Stand: 13.07.2026 | Gültig ab: sofort | Prüfzyklus: täglich 07:00 via Cron
active sein: gateway, webui, dashboard, paperclip, portal, auth, traefik, agentmemoryunless-stopped oder always sein/etc/nexifyai/credentials.env (600) oder /opt/nexifyai/.envno sein/etc/nexifyai/credentials.env MUSS 600 root:root sein/opt/nexifyai/.env DARF KEINE Keys im Klartext in Git/Logs/Backups enthaltenCUSTOM_PROVIDER_API_KEY MUSS in ALLEN 3 .env-Dateien gesetzt sein:
/opt/nexifyai/.env (gateway)/root/.hermes/.env (dashboard)/opt/nexifyai/repos/hermes-webui/.env (webui)davila7/claude-code-templates, 0xNyk/awesome-hermes-agent, langfuse/skillsskills-Sektion MUSS directories: [] + korrekte taps enthaltenhermes skills update im Health-Checkpg_dump ODER docker volume Referenzen enthalten (min. 2)cp config.yaml config.yaml.bak.$(date +%Y%m%d-%H%M%S)yaml.safe_load/yaml.safe_dumphermes config set (Bug v0.18.2 — zerstört Struktur)hermes-gateway ZUERST (TimeoutStopSec=90)hermes-webui + hermes-dashboard PARALLEL danachis-active = activekill <PID> → ss -tlnp | grep ':8000' verifizierennetwork_mode: host → auf Port-Exposure prüfenconfig.yaml prüfen dass KEIN api_key mehr drincurl -H "Authorization: Bearer $SECRET" localhost:3111/agentmemory/memories?type=...| # | Verbot | Grund |
|---|--------|-------|
| V1 | hermes config set <key> <value> | Zerstört config.yaml (Bug v0.18.2) |
| V2 | kill -9 auf agentmemory iii-Prozess | Korrumpiert state_store.db — Datenverlust |
| V3 | API-Keys in config.yaml speichern | Security-Leak, Credential-Scanner schlägt an |
| V4 | docker compose restart für Port-Änderungen | Wendet KEINE neuen Port-Bindings an — down+up nötig |
| V5 | systemctl restart chain mit && | degraded state bricht Kette — ; oder || true nutzen |
| V6 | cat/head/tail großer Dateien in terminal() | CCR-Kompression — read_file mit offset/limit nutzen |
| V7 | grep/rg/find/ls/sed/awk in terminal() | search_files/patch/write_file nutzen |
| V8 | Factory-Skills aus anderen Quellen laden | Quelle der Wahrheit = localhost:3100 |
| V9 | Rogue uvicorn auf 0.0.0.0:8000 ignorieren | Security-Leak — SOFORT killen |
| V10 | Credentials in Git/Logs/Backups committen | DSGVO-Verstoß — pre-commit hook check |
cron: nexifyai-healthcheck.timer
script: /opt/nexifyai/scripts/health-check.sh
checks:
- 8 Services active
- 7 HTTP 200
- 0 failed systemd units (außer snap.cups)
- Rogue uvicorn detection
- 0.0.0.0 Port-Audit
cron: 0 7 * * *
script: /opt/nexifyai/scripts/generate-digest.sh
checks:
- GDOK 5 Pflicht-Queries
- Backup-Freshness <25h
- TLS-Zertifikat >30 Tage
- Skill-Updates verfügbar?
- Disk >20% frei?
grep -rn --include="*.py" -E '(password|secret|api_key|token)\s*[:=]\s*["\x27][a-zA-Z0-9_\-]{8,}' \
/opt/nexifyai/ --exclude-dir=.venv --exclude-dir=node_modules --exclude-dir=__pycache__ \
| grep -v 'environ\|env\.\|os\.\|getenv\|Test'
/memories Endpointmount -o remount,rw / → Alarmdocker update --restart unless-stoppedfailed → systemctl reset-failed + restart| Stufe | Name | Prüfung |
|-------|------|---------|
| L1 | Lebend | systemctl is-active / docker ps / curl HTTP-Code |
| L2 | Marker | @NEXIFYAI-MARKER: in config.yaml/Dokumenten |
| L3 | Funktional | Login-Test, API-Endpoint-Test, GDOK-Query |
| Schwere | Bedingung | Aktion | |---------|-----------|--------| | 🔴 CRITICAL | Gateway down, DB korrupt, TLS abgelaufen | SOFORT fixen, Pascal benachrichtigen | | ⚠️ WARNING | Rogue-Prozess, Port-Leak, Backup >25h | Fixen innerhalb 1h, Log-Eintrag | | ℹ️ INFO | Skill-Update, Disk-Trend, Load-Spike | Nächster Wartungszyklus |
Gültigkeit: Bis nächste GDOK-Revision. Änderungen NUR via deepcode-director mit Queen-Mode-Planung.