unibus

dataforge/unibus

Fork 0

Commit Graph

Author	SHA1	Message	Date
egutierrez	ddc6cabc24	feat(flags): declare bus-auth and bus-tls feature flags (off) bus-auth carries the off -> soft -> enforce rollout state; bus-tls is a boolean. Both start disabled so master keeps compiling and passing tests while the auth/TLS code lands behind them across phases 0001a-0001e. Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>	2026-06-07 12:23:23 +02:00
agent	7de05c8591	docs(security): fijar exposición pública en el spec 0001 Decisión del operador: el bus se expone a internet protegido por auth+TLS (WireGuard pasa a ser una vía más, no la barrera). ufw en om abre 8470/4250; el server cert lleva SAN con la IP pública 135.125.201.30 + la IP WG 10.42.0.1 + hostname; los clientes controlados embeben el ca.crt propio (sin Let's Encrypt). La fase de despliegue 0001f la ejecuta el humano; el agente entrega 0001a-0001e.	2026-06-07 12:15:32 +02:00
agent	9a915839c8	docs(security): spec issue 0001 — sistema de usuarios + auth firmada del control plane + NATS nkey + TLS Diseño de las tres capas de seguridad del bus para que WireGuard pase a ser opcional: tabla users (allowlist Ed25519 con roles/revocación), middleware de firma Ed25519 + anti-replay en el control plane (generaliza signRequest/ verifyOwnerSig ya existentes), y NATS endurecido con CustomClientAuthentication (nkey sobre la identidad del peer, revocación dinámica) + TLS con CA propia. Incluye 6 fases TBD con feature flag bus-auth (off->soft->enforce), migración de clientes (pkg/client centraliza el cambio), plan de despliegue a om y matriz de tests (golden/edge/error).	2026-06-07 12:12:19 +02:00

Author

SHA1

Message

Date

egutierrez

ddc6cabc24

feat(flags): declare bus-auth and bus-tls feature flags (off)

bus-auth carries the off -> soft -> enforce rollout state; bus-tls is a
boolean. Both start disabled so master keeps compiling and passing tests
while the auth/TLS code lands behind them across phases 0001a-0001e.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>

2026-06-07 12:23:23 +02:00

agent

7de05c8591

docs(security): fijar exposición pública en el spec 0001

Decisión del operador: el bus se expone a internet protegido por auth+TLS
(WireGuard pasa a ser una vía más, no la barrera). ufw en om abre 8470/4250;
el server cert lleva SAN con la IP pública 135.125.201.30 + la IP WG 10.42.0.1
+ hostname; los clientes controlados embeben el ca.crt propio (sin Let's Encrypt).
La fase de despliegue 0001f la ejecuta el humano; el agente entrega 0001a-0001e.

2026-06-07 12:15:32 +02:00

agent

9a915839c8

docs(security): spec issue 0001 — sistema de usuarios + auth firmada del control plane + NATS nkey + TLS

Diseño de las tres capas de seguridad del bus para que WireGuard pase a ser
opcional: tabla users (allowlist Ed25519 con roles/revocación), middleware de
firma Ed25519 + anti-replay en el control plane (generaliza signRequest/
verifyOwnerSig ya existentes), y NATS endurecido con CustomClientAuthentication
(nkey sobre la identidad del peer, revocación dinámica) + TLS con CA propia.
Incluye 6 fases TBD con feature flag bus-auth (off->soft->enforce), migración de
clientes (pkg/client centraliza el cambio), plan de despliegue a om y matriz de
tests (golden/edge/error).

2026-06-07 12:12:19 +02:00

3 Commits