mirror of
https://github.com/Ed1s0nZ/CyberStrikeAI.git
synced 2026-07-10 22:33:48 +02:00
195 lines
3.5 KiB
Markdown
195 lines
3.5 KiB
Markdown
# 配置画像
|
|
|
|
[English](../en-US/configuration-profiles.md)
|
|
|
|
本文给出几套常用配置画像。它们不是完整 `config.yaml`,而是部署时最容易影响安全和可用性的关键段落。
|
|
|
|
## 本地开发画像
|
|
|
|
目标:方便调试,允许较多本地能力。
|
|
|
|
常用启动:
|
|
|
|
```bash
|
|
chmod +x run.sh && ./run.sh
|
|
```
|
|
|
|
```yaml
|
|
server:
|
|
host: 127.0.0.1
|
|
port: 8080
|
|
tls_enabled: true
|
|
tls_auto_self_sign: true
|
|
auth:
|
|
password: "dev-only-change-me"
|
|
audit:
|
|
enabled: true
|
|
retention_days: 7
|
|
c2:
|
|
enabled: false
|
|
multi_agent:
|
|
enabled: true
|
|
eino_skills:
|
|
filesystem_tools: true
|
|
```
|
|
|
|
适用:
|
|
|
|
- 本地功能开发。
|
|
- 调试前端和 Handler。
|
|
- 调试 Skills、本地文件工具。
|
|
|
|
不适用:
|
|
|
|
- 多人共享。
|
|
- 公网访问。
|
|
|
|
## 内网团队画像
|
|
|
|
目标:团队共享,保留审计,限制高风险能力。
|
|
|
|
```yaml
|
|
server:
|
|
host: 127.0.0.1
|
|
port: 8080
|
|
tls_enabled: false
|
|
auth:
|
|
password: "<long-random-password>"
|
|
audit:
|
|
enabled: true
|
|
retention_days: 30
|
|
monitor:
|
|
retention_days: 90
|
|
c2:
|
|
enabled: false
|
|
mcp:
|
|
enabled: false
|
|
hitl:
|
|
default_reviewer: human
|
|
tool_whitelist: [read_file, glob, grep, tool_search]
|
|
```
|
|
|
|
配合:
|
|
|
|
- Nginx/Traefik 终止 HTTPS。
|
|
- 反向代理 IP 白名单。
|
|
- 定期备份 `data/`。
|
|
|
|
## 只启用知识库画像
|
|
|
|
目标:把 CyberStrikeAI 作为知识增强助手,尽量关闭攻击面。
|
|
|
|
```yaml
|
|
c2:
|
|
enabled: false
|
|
mcp:
|
|
enabled: false
|
|
knowledge:
|
|
enabled: true
|
|
base_path: knowledge_base
|
|
retrieval:
|
|
top_k: 5
|
|
similarity_threshold: 0.4
|
|
multi_agent:
|
|
eino_skills:
|
|
filesystem_tools: false
|
|
```
|
|
|
|
建议:
|
|
|
|
- 角色只绑定知识库和只读工具。
|
|
- 禁用外部 MCP。
|
|
- 不保存真实客户敏感材料。
|
|
|
|
## 高审计生产画像
|
|
|
|
目标:生产红队或长期安全平台。
|
|
|
|
```yaml
|
|
auth:
|
|
password: "<managed-secret>"
|
|
session_duration_hours: 8
|
|
audit:
|
|
enabled: true
|
|
retention_days: 90
|
|
max_detail_bytes: 8192
|
|
monitor:
|
|
retention_days: 180
|
|
hitl:
|
|
default_reviewer: human
|
|
retention_days: 180
|
|
tool_whitelist: [read_file, glob, grep, tool_search]
|
|
c2:
|
|
enabled: false
|
|
multi_agent:
|
|
eino_callbacks:
|
|
enabled: true
|
|
mode: log_only
|
|
sse_trace_to_client: false
|
|
```
|
|
|
|
配合:
|
|
|
|
- 反向代理认证。
|
|
- 独立运行用户。
|
|
- 日志采集。
|
|
- 备份加密。
|
|
- 明确项目结束清理流程。
|
|
|
|
## C2 演练画像
|
|
|
|
目标:只在授权演练窗口临时启用 C2。
|
|
|
|
```yaml
|
|
c2:
|
|
enabled: true
|
|
hitl:
|
|
default_reviewer: human
|
|
tool_whitelist: [read_file, glob, grep, tool_search]
|
|
audit:
|
|
enabled: true
|
|
monitor:
|
|
retention_days: 180
|
|
```
|
|
|
|
操作要求:
|
|
|
|
- 演练前确认授权范围。
|
|
- Listener 端口和 Web 管理端口分离。
|
|
- 演练结束执行 C2 清理 Runbook。
|
|
- 结束后恢复 `c2.enabled: false`。
|
|
|
|
## 外部 MCP 自动化画像
|
|
|
|
目标:接入可信的内部工具服务。
|
|
|
|
```yaml
|
|
external_mcp:
|
|
servers: {}
|
|
multi_agent:
|
|
eino_middleware:
|
|
tool_search_enable: true
|
|
tool_search_min_tools: 20
|
|
hitl:
|
|
default_reviewer: audit_agent
|
|
tool_whitelist: [read_file, glob, grep, tool_search]
|
|
```
|
|
|
|
建议:
|
|
|
|
- 每个 MCP 工具都写清楚 schema。
|
|
- 高风险 MCP 工具不进白名单。
|
|
- stdio MCP 用独立工作目录。
|
|
- HTTP MCP 必须有认证。
|
|
|
|
## 画像选择决策
|
|
|
|
| 需求 | 选择 |
|
|
| --- | --- |
|
|
| 单人开发 | 本地开发画像 |
|
|
| 多人内网使用 | 内网团队画像 |
|
|
| 文档/知识问答 | 只启用知识库画像 |
|
|
| 长期生产平台 | 高审计生产画像 |
|
|
| 授权 C2 演练 | C2 演练画像 |
|
|
| 接内部工具平台 | 外部 MCP 自动化画像 |
|