tawasuyu/brahman
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

feat(brahman-handshake+ente-zero): allowlist explicita de peers libp2p

Browse Source 
Capa de politica sobre el trust criptografico de Fase 3. Hasta ahora
cualquier peer Ed25519-valido pasaba el handshake remoto; con
allowlist activa, solo los peers explicitamente listados. Aplica
unicamente al path libp2p — el path Unix sigue usando SO_PEERCRED
del kernel.

API nueva en brahman_handshake::peer_allowlist:
- PeerAllowlist::from_iter / from_file con AllowlistError tipado.
- Formato del archivo: PeerId base58 por linea, # comentarios (linea
  entera o inline), lineas vacias ignoradas. Errores de parseo
  reportan numero de linea.
- is_allowed, len, is_empty, iter.

Wire en el server:
- ServerConfig.allowlist: Option<PeerAllowlist>. None = modo abierto
  (compat). Some = solo los listados.
- Gate en do_handshake ANTES de la verificacion de firma — la
  comparacion BTreeSet O(log n) es mas barata que crypto, asi que
  rechazamos peers invalidos antes de gastar ciclos.
- HandshakeError::Unauthorized("peer X no esta en la allowlist").

Wire en Arje (ente-zero):
- Env var BRAHMAN_PEER_ALLOWLIST apuntando a un archivo.
- setup_brahman_allowlist carga al startup; degrada a None si el
  archivo falla (doctrina PID 1: no romper por subsistemas
  opcionales).

Activacion end-to-end:
  BRAHMAN_LISTEN_MULTIADDR=/ip4/0.0.0.0/tcp/4101 \\
  BRAHMAN_PEER_ALLOWLIST=/etc/brahman/allowlist.txt \\
  ente-zero

Tests: 6 unit en peer_allowlist + 1 E2E en network_libp2p
(libp2p_handshake_allowlist_admits_listed_rejects_others). 25 tests
verdes en brahman-handshake. Sin regresion en ente-zero.

Pendientes: denylist explicita, hot reload via SIGHUP/watch, aplicar
politica a nivel de swarm via libp2p_allow_block_list::Behaviour
para rechazar ANTES del Noise handshake.
This commit is contained in:
Sergio
2026-05-09 15:27:15 +00:00
parent 2e6afd0973
commit 505748dd41
8 changed files with 425 additions and 1 deletions
Download Patch File Download Diff File Expand all files Collapse all files
CHANGELOG.md
+72
View File
@@ -6,6 +6,78 @@ ratio/diff ver `git show <sha>`.
## 2026-05-09
### feat(brahman-handshake+ente-zero): allowlist explícita de peers libp2p
Capa de política sobre el trust criptográfico de Fase 3. Hasta ahora
cualquier peer con keypair Ed25519 válida pasaba el handshake remoto;
con allowlist activa, sólo los peers explícitamente listados. Aplica
únicamente al path libp2p — el path Unix sigue usando SO_PEERCRED
del kernel, que es autenticación de proceso local, no de red.
API nueva en `brahman_handshake::peer_allowlist`:
- `PeerAllowlist::from_iter([peer_id, ...])` para tests/inline.
- `PeerAllowlist::from_file(path)` parsea texto plano: un PeerId
base58 por línea, `#` para comentarios (línea entera o inline),
líneas vacías ignoradas. Errores de parseo incluyen número de
línea para debug rápido.
- `is_allowed(peer)`, `len()`, `is_empty()`, `iter()`.
- `AllowlistError { Io, InvalidPeerId }`.
Wire en el server:
- `ServerConfig.allowlist: Option<PeerAllowlist>`. `None` = modo
abierto (compat con todo lo anterior). `Some` = sólo los listados.
- Gate en `do_handshake` ANTES de la verificación de firma — la
comparación O(log n) en BTreeSet es más barata que crypto, así
que rechazamos peers inválidos antes de gastar ciclos. Se devuelve
`HandshakeError::Unauthorized("peer X no está en la allowlist")`.
