本机与 Hermes 全面核查报告
系统状态正常
Hermes 服务运行中
外部页面 IP 锁已修复
VPS/IP 锁一致性一致
本轮已直接修复
| 项目 | 处理 | 验证 |
|---|---|---|
| 公开页面未加 IP 锁 | 为 long.loveason.com 与 chat.loveason.com 的 HTTPS location / 增加统一 managed VPS allowlist。 | nginx -t 通过;nginx 已 reload;本机访问返回 200。 |
| 派生 allowlist 不一致 | 从 home/report/nz/backup 相关配置移除过期 US 38.55.165.246,补齐当前 US 186.244.244.52 与 HKY 185.155.235.171。 | 活动 nginx 配置中不再 allowlist 过期 IP;主 inventory 与主 allowlist 差异为 0。 |
| HKB 缺失于 inventory | 将 HKB 47.76.157.133 写回 /root/.hermes/vps_inventory/inventory.json,与长期记忆和主 IP 锁保持一致。 | 当前 inventory 共 12 台,包含 HKB。 |
| Hermes profile 配置文件权限偏松 | 将 worker/network/news/sub 等 profile config.yaml 收紧为 600;备份在 /root/backups/hermes-config-perms-20260519-2220。 | 所有本地 Hermes profile config 均为 600。 |
| 持久记忆同步 | 已吸收并清空 /root/.hermes/HERMES_CHANGELOG_INBOX.md,同步长期记忆和系统手册。 | inbox 已清空;文档已更新。 |
系统环境
| 内核/架构 | Linux 6.17.0-1011-oracle,Ubuntu aarch64 |
|---|---|
| 运行时长 | 24 天 5 小时;当前负载 0.20, 0.17, 0.16 |
| 内存 | 23 GiB 总量,5.4 GiB 已用,18 GiB 可用;未配置 swap。 |
| 磁盘 | / 116G,已用 58G,使用率 50%。 |
| systemd | 0 failed units;核心服务均 active。 |
| nginx | 语法通过并已 reload。存在 低风险 protocol options redefined 警告,源于当前 nginx 版本的 listen/http2 写法兼容性,未阻止加载。 |
Hermes 与组件
| 组件 | 状态 | 证据/说明 |
|---|---|---|
| Master/default | active | hermes-gateway.service 以 --profile default 运行。 |
| Worker/Network/News/Health/Stock/Sub | active | 6 个 profile gateway systemd unit 均 active;监听 127.0.0.1:8642-8647。 |
| Hermes Web UI | active | 127.0.0.1:16060,nginx 暴露在 hermes.loveason.com 且 IP 锁;当前为 systemd gateway-owner 模式。 |
| CLIProxyAPI | active | 127.0.0.1:8317 正常监听;公网 /v1/ 有 IP 锁。 |
| Report Center | active | 127.0.0.1:5240;https://www.loveason.com/reports/ 本机访问 200。 |
| cctb-codex | active | 2026-05-19 已完成 auth 同步和服务重启恢复。 |
| TencentDB Agent Memory | 运行中 | Worker/Network/Stock/Health 启用,观测端口 8421/8420/8422/8423;均绑定本机。 |
| API server key | 观察项 | 各 profile API server 配置 key: "",但 host 为 127.0.0.1 且外部只经 Web UI/IP 锁访问;暂无公网裸露证据。 |
Hermes 配置逻辑性
- Master/default 与 Web UI 管理 profile 分离,Master 固定
--profile default,Web UI allowlist 为worker,network,health,news,stock,sub。 - Web UI 已启用
HERMES_WEB_UI_SYSTEMD_GATEWAY_OWNER=true,不再自行 spawn gateway 子进程;profile gateway 由 systemd 管理。 - 本地 profile 的 OpenAI-compatible 代理路径使用本机 CLIProxyAPI 基线;配置文件权限已统一收紧。
- 发现文档/inbox 对 TencentDB memory 的描述落后于实际:Network 也已启用。已更新长期记忆和系统手册。
对外展示页面与 IP 锁
| 域名/路径 | 状态 | 说明 |
|---|---|---|
www.loveason.com/, loveason.com/ | 公开主页 | 符合“除主页外”例外。 |
www.loveason.com 下管理/工具路径 | IP 锁 | cards/sub/panel/reports/yungen/home-admin/upload/image/gpt-image/openrouter/long/chat 等路径均有 include 或派生 allowlist。 |
hermes.loveason.com | IP 锁 | Web UI 与移动兼容 API 均 include 主 allowlist。 |
long.loveason.com | 已补锁 | 本轮为 location / 增加主 allowlist。 |
chat.loveason.com | 已补锁 | 本轮为 HTTPS app location / 增加主 allowlist;localhost 验证 vhost 不影响公网 DNS。 |
worker.loveason.com/v1/ | IP 锁 | API 路径 include 主 allowlist;根路径返回 404。 |
nz.loveason.com | IP 锁 | 派生 allowlist 已去除过期 US 并保留当前 managed VPS。 |
VPS 与 IP 锁一致性
| 节点 | IP | SSH 采样 | IP 锁 |
|---|---|---|---|
| JP | 64.118.144.182 | 连通 | 一致 |
| KR | 131.186.27.212 | 连通 | 一致 |
| USB | 161.153.95.69 | 连通 | 一致 |
| DE | 47.254.140.158 | 连通 | 一致 |
| HK | 82.158.88.91 | 连通 | 一致 |
| TK | 103.232.213.10 | 连通 | 一致 |
| AR | 129.146.59.53 | 本机 | 一致 |
| KRB | 161.118.130.5 | 连通 | 一致 |
| US | 186.244.244.52 | 连通 | 一致 |
| HKB | 47.76.157.133 | SSH 15 秒复测仍超时 | 一致 |
| HKA | 38.76.188.244 | 连通 | 一致 |
| HKY | 185.155.235.171 | 连通 | 一致 |
残余观察项
- HKB SSH 超时:inventory 与 IP 锁已一致,但节点
47.76.157.133本轮轻量 SSH 采样 15 秒复测仍超时,建议后续由 Network profile 做一次完整连通性/安全组/sshd 排查。 - nginx listen 警告:
nginx -t成功但仍提示 protocol options redefined。当前 nginx 不支持独立http2 on写法,不能直接迁移;该项不影响加载。 - profile API key 为空:因 API server 仅监听
127.0.0.1,当前风险可控;若未来经 nginx 公开 profile API,应先配置 key 或强制网关鉴权。