Sergio
d98a2b6b7c
Consolida PeerAllowlist + nueva denylist en un unico PeerPolicy con
allow + deny + hot reload via notify. Cubre los dos pendientes
documentados en el commit anterior y simplifica la API hacia un solo
punto de entrada.
API consolidada en brahman_handshake::peer_policy:
- PeerPolicy::open() — todo permitido (default).
- PeerPolicy::from_sets(allow, deny) — politica inline para tests.
- PeerPolicy::from_files(allow_path?, deny_path?) — carga ambos
archivos opcionales.
- PeerPolicy::evaluate(peer) -> Decision { Admit | DeniedByDenylist
| NotInAllowlist }. Decision lleva reason() para logging.
- PeerPolicy::reload() — recarga atomica desde paths asociados.
Si un archivo falla, conserva la version anterior (un typo no
baja la politica activa).
- PeerPolicy::spawn_watcher() -> JoinHandle — vigila los archivos
via notify, debounce 250ms (coalesce de eventos por save), recarga
atomica al detectar cambio.
Orden de evaluacion: deny-first.
1. peer in denylist -> DeniedByDenylist.
2. allowlist set y peer no in allowlist -> NotInAllowlist.
3. resto -> Admit.
Deny gana sobre allow (un peer en ambas es rechazado): la denylist
es la primitiva de "kill switch".
Watcher: vigila el directorio padre del archivo, no el archivo
mismo. Razon: editores tipicos hacen rename-and-replace que rompe
el watch del archivo pero no del dir. Filtra eventos por path al
procesar.
Wire en server: ServerConfig.allowlist -> ServerConfig.policy:
Option<PeerPolicy> (rename, scope local).
Wire en Arje (ente-zero): nueva env BRAHMAN_PEER_DENYLIST complementa
BRAHMAN_PEER_ALLOWLIST. setup_brahman_policy carga + spawn watcher
y devuelve (policy, JoinHandle) — el handle se conserva en main
para que el thread no aborte.
Activacion completa con todas las capas:
BRAHMAN_LISTEN_MULTIADDR=/ip4/0.0.0.0/tcp/4101 \\
BRAHMAN_PEER_ALLOWLIST=/etc/brahman/allow.txt \\
BRAHMAN_PEER_DENYLIST=/etc/brahman/deny.txt \\
ente-zero
# Editar deny.txt en caliente entra en efecto en ~250ms sin restart.
Tests: 10 unit en peer_policy (incluido watcher_reloads_on_file_change
con notify real) + 1 E2E nuevo libp2p_handshake_denylist_blocks_
listed_peer. 30 tests verdes en brahman-handshake. Sin regresion en
ente-zero.
Lo que cierra: politica completa (open/allow/deny/both), hot reload
sin restart, atomicidad de la recarga, resiliencia ante typos.
Pendientes futuros: aplicar policy a nivel de swarm via
libp2p_allow_block_list::Behaviour (rechazar antes del Noise
handshake), rotacion de keypair sin perder peer_id.
33 lines
1.2 KiB
Rust
33 lines
1.2 KiB
Rust
//! `brahman-handshake` — protocolo runtime Init↔módulo sobre Unix socket.
|
|
//!
|
|
//! Implementa la versión concreta de `shared_wit/protocol.wit` (handshake +
|
|
//! lifecycle): un servidor que vive en el Init (o un Admin proxy) y clientes
|
|
//! que son los módulos Brahman. Cada conexión arranca con un `Hello` que
|
|
//! lleva una [`brahman_card::Card`]; el servidor valida la Card, deriva el
|
|
//! [`TrustLevel`], emite un `HelloAck` con `session-id` ULID, y a partir de
|
|
//! ahí acepta `Ping`/`Farewell`.
|
|
//!
|
|
//! Wire format: frames length-prefixed (4 bytes LE) con cuerpo
|
|
//! [`postcard`]-codificado. Compacto, rápido y reversible.
|
|
//!
|
|
//! Esto NO es la implementación WIT/WASM (que generaría wit-bindgen). Es la
|
|
//! implementación nativa Rust↔Rust que cubre el caso común antes de que los
|
|
//! módulos WASM consuman el mismo contrato vía ABI generada.
|
|
|
|
#![forbid(unsafe_code)]
|
|
#![warn(rust_2018_idioms)]
|
|
|
|
pub mod codec;
|
|
pub mod messages;
|
|
pub mod server;
|
|
pub mod client;
|
|
pub mod network;
|
|
pub mod peer_policy;
|
|
pub mod signature;
|
|
pub mod transport;
|
|
|
|
pub use brahman_card::PROTOCOL_VERSION;
|
|
|
|
/// Versión del crate de handshake (independiente de `PROTOCOL_VERSION`).
|
|
pub const HANDSHAKE_VERSION: &str = env!("CARGO_PKG_VERSION");
|