Plugin Pocket Agent
Pocket Agent este un instrument de acces la distanță cu tichete TTL de scurtă durată. Permite unui operator să ajungă la o mașină țintă pentru a efectua o sarcină delimitată, cu un model de securitate proiectat astfel încât ținta să nu fie nevoită niciodată să deschidă un port sau să aibă încredere într-o conexiune de intrare.
[!WARNING] Pocket Agent nu este o aplicație mobilă companion. Numele se referă la un mic agent de acces la distanță, la cerere, nu la un client de telefon. Pentru aplicația client vezi plugin-ul Aplicație mobilă și desktop.
Rulează nativ pe gazdă și comunică cu gateway-ul prin contract.
Fapte
| Câmp | Valoare |
|---|---|
| Versiune | 0.1.0 |
| Port | 8814 |
| Runtime | nativ pe gazdă |
Ce este
O modalitate de a rula o acțiune delimitată pe o țintă la distanță fără infrastructură permanentă pe acea țintă. În loc de un daemon care ascultă comenzile de intrare, modelul este bazat pe tichete și exclusiv spre exterior:
- Un operator emite un tichet — o autorizare de scurtă durată (delimitată de TTL) pentru o sarcină specifică.
- Ținta rulează un bootstrap semnat care verifică tichetul.
- Ținta intră apoi într-o buclă de interogare spre exterior, contactând pentru a prelua sarcini și a raporta rezultatele.
Când TTL-ul tichetului expiră, accesul dispare. Nu rămâne nimic persistent care să asculte.
Modelul de securitate
[!NOTE] Întregul scop al Pocket Agent este postura de securitate, nu comoditatea. Înțelege-l înainte de implementare:
- Tichete de scurtă durată (TTL). Accesul este delimitat în timp; un tichet expirat nu acordă nimic.
- Bootstrap semnat. Ținta continuă doar după verificarea unui bootstrap semnat legat de tichet.
- Doar buclă de interogare spre exterior. Ținta inițiază toate conexiunile. Nu există niciun socket de intrare de atacat și niciun canal push.
- Allowlist. Țintele și acțiunile sunt constrânse de un allowlist.
- Audit. Activitatea este înregistrată pentru revizuire.
Deoarece nu există niciun ascultător de intrare și niciun push, suprafața de atac asupra țintei este minimă: un atacator nu se poate conecta la țintă prin Pocket Agent, iar accesul expiră automat când tichetul se termină.
Cum se folosește
Un operator emite un tichet pentru o sarcină specifică; ținta îl preia prin bootstrap-ul semnat și bucla de interogare spre exterior, efectuează lucrarea din allowlist și raportează înapoi. Fiecare pas este delimitat de TTL-ul tichetului și înregistrat în jurnalul de audit.
operator issues TTL ticket ─▶ target verifies signed bootstrap ─▶ target polls outbound ─▶ allowlisted work ─▶ audit
Instalare
Instalează Pocket Agent dintr-un singur click din marketplace în admin UI. Deployer-ul nativ pe gazdă descarcă plugin-ul, rulează pasul său de instalare, generează o unitate systemd izolată și așteaptă starea de sănătate înainte de a-l marca gata — vezi Instalare și actualizări. Nu sunt implicate containere.
Securitate și limitări
- Doar acces cu tichete TTL — delimitat în timp, nu o sesiune la distanță permanentă.
- Doar spre exterior — fără socket de intrare, fără canal push pe țintă.
- Allowlist + bootstrap semnat + audit impun cine ce poate face și înregistrează acest lucru.
- Nu este o aplicație companion — acesta este acces la distanță condus de operator, nu un client de telefon.
- Nativ pe gazdă — rulează sub systemd, nu într-un container.