2.1 KiB
2.1 KiB
GLSV / Gatekeeper 3.2 授权边界与路径映射
更新时间:2026-07-15
修正结论
邮箱验证码只证明“本次已登记人格体、服务器和范围获得一次人工确认”。它不再解锁客户端提交的任意 shell 命令。Gatekeeper 只接受 authorized-actions.js 中登记的动作;未登记动作直接拒绝。
判断依据(可复核摘要)
| 判断 | 依据文件 | 修正结果 |
|---|---|---|
| 人格体先发起会话,人类只提供验证码 | zero-point/core-channel/GLSV-PERSONA-REMOTE-OPS.hdlp |
保留 |
| 验证码不能等于任意命令执行权 | zero-point/core-channel/gatekeeper/GLSV-SECURITY-VERIFICATION.hdlp |
由代码强制 |
| 普通 push 不应直接部署 | BROADCAST-TOWER.hdlp、server-tools/fifth-domain-sync-agent/MODULE.hdlp |
同步 Agent 只做快进同步和回执 |
| 部署动作必须另有固定动作白名单 | server-tools/deployment-receiver/config.example.json |
Gatekeeper 不越权代替部署接收器 |
当前路径
BROADCAST-TOWER
→ GLSV / Gatekeeper v3.2
→ session/request(人格体 + 最小 scope + 已登记 action)
→ 固定登记邮箱验证码
→ session/confirm
→ session/exec(仍只能执行同一个 action)
→ 只读结果与回执
第五域 main push
→ Forgejo 签名 webhook /forgejo/sync
→ fifth-domain-sync-agent
→ 仓库、分支、SHA、导航守卫核验
→ 快进同步 + 服务器本地回执
需要部署、重启、迁移
→ deployment/requests/*.json
→ deployment-receiver 固定动作白名单
→ 另行授权,不由普通 push 或 Gatekeeper 任意执行
已登记动作
inspect-gatekeeper:只读检查 Gatekeeper。sync-status:只读检查第五域受控工作副本状态。
部署、重启、迁移目前没有登记为 Gatekeeper 动作,因此会被拒绝。这是有意的安全边界,不是功能缺失。
端口规则
Gatekeeper 兼容实现默认使用 3911;服务器实际端口仍以受控健康检查回执为准。3982 属于第五域同步 Agent,3981 属于部署接收器,三者不能互相替代。