8.9 KiB
Kali 112 整合狀態與更新紀錄
| 項目 | 內容 |
|---|---|
| 日期 | 2026-05-13;最新只讀快照 2026-06-04 08:55(台北) |
| Host | 192.168.0.112 |
| Asset key | host:kali-112 |
| 狀態 | partial_runtime_health_integrated |
| 模式 | observe_only |
| Snapshot | docs/security/kali-integration-status.snapshot.json |
| Schema | docs/schemas/kali_integration_status_v1.schema.json |
| Maintenance window draft | docs/security/KALI-112-MAINTENANCE-WINDOW-DRAFT.md |
0. 核心結論
Kali 主機不是只有文件預留;192.168.0.112 目前已經有 live runtime:
kali-scanner.service已啟用並正在執行。http://192.168.0.112:8080/health回傳 healthy。node-exportercontainer 正在運作。192.168.0.120與192.168.0.121正持續打/health。- Kali crontab 已有 port monitor、code security scan、Harbor image scan。
但它還沒有完成「資安網閉環」整合:Kali scan result 尚未正式寫入 AWOOOI asset / compliance 表,也尚未 mirror 成 AwoooP Runtime State、Channel Event 或 Audit evidence。因此目前判定是「健康與基礎掃描已存在,治理閉環尚未接通」。
0.1 2026-06-04 只讀實機快照
本輪用既有 SSH key 完成 read-only 連線檢查,沒有輸入或保存密碼,沒有啟動 scan、沒有呼叫 /execute、沒有執行 apt update / package update、沒有調整設定、沒有重啟。
| 項目 | 結果 |
|---|---|
| 觀測時間 | 2026-06-04T08:55:43+08:00 |
| Collection mode | ssh_batch_read_only_existing_key |
| Hostname | kali |
| OS | Kali GNU/Linux Rolling |
| Kernel | Linux 6.16.8+kali-amd64 |
| Uptime | up 3 weeks, 5 days, 4 hours, 48 minutes |
| Load 1/5/15 | 0.15 0.20 0.18 |
| Memory | 921Mi/7.8Gi |
| Root disk | 19G/79G 26% |
| Scanner service | active / enabled |
| Scanner API health | 127.0.0.1:8080/health 回 200 healthy |
| Docker services | node-exporter up 4 weeks、wg-easy up 4 weeks healthy |
| Failed systemd units | 1(networking.service) |
| Upgradable packages | 1994 |
| Listening TCP / UDP | 7 / 2 |
| Reboot required | false |
| Scanner service hardening | 0 / 4(NoNewPrivileges、PrivateTmp、ProtectSystem、ProtectHome 尚未啟用) |
結論:Kali 192.168.0.112 今天仍可被 IwoooS 以只讀方式納入證據鏈,scanner runtime 健康也有實機證據;但 networking.service failed、upgradable_package_count=1994 與服務硬化缺口代表後續仍需要維護窗口、rollback / reboot gate、hardening dry-run 與人工批准,不能直接把「可連線」解讀為主機更新、掃描或調校已完成。
0.1.1 2026-06-04 P1-7 維護窗口草案
已新增 docs/security/KALI-112-MAINTENANCE-WINDOW-DRAFT.md 與 docs/security/kali-112-maintenance-window-draft.snapshot.json,把 1994 個待更新套件、networking.service failed、scanner service hardening 0 / 4、rollback owner、post-check owner 與維護後驗證指標整理成 owner / reviewer 可審的 handoff package。
這是 maintenance window readiness,不是 maintenance approval。host_update_authorized=false、service_restart_authorized=false、hardening_authorized=false、reboot_authorized=false、active_scan_authorized=false、execute_endpoint_authorized=false 全部維持不變。
0.2 2026-05-31 只讀實機快照
本輪用既有 SSH key 完成 read-only 連線檢查,沒有輸入或保存密碼,沒有啟動 scan、沒有呼叫 /execute、沒有執行 package update、沒有調整設定、沒有重啟。
| 項目 | 結果 |
|---|---|
| 觀測時間 | 2026-05-31T17:22:20+08:00 |
| Collection mode | ssh_batch_read_only_existing_key |
| Hostname | kali |
| OS | Kali GNU/Linux Rolling |
| Kernel | Linux 6.16.8+kali-amd64 |
| Uptime | up 3 weeks, 1 day, 21 hours, 58 minutes |
| Load 1/5/15 | 0.09 0.12 0.15 |
| Memory | 885Mi/7.8Gi |
| Root disk | 19G/79G 26% |
| Failed systemd units | 1 |
| Upgradable packages | 1994 |
| Listening TCP / UDP | 7 / 2 |
結論:Kali 192.168.0.112 已可被 IwoooS 以只讀方式納入證據鏈;但 failed_systemd_unit_count=1 與 upgradable_package_count=1994 代表後續仍需要維護窗口、rollback / reboot gate 與人工批准,不能直接把「可連線」解讀為已完成主機調校或安全更新。
1. 已確認的 live 狀態
| 項目 | 結果 |
|---|---|
| SSH 授權登入 | 成功 |
| OS | Kali GNU/Linux Rolling |
| Hostname | kali |
| IP | 192.168.0.112/24 |
