120 lines
5.6 KiB
Markdown
120 lines
5.6 KiB
Markdown
# Kali 112 整合狀態與更新紀錄
|
||
|
||
| 項目 | 內容 |
|
||
|------|------|
|
||
| 日期 | 2026-05-13 |
|
||
| Host | `192.168.0.112` |
|
||
| Asset key | `host:kali-112` |
|
||
| 狀態 | `partial_runtime_health_integrated` |
|
||
| 模式 | `observe_only` |
|
||
| Snapshot | `docs/security/kali-integration-status.snapshot.json` |
|
||
| Schema | `docs/schemas/kali_integration_status_v1.schema.json` |
|
||
|
||
## 0. 核心結論
|
||
|
||
Kali 主機不是只有文件預留;`192.168.0.112` 目前已經有 live runtime:
|
||
|
||
- `kali-scanner.service` 已啟用並正在執行。
|
||
- `http://192.168.0.112:8080/health` 回傳 healthy。
|
||
- `node-exporter` container 正在運作。
|
||
- `192.168.0.120` 與 `192.168.0.121` 正持續打 `/health`。
|
||
- Kali crontab 已有 port monitor、code security scan、Harbor image scan。
|
||
|
||
但它還沒有完成「資安網閉環」整合:Kali scan result 尚未正式寫入 AWOOOI asset / compliance 表,也尚未 mirror 成 AwoooP Runtime State、Channel Event 或 Audit evidence。因此目前判定是「健康與基礎掃描已存在,治理閉環尚未接通」。
|
||
|
||
## 1. 已確認的 live 狀態
|
||
|
||
| 項目 | 結果 |
|
||
|------|------|
|
||
| SSH 授權登入 | 成功 |
|
||
| OS | Kali GNU/Linux Rolling |
|
||
| Hostname | `kali` |
|
||
| IP | `192.168.0.112/24` |
|
||
| Uptime | 約 6 天 |
|
||
| Disk | `/` 79G,使用約 26% |
|
||
| Memory | 7.8GiB,available 約 7.1GiB |
|
||
| Scanner API | `0.0.0.0:8080` |
|
||
| Scanner API health | `{"status":"healthy","version":"1.0.0","hostname":"kali"}` |
|
||
| Scanner service | `kali-scanner.service` active / enabled |
|
||
| Docker services | `node-exporter`、`wg-easy` active |
|
||
| Node exporter | container up,port `9100` |
|
||
| WireGuard UI | `wg-easy` healthy,ports `51820/udp`、`51821/tcp` |
|
||
| Reboot required | 否 |
|
||
|
||
## 2. 已存在的 scanner 能力
|
||
|
||
Kali Scanner API 目前提供:
|
||
|
||
| Endpoint | 用途 | 初期處理 |
|
||
|----------|------|----------|
|
||
| `/health` | health check | 可由 Prometheus / blackbox / AwoooP mirror |
|
||
| `/scan` | 啟動 scan | 必須先有 scope approval |
|
||
| `/scan/{scan_id}` | 讀取 scan result | 只能讀 redacted finding |
|
||
| `/scans` | 列出 in-memory scans | 只能 read-only |
|
||
| `/execute` | 直接執行 shell command | 高風險,AwoooP 不得直接呼叫 |
|
||
|
||
支援工具包含 `nmap`、`nikto`、`nuclei`、`trivy`、`sslyze`、`lynis`。本輪沒有啟動任何 scan。
|
||
|
||
## 3. 本輪已做的更新與調校
|
||
|
||
| 類型 | 動作 |
|
||
|------|------|
|
||
| apt metadata | 已執行 `apt-get update` |
|
||
| scanner 套件 | 更新 `nmap`、`nmap-common`、`nikto`、`nuclei` |
|
||
| 基礎連線套件 | 更新 `ca-certificates`、`curl`、`openssl` |
|
||
| 解析工具 | 安裝 `jq` |
|
||
| 時區 | 從 `America/New_York` 調整為 `Asia/Taipei` |
|
||
