添加 Nezha Agent 管理功能和完整文档系统

- 新增 Nezha Agent client_secret 更新 playbook（两种实现方案） - 建立三层文档架构：docs/（用户文档）、examples/（配置示例）、llmdoc/（技术文档） - 添加项目主 README.md 和配置示例文件 - 初始化 .gitignore 保护敏感信息
2025-12-16 10:52:38 +08:00
parent f08326fec3
commit 167fad20eb
32 changed files with 2090 additions and 0 deletions
--- a/llmdoc/architecture/security-architecture.md
+++ b/llmdoc/architecture/security-architecture.md
@@ -0,0 +1,38 @@
+# 安全架构和权限管理
+
+## 1. 身份和目的
+
+- **定义**：基于 Ansible 的安全和权限管理系统
+- **目的**：通过精细的权限控制和安全机制，确保自动化部署的安全性
+
+## 2. 核心安全组件
+
+### 权限提升机制
+- **技术**：`become: yes`
+- **位置**：所有 Playbook（`xxxigcc_install.yaml`, `xxxigcc_uninstall.yaml`）
+- **功能**：使用 sudo 权限执行关键任务
+
+### 脚本下载安全
+- **证书验证**：`validate_certs: yes`
+- **文件权限**：`mode: '0755'`
+- **更新机制**：`force: yes` 和 `backup: yes`
+
+### 日志安全
+- **位置**：`journald_configure.yml`
+- **关键配置**：
+  - 限制日志总大小
+  - 防止日志炸弹攻击
+  - 日志保留策略
+
+## 3. 执行流程
+
+1. 权限申请：`become: yes`
+2. 安全下载：验证证书、限制权限
+3. 脚本执行：受限执行环境
+4. 日志记录：受控日志系统
+
+## 4. 设计原理
+
+- 最小权限原则
+- 安全防御性编程
+- 日志可审计性