ZimaOS веб-пароль сменён на сильный (закрыт публичный риск)

- CasaOS хранит пароль как чистый MD5 в /var/lib/casaos/db/user.db o_users
- смена через sudo sqlite3 UPDATE (API/CLI смены нет); старый отвергнут, новый ок
- alex-nas цел (SSH Linux отдельный, не менялся)

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>

projects/dttb/ai-assistant-pilot/credentials.md

@@ -138,13 +138,13 @@ status: active
 ## ZimaOS NAS — интеграция с Алексом (2026-06-01)
 
 «AI-NAS»: Алекс = интерфейс к домашнему NAS семьи.
-- **VM 100 «Zima»** на pve-147, **10.0.0.190** (8 ГБ, autoboot). Веб `http://10.0.0.190`, **SSH `admin` / `1qaz!QAZ`** (root SSH запрещён). API JWT `POST /v1/users/login`. SMB(445/139) + NFS(2049) + ttyd(7681).
+- **VM 100 «Zima»** на pve-147, **10.0.0.190** (8 ГБ, autoboot). Веб `http://10.0.0.190` / `https://zima.umnybot.ru`. **Веб/API логин: `admin` / `8FLnjg6kcpQKKKyvmW`** (сменён 2026-06-01, публичная панель). **SSH (Linux): `admin` / `1qaz!QAZ`** — ОТДЕЛЬНЫЙ, только LAN/NetBird (не публичный), его юзает `alex-nas`; root SSH запрещён, у admin есть sudo. API JWT `POST /v1/users/login`. SMB(445/139) + NFS(2049) + ttyd(7681).
 - Хранилище **`/DATA`** (114G, ~83G свободно). HDD **1.8TB `/dev/sdb` ещё НЕ проброшен** в ZimaOS (на будущее — disk-passthrough). Папки: `Documents`/`Gallery`/`Downloads`/`Backup` (777-доступ).
 - Доступ Алекса: **sshpass `admin@10.0.0.190`** (ключ не положить — home=`/DATA` root-owned, `.ssh` не создать). Инструмент **`alex-nas.sh`** (в allowlist, read-only).
 - ⚠️ **Кириллический поиск:** `find -iname` НЕ case-fold'ит кириллицу даже на `en_US.UTF-8` (и `C.UTF-8` не помог). Решение — список файлов с ZimaOS → фильтр через `python3 .lower()` на коробке (Unicode-aware). В `alex-nas.sh` так и сделано.
 - Проверено в TG: «сколько места на NAS, найди договор» → Алекс отвечает.
 - **Домен `zima.umnybot.ru`** (2026-06-01): A→`176.62.183.186` (Spaceweb editMain add), основной NPM **10.0.0.195** proxyhost **id31** → `http://10.0.0.190:80`, LE cert **id116** (до 30 авг 2026, websocket+force-SSL). Работает публично (200), серт LE valid. ⚠️ Грабли NPM v2.14: cert-create принимает только `meta:{}` (НЕ email/agree/dns_challenge — «additional properties»). На NPM коробки zima пока НЕ продублирован (отложено с внешним доступом).
-- 🔴 **БЕЗОПАСНОСТЬ (важно):** zima.umnybot.ru = ZimaOS-админка теперь В ОТКРЫТОМ ИНТЕРНЕТЕ с паролем `admin`/`1qaz!QAZ` — это вектор [[../../decisions/2026-05-20-benelux-compromise]] (брутфорс админки). НАДО до передачи/срочно: сменить пароль ZimaOS на сильный, ИЛИ закрыть NPM access-list'ом / увести только в NetBird. Сейчас открыто — флаг Олегу выставлен.
+- ✅ **БЕЗОПАСНОСТЬ (закрыто 2026-06-01):** веб-пароль ZimaOS сменён на сильный **`8FLnjg6kcpQKKKyvmW`**. CasaOS хранит пароль как **чистый MD5** в `/var/lib/casaos/db/user.db` таблица `o_users` (файл root:644 → правка `echo PASS | sudo -S sqlite3 ... "UPDATE o_users SET password='<md5>' WHERE username='admin'"`). API/CLI смены пароля НЕ нашлось (Bearer-токен отвергается 401, `casaos-cli user` только list, `zimaos-user -ru` опасен). Проверено: старый пароль отвергнут, новый логинится. Публичная панель больше не на `1qaz!QAZ`. SSH (Linux) остался `1qaz!QAZ` — но не публичен (LAN/NetBird), для продакшна тоже сменить.
 - **Дальше (roadmap AI-NAS):** RAG по содержимому документов (parse+index в pgvector); SMB-шара для загрузки файлов семьёй с телефонов/Mac; управление приложениями ZimaOS (через API+approval); passthrough HDD 1.8TB. Тестовые сэмплы в /DATA/Documents (Договор-аренды-2026, wifi-инструкция) — удалить перед передачей.
 
 ## Антошка стережёт Алекса — внешний мониторинг пилота (2026-05-31)