| Uptime | 約 6 天 |
| Disk | / 79G,使用約 26% |
| Memory | 7.8GiB,available 約 7.1GiB |
| Scanner API | 0.0.0.0:8080 |
| Scanner API health | {"status":"healthy","version":"1.0.0","hostname":"kali"} |
| Scanner service | kali-scanner.service active / enabled |
| Docker services | node-exporter、wg-easy active |
| Node exporter | container up,port 9100 |
| WireGuard UI | wg-easy healthy,ports 51820/udp、51821/tcp |
| Reboot required | 否 |
2. 已存在的 scanner 能力
Kali Scanner API 目前提供:
| Endpoint | 用途 | 初期處理 |
|---|---|---|
/health |
health check | 可由 Prometheus / blackbox / AwoooP mirror |
/scan |
啟動 scan | 必須先有 scope approval |
/scan/{scan_id} |
讀取 scan result | 只能讀 redacted finding |
/scans |
列出 in-memory scans | 只能 read-only |
/execute |
直接執行 shell command | 高風險,AwoooP 不得直接呼叫 |
支援工具包含 nmap、nikto、nuclei、trivy、sslyze、lynis。本輪沒有啟動任何 scan。
3. 本輪已做的更新與調校
| 類型 | 動作 |
|---|---|
| apt metadata | 已執行 apt-get update |
| scanner 套件 | 更新 nmap、nmap-common、nikto、nuclei |
| 基礎連線套件 | 更新 ca-certificates、curl、openssl |
| 解析工具 | 安裝 jq |
| 時區 | 從 America/New_York 調整為 Asia/Taipei |
| 驗證 | 更新後 /health healthy,ssh / cron / docker / kali-scanner active |
更新後版本:
| 工具 | 版本 |
|---|---|
| Nmap | 7.99 |
| Nikto | 2.6.0 |
| Nuclei | v3.8.0 |
| curl | 8.19.0 |
| OpenSSL | 3.6.2 |
| jq | 1.8.1 |
4. 仍未完成的整合
| 缺口 | 影響 | 下一步 |
|---|---|---|
| 尚未確認 AWOOOI API 有正式 Kali result ingestion endpoint | scan result 不能成為資安飛輪 evidence | 建立 redacted security_finding_v1 ingestion contract |
| scan result 仍在 API in-memory 或本機 log | 重啟後可能失去 scan 查詢狀態 | 將 scan run metadata / finding summary 寫入 AWOOOI |
| AwoooP runtime 尚未 mirror Kali findings | Operator Console 看不到完整資安 posture | 先 mirror health / gap evidence,再接 findings |
| scan scope approval package 已完成草案但尚未批准 | scope 已可 review,但不能執行 scan | 依 docs/security/KALI-SCAN-SCOPE-APPROVAL-PACKAGE.md 逐 gate 批准 |
/execute endpoint 存在 |
若 runtime 直接接入會變成高風險 remote command path | 預設禁用或拆成 approval-only path |
| API key fallback 存在於原始碼 | secret hygiene 風險 | 移除 fallback、確認 .env secret source、輪替;不得寫出 secret value |
kali-scanner.service 尚未套 systemd hardening |
service blast radius 較大 | 先設計 dry-run hardening override,不直接套用 |
| Harbor image scan 近期失敗 | 容器漏洞掃描 evidence 不可靠 | 修正 Harbor target/project/auth/cert chain |
| full rolling upgrade 尚未執行 | 仍有大量套件可升級 | 需維護窗口、rollback、reboot gate |
5. 本輪刻意沒有做
- 沒有啟動任何 active scan。
- 沒有做 credentialed scan。
- 沒有呼叫
/execute。 - 沒有修改 firewall、NetworkPolicy、RBAC、route。
- 沒有做 full-upgrade、autoremove 或 reboot。
- 沒有記錄任何 API key、密碼或 secret value。
6. AwoooP 消費方式
AwoooP 現階段只能 mirror kali_integration_status_v1:
- 顯示 Kali health 與整合缺口。
- 將
/execute、API key fallback、Harbor scan failure 標成 review item。 - 針對 active scan、credentialed scan、full-upgrade、reboot 建立 approval candidate。
- 不新增任何直接執行掃描或 command 的按鈕。
- 讀取
docs/security/SECURITY-APPROVAL-QUEUE.md的 review order,優先處理 redacted finding ingestion 與 safe web crawl。
7. 下一個 gate
- 取得
KALI-SCAN-SCOPE-APPROVAL-PACKAGE.md中 safe crawl、credentialed scan、runtime ingestion、full-upgrade / reboot 等 gate 的人工批准。 - 未來批准後,再建立
security_finding_v1ingestion endpoint 或 adapter,先只接 redacted finding。 - 把
/executeendpoint 降級為預設停用或單獨 high-risk approval path。 - 修正 Harbor image scan 的 target / project / auth / certificate chain。
- 依
KALI-112-MAINTENANCE-WINDOW-DRAFT.md收 owner response、rollback owner、validation owner 與維護窗口;未驗收前不做 full-upgrade、restart、hardening、autoremove、reboot 或健康複驗。