telegram、沒有修改 AI provider route、沒有主機寫入、沒有 Nginx / K8s / secret / runtime config 變更、沒有替換 OpenClaw。
|
||||
- `.gitea/workflows/ai-technology-watch.yaml` 只啟用 read-only source monitoring;任何後續自動整合、套件升級、模型切換、Telegram live delivery 或 production change 仍需獨立 owner gate。
|
||||
|
||||
## 2026-06-25|Wazuh 主機納管覆蓋 Gate 與 production 可視化
|
||||
|
||||
**背景**:使用者追問 Wazuh 為什麼仍未把所有主機納入、原本已納管為何又不見,以及為什麼尚未修復。本輪先用只讀證據重新確認 runtime 真相,再把「全主機納管」拆成 manager registry、直接 agent 讀回、無 transport 節點、SSH 受阻節點與 Dashboard API 退化,避免 route 200、transport、Dashboard 可訪問或 UI 可見被誤報成全數恢復。
|
||||
|
||||
**只讀 runtime 判定**:
|
||||
- Wazuh control plane:manager / indexer / dashboard 均 active。
|
||||
- Wazuh API:root 與 agents endpoint 回 `401`,代表 API 存活但本工作視窗沒有可用唯讀 registry credential;`sudo -n agent_control` 仍被權限阻擋。
|
||||
- Manager transport:觀察到 agent transport 存在,但 transport 不是 manager registry truth。
|
||||
- 直接節點讀回:2 個核心節點可讀到 agent active / transport;1 個開發節點未讀到 agent active 或 transport;3 個節點 SSH 只讀仍受阻。
|
||||
- Manager registry accepted:仍為 `0`,不得宣稱所有 Wazuh 用戶端已恢復。
|
||||
- Dashboard stored API / RBAC / rate-limit / TLS 修復:仍為 `0`,需獨立維護窗口與 owner gate。
|
||||
|
||||
**完成**:
|
||||
- 新增 `scripts/security/wazuh-managed-host-coverage-gate.py`。
|
||||
- 新增 `docs/security/wazuh-managed-host-coverage-gate.snapshot.json` 與 `docs/security/WAZUH-MANAGED-HOST-COVERAGE-GATE.md`。
|
||||
- `security-mirror-progress-guard.py` 納入 Wazuh 主機納管覆蓋 Gate,並檢查 IwoooS 前台確實包含新卡。
|
||||
- `/zh-TW/iwooos` 新增 `Wazuh 主機納管覆蓋 Gate` 卡片,顯示應納管範圍 `6`、直接觀察 `2`、覆蓋缺口 `4`、管理器清單驗收 `0`。
|
||||
- 前台文案只使用脫敏節點角色與統計,不顯示內網位址、主機真名、agent 原名、raw log、secret 或工作視窗對話內容。
|
||||
|
||||
**版本 / 部署**:
|
||||
- Wazuh source commit:`8042a5a9 feat(iwooos): expose Wazuh host coverage gate`。
|
||||
- main merge commit:`683428bd`。
|
||||
- latest deployed code commit:`210577de`,包含 `8042a5a9`。
|
||||
- deploy marker:`5400b2e1 chore(cd): deploy 210577d [skip ci]`。
|
||||
- Gitea runs:code-review `#3323` 綠燈、CD `#3322` 綠燈;Wazuh merge commit code-review `#3320` 綠燈,CD `#3319` 被後續部署取代。
|
||||
|
||||
**驗證**:
|
||||
- `python3 scripts/security/wazuh-managed-host-coverage-gate.py --root .`:`scope=6 direct_active=2 no_transport=1 ssh_blocked=3 registry=0 runtime_gate=0`。
|
||||
- `python3 scripts/security/security-mirror-progress-guard.py --root .`:通過。
|
||||
- `python3 scripts/security/iwooos-frontend-display-redaction-guard.py --root .`:通過。
|
||||
- `pnpm --filter @awoooi/web typecheck`:通過。
|
||||
- `python3 scripts/ops/doc-secrets-sanity-check.py ...`:通過。
|
||||
- `python3 scripts/security/wazuh-readonly-production-readback.py --json`:HTTP `200`、`api_status=disabled_waiting_iwooos_wazuh_owner_gate`、`configured=false`、`runtime_gate_count=0`。
|
||||
- Production HTML:`iwooos-wazuh-managed-host-coverage-board=1`、`wazuh_managed_host_coverage_manager_registry_accepted_count=0=1`、`wazuh_managed_host_coverage_runtime_gate_count=0=1`。
|
||||
- Production desktop:新卡可見,`scrollWidth=1274`、`clientWidth=1274`、`horizontalOverflow=false`,工作視窗 / delegation / source_thread / LAN / loopback / `host:` 計數皆為 `0`。
|
||||
- Production mobile `390x844`:新卡可見且可捲入視窗,`scrollWidth=384`、`clientWidth=384`、`horizontalOverflow=false`,新卡內外溢元素 `0`;敏感與工作視窗字串計數皆為 `0`。
|
||||
|
||||
**完成度同步**:
|
||||
- Wazuh 主機納管覆蓋 Gate:`100%` source-side / production visible。
|
||||
- IwoooS Wazuh no-false-green 可視化:`96% -> 98%`。
|
||||
- Wazuh P0-A manager registry 只讀驗收:source-side `56% -> 64%`,live registry accepted 仍 `0%`。
|
||||
- Wazuh 全主機實際納管修復:`35%`,仍卡在 registry credential、無 transport 節點、SSH 受阻節點與 Dashboard API 修復。
|
||||
- Active response / host write / agent re-enroll / Wazuh restart / Kali active scan:仍維持 `0%`。
|
||||
|
||||
**下一個 P0**:
|
||||
1. 取得不含 secret value 的 Wazuh readonly credential metadata 與 owner response。
|
||||
2. 用 manager registry counts 驗收 agent total / active / disconnected / never connected / last seen window。
|
||||
3. 修 Dashboard stored API / RBAC / rate-limit / TLS trust,並提供脫敏 readback。
|
||||
4. 對無 transport 與 SSH 受阻節點補合法只讀 postcheck 或 owner export。
|
||||
5. 啟用 IwoooS live metadata 仍需獨立 owner gate;啟用後必須確認不回傳 raw payload、內網位址、agent 原名或 secret。
|
||||
|
||||
**邊界**:本輪沒有讀 Wazuh secret、沒有保存 raw log、沒有重新註冊 agent、沒有重啟 Wazuh、沒有修改 Dashboard stored API、RBAC、TLS、Nginx、Docker、K8s、firewall 或 host config,也沒有 active response 或 Kali active scan。
|
||||
|
||||
## 2026-06-25|Wazuh release / route readback 狀態收斂與 agent registry 未完成邊界
|
||||
|
||||
**背景**:Wazuh 用戶端消失事故的關鍵狀態已從「IwoooS production route 仍 404」前進到「route 已部署但 Wazuh live metadata / agent registry 尚未驗收」。本輪同步前台、release gate、live metadata env gate、handoff 與 LOGBOOK,避免 operator 或平行工作視窗把 route 200、agent transport、service active 或 UI 可見誤判成所有主機已納回 Wazuh。
|
||||
|
||||
Reference in New Issue
Block a user