Wire en Arje (`ente-zero`):
- Nueva env var `BRAHMAN_PEER_ALLOWLIST` apuntando a un archivo.
- `setup_brahman_allowlist()` carga al startup; degrada a `None`
(modo abierto) si el archivo falla, consistente con la doctrina
PID 1 de no romper por subsistemas opcionales.
Ejemplo de archivo de allowlist:
```text
# Peers permitidos en la malla brahman de prod-eu-1
# Generados con: ente-zero (peer_id loggeado al arrancar)
12D3KooWFooBarBazFooBarBazFooBarBazFooBarBazFooBarBaz
12D3KooWQuxQuxQuxQuxQuxQuxQuxQuxQuxQuxQuxQuxQuxQuxQux # operador 2
```
Activación end-to-end:
```sh
BRAHMAN_LISTEN_MULTIADDR=/ip4/0.0.0.0/tcp/4101 \\
BRAHMAN_PEER_ALLOWLIST=/etc/brahman/allowlist.txt \\
ente-zero
```
Tests:
- 6 unit en `peer_allowlist::tests`: from_iter, parse limpio, parse
con comentarios inline, parse rechaza PeerId inválido (y reporta
número de línea), I/O error en archivo faltante, empty list
rechaza todo.
- 1 E2E en `network_libp2p.rs`:
`libp2p_handshake_allowlist_admits_listed_rejects_others`. A
configura `allowlist = [allowed_peer]`. Cliente con keypair
permitida pasa el handshake (sesión registrada, farewell limpio).
Segundo cliente con keypair distinta es rechazado con error
ANTES de que se le verifique la firma. Sanidad: el conteo de
sesiones del server queda en 0 tras el rechazo.
25 tests verdes en brahman-handshake (12 unit + 7 handshake legacy
+ 3 discovery + 3 libp2p). Ningún regreso en ente-zero (4/4
keypair_store).
Pendiente futuro:
- Denylist explícita (negada — banear peers específicos sin tener
que listar a todos los demás).
- Hot reload de la allowlist sin restart del Init (signal SIGHUP o
watch del archivo).
- Aplicar la política a nivel de swarm vía
`libp2p_allow_block_list::Behaviour` para rechazar conexiones
ANTES del Noise handshake (hoy se rechaza después, gastando un
round-trip TCP+Noise por cada intento denegado).
### feat(brahman-net+handshake): stop_providing automático en cleanup de sesión
Cierra el pendiente conocido del DHT: hasta ahora cuando una sesión
con outputs cerraba (Farewell, EOF, error), el record que la
crates/core/brahman-handshake/src/lib.rs
+1
View File
@@ -22,6 +22,7 @@ pub mod messages;
pub mod server;
pub mod client;
pub mod network;
pub mod peer_allowlist;
pub mod signature;
pub mod transport;
crates/core/brahman-handshake/src/peer_allowlist.rs
+198
View File
@@ -0,0 +1,198 @@
//! Allowlist explícita de `PeerId`s para el trust gate remoto.
//!
//! Capa de política sobre el trust criptográfico de Fase 3
//! (firma Ed25519 anclada al peer libp2p). Hoy cualquier peer con
//! keypair Ed25519 válida pasa el handshake; con allowlist activa,
//! sólo los peers explícitamente listados.
//!
//! Aplica únicamente al path libp2p — el path Unix sigue usando
//! `SO_PEERCRED` del kernel para autenticación local. Sin allowlist
//! configurada, comportamiento abierto (compatible con todo lo
//! anterior).
//!
//! ## Formato del archivo
//!
//! Texto plano, una entrada por línea:
//! - `PeerId` en formato base58 (canónico de libp2p, lo que muestra
//! `peer_id.to_string()` y lo que aparece en multiaddrs `/p2p/...`).
//! - Líneas vacías y líneas que empiezan con `#` se ignoran.
//!
//! Ejemplo:
//!
