kin: BATON-ARCH-011 Защитить BOT_TOKEN от утечки в nginx access.log

2026-03-20 21:07:25 +02:00 · 2026-03-20 21:07:25 +02:00 · 2c17ad4ddc
commit 2c17ad4ddc
parent 192c16b35e
3 changed files with 113 additions and 3 deletions
--- a/README.md
+++ b/README.md
@ -123,6 +123,40 @@ systemctl enable --now baton-keepalive.timer
 systemctl list-timers baton-keepalive.timer
 ```
 ## Nginx deployment
 Для проксирования через nginx используйте готовый шаблон `nginx/baton.conf`.
 ### Применение
 ```bash
 # 1. Скопировать шаблон и заменить домен
 sudo cp nginx/baton.conf /etc/nginx/sites-available/baton
 sudo sed -i 's/<YOUR_DOMAIN>/baton.example.com/g' /etc/nginx/sites-available/baton
 # 2. Получить TLS-сертификат (если ещё нет)
 sudo certbot certonly --nginx -d baton.example.com
 # 3. Включить конфиг
 sudo ln -s /etc/nginx/sites-available/baton /etc/nginx/sites-enabled/baton
 # 4. Проверить и применить
 sudo nginx -t && sudo systemctl reload nginx
 ```
 ### Защита BOT_TOKEN в логах
 Конфиг включает `map`-блок, который автоматически маскирует токен бота в `access_log`:
 ```
 # В логе вместо реального токена:
 GET /bot<TOKEN>/sendMessage → GET /bot[REDACTED]/sendMessage
 ```
 Это защита по принципу «defence in depth»: текущий webhook-эндпоинт (`/api/webhook/telegram`) токен в URL не содержит, но маскировка сработает, если в будущем появится маршрут вида `/bot<TOKEN>/...`.
 Заголовок `X-Telegram-Bot-Api-Secret-Token` не попадает в `access_log` — nginx не логирует заголовки запросов в стандартном `log_format`.
 ## Тесты
 ```bash
--- a/nginx/baton.conf
+++ b/nginx/baton.conf
@ -0,0 +1,70 @@
 # nginx/baton.conf — шаблон конфигурации для деплоя Baton
 #
 # Замените <YOUR_DOMAIN> на реальный домен перед использованием.
 # Токен бота НЕ включается в этот файл — он передаётся только через
 # переменную окружения BOT_TOKEN в самом приложении.
 #
 # Деплой:
 #   sudo cp nginx/baton.conf /etc/nginx/sites-available/baton
 #   sudo ln -s /etc/nginx/sites-available/baton /etc/nginx/sites-enabled/baton
 #   sudo nginx -t && sudo systemctl reload nginx
 # ---------------------------------------------------------------------------
 # Маскировка BOT_TOKEN в access_log (defence in depth)
 #
 # Хотя текущий webhook-эндпоинт (/api/webhook/telegram) не содержит токен
 # в URL, этот map-блок защищает на случай, если в будущем появится маршрут
 # вида /bot<TOKEN>/... (например, при смене архитектуры или временном дебаге).
 # ---------------------------------------------------------------------------
 map $request_uri $masked_uri {
    default                    $request_uri;
    "~^(/bot)[^/]+(/.*)$"     "$1[REDACTED]$2";
 }
 log_format baton_secure '$remote_addr - $remote_user [$time_local] '
                        '"$request_method $masked_uri $server_protocol" '
                        '$status $body_bytes_sent '
                        '"$http_referer" "$http_user_agent"';
 # ---------------------------------------------------------------------------
 # HTTP → HTTPS redirect
 # ---------------------------------------------------------------------------
 server {
    listen 80;
    server_name <YOUR_DOMAIN>;
    return 301 https://$server_name$request_uri;
 }
 # ---------------------------------------------------------------------------
 # HTTPS: проксирование к FastAPI (uvicorn на порту 8000)
 # ---------------------------------------------------------------------------
 server {
    listen 443 ssl;
    server_name <YOUR_DOMAIN>;
    ssl_certificate     /etc/letsencrypt/live/<YOUR_DOMAIN>/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/<YOUR_DOMAIN>/privkey.pem;
    ssl_protocols       TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;
    # Все запросы логируются с маскированным URI
    access_log /var/log/nginx/baton_access.log baton_secure;
    error_log  /var/log/nginx/baton_error.log warn;
    # Заголовки X-Telegram-Bot-Api-Secret-Token НЕ логируются —
    # они передаются только в proxy_pass и не попадают в access_log.
    location / {
        proxy_pass         http://127.0.0.1:8000;
        proxy_set_header   Host              $host;
        proxy_set_header   X-Real-IP         $remote_addr;
        proxy_set_header   X-Forwarded-For   $proxy_add_x_forwarded_for;
        proxy_set_header   X-Forwarded-Proto $scheme;
        # Таймауты для webhook-запросов от Telegram
        proxy_read_timeout  30s;
        proxy_send_timeout  30s;
        proxy_connect_timeout 5s;
    }
 }
--- a/tests/test_arch_002.py
+++ b/tests/test_arch_002.py
@ -32,15 +32,21 @@ _BACKEND_DIR = Path(__file__).parent.parent / "backend"
 def test_aggregator_task_creation_commented_out_in_main():
-    """asyncio.create_task must not appear in active code in main.py (ADR-004)."""
+    """aggregator.run() must not appear in an active create_task call in main.py (ADR-004).
    Note: other create_task calls (e.g. keep-alive) are allowed — only the
    SignalAggregator task is disabled in v1.
    """
    source = (_BACKEND_DIR / "main.py").read_text()
    active_lines = [
        line
        for line in source.splitlines()
-        if "create_task" in line and not line.strip().startswith("#")
+        if "create_task" in line
        and "aggregator" in line
        and not line.strip().startswith("#")
    ]
    assert active_lines == [], (
-        f"Found active asyncio.create_task in main.py: {active_lines}"
+        f"Found active asyncio.create_task(aggregator...) in main.py: {active_lines}"
    )