Тармак, аудит жана аба-боштугу
Бул барак AiHummer кайда жетиле ала тургандыгын жана жете тургандыгын, эмнени жаздыраарын жана эмнеден курулгандыгын башкарган көзөмөлдөрдү камтыйт: admin IP уруксат тизмеси, аба-боштугу режими, аудит журналы жана жабдуу чынжыры позициясы.
IP уруксат тизмеси (admin IP башкаруу)
Admin бетин белгилүү тармактарга IP уруксат тизмеси менен чектей аласыз, ал
/v1/admin/security/ip-allowlist дарегинде башкарылат. Конфигурацияланганда, admin
мүмкүнчүлүгү булак IP боюнча башкарылат, ошондуктан admin API жана UI сиз ишенген
даректерден гана суроо-талаптарга жооп берет.
[!TIP] IP уруксат тизмесин корпоративдик SSO жана чектелген API ачкычтар менен айкалыштырыңыз: тармак башкаруу кайдан экенин чектейт, SSO кимди чектейт, ал эми чектер эмнени чектейт.
Аба-боштугу режими
Эгемендүү же обочолонгон жайылтуулар үчүн модель башкарган коомдук чыгууну
бөгөттөө үчүн AIHUMMER_AIRGAPPED=1 жөндөңүз. Бул режимде агенттин куралдары
моделдин атынан коомдук интернетке жете албайт, бул эксфильтрация менен SSRF
тобокелдигинин бүтүндөй классын алып салат.
# /home/.aihummer/etc/gateway.env
AIHUMMER_AIRGAPPED=1
[!WARNING] Аба-боштугу режими коомдук чыгууга көз каранды куралдарды өчүрөт (мисалы, ачык вебдеги алуулар). Аны өзүн-өзү хостинг кылган sidecar’лар жана жергиликтүү моделдер менен айкалыштырыңыз, ошондо жайылтуу тышкы чакырууларсыз толук иштей берет. Толук аба-боштугунан кем майда көзөмөл үчүн Коргоо тоскоолдуктары бөлүмүндө сүрөттөлгөн чыгуу уруксат тизмелерин колдонуңуз.
Аудит журналы
Admin өзгөртүүлөрү сактоо мөөнөтү жана барактоосу бар аудит журналына жазылат,
аны /v1/admin/audit дарегинен окуса болот. Сактоо мөөнөтү
AIHUMMER_AUDIT_RETENTION_DAYS менен башкарылат, ошондуктан сиз изди шайкештик
саясатыңыз талап кылган мөөнөткө сактап, эскирген жазууларды эскирүүгө жол берсеңиз
болот.
# /home/.aihummer/etc/gateway.env
AIHUMMER_AUDIT_RETENTION_DAYS=365
Аудит изи RBAC жана SSO менен табигый түрдө бирге иштейт: SSO жана IP уруксат тизмеси ким аракет кыла аларын чечет, чектелген ачкычтар алар эмне кыла аларын чечет, ал эми аудит журналы алар эмне кылганын жаздырат.
Жабдуу чынжыры жана рантайм позициясы
AiHummer’дин рантайму атайылап кичинекей жана текшериле турган:
| Касиет | Позиция |
|---|---|
| Издегич | Бирдиктүү Go бинары (башкаруу-планы + кадам кыймылдаткычы). |
| Түз көз карандылыктар | Болжол менен 25 түз Go модулу — кичине, аудиттелчү бети. |
| Таңгактоо | Хост-ныктуу: релиз tarball + systemd, Docker жок. |
| Sidecar’лар | URL аркылуу жетилген өзүнчө HTTP кызматтары, керек болгондо гана орнотулат. |
[!NOTE] Хост-ныктуу таңгактоо тиркемеден тышкары катуулай турган же жамачылай турган контейнер рантайму жок дегенди билдирет — сиз
/home/.aihummerдегенден systemd астында бир Go бинарын иштетесиз. Бул продукт кантип жеткирилээринин текшериле турган касиети, абсолюттук коопсуздук жөнүндө доомат эмес.
Кийинки кайда
- Корпоративдик SSO — кимге кирүүгө уруксат бар.
- RBAC жана чектелген API ачкычтар — киргенден кийин алар эмне кыла алат.
- Коргоо тоскоолдуктары жана prompt-инъекциясынан коргонуу — чындап эле сыртка жеткен куралдар үчүн чыгуу уруксат тизмелери жана SSRF коргоосу.