3.2 KiB
3.2 KiB
Guanghu Deployment Receiver v1.0
这是 fifth-domain 的服务器端 Forgejo Webhook 接收器。它把仓库提交转换为受控、可审计的服务器动作,但不接受提交中的任意 shell 命令。
第一版能力
- 校验 Forgejo/Gitea
X-Forgejo-Signature/X-Gitea-SignatureHMAC-SHA256。 - 只接受
bingshuo/fifth-domain的refs/heads/main推送。 - 只读取
deployment/requests/*.json。 - 请求只能包含
request_id/module/action/approved/note,出现cmd等额外字段直接拒绝。 - 动作和模块必须在服务器本地
config.json双重白名单中登记。 - 使用参数数组和
shell:false,禁止 shell 拼接。 - 单实例部署锁、执行超时、输出上限和本地 JSON 审计回执。
- 当前只登记
inspect-gatekeeper:读取线上 Gatekeeper 文件哈希、认证特征与 PM2 状态,不读取任何凭证,不修改服务。
交给服务器编程 AI 的部署步骤
-
在目标服务器准备只读部署用户与目录:
sudo useradd --system --home /var/lib/guanghu-deployment-receiver --shell /usr/sbin/nologin guanghu-deploy sudo mkdir -p /opt/zhuyuan /etc/guanghu-deployment-receiver /var/lib/guanghu-deployment-receiver/receipts sudo chown -R guanghu-deploy:guanghu-deploy /var/lib/guanghu-deployment-receiver -
将
fifth-domain克隆或更新到/opt/zhuyuan/fifth-domain。确保guanghu-deploy可以执行仓库的git fetch,但不要给系统 root 权限。 -
复制配置:
sudo cp server-tools/deployment-receiver/config.example.json /etc/guanghu-deployment-receiver/config.json -
生成至少 32 字节的随机 Webhook 密钥,只放服务器:
umask 077 printf 'FORGEJO_WEBHOOK_SECRET=%s\n' "$(openssl rand -hex 32)" | sudo tee /etc/guanghu-deployment-receiver/secret.env >/dev/null不要把密钥提交到仓库。将同一个值配置到 Forgejo 仓库 Webhook 的 Secret。
-
安装并启动 systemd 服务:
sudo cp server-tools/deployment-receiver/guanghu-deployment-receiver.service /etc/systemd/system/ sudo systemctl daemon-reload sudo systemctl enable --now guanghu-deployment-receiver curl -fsS http://127.0.0.1:3981/health -
使用 Nginx 暴露单一 HTTPS 路径,反代到
127.0.0.1:3981/forgejo/deploy。不要直接开放 3981 公网端口。 -
在 Forgejo 的
bingshuo/fifth-domain添加 Push Webhook:- URL:服务器编程 AI 配置的 HTTPS 地址,例如
https://deploy.example.com/forgejo/deploy - Secret:步骤 4 的随机值
- Event:Push events
- Branch filter:
main
- URL:服务器编程 AI 配置的 HTTPS 地址,例如
-
部署完成后,重新提交或轻微更新:
deployment/requests/WORK-PROBE-20260713-002.json接收器会在服务器本地写入:
/var/lib/guanghu-deployment-receiver/receipts/WORK-PROBE-20260713-002-*.json
重要边界
- v1 不自动修改或重启 Gatekeeper。
- 新增真实部署动作时,服务器端
config.json必须登记一个固定脚本路径;请求文件不能决定命令。 - 每个部署脚本必须自行实现备份、健康检查和失败回滚,再加入白名单。
- 不要把仓库 PAT、服务器 Token、邮箱、Webhook Secret 或环境变量写进回执。