kin: BATON-ARCH-011 Защитить BOT_TOKEN от утечки в nginx access.log

2026-03-20 21:07:25 +02:00 · 2026-03-20 21:07:25 +02:00 · 2c17ad4ddc
commit 2c17ad4ddc
parent 192c16b35e
3 changed files with 113 additions and 3 deletions
--- a/README.md
+++ b/README.md
@ -123,6 +123,40 @@ systemctl enable --now baton-keepalive.timer
 systemctl list-timers baton-keepalive.timer
 ```

+## Nginx deployment
+
+Для проксирования через nginx используйте готовый шаблон `nginx/baton.conf`.
+
+### Применение
+
+```bash
+# 1. Скопировать шаблон и заменить домен
+sudo cp nginx/baton.conf /etc/nginx/sites-available/baton
+sudo sed -i 's/<YOUR_DOMAIN>/baton.example.com/g' /etc/nginx/sites-available/baton
+
+# 2. Получить TLS-сертификат (если ещё нет)
+sudo certbot certonly --nginx -d baton.example.com
+
+# 3. Включить конфиг
+sudo ln -s /etc/nginx/sites-available/baton /etc/nginx/sites-enabled/baton
+
+# 4. Проверить и применить
+sudo nginx -t && sudo systemctl reload nginx
+```
+
+### Защита BOT_TOKEN в логах
+
+Конфиг включает `map`-блок, который автоматически маскирует токен бота в `access_log`:
+
+```
+# В логе вместо реального токена:
+GET /bot<TOKEN>/sendMessage → GET /bot[REDACTED]/sendMessage
+```
+
+Это защита по принципу «defence in depth»: текущий webhook-эндпоинт (`/api/webhook/telegram`) токен в URL не содержит, но маскировка сработает, если в будущем появится маршрут вида `/bot<TOKEN>/...`.
+
+Заголовок `X-Telegram-Bot-Api-Secret-Token` не попадает в `access_log` — nginx не логирует заголовки запросов в стандартном `log_format`.
+
 ## Тесты

 ```bash