Geschützte Ressourcen & Bestätigungen
v1.0
·
Updated vor 5 Tagen
Geschützte Ressourcen & Bestätigungen
Zusätzlich zu den Scopes kennt jedes Profil zwei Arten geschützter Ressourcen, die für destruktive Aktionen ein getipptes Bestätigungs-Token verlangen:
| Eintrag | Schützt vor | Token |
|---|---|---|
critical_compose_projects | versehentlichem Stoppen/Aktualisieren wichtiger Stacks | --confirm=<project> |
protected_paths | versehentlichem Schreiben in heikle Pfade (z. B. /etc) | --confirm=<server> |
Beispiel-Profil:
## Protected Resources
- critical_compose_projects: db, monitoring
- protected_paths: /etc, /root/.sshDie Philosophie dahinter
Das Token macht die Absicht in der Befehlszeile sichtbar und schützt vor versehentlichen Läufen. Es ist ausdrücklich kein agentensicheres Gate — ehrlich betrachtet könnte ein Agent das Token selbst anhängen. Für nicht-interaktive Abläufe lässt sich die Bestätigung über die Umgebungsvariable FM_CONFIRM_CRITICAL=yes setzen.