//! ```text
//! # allowlist brahman para máquina prod-eu-1
//! 12D3KooWFooBarBazFooBarBazFooBarBazFooBarBazFooBarBaz
//! # operador secundario
//! 12D3KooWQuxQuxQuxQuxQuxQuxQuxQuxQuxQuxQuxQuxQuxQuxQux
//! ```
use std::collections::BTreeSet;
use std::path::Path;
use brahman_net::PeerId;
/// Política de admisión por `PeerId` para conexiones libp2p.
///
/// **Nota**: la allowlist sólo se evalúa cuando el server tiene
/// `expected_peer = Some(...)` (path libp2p). El path Unix la
/// ignora — autenticación local va por SO_PEERCRED.
#[derive(Debug, Clone)]
pub struct PeerAllowlist {
allowed: BTreeSet<PeerId>,
}
#[derive(Debug, thiserror::Error)]
pub enum AllowlistError {
#[error("leer allowlist en {path}: {source}")]
Io {
path: std::path::PathBuf,
#[source]
source: std::io::Error,
},
#[error("línea {line_no} de {path}: PeerId inválido '{value}'")]
InvalidPeerId {
path: std::path::PathBuf,
line_no: usize,
value: String,
},
}
impl PeerAllowlist {
/// Construye una allowlist a partir de un iterable de `PeerId`s.
/// Útil para tests o para listas hardcodeadas.
pub fn from_iter<I>(peers: I) -> Self
where
I: IntoIterator<Item = PeerId>,
{
Self {
allowed: peers.into_iter().collect(),
}
}
/// Carga la allowlist desde un archivo. Cada línea no-vacía y no
/// comentario debe ser un `PeerId` parseable. Errores incluyen
/// el número de línea para facilitar el debug.
pub fn from_file(path: impl AsRef<Path>) -> Result<Self, AllowlistError> {
let path = path.as_ref();
let contents = std::fs::read_to_string(path).map_err(|e| AllowlistError::Io {
path: path.to_path_buf(),
source: e,
})?;
let mut allowed = BTreeSet::new();
for (idx, raw) in contents.lines().enumerate() {
let line_no = idx + 1;
let trimmed = raw.split('#').next().unwrap_or("").trim();
if trimmed.is_empty() {
continue;
}
let peer = trimmed
.parse::<PeerId>()
.map_err(|_| AllowlistError::InvalidPeerId {
path: path.to_path_buf(),
line_no,
value: trimmed.to_string(),
})?;
allowed.insert(peer);
}
Ok(Self { allowed })
}
/// Indica si `peer` está en la lista. Si la lista está vacía,
/// devuelve `false` (la "lista vacía" no es lo mismo que "sin
/// política" — para sin política, no construyas un `PeerAllowlist`
/// y dejá `ServerConfig.allowlist = None`).
pub fn is_allowed(&self, peer: &PeerId) -> bool {
self.allowed.contains(peer)
}
/// Cantidad de peers en la lista. Útil para logs.
pub fn len(&self) -> usize {
self.allowed.len()
}
/// `true` si no hay ningún peer en la lista.
pub fn is_empty(&self) -> bool {
self.allowed.is_empty()
}
/// Itera los `PeerId`s permitidos en orden determinístico.
