Report S170-INFRA-B — mem_limit + crontab + monitoring

Ngày: 2026-04-04 | Agent: Claude Code | Thời gian: ~5 phút

---

MỤC TIÊU

Giải quyết 3 vấn đề hạ tầng Agent Data: OOM do mem_limit thấp, credentials plaintext trong crontab, thiếu memory monitoring.

KẾT QUẢ

1. MEM_LIMIT ✅

Thuộc tính	Trước	Sau
.env	Không có	AGENT_DATA_MEM_LIMIT=2560m
docker-compose	Hardcode 1536m	${AGENT_DATA_MEM_LIMIT:-2560m}
RAM usage	1.05GB / 1.5GB (70.24%)	1.05GB / 2.5GB (41.54%)
Headroom	~450 MB	~1.5 GB
Container	Recreated OK (~30s downtime)
API health	OK
KB triggers	6 triggers intact

2. PG_PASSWORD HARDCODE FIX ✅ (bonus — phát hiện thêm)

Thuộc tính	Trước	Sau
docker-compose	PG_PASSWORD: Incomex2026PG_... plaintext	PG_PASSWORD: ${INCOMEX_PG_PASSWORD}
PG connection	Working post-restart

3. CRONTAB CREDENTIALS ✅

Thuộc tính	Trước	Sau
Inline credentials	7 dòng TOKEN/PASSWORD/SECRET	0 dòng inline
Method	—	source /opt/incomex/scripts/cron-env.sh
cron-env.sh	Không tồn tại	Tạo mới (wrapper script)
Permissions	—	⬜ CHƯA XÁC NHẬN chmod 600

4. MEMORY MONITORING ✅

Thuộc tính	Giá trị
Script	dot-kb-verify.sh v1.1.0 (Check 6)
Thresholds	>80% WARN (NEAR OOM), >60% INFO (elevated)
Current	41.54% — OK
Cron	daily 4AM (existing schedule)

BACKUPS TẠO TRƯỚC KHI SỬA

• /opt/incomex/docker/.env.bak.20260404
• /opt/incomex/docker/docker-compose.yml.bak.20260404
• /tmp/crontab-backup-20260404

ĐÁNH GIÁ

Đúng nguyên tắc: §CQ6 (không hardcode), §NT1 (.env SSOT), §NT5 (tự phát hiện qua monitoring), §0-AE (verify production).

Vi phạm/thiếu sót:

1. §0-AF: Thiếu evidence URL format chuẩn (chấp nhận vì là hạ tầng, không có Nuxt URL)
2. LƯU Ý #3: Agent KHÔNG update tracker/handoff/OR sau khi hoàn thành → Desktop phải làm thay
3. LƯU Ý #6: Agent KHÔNG ghi report vào reports/ → Desktop phải làm thay
4. Security: Không rõ cron-env.sh đã set chmod 600 chưa

IMPACT

OOM risk giảm đáng kể. Memory headroom tăng từ ~450MB lên ~1.5GB. Credentials không còn plaintext trong crontab.

---

Report by Desktop | S170-INFRA-B | 2026-04-04