> ## Documentation Index
> Fetch the complete documentation index at: https://docs.axottle.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Модель прав

> Режимы поведения Axosun, обязательные подтверждения, доступ к Remnawave и пользователям, карточки разрешений и approval leases.

Права Axosun описываются одной политикой на установку. Политика редактируется в панели (раздел **Axosun** → вкладка **Политика**); для любого незаполненного поля применяется консервативное значение по умолчанию.

<Info>
  Для кого: администратор. Требуемые права: доступ к разделу Axosun панели с правом изменения политики.
</Info>

## Режимы поведения

| Режим                               | Эффект                                                                                                    |
| ----------------------------------- | --------------------------------------------------------------------------------------------------------- |
| `report_only`                       | Никаких действий — только отчёты. Деструктивные предложения модели отбрасываются в коде.                  |
| `suggest_actions`                   | Действия показываются, но никогда не выполняются без подтверждения.                                       |
| `ask_before_actions` (по умолчанию) | Каждое действие требует подтверждения оператора.                                                          |
| `auto_safe_actions`                 | Автоматически выполняется только канонический набор read-only действий; всё остальное — с подтверждением. |
| `custom`                            | Явный список разрешённого; всё, что не перечислено, запрещено.                                            |

Правила приоритета:

* список запрещённых действий сильнее списка разрешённых;
* требование подтверждения сильнее обоих списков;
* неизвестные имена действий молча отбрасываются при сохранении политики.

## Действия, которые всегда требуют подтверждения

Изменение firewall (`change_firewall`), перезапуск сервера (`restart_server`) и массовый перезапуск серверов (`bulk_restart_server`) невозможно ни запретить «в никуда», ни убрать из списка обязательных подтверждений: при каждой загрузке и сохранении политики панель принудительно возвращает их в набор подтверждаемых.

<Warning>
  Два действия запрещены полностью и не включаются даже в режиме `custom`: изменение параметров `sysctl` (`change_sysctl`) и установка пакетов (`install_packages`).
</Warning>

## Эксперименты с конфигурацией

Действия над конфигурацией Connection Units дополнительно ограничены отдельной настройкой:

| Значение                       | Эффект                                                                                                                                                       |
| ------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------ |
| `disabled`                     | Никаких действий с конфигурацией.                                                                                                                            |
| `draft_only` (по умолчанию)    | Создание и тестирование черновиков — да; продакшен — нет.                                                                                                    |
| `staging_only`                 | Черновики и staging.                                                                                                                                         |
| `production_with_confirmation` | Разрешены и продакшен-действия (применение черновика, применение сгенерированной конфигурации, изменение продакшен-маршрутизации) — каждое с подтверждением. |

## Доступ к Remnawave

Доступ ассистента к Remnawave управляется мастер-переключателем и каскадом под-переключателей:

| Настройка                                                 | По умолчанию                             |
| --------------------------------------------------------- | ---------------------------------------- |
| `enabled` — мастер-переключатель                          | **ВЫКЛ**                                 |
| `allow_read_only` — чтение                                | ВКЛ (не действует, пока выключен мастер) |
| `allow_sensitive_read` — чувствительное чтение            | ВЫКЛ                                     |
| `allow_write_actions` — записи                            | ВЫКЛ                                     |
| `allow_destructive_actions` — деструктивные операции      | ВЫКЛ                                     |
| `users_access_enabled` — доступ к пользователям           | **ВЫКЛ**                                 |
| `subscription_access_enabled` — доступ к подпискам        | ВЫКЛ                                     |
| `analytics_access_enabled` — аналитика                    | ВКЛ                                      |
| `events_access_enabled` — события                         | ВКЛ                                      |
| `redact_secrets` — вычистка секретов                      | ВКЛ                                      |
| `redact_user_personal_data` — скрытие персональных данных | ВКЛ                                      |
| `audit_enabled` — аудит вызовов                           | ВКЛ                                      |
| `max_users_returned` — максимум пользователей в выборке   | 100 (диапазон 1–1000)                    |
| `timeout_seconds` — таймаут запросов                      | 20 (диапазон 1–60)                       |
| `max_recursive_depth` — глубина обхода графа              | 4 (диапазон 1–8)                         |

Каскад отключений применяется при валидации политики:

* выключение мастер-переключателя принудительно выключает чувствительное чтение, записи, деструктивные операции, доступ к пользователям и подпискам;
* выключение чтения выключает чувствительное чтение и доступ к пользователям/подпискам;
* выключение записей выключает деструктивные операции.

**Доступ к пользователям** — отдельный переключатель, выключенный по умолчанию. Даже при его включении ассистент получает только счётчики и ограниченные, обезличенные образцы — см. [Данные и приватность](/ru/axosun/privacy).

