Protocole d'action d'urgence
Objectif
Donnez au agent une capacité spécifique et temporairement accrue — isoler le réseau, tuer le processus, prendre la dump de mémoire — sans lui donner les droits root permanents.
Niveaux
| Niveau | TTL | Auto? | Actions |
|---|---|---|---|
| 1 | 2 min | Auto si confiance > 0,95 | Isoler le réseau · Tuer le processus · Dump de mémoire |
| 2 | 5 min | Auto après 3 min si pas d’ack | Arrêter le service · Quarantiner un fichier |
| 3 | 15 min | Toujours avec validation humaine | Installer un package · Redémarrer · Exécuter une playbook |
Chaîne de vérification (agent)
- TTL —
now ≤ expires_atet(expires_at - issued_at) ≤ 900. - Adressage —
agent_id= ID propre. - Anti-replay —
noncene doit pas être dans la tableused_nonces. - Signature — Ed25519, vérifié contre la clé publique boulonnée dans l’exécutable.
- Marquage — Ajouter
nonceàused_noncesavant exécution.
Gestion des clés
- Génération unique :
bash scripts/gen-emergency-keypair.sh. - La clé privée est uniquement disponible dans
$HUB_EMERGENCY_PRIVATE_KEYsur le hub. - La clé publique est boulonnée dans l’agent via
build.rsà la compilation. - Rotation annuelle avec 24 heures d’overlap.