# 🔐 План ротації секретів та безпеки

**Дата:** 2026-01-10  
**Статус:** КРИТИЧНО - В процесі виконання

---

## ⚠️ Критичні вразливості (виявлено)

1. **Паролі та API ключі в документах** - видалено з репо, потрібна ротація
2. **Memory Service без auth** - NodePort закрито, потрібен JWT/mTLS
3. **Qdrant без auth** - потрібні API ключі
4. **Cohere API key в коді** - видалено, потрібна ротація

---

## 📋 План ротації секретів

### 1. Cohere API Key
- **Старий ключ:** `nOdOXnuepLku2ipJWpe6acWgAsJCsDhMO0RnaEJB` (видалено з репо)
- **Дія:** 
  - [ ] Згенерувати новий ключ в Cohere dashboard
  - [ ] Оновити в Vault (шлях: `cohere/api_key`)
  - [ ] Оновити Secrets в K8s (NODE1, NODE3)
  - [ ] Оновити Docker env (NODE2)
  - [ ] Перезапустити Memory Service на всіх нодах

### 2. PostgreSQL NODE3
- **Старий пароль:** `DaarionPostgres2026!` (видалено з репо)
- **Дія:**
  - [ ] Згенерувати новий пароль (32+ символи)
  - [ ] Оновити в Vault
  - [ ] Змінити пароль в PostgreSQL
  - [ ] Оновити Secret в K8s (якщо використовується)
  - [ ] Оновити Memory Service env

### 3. Neo4j (всі ноди)
- **Старий пароль:** `DaarionNeo4j2026!` (видалено з репо)
- **Дія:**
  - [ ] Згенерувати новий пароль для кожної ноди (різні!)
  - [ ] Оновити в Vault (шлях: `neo4j/node1`, `neo4j/node2`, `neo4j/node3`)
  - [ ] Змінити паролі в Neo4j
  - [ ] Оновити всі підключення

### 4. SSH паролі
- **NODE3:** `147zevs369` (видалено з репо)
- **Дія:**
  - [ ] Налаштувати SSH keys замість паролів
  - [ ] Вимкнути password auth
  - [ ] Оновити в Vault

---

## 🔒 Додаткові заходи безпеки

### Memory Service Auth
- [ ] Додати JWT або mTLS
- [ ] Налаштувати через Traefik Ingress з auth
- [ ] Закрити всі зовнішні NodePort (✅ виконано для NODE1)

### Qdrant Auth
- [ ] Згенерувати API ключі для кожної ноди
- [ ] Оновити конфігурацію Qdrant
- [ ] Оновити Memory Service для використання ключів

### Network Policies
- [ ] Створити NetworkPolicy для Memory Service (тільки internal доступ)
- [ ] Обмежити доступ до PostgreSQL (тільки з Memory Service)
- [ ] Обмежити доступ до Qdrant (тільки з Memory Service)

---

## 📝 Статус виконання

- [x] Видалено паролі з документів
- [x] Закрито NodePort для Memory Service NODE1
- [ ] Ротація Cohere API key
- [ ] Ротація PostgreSQL паролів
- [ ] Ротація Neo4j паролів
- [ ] Додано auth на Memory Service
- [ ] Додано auth на Qdrant

---

*Документ створено: 2026-01-10 19:30 CET*