<Note>
  Права перепроверяются в момент выполнения. Каждый инструмент Remnawave заново читает актуальные настройки перед вызовом, а деструктивные записи повторно проверяют разрешение на запись даже при уже выданной карточке разрешения: устаревшее разрешение не может обойти выключенную настройку.
</Note>

## Карточки подтверждения

Действие, требующее подтверждения, показывается оператору как карточка. Карточка содержит:

* **цели** — какие ноды/ресурсы затрагиваются, и охват операции;
* **риск** — уровень риска действия;
* **план проверки** — какая read-only валидация будет выполнена после действия;
* **подсказку отката** — как отменить эффект действия.

Где появляется карточка:

* в классическом режиме — в отчёте, действия подтверждаются или отклоняются после его получения;
* в агентном режиме — прямо в чате: запуск ставится на паузу до решения оператора.

Поведение карточки:

* **Подтверждение** выполняет действие по аудируемому пути, затем автоматически запускается read-only проверка результата.
* **Отклонение** возвращается ассистенту, и он корректно завершает работу без этого действия.
* **Таймаут** — если оператор не отвечает 15 минут, действие помечается как пропущенное, а ассистент получает уведомление о таймауте и продолжает без него.
* Подтверждение действия, запрещённого политикой, панель отклоняет с отказом в доступе.

## Approval leases — одобрение массовых операций

Чтобы не подтверждать каждую ноду отдельной карточкой, для семейств массовых операций (обновление агента, перезапуск WARP, массовое изменение firewall, массовый перезапуск серверов, вывод нод из ротации) можно выдать **approval lease** — одно одобрение на ограниченный объём и время:

* lease действует только внутри одного запуска;
* не более 200 целей;
* истекает через 10 минут;
* пока lease действует, однотипные вызовы по охваченным целям выполняются по обычному подтверждённому пути — валидация и аудит выполняются для каждого действия.

<Warning>
  Leases не переживают перезапуск панели: после рестарта ассистент вернётся к поштучным подтверждениям.
</Warning>

## Как изменить режим поведения

<Steps>
  <Step title="Откройте политику">
    Панель → **Axosun** → вкладка **Политика**.
  </Step>

  <Step title="Выберите режим">
    Установите нужный режим поведения (например, `report_only` для полностью пассивного ассистента).
  </Step>

  <Step title="Сохраните">
    Панель валидирует и нормализует политику: неизвестные действия отбрасываются, обязательные подтверждения и канал аудита восстанавливаются автоматически.
  </Step>
</Steps>

## Проверка

<Steps>
  <Step title="Сверьте политику">
    Панель → **Axosun** → вкладка **Политика**: проверьте режим, состояние мастер-переключателя Remnawave и под-переключателей.
  </Step>

  <Step title="Проверьте поведение">
    Попросите ассистента выполнить действие с подтверждением (например, перезапустить сервис на тестовом ноде) — должна появиться карточка подтверждения, а не немедленное выполнение.
  </Step>

  <Step title="Проверьте аудит">
    Изменение политики должно появиться в [журнале операций](/ru/panel/journal-and-audit).
  </Step>
</Steps>

<Check>Действие не выполняется без карточки подтверждения, а изменение политики зафиксировано в аудите.</Check>

## Откат

Чтобы вернуть безопасные значения по умолчанию:

1. Режим поведения → `ask_before_actions`.
2. Эксперименты с конфигурацией → `draft_only`.
3. Мастер-переключатель Remnawave → ВЫКЛ (каскадно выключит чувствительное чтение, записи, деструктивные операции и доступ к пользователям/подпискам).
4. Очистите пользовательские списки разрешённых/запрещённых действий, если задавали их в режиме `custom`.

Канал уведомлений `audit_log` удалить нельзя — панель автоматически возвращает его в политику.

## Ограничения и риски

* `auto_safe_actions` автоматически выполняет только канонический read-only набор — всё остальное всё равно попросит подтверждение.
* В режиме `custom` действует принцип «запрещено всё, что не разрешено явно».
* Просроченная карточка не выполняется задним числом — действие придётся запросить заново.

## Типовые ошибки

<AccordionGroup>
  <Accordion title="Подтверждение возвращает отказ в доступе">
    Действие запрещено текущей политикой (например, выключены записи в Remnawave). Проверьте вкладку **Политика** — права перепроверяются в момент выполнения, а не в момент выдачи карточки.
  </Accordion>

  <Accordion title="Карточка исчезла, действие помечено как пропущенное">
    Истёк таймаут ожидания (15 минут). Запросите действие у ассистента заново.
  </Accordion>

  <Accordion title="Массовая операция просит подтверждение по каждой ноде">
    Approval lease истёк (10 минут), исчерпан по объёму или панель была перезапущена. Выдайте новое одобрение на охват операции.
  </Accordion>
</AccordionGroup>

## Связанные страницы

* [Данные и приватность](/ru/axosun/privacy)
* [Предохранители](/ru/axosun/safety)
* [Журнал операций и аудит](/ru/panel/journal-and-audit)

<Note>Проверено для версии Axottle текущей ветки. Дата проверки: 2026-07-11.</Note>
