From 9546d4f716e18d16ca5c366c009269aea310cfbe Mon Sep 17 00:00:00 2001 From: ogt Date: Thu, 25 Jun 2026 12:07:26 +0800 Subject: [PATCH] docs(logbook): record Wazuh host coverage gate [skip ci] --- docs/LOGBOOK.md | 53 +++++++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 53 insertions(+) diff --git a/docs/LOGBOOK.md b/docs/LOGBOOK.md index 20f8b3e6..0e8366d1 100644 --- a/docs/LOGBOOK.md +++ b/docs/LOGBOOK.md @@ -27,6 +27,59 @@ - 本輪沒有安裝新 SDK、沒有呼叫付費 AI API、沒有發 Telegram、沒有修改 AI provider route、沒有主機寫入、沒有 Nginx / K8s / secret / runtime config 變更、沒有替換 OpenClaw。 - `.gitea/workflows/ai-technology-watch.yaml` 只啟用 read-only source monitoring;任何後續自動整合、套件升級、模型切換、Telegram live delivery 或 production change 仍需獨立 owner gate。 +## 2026-06-25|Wazuh 主機納管覆蓋 Gate 與 production 可視化 + +**背景**:使用者追問 Wazuh 為什麼仍未把所有主機納入、原本已納管為何又不見,以及為什麼尚未修復。本輪先用只讀證據重新確認 runtime 真相,再把「全主機納管」拆成 manager registry、直接 agent 讀回、無 transport 節點、SSH 受阻節點與 Dashboard API 退化,避免 route 200、transport、Dashboard 可訪問或 UI 可見被誤報成全數恢復。 + +**只讀 runtime 判定**: +- Wazuh control plane:manager / indexer / dashboard 均 active。 +- Wazuh API:root 與 agents endpoint 回 `401`,代表 API 存活但本工作視窗沒有可用唯讀 registry credential;`sudo -n agent_control` 仍被權限阻擋。 +- Manager transport:觀察到 agent transport 存在,但 transport 不是 manager registry truth。 +- 直接節點讀回:2 個核心節點可讀到 agent active / transport;1 個開發節點未讀到 agent active 或 transport;3 個節點 SSH 只讀仍受阻。 +- Manager registry accepted:仍為 `0`,不得宣稱所有 Wazuh 用戶端已恢復。 +- Dashboard stored API / RBAC / rate-limit / TLS 修復:仍為 `0`,需獨立維護窗口與 owner gate。 + +**完成**: +- 新增 `scripts/security/wazuh-managed-host-coverage-gate.py`。 +- 新增 `docs/security/wazuh-managed-host-coverage-gate.snapshot.json` 與 `docs/security/WAZUH-MANAGED-HOST-COVERAGE-GATE.md`。 +- `security-mirror-progress-guard.py` 納入 Wazuh 主機納管覆蓋 Gate,並檢查 IwoooS 前台確實包含新卡。 +- `/zh-TW/iwooos` 新增 `Wazuh 主機納管覆蓋 Gate` 卡片,顯示應納管範圍 `6`、直接觀察 `2`、覆蓋缺口 `4`、管理器清單驗收 `0`。 +- 前台文案只使用脫敏節點角色與統計,不顯示內網位址、主機真名、agent 原名、raw log、secret 或工作視窗對話內容。 + +**版本 / 部署**: +- Wazuh source commit:`8042a5a9 feat(iwooos): expose Wazuh host coverage gate`。 +- main merge commit:`683428bd`。 +- latest deployed code commit:`210577de`,包含 `8042a5a9`。 +- deploy marker:`5400b2e1 chore(cd): deploy 210577d [skip ci]`。 +- Gitea runs:code-review `#3323` 綠燈、CD `#3322` 綠燈;Wazuh merge commit code-review `#3320` 綠燈,CD `#3319` 被後續部署取代。 + +**驗證**: +- `python3 scripts/security/wazuh-managed-host-coverage-gate.py --root .`:`scope=6 direct_active=2 no_transport=1 ssh_blocked=3 registry=0 runtime_gate=0`。 +- `python3 scripts/security/security-mirror-progress-guard.py --root .`:通過。 +- `python3 scripts/security/iwooos-frontend-display-redaction-guard.py --root .`:通過。 +- `pnpm --filter @awoooi/web typecheck`:通過。 +- `python3 scripts/ops/doc-secrets-sanity-check.py ...`:通過。 +- `python3 scripts/security/wazuh-readonly-production-readback.py --json`:HTTP `200`、`api_status=disabled_waiting_iwooos_wazuh_owner_gate`、`configured=false`、`runtime_gate_count=0`。 +- Production HTML:`iwooos-wazuh-managed-host-coverage-board=1`、`wazuh_managed_host_coverage_manager_registry_accepted_count=0=1`、`wazuh_managed_host_coverage_runtime_gate_count=0=1`。 +- Production desktop:新卡可見,`scrollWidth=1274`、`clientWidth=1274`、`horizontalOverflow=false`,工作視窗 / delegation / source_thread / LAN / loopback / `host:` 計數皆為 `0`。 +- Production mobile `390x844`:新卡可見且可捲入視窗,`scrollWidth=384`、`clientWidth=384`、`horizontalOverflow=false`,新卡內外溢元素 `0`;敏感與工作視窗字串計數皆為 `0`。 + +**完成度同步**: +- Wazuh 主機納管覆蓋 Gate:`100%` source-side / production visible。 +- IwoooS Wazuh no-false-green 可視化:`96% -> 98%`。 +- Wazuh P0-A manager registry 只讀驗收:source-side `56% -> 64%`,live registry accepted 仍 `0%`。 +- Wazuh 全主機實際納管修復:`35%`,仍卡在 registry credential、無 transport 節點、SSH 受阻節點與 Dashboard API 修復。 +- Active response / host write / agent re-enroll / Wazuh restart / Kali active scan:仍維持 `0%`。 + +**下一個 P0**: +1. 取得不含 secret value 的 Wazuh readonly credential metadata 與 owner response。 +2. 用 manager registry counts 驗收 agent total / active / disconnected / never connected / last seen window。 +3. 修 Dashboard stored API / RBAC / rate-limit / TLS trust,並提供脫敏 readback。 +4. 對無 transport 與 SSH 受阻節點補合法只讀 postcheck 或 owner export。 +5. 啟用 IwoooS live metadata 仍需獨立 owner gate;啟用後必須確認不回傳 raw payload、內網位址、agent 原名或 secret。 + +**邊界**:本輪沒有讀 Wazuh secret、沒有保存 raw log、沒有重新註冊 agent、沒有重啟 Wazuh、沒有修改 Dashboard stored API、RBAC、TLS、Nginx、Docker、K8s、firewall 或 host config,也沒有 active response 或 Kali active scan。 + ## 2026-06-25|Wazuh release / route readback 狀態收斂與 agent registry 未完成邊界 **背景**:Wazuh 用戶端消失事故的關鍵狀態已從「IwoooS production route 仍 404」前進到「route 已部署但 Wazuh live metadata / agent registry 尚未驗收」。本輪同步前台、release gate、live metadata env gate、handoff 與 LOGBOOK,避免 operator 或平行工作視窗把 route 200、agent transport、service active 或 UI 可見誤判成所有主機已納回 Wazuh。