Document AI host API access rules
This commit is contained in:
@@ -14,6 +14,10 @@ Diese Datei enthaelt bewusst **keinen** Arbeitsstand mehr — Status nur in
|
||||
- Ingress: Traefik; WAN-seitig bewusst nur `443/tcp`
|
||||
- Secrets: nie im Repo, meist unter `/mnt/user/appdata/secrets/`
|
||||
- Backup: Borg plus host-seitige Dumps; Hetzner ist Offsite, H:/ ist lokale Nearline-Kopie
|
||||
- Agenten-Hostzugriff: Codex/Claude-API-Secrets fuer Komodo/Unraid liegen auf
|
||||
`kallilabcore` unter den in `docs/SECRETS_MAP.md` dokumentierten Pfaden.
|
||||
Werte niemals lesen, ausgeben, loggen oder committen; nur fuer ausdruecklich
|
||||
angeforderte Host-/Live-Checks nutzen.
|
||||
|
||||
## Vor jeder Aenderung lesen
|
||||
|
||||
@@ -28,6 +32,10 @@ Diese Datei enthaelt bewusst **keinen** Arbeitsstand mehr — Status nur in
|
||||
## Harte Regeln
|
||||
|
||||
- Keine Secrets zitieren oder ins Repo schreiben.
|
||||
- Codex/Claude duerfen dokumentierte Host-API-Secrets nur als Pfade/Env-Namen
|
||||
behandeln; Secret-Werte werden nie angezeigt. Vor Host-Befehlen sicherstellen,
|
||||
dass der Shell-Kontext wirklich auf `kallilabcore` liegt oder ein expliziter
|
||||
Remote-Ausfuehrungsweg genutzt wird.
|
||||
- Keine produktiven Host-Hotfixes ohne Repo-Abgleich.
|
||||
- Datenbanken nie ins `frontend_net`.
|
||||
- Direkte Host-Ports sind Ausnahme.
|
||||
|
||||
Reference in New Issue
Block a user