Micha/homelab-infra
1
0
Fork 0
Code Issues 1 Pull Requests 4 Actions Packages Projects Releases Wiki Activity

Document AI host API access rules

Browse Source
This commit is contained in:
Micha
2026-06-26 11:27:39 +02:00
parent a54657a365
commit 1bb2c320ab
4 changed files with 48 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files
docs/AI_CONTEXT.md
+8
View File
@@ -14,6 +14,10 @@ Diese Datei enthaelt bewusst **keinen** Arbeitsstand mehr — Status nur in
- Ingress: Traefik; WAN-seitig bewusst nur `443/tcp`
- Secrets: nie im Repo, meist unter `/mnt/user/appdata/secrets/`
- Backup: Borg plus host-seitige Dumps; Hetzner ist Offsite, H:/ ist lokale Nearline-Kopie
- Agenten-Hostzugriff: Codex/Claude-API-Secrets fuer Komodo/Unraid liegen auf
`kallilabcore` unter den in `docs/SECRETS_MAP.md` dokumentierten Pfaden.
Werte niemals lesen, ausgeben, loggen oder committen; nur fuer ausdruecklich
angeforderte Host-/Live-Checks nutzen.
## Vor jeder Aenderung lesen
@@ -28,6 +32,10 @@ Diese Datei enthaelt bewusst **keinen** Arbeitsstand mehr — Status nur in
## Harte Regeln
- Keine Secrets zitieren oder ins Repo schreiben.
- Codex/Claude duerfen dokumentierte Host-API-Secrets nur als Pfade/Env-Namen
behandeln; Secret-Werte werden nie angezeigt. Vor Host-Befehlen sicherstellen,
dass der Shell-Kontext wirklich auf `kallilabcore` liegt oder ein expliziter
Remote-Ausfuehrungsweg genutzt wird.
- Keine produktiven Host-Hotfixes ohne Repo-Abgleich.
- Datenbanken nie ins `frontend_net`.
- Direkte Host-Ports sind Ausnahme.
docs/WORKFLOW.md
+31
View File
@@ -325,6 +325,37 @@ Pflicht-Setup auf dem Host: Repo-Spiegel unter `/mnt/user/services/homelab-infra
- Rechte: `chmod 600`
- Secret-Namen und Pfade werden in `docs/SECRETS_MAP.md` dokumentiert
### Codex/Claude Host-API-Zugriffe
Fuer ausdruecklich angeforderte Live-/Host-Checks duerfen Codex/Claude die in
`docs/SECRETS_MAP.md` dokumentierten Host-API-Secretpfade verwenden:
- Komodo CLI/API: `/mnt/user/appdata/secrets/codex_komodo_api.env`
- Unraid API: `/mnt/user/appdata/secrets/codex_unraid_api_key.txt`
Regeln:
- Secret-Werte niemals ausgeben, loggen, kopieren oder ins Repo schreiben.
- Keine `set -x`/Shell-Traces beim Laden der Env-Datei.
- Vor Nutzung klaeren, ob die Shell wirklich auf `kallilabcore` laeuft; eine
Windows-Arbeitskopie ohne `/mnt/user/...` ist kein Host-Kontext.
- Standard ist read-only Inventarisierung. Schreibende API-/Docker-/Komodo-
Aktionen brauchen eine ausdrueckliche Operator-Anweisung.
Read-only Komodo-Smoke auf dem Host:
```bash
set -a
. /mnt/user/appdata/secrets/codex_komodo_api.env
set +a
docker exec \
-e KOMODO_CLI_HOST \
-e KOMODO_CLI_KEY \
-e KOMODO_CLI_SECRET \
komodo-core km core-info
```
---
## Image-Versionierung