pub fn iter(&self) -> impl Iterator<Item = &PeerId> {
self.allowed.iter()
}
}
#[cfg(test)]
mod tests {
use super::*;
use brahman_net::Keypair;
use tempfile::TempDir;
fn fresh_peer() -> PeerId {
Keypair::generate_ed25519().public().to_peer_id()
}
#[test]
fn from_iter_and_is_allowed() {
let p1 = fresh_peer();
let p2 = fresh_peer();
let p3 = fresh_peer();
let list = PeerAllowlist::from_iter([p1, p2]);
assert!(list.is_allowed(&p1));
assert!(list.is_allowed(&p2));
assert!(!list.is_allowed(&p3));
assert_eq!(list.len(), 2);
}
#[test]
fn from_file_parses_clean() {
let p1 = fresh_peer();
let p2 = fresh_peer();
let tmp = TempDir::new().unwrap();
let path = tmp.path().join("allow.txt");
let content = format!(
"# header comment\n\n{}\n # indented comment ignored\n{}\n\n",
p1, p2
);
std::fs::write(&path, content).unwrap();
let list = PeerAllowlist::from_file(&path).unwrap();
assert_eq!(list.len(), 2);
assert!(list.is_allowed(&p1));
assert!(list.is_allowed(&p2));
}
#[test]
fn from_file_supports_inline_comment() {
let p1 = fresh_peer();
let tmp = TempDir::new().unwrap();
let path = tmp.path().join("allow.txt");
let content = format!("{} # operador foo\n", p1);
std::fs::write(&path, content).unwrap();
let list = PeerAllowlist::from_file(&path).unwrap();
assert!(list.is_allowed(&p1));
}
#[test]
fn from_file_rejects_invalid_peer_id() {
let tmp = TempDir::new().unwrap();
let path = tmp.path().join("bad.txt");
std::fs::write(&path, "not-a-real-peer-id\n").unwrap();
let err = PeerAllowlist::from_file(&path).unwrap_err();
match err {
AllowlistError::InvalidPeerId { line_no, .. } => assert_eq!(line_no, 1),
other => panic!("wrong error: {other:?}"),
}
}
#[test]
fn from_file_missing_returns_io_error() {
let err = PeerAllowlist::from_file("/no/such/path/allow.txt").unwrap_err();
assert!(matches!(err, AllowlistError::Io { .. }));
}
#[test]
fn empty_list_rejects_everything() {
let list = PeerAllowlist::from_iter(std::iter::empty());
assert!(list.is_empty());
assert!(!list.is_allowed(&fresh_peer()));
}
}
crates/core/brahman-handshake/src/server.rs
+28
View File
@@ -57,6 +57,13 @@ pub struct ServerConfig {
/// locales (lo cual es correcto cuando no hay conectividad o no
/// se desea exponer al exterior).
pub net: Option<Arc<BrahmanNet>>,
/// Política de admisión de peers libp2p. Si está presente, el
/// trust gate del path libp2p exige además que el `peer_id`
/// autenticado por Noise esté en la lista. `None` → modo abierto
/// (cualquier peer Ed25519-válido pasa, comportamiento de Fase 3
/// sin restricción adicional). El path Unix la ignora — la
/// allowlist es a nivel libp2p, no de filesystem.
pub allowlist: Option<crate::peer_allowlist::PeerAllowlist>,
}
// Manual Debug porque BrahmanNet no implementa Debug (libp2p Swarm
@@ -67,6 +74,7 @@ impl std::fmt::Debug for ServerConfig {
.field("init_attached", &self.init_attached)
.field("broker", &self.broker.as_ref().map(|_| "<broker>"))
.field("net", &self.net.as_ref().map(|_| "<net>"))
.field("allowlist", &self.allowlist.as_ref().map(|a| a.len()))
.finish()
}
}
@@ -540,6 +548,26 @@ where
return Ok(None);
}
// Allowlist gate (path libp2p): si está configurada, el peer
// autenticado por Noise debe estar en la lista. Se chequea
// ANTES de la firma porque es comparación O(log n) sin crypto
// — ahorra ciclos contra peers no permitidos. La allowlist no
// se aplica al path Unix (autenticación por SO_PEERCRED, no
// por libp2p PeerId).
if let (Some(peer), Some(allowlist)) = (expected_peer, &config.allowlist) {
if !allowlist.is_allowed(&peer) {
write_frame(
stream,
&Frame::Error(HandshakeError::Unauthorized(format!(
"peer {peer} no está en la allowlist"
))),
)
.await?;
debug!(peer = %peer, "rechazado por allowlist");
return Ok(None);
}
}
// Trust gate: en path libp2p (expected_peer = Some), exigir
// firma cuya public key derive al peer autenticado por Noise.
