daarion-admin/microdao-daarion
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
a0a89b577d8a13e2cb8fc4b4266eaa2d8b165c21
microdao-daarion/SECURITY-ROTATION-PLAN.md
Apple 3478dfce5f
Some checks failed
Build and Deploy Docs / build-and-deploy (push) Has been cancelled
Details
🔒 КРИТИЧНО: Видалено паролі/API ключі з документів + закрито NodePort 
- Видалено всі паролі та API ключі з документів
- Замінено на посилання на Vault
- Закрито NodePort для Memory Service (тільки internal)
- Створено SECURITY-ROTATION-PLAN.md
- Створено ARCHITECTURE-150-NODES.md (план для 150 нод)
- Оновлено config.py (видалено hardcoded Cohere key)
2026-01-10 09:46:03 -08:00

86 lines
3.3 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
# 🔐 План ротації секретів та безпеки
**Дата:** 2026-01-10
**Статус:** КРИТИЧНО - В процесі виконання
---
## ⚠️ Критичні вразливості (виявлено)
1. **Паролі та API ключі в документах** - видалено з репо, потрібна ротація
2. **Memory Service без auth** - NodePort закрито, потрібен JWT/mTLS
3. **Qdrant без auth** - потрібні API ключі
4. **Cohere API key в коді** - видалено, потрібна ротація
---
## 📋 План ротації секретів
### 1. Cohere API Key
- **Старий ключ:** `nOdOXnuepLku2ipJWpe6acWgAsJCsDhMO0RnaEJB` (видалено з репо)
- **Дія:**
- [ ] Згенерувати новий ключ в Cohere dashboard
- [ ] Оновити в Vault (шлях: `cohere/api_key`)
- [ ] Оновити Secrets в K8s (NODE1, NODE3)
- [ ] Оновити Docker env (NODE2)
- [ ] Перезапустити Memory Service на всіх нодах
### 2. PostgreSQL NODE3
- **Старий пароль:** `DaarionPostgres2026!` (видалено з репо)
- **Дія:**
- [ ] Згенерувати новий пароль (32+ символи)
- [ ] Оновити в Vault
- [ ] Змінити пароль в PostgreSQL
- [ ] Оновити Secret в K8s (якщо використовується)
- [ ] Оновити Memory Service env
### 3. Neo4j (всі ноди)
- **Старий пароль:** `DaarionNeo4j2026!` (видалено з репо)
- **Дія:**
- [ ] Згенерувати новий пароль для кожної ноди (різні!)
- [ ] Оновити в Vault (шлях: `neo4j/node1`, `neo4j/node2`, `neo4j/node3`)
- [ ] Змінити паролі в Neo4j
- [ ] Оновити всі підключення
### 4. SSH паролі
- **NODE3:** `147zevs369` (видалено з репо)
- **Дія:**
- [ ] Налаштувати SSH keys замість паролів
- [ ] Вимкнути password auth
- [ ] Оновити в Vault
---
## 🔒 Додаткові заходи безпеки
### Memory Service Auth
- [ ] Додати JWT або mTLS
- [ ] Налаштувати через Traefik Ingress з auth
- [ ] Закрити всі зовнішні NodePort (✅ виконано для NODE1)
### Qdrant Auth
- [ ] Згенерувати API ключі для кожної ноди
- [ ] Оновити конфігурацію Qdrant
- [ ] Оновити Memory Service для використання ключів
### Network Policies
- [ ] Створити NetworkPolicy для Memory Service (тільки internal доступ)
- [ ] Обмежити доступ до PostgreSQL (тільки з Memory Service)
- [ ] Обмежити доступ до Qdrant (тільки з Memory Service)
---
## 📝 Статус виконання
- [x] Видалено паролі з документів
- [x] Закрито NodePort для Memory Service NODE1
- [ ] Ротація Cohere API key
- [ ] Ротація PostgreSQL паролів
- [ ] Ротація Neo4j паролів
- [ ] Додано auth на Memory Service
- [ ] Додано auth на Qdrant
---
*Документ створено: 2026-01-10 19:30 CET*
Reference in New Issue View Git Blame Copy Permalink