daarion-admin/microdao-daarion
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
db4107ba4ab41223ff83520d780d04863a589e89
microdao-daarion/SECURITY-ROTATION-PLAN.md
Apple 3478dfce5f
Some checks failed
Build and Deploy Docs / build-and-deploy (push) Has been cancelled
Details
🔒 КРИТИЧНО: Видалено паролі/API ключі з документів + закрито NodePort 
- Видалено всі паролі та API ключі з документів
- Замінено на посилання на Vault
- Закрито NodePort для Memory Service (тільки internal)
- Створено SECURITY-ROTATION-PLAN.md
- Створено ARCHITECTURE-150-NODES.md (план для 150 нод)
- Оновлено config.py (видалено hardcoded Cohere key)
2026-01-10 09:46:03 -08:00

3.3 KiB
Raw Blame History

🔐 План ротації секретів та безпеки

Дата: 2026-01-10
Статус: КРИТИЧНО - В процесі виконання

⚠️ Критичні вразливості (виявлено)

  1. Паролі та API ключі в документах - видалено з репо, потрібна ротація
  2. Memory Service без auth - NodePort закрито, потрібен JWT/mTLS
  3. Qdrant без auth - потрібні API ключі
  4. Cohere API key в коді - видалено, потрібна ротація

📋 План ротації секретів

1. Cohere API Key

  • Старий ключ: nOdOXnuepLku2ipJWpe6acWgAsJCsDhMO0RnaEJB (видалено з репо)
  • Дія:
    • Згенерувати новий ключ в Cohere dashboard
    • Оновити в Vault (шлях: cohere/api_key)
    • Оновити Secrets в K8s (NODE1, NODE3)
    • Оновити Docker env (NODE2)
    • Перезапустити Memory Service на всіх нодах

2. PostgreSQL NODE3

  • Старий пароль: DaarionPostgres2026! (видалено з репо)
  • Дія:
    • Згенерувати новий пароль (32+ символи)
    • Оновити в Vault
    • Змінити пароль в PostgreSQL
    • Оновити Secret в K8s (якщо використовується)
    • Оновити Memory Service env

3. Neo4j (всі ноди)

  • Старий пароль: DaarionNeo4j2026! (видалено з репо)
  • Дія:
    • Згенерувати новий пароль для кожної ноди (різні!)
    • Оновити в Vault (шлях: neo4j/node1, neo4j/node2, neo4j/node3)
    • Змінити паролі в Neo4j
    • Оновити всі підключення

4. SSH паролі

  • NODE3: 147zevs369 (видалено з репо)
  • Дія:
    • Налаштувати SSH keys замість паролів
    • Вимкнути password auth
    • Оновити в Vault

🔒 Додаткові заходи безпеки

Memory Service Auth

  • Додати JWT або mTLS
  • Налаштувати через Traefik Ingress з auth
  • Закрити всі зовнішні NodePort ( виконано для NODE1)

Qdrant Auth

  • Згенерувати API ключі для кожної ноди
  • Оновити конфігурацію Qdrant
  • Оновити Memory Service для використання ключів

Network Policies

  • Створити NetworkPolicy для Memory Service (тільки internal доступ)
  • Обмежити доступ до PostgreSQL (тільки з Memory Service)
  • Обмежити доступ до Qdrant (тільки з Memory Service)

📝 Статус виконання

  • Видалено паролі з документів
  • Закрито NodePort для Memory Service NODE1
  • Ротація Cohere API key
  • Ротація PostgreSQL паролів
  • Ротація Neo4j паролів
  • Додано auth на Memory Service
  • Додано auth на Qdrant

Документ створено: 2026-01-10 19:30 CET

Reference in New Issue View Git Blame Copy Permalink