// En path Unix (expected_peer = None), si la firma viene se
crates/core/brahman-handshake/tests/handshake.rs
+4 -1
View File
@@ -58,7 +58,7 @@ fn sock_path(name: &str) -> std::path::PathBuf {
#[tokio::test]
async fn full_handshake_roundtrip() {
let path = sock_path("happy");
let server = Server::bind(&path, ServerConfig { init_attached: true, broker: None, net: None }).unwrap();
let server = Server::bind(&path, ServerConfig { init_attached: true, broker: None, net: None, allowlist: None }).unwrap();
let session_handle = tokio::spawn({
async move {
@@ -195,6 +195,7 @@ async fn broker_registers_and_unregisters_with_session() {
init_attached: false,
broker: Some(broker.clone()),
net: None,
allowlist: None,
},
)
.unwrap();
@@ -238,6 +239,7 @@ async fn broker_matches_two_live_modules() {
init_attached: false,
broker: Some(broker.clone()),
net: None,
allowlist: None,
},
)
.unwrap();
@@ -314,6 +316,7 @@ async fn match_event_pushed_on_producer_arrival() {
init_attached: false,
broker: Some(broker.clone()),
net: None,
allowlist: None,
},
)
.unwrap();
crates/core/brahman-handshake/tests/network_discovery.rs
+3
View File
@@ -85,6 +85,7 @@ async fn dht_discovery_finds_remote_provider() {
init_attached: true,
broker: Some(a_broker.clone()),
net: Some(a_net.clone()), // ← clave Fase 2: anuncia al DHT
allowlist: None,
},
)
.unwrap(),
@@ -171,6 +172,7 @@ async fn dht_discovery_negative_unknown_flow() {
init_attached: true,
broker: Some(a_broker),
net: Some(a_net.clone()),
allowlist: None,
},
)
.unwrap(),
@@ -249,6 +251,7 @@ async fn dht_discovery_withdraws_on_session_cleanup() {
init_attached: true,
broker: Some(a_broker),
net: Some(a_net.clone()),
allowlist: None,
},
)
.unwrap(),
crates/core/brahman-handshake/tests/network_libp2p.rs
+79
View File
@@ -19,6 +19,7 @@ use brahman_card::{
CARD_SCHEMA_VERSION,
};
use brahman_handshake::network::{connect_libp2p, run_libp2p_accept_loop};
use brahman_handshake::peer_allowlist::PeerAllowlist;
use brahman_handshake::server::{Server, ServerConfig};
use brahman_net::{BrahmanNet, Keypair, Multiaddr, PeerId, Protocol};
use tempfile::TempDir;
@@ -56,6 +57,7 @@ async fn libp2p_handshake_roundtrip() {
init_attached: true,
broker: Some(broker.clone()),
net: None,
allowlist: None,
},
)
.unwrap(),
@@ -134,6 +136,7 @@ async fn libp2p_handshake_rejects_mismatched_signing_key() {
init_attached: true,
broker: None,
net: None,
allowlist: None,
},
)
.unwrap(),
@@ -168,3 +171,79 @@ async fn libp2p_handshake_rejects_mismatched_signing_key() {
let s = sessions.lock().await;
assert_eq!(s.len(), 0, "no debería haber sesión registrada");
}
/// Allowlist gate: A configura `allowlist = [client_authorized_peer]`.
/// Un cliente con peer_id en la lista pasa el handshake; otro con
/// peer_id distinto es rechazado con `Unauthorized` ANTES de la
/// verificación de firma (la allowlist se chequea primero, es más
/// barata).
#[tokio::test(flavor = "multi_thread", worker_threads = 4)]
async fn libp2p_handshake_allowlist_admits_listed_rejects_others() {
// Pre-generamos las dos identidades cliente para que A pueda
// construir la allowlist conociendo cuál es la "permitida".
