← Natrag na listu

weekly-2026-03-22.md

🔬 Weekly 🔴 3 🟡 3 🟢 4

Weekly Deep Audit — 2026-03-22 — 🔒 Security & Infrastructure

Scope

Tjedan 4 (22.-31.): Security & Infrastructure

Findings

  • 🔴 KRITIČNO: RSA private key world-readable/workspace-matrix/auth-flow/backend/keys/private.pem ima dozvole rw-rw-r-- (644). Privatni ključ čitljiv svim korisnicima sustava. Treba biti 600. Drugi ključ (/auth-flow/keys/private.pem) je ispravno 600. Preporuka: chmod 600 .../backend/keys/private.pem odmah.

  • 🔴 openclaw.json world-readable — Glavna konfiguracija (~/.openclaw/openclaw.json, 10KB) ima dozvole rw-rw-r-- (664). Može sadržavati API endpoint-e, channel IDs, agent konfiguracije. Treba biti 600. Preporuka: chmod 600 ~/.openclaw/openclaw.json.

  • 🔴 Telegram network grešaka noćas (~01:16) — 6 sendChatAction failed + sendMessage failed grešaka u kratkom periodu (~10 sek). Uzrok: kratki network outage ili Telegram API timeout. Gateway se oporavio, ali poruka nije isporučena. Preporuka: dodati retry mehanizam ili alert na Telegram delivery failures.

  • 🟡 Gateway connect failed — 2 događajagateway closed (1000 normal closure) u 21:14 i 03:30. Normalna WS reconnect sekvenca, ali 2 pad-a u jednoj noći. Uzrok vjerojatno cron job spawn koji zatvara konekciju. Vrijedi pratiti učestalost.

  • 🟡 restart log world-readablelogs/restart-20260303-084406.log ima dozvole rw-rw-r--. Sadrži potencijalno dijagnostičke podatke. Trebalo bi biti 600 kao ostali logovi.

  • 🟡 N8N backup fajlovi world-readable — 21 fajlova u /workspace/n8n-backups/ s dozvolama rw-rw-r--. Sadrže workflow definicije s potencijalnim API referencama. Trebalo bi biti 600 ili 640.

  • 🟢 OpenClaw verzija ažurna — Instalirana verzija 2026.3.13 = npm latest. Nema pending update-a.

  • 🟢 Disk i RAM zdravlje — Disk: 41GB/1TB (5% korišteno). RAM: 1.2GB/7.7GB korišteno, swap gotovo slobodan (1.6MB). Infrastruktura ima puno prostora.

  • 🟢 Portal zdravljehttp://localhost:8085/ odgovara s HTML (dark theme portal). Operativan.

  • 🟢 Credential store kompletnostcred --list pokazuje 15 credential unosa (dnevnik-upload, print, dahua, gmail, github PAT, hostinger, mikrotik, n8n, sql×3, tavily, telegram). Nema evidentnih nedostajućih.

Trend vs Prethodni Audit (T4 — nije rađen; referenca: T3 od 2026-03-15)

  • Novo pronađeno: private key permission bug (nije bio identificiran u T3). Kritičan nalaz.
  • Bez promjene: openclaw.json permission problem je strukturalan, vjerojatno od instalacije.
  • Poboljšanje: verzija je ažurna (T3 nije provjeravao), disk i RAM zdravi.

Top 3 Preporuke

  1. [KRITIČNO] Popraviti private.pem dozvolechmod 600 ~/.openclaw/workspace-matrix/auth-flow/backend/keys/private.pem — odmah, bez odgađanja.
  2. [VISOKO] Popraviti openclaw.json dozvolechmod 600 ~/.openclaw/openclaw.json — potencijalno eksponira konfiguraciju na multi-user sustavu.
  3. [SREDNJE] Telegram delivery monitoring — Noćni outage prošao je bez alarma. Razmotriti health-check cron koji detektira Telegram failure i šalje alternativni alert (npr. e-mail ili retry).