| 驗證 | 更新後 `/health` healthy,`ssh` / `cron` / `docker` / `kali-scanner` active |
|
||
|
||
更新後版本:
|
||
|
||
| 工具 | 版本 |
|
||
|------|------|
|
||
| Nmap | `7.99` |
|
||
| Nikto | `2.6.0` |
|
||
| Nuclei | `v3.8.0` |
|
||
| curl | `8.19.0` |
|
||
| OpenSSL | `3.6.2` |
|
||
| jq | `1.8.1` |
|
||
|
||
## 4. 仍未完成的整合
|
||
|
||
| 缺口 | 影響 | 下一步 |
|
||
|------|------|--------|
|
||
| 尚未確認 AWOOOI API 有正式 Kali result ingestion endpoint | scan result 不能成為資安飛輪 evidence | 建立 redacted `security_finding_v1` ingestion contract |
|
||
| scan result 仍在 API in-memory 或本機 log | 重啟後可能失去 scan 查詢狀態 | 將 scan run metadata / finding summary 寫入 AWOOOI |
|
||
| AwoooP runtime 尚未 mirror Kali findings | Operator Console 看不到完整資安 posture | 先 mirror health / gap evidence,再接 findings |
|
||
| scan scope approval package 已完成草案但尚未批准 | scope 已可 review,但不能執行 scan | 依 `docs/security/KALI-SCAN-SCOPE-APPROVAL-PACKAGE.md` 逐 gate 批准 |
|
||
| `/execute` endpoint 存在 | 若 runtime 直接接入會變成高風險 remote command path | 預設禁用或拆成 approval-only path |
|
||
| API key fallback 存在於原始碼 | secret hygiene 風險 | 移除 fallback、確認 `.env` secret source、輪替;不得寫出 secret value |
|
||
| `kali-scanner.service` 尚未套 systemd hardening | service blast radius 較大 | 先設計 dry-run hardening override,不直接套用 |
|
||
| Harbor image scan 近期失敗 | 容器漏洞掃描 evidence 不可靠 | 修正 Harbor target/project/auth/cert chain |
|
||
| full rolling upgrade 尚未執行 | 仍有大量套件可升級 | 需維護窗口、rollback、reboot gate |
|
||
|
||
## 5. 本輪刻意沒有做
|
||
|
||
1. 沒有啟動任何 active scan。
|
||
2. 沒有做 credentialed scan。
|
||
3. 沒有呼叫 `/execute`。
|
||
4. 沒有修改 firewall、NetworkPolicy、RBAC、route。
|
||
5. 沒有做 full-upgrade、autoremove 或 reboot。
|
||
6. 沒有記錄任何 API key、密碼或 secret value。
|
||
|
||
## 6. AwoooP 消費方式
|
||
|
||
AwoooP 現階段只能 mirror `kali_integration_status_v1`:
|
||
|
||
1. 顯示 Kali health 與整合缺口。
|
||
2. 將 `/execute`、API key fallback、Harbor scan failure 標成 review item。
|
||
3. 針對 active scan、credentialed scan、full-upgrade、reboot 建立 approval candidate。
|
||
4. 不新增任何直接執行掃描或 command 的按鈕。
|
||
5. 讀取 `docs/security/SECURITY-APPROVAL-QUEUE.md` 的 review order,優先處理 redacted finding ingestion 與 safe web crawl。
|
||
|
||
## 7. 下一個 gate
|
||
|
||
1. 取得 `KALI-SCAN-SCOPE-APPROVAL-PACKAGE.md` 中 safe crawl、credentialed scan、runtime ingestion、full-upgrade / reboot 等 gate 的人工批准。
|
||
2. 未來批准後,再建立 `security_finding_v1` ingestion endpoint 或 adapter,先只接 redacted finding。
|
||
3. 把 `/execute` endpoint 降級為預設停用或單獨 high-risk approval path。
|
||
4. 修正 Harbor image scan 的 target / project / auth / certificate chain。
|
||
5. 排 Kali rolling full-upgrade 維護窗口;先 snapshot,再 upgrade,最後 reboot 與健康複驗。
|