# Kali 112 整合狀態與更新紀錄 | 項目 | 內容 | |------|------| | 日期 | 2026-05-13 | | Host | `192.168.0.112` | | Asset key | `host:kali-112` | | 狀態 | `partial_runtime_health_integrated` | | 模式 | `observe_only` | | Snapshot | `docs/security/kali-integration-status.snapshot.json` | | Schema | `docs/schemas/kali_integration_status_v1.schema.json` | ## 0. 核心結論 Kali 主機不是只有文件預留;`192.168.0.112` 目前已經有 live runtime: - `kali-scanner.service` 已啟用並正在執行。 - `http://192.168.0.112:8080/health` 回傳 healthy。 - `node-exporter` container 正在運作。 - `192.168.0.120` 與 `192.168.0.121` 正持續打 `/health`。 - Kali crontab 已有 port monitor、code security scan、Harbor image scan。 但它還沒有完成「資安網閉環」整合:Kali scan result 尚未正式寫入 AWOOOI asset / compliance 表,也尚未 mirror 成 AwoooP Runtime State、Channel Event 或 Audit evidence。因此目前判定是「健康與基礎掃描已存在,治理閉環尚未接通」。 ## 1. 已確認的 live 狀態 | 項目 | 結果 | |------|------| | SSH 授權登入 | 成功 | | OS | Kali GNU/Linux Rolling | | Hostname | `kali` | | IP | `192.168.0.112/24` | | Uptime | 約 6 天 | | Disk | `/` 79G,使用約 26% | | Memory | 7.8GiB,available 約 7.1GiB | | Scanner API | `0.0.0.0:8080` | | Scanner API health | `{"status":"healthy","version":"1.0.0","hostname":"kali"}` | | Scanner service | `kali-scanner.service` active / enabled | | Docker services | `node-exporter`、`wg-easy` active | | Node exporter | container up,port `9100` | | WireGuard UI | `wg-easy` healthy,ports `51820/udp`、`51821/tcp` | | Reboot required | 否 | ## 2. 已存在的 scanner 能力 Kali Scanner API 目前提供: | Endpoint | 用途 | 初期處理 | |----------|------|----------| | `/health` | health check | 可由 Prometheus / blackbox / AwoooP mirror | | `/scan` | 啟動 scan | 必須先有 scope approval | | `/scan/{scan_id}` | 讀取 scan result | 只能讀 redacted finding | | `/scans` | 列出 in-memory scans | 只能 read-only | | `/execute` | 直接執行 shell command | 高風險,AwoooP 不得直接呼叫 | 支援工具包含 `nmap`、`nikto`、`nuclei`、`trivy`、`sslyze`、`lynis`。本輪沒有啟動任何 scan。 ## 3. 本輪已做的更新與調校 | 類型 | 動作 | |------|------| | apt metadata | 已執行 `apt-get update` | | scanner 套件 | 更新 `nmap`、`nmap-common`、`nikto`、`nuclei` | | 基礎連線套件 | 更新 `ca-certificates`、`curl`、`openssl` | | 解析工具 | 安裝 `jq` | | 時區 | 從 `America/New_York` 調整為 `Asia/Taipei` | | 驗證 | 更新後 `/health` healthy,`ssh` / `cron` / `docker` / `kali-scanner` active | 更新後版本: | 工具 | 版本 | |------|------| | Nmap | `7.99` | | Nikto | `2.6.0` | | Nuclei | `v3.8.0` | | curl | `8.19.0` | | OpenSSL | `3.6.2` | | jq | `1.8.1` | ## 4. 仍未完成的整合 | 缺口 | 影響 | 下一步 | |------|------|--------| | 尚未確認 AWOOOI API 有正式 Kali result ingestion endpoint | scan result 不能成為資安飛輪 evidence | 建立 redacted `security_finding_v1` ingestion contract | | scan result 仍在 API in-memory 或本機 log | 重啟後可能失去 scan 查詢狀態 | 將 scan run metadata / finding summary 寫入 AWOOOI | | AwoooP runtime 尚未 mirror Kali findings | Operator Console 看不到完整資安 posture | 先 mirror health / gap evidence,再接 findings | | scan scope approval package 已完成草案但尚未批准 | scope 已可 review,但不能執行 scan | 依 `docs/security/KALI-SCAN-SCOPE-APPROVAL-PACKAGE.md` 逐 gate 批准 | | `/execute` endpoint 存在 | 若 runtime 直接接入會變成高風險 remote command path | 預設禁用或拆成 approval-only path | | API key fallback 存在於原始碼 | secret hygiene 風險 | 移除 fallback、確認 `.env` secret source、輪替;不得寫出 secret value | | `kali-scanner.service` 尚未套 systemd hardening | service blast radius 較大 | 先設計 dry-run hardening override,不直接套用 | | Harbor image scan 近期失敗 | 容器漏洞掃描 evidence 不可靠 | 修正 Harbor target/project/auth/cert chain | | full rolling upgrade 尚未執行 | 仍有大量套件可升級 | 需維護窗口、rollback、reboot gate | ## 5. 本輪刻意沒有做 1. 沒有啟動任何 active scan。 2. 沒有做 credentialed scan。 3. 沒有呼叫 `/execute`。 4. 沒有修改 firewall、NetworkPolicy、RBAC、route。 5. 沒有做 full-upgrade、autoremove 或 reboot。 6. 沒有記錄任何 API key、密碼或 secret value。 ## 6. AwoooP 消費方式 AwoooP 現階段只能 mirror `kali_integration_status_v1`: 1. 顯示 Kali health 與整合缺口。 2. 將 `/execute`、API key fallback、Harbor scan failure 標成 review item。 3. 針對 active scan、credentialed scan、full-upgrade、reboot 建立 approval candidate。 4. 不新增任何直接執行掃描或 command 的按鈕。 5. 讀取 `docs/security/SECURITY-APPROVAL-QUEUE.md` 的 review order,優先處理 redacted finding ingestion 與 safe web crawl。 ## 7. 下一個 gate 1. 取得 `KALI-SCAN-SCOPE-APPROVAL-PACKAGE.md` 中 safe crawl、credentialed scan、runtime ingestion、full-upgrade / reboot 等 gate 的人工批准。 2. 未來批准後,再建立 `security_finding_v1` ingestion endpoint 或 adapter,先只接 redacted finding。 3. 把 `/execute` endpoint 降級為預設停用或單獨 high-risk approval path。 4. 修正 Harbor image scan 的 target / project / auth / certificate chain。 5. 排 Kali rolling full-upgrade 維護窗口;先 snapshot,再 upgrade,最後 reboot 與健康複驗。