Перейти к основному содержанию
Axottle хранит чувствительные данные — учётные данные провайдеров, токены интеграций, ключи доступа — в защищённом хранилище секретов с шифрованием на диске. В этом разделе описано, как устроено хранилище, зачем нужен мастер-ключ и какие бывают токены.
Для кого: администратор и SRE. Требуемые права: администратор панели; доступ к серверу для настройки мастер-ключа.

Хранилище секретов

Учётные данные сторонних сервисов (доступы к CDN-провайдерам, токены DNS, ключи доступа к хранилищу резервных копий, токены интеграций мониторинга) шифруются перед записью в базу данных и никогда не попадают в логи в открытом виде. Шифрование выполняется современным алгоритмом аутентифицированного шифрования. Для документации и эксплуатации важно одно: всё хранилище защищено единым мастер-ключом, который вы задаёте на сервере.

Мастер-ключ AXOTTLE_SECRET_KEY

Мастер-ключ задаётся переменной окружения AXOTTLE_SECRET_KEY на сервере панели.
В production обязательно задайте сильный случайный ключ. Если ключ не задан, используется небезопасное значение по умолчанию для разработки — оно недопустимо в боевой среде.
Сгенерировать надёжный ключ:
openssl rand -hex 32
Задайте его в файле окружения панели (/etc/axottle/axottle.env) и перезапустите сервис. Порядок безопасного изменения переменных — Конфигурация.
Смена мастер-ключа делает ранее сохранённые секреты нечитаемыми. Встроенного инструмента ротации мастер-ключа пока нет. Если ключ нужно сменить, после смены потребуется заново ввести все учётные данные провайдеров и интеграций. Планируйте это как обслуживаемую операцию.
Мастер-ключ используется не только хранилищем секретов, но и для шифрования резервных копий (когда оно включено). Часть функций (интеграции мониторинга, провайдеры) не запустится без заданного ключа и прямо сообщит об этом.

Служебные токены

Некоторые операции используют отдельные служебные токены. Сохраните показанный токен сразу после создания: повторно посмотреть его полностью нельзя.
ТокенПрефиксНазначениеУправление
Enrollment-токенaxe_Одноразовая регистрация нодыСоздаётся на странице ноды, срок 30 минут, отзыв вручную
Токен агентаaxa_Постоянные учётные данные агента нодыВыдаётся при регистрации, ротируется при повторной регистрации
Integration-токенaxt_Для будущих интеграцийСоздание/список/отзыв через панель
При создании токена панель показывает предупреждение «Сохраните этот токен — он больше не будет показан». Скопируйте его сразу в защищённое место. В списках отображается только короткий префикс, по которому токен можно узнать, но не восстановить.
Подробнее о токенах регистрации нод — Регистрация ноды.

Обращение с секретами

  • Считайте любой выданный токен полноценным секретом: храните в менеджере секретов, не коммитьте в репозитории, не пересылайте в открытых каналах.
  • Отзывайте токены, которые больше не нужны или могли быть скомпрометированы.
  • Для доступов провайдеров используйте выделенные ключи с минимально необходимыми правами — см. Провайдеры.

Проверка

AXOTTLE_SECRET_KEY задан сильным значением (не значение по умолчанию), сервис стартует без ошибок о недоступности ключа, а тест подключения провайдера/интеграции проходит успешно.

Откат

  • Скомпрометированный токен: отзовите его (для integration-токена — удалением, для enrollment/agent — отзывом или повторной регистрацией ноды) и при необходимости выпустите новый.
  • Учётные данные провайдера: удалите их в соответствующем разделе — запись в хранилище секретов при этом удаляется.
Проверено для версии Axottle текущей ветки. Дата проверки: 2026-07-11.