let allowed_kp = Keypair::generate_ed25519();
let allowed_peer = allowed_kp.public().to_peer_id();
let denied_kp = Keypair::generate_ed25519();
// (denied_peer no se necesita para la lista — sólo para clarity)
let _ = denied_kp.public().to_peer_id();
// ---- Server con allowlist activa ----
let tmp = TempDir::new().unwrap();
let unix_socket = tmp.path().join("brahman-init.sock");
let server = Arc::new(
Server::bind(
&unix_socket,
ServerConfig {
init_attached: true,
broker: None,
net: None,
allowlist: Some(PeerAllowlist::from_iter([allowed_peer])),
},
)
.unwrap(),
);
let sessions = server.sessions();
let server_net = Arc::new(BrahmanNet::new().unwrap());
let server_peer = server_net.peer_id;
let actual = server_net.listen("/ip4/127.0.0.1/tcp/0".parse().unwrap()).await;
let mut full = actual.clone();
full.push(Protocol::P2p(server_peer));
tokio::spawn(run_libp2p_accept_loop(server.clone(), server_net.clone()));
// ---- Cliente PERMITIDO ----
let allowed_net = BrahmanNet::with_keypair(allowed_kp.clone()).unwrap();
allowed_net.dial(full.clone());
tokio::time::sleep(Duration::from_millis(200)).await;
let card_ok = sample_card("test.allowed");
let mut allowed_client = connect_libp2p(&allowed_net, server_peer, card_ok, None, &allowed_kp)
.await
.expect("peer en allowlist debe pasar");
{
let s = sessions.lock().await;
assert_eq!(s.len(), 1, "sesión del peer permitido registrada");
}
allowed_client.farewell().await.ok();
tokio::time::sleep(Duration::from_millis(100)).await;
// ---- Cliente DENEGADO ----
let denied_net = BrahmanNet::with_keypair(denied_kp.clone()).unwrap();
denied_net.dial(full.clone());
tokio::time::sleep(Duration::from_millis(200)).await;
let card_no = sample_card("test.denied");
let result = connect_libp2p(&denied_net, server_peer, card_no, None, &denied_kp).await;
assert!(
result.is_err(),
"peer fuera de allowlist debe ser rechazado, got: {:?}",
result.is_ok()
);
{
let s = sessions.lock().await;
assert_eq!(s.len(), 0, "ninguna sesión adicional registrada tras intento denegado");
}
}
crates/core/ente-zero/src/main.rs
+40
View File
@@ -168,6 +168,12 @@ async fn primordial_loop(
// reboots).
let brahman_net = setup_brahman_net(dev_mode).await;
// Allowlist opcional de peers libp2p: si BRAHMAN_PEER_ALLOWLIST
// apunta a un archivo, cualquier handshake remoto requiere que
// su peer_id esté en la lista. Sin la env, modo abierto (todo
// peer Ed25519-válido pasa el trust gate de Fase 3).
let brahman_allowlist = setup_brahman_allowlist();
let brahman_sock = brahman_handshake::transport::default_socket_path();
match brahman_handshake::server::Server::bind(
&brahman_sock,
@@ -175,6 +181,7 @@ async fn primordial_loop(
init_attached: true,
broker: Some(brahman_broker.clone()),
net: brahman_net.clone(),
allowlist: brahman_allowlist.clone(),
},
) {
Ok(server) => {
@@ -698,3 +705,36 @@ async fn setup_brahman_net(
Some(net)
}
/// Carga la allowlist de peers libp2p desde el archivo apuntado por
/// `BRAHMAN_PEER_ALLOWLIST`. Sin la env, devuelve `None` (modo abierto:
/// cualquier peer Ed25519-válido pasa el trust gate). Si la env está
/// pero el archivo falla, loggea y degrada a None — la doctrina PID 1
/// de no romper por subsistemas opcionales se mantiene.
fn setup_brahman_allowlist() -> Option<brahman_handshake::peer_allowlist::PeerAllowlist> {
let path = match std::env::var("BRAHMAN_PEER_ALLOWLIST") {
Ok(s) if !s.is_empty() => s,
_ => {
tracing::debug!("BRAHMAN_PEER_ALLOWLIST no set — modo abierto (todo peer pasa)");
return None;
}
};
match brahman_handshake::peer_allowlist::PeerAllowlist::from_file(&path) {
Ok(list) => {
info!(
path = %path,
peers = list.len(),
"allowlist de peers libp2p cargada"
);
Some(list)
}
Err(e) => {
warn!(
path = %path,
?e,
"BRAHMAN_PEER_ALLOWLIST inválido — degradando a modo abierto (sin restricción)"
);
None
}
}
}