@cocorograph/hub-agent 0.5.24 → 0.5.26

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@cocorograph/hub-agent",
-  "version": "0.5.24",
+  "version": "0.5.26",
   "description": "Hub Hosted Cockpit のローカル常駐 agent。Hub と outbound WSS で接続し、ローカルの tmux/pty を中継する。",
   "type": "module",
   "license": "UNLICENSED",

package/scripts/install.sh

@@ -214,6 +214,183 @@ ensure_npm_user_prefix() {
   done
 }
 
+# =============================================================================
+# Node TLS 環境の自動修復
+#
+# 背景: npm install で `UNABLE_TO_GET_ISSUER_CERT_LOCALLY` が出る環境がある。
+# 原因は「node は OS の信頼ストアを使わず、自分にコンパイル時に焼き込まれた
+# CA リストだけで TLS 検証する」設計にある:
+#
+#   - curl は macOS Keychain (or /etc/ssl/certs) を使う → 通る
+#   - node はバンドル CA のみ → 通らない
+#
+# テナント環境では以下のいずれかで MITM 的な証明書差し替えが起きうる:
+#   - ウィルス対策ソフト (Sophos / Trend Micro / Norton / Symantec / Kaspersky 等)
+#   - 企業の SSL インスペクション proxy (ZScaler / Cloudflare WARP for Teams 等)
+#   - VPN クライアントによるトラフィック検査
+#   - 広告ブロッカー (NextDNS / AdGuard / 1.1.1.1 等)
+#   - 親会社配布のセキュリティアプリ
+#
+# どれもユーザー操作なしには検出しにくく、ユーザー自身も気づいていないことが多い。
+#
+# 対処: ユーザーが既に OS で信頼している CA バンドルを node にも渡せば、curl と
+# node の信頼ストアの乖離が解消する。`NODE_EXTRA_CA_CERTS` 環境変数を使えば
+# node のバンドル CA に「追加で」信頼する証明書を渡せる (バンドル CA を置き換える
+# わけではないので、通常環境への副作用はない)。
+#
+# 1. pre-flight check で node の TLS が通るかテスト
+# 2. 失敗時のみ、OS の信頼ストアを PEM に書き出して NODE_EXTRA_CA_CERTS にセット
+# 3. シェル profile (.zprofile / .bash_profile) にも追記して永続化
+# 4. 再テスト → ダメなら明確な日本語エラーガイドで終了
+# =============================================================================
+
+# node 側 TLS で npm registry に到達できるかテスト。成功で 0、失敗で 1。
+# stderr の最後の行を grep 用に echo するので、呼び出し側で原因種別を判定できる。
+_test_node_tls() {
+  if ! present node; then
+    return 1
+  fi
+  # node -e で出る ERR_TLS_CERT_ALTNAME_INVALID 等の他種別エラーは別途扱う必要が
+  # あるため戻り値だけで判定。stdout/stderr は呼び出し側で破棄してよい。
+  node -e "require('https').get('https://registry.npmjs.org/', r => { process.exit(r.statusCode >= 400 ? 1 : 0); }).on('error', e => { console.error(e.code || e.message); process.exit(1); });" 2>&1
+}
+
+# OS の信頼ストア (system / login keychain or /etc/ssl/certs) を PEM に書き出す。
+# 返り値: 成功なら 0 + ファイルパスを stdout に echo / 失敗なら 1。
+_export_os_ca_bundle() {
+  local out_pem="$HOME/.hub-agent-ca.pem"
+  case "$(uname -s)" in
+    Darwin)
+      # System.keychain には企業配布 CA や手動追加 CA、SystemRootCertificates.keychain
+      # には Apple 配布の標準 root CA が入っている。両方をマージ。
+      # `-p` で PEM 形式、`-a` で全件出力。pemcat に近い操作。
+      {
+        security find-certificate -a -p /Library/Keychains/System.keychain 2>/dev/null || true
+        security find-certificate -a -p /System/Library/Keychains/SystemRootCertificates.keychain 2>/dev/null || true
+      } > "$out_pem"
+      ;;
+    Linux)
+      # Debian/Ubuntu 系
+      if [[ -r /etc/ssl/certs/ca-certificates.crt ]]; then
+        cp /etc/ssl/certs/ca-certificates.crt "$out_pem"
+      # RHEL/CentOS/Fedora 系
+      elif [[ -r /etc/pki/tls/certs/ca-bundle.crt ]]; then
+        cp /etc/pki/tls/certs/ca-bundle.crt "$out_pem"
+      # SUSE 系
+      elif [[ -r /var/lib/ca-certificates/ca-bundle.pem ]]; then
+        cp /var/lib/ca-certificates/ca-bundle.pem "$out_pem"
+      else
+        return 1
+      fi
+      ;;
+    *)
+      return 1
+      ;;
+  esac
+  if [[ ! -s "$out_pem" ]]; then
+    rm -f "$out_pem"
+    return 1
+  fi
+  echo "$out_pem"
+}
+
+# シェル profile に `export NODE_EXTRA_CA_CERTS=...` を追記する。
+# 既に同じパス指定の export 行があればスキップ (idempotent)。
+_persist_node_extra_ca_certs() {
+  local ca_path="$1"
+  local snippet="export NODE_EXTRA_CA_CERTS=\"$ca_path\""
+  local marker="# >>> hub-agent: NODE_EXTRA_CA_CERTS (TLS fallback) >>>"
+  local end_marker="# <<< hub-agent: NODE_EXTRA_CA_CERTS <<<"
+  local target
+  for target in "$HOME/.zprofile" "$HOME/.bash_profile"; do
+    [[ -e "$target" ]] || touch "$target"
+    if grep -Fq "$snippet" "$target" 2>/dev/null; then
+      continue
+    fi
+    {
+      printf '\n%s\n' "$marker"
+      printf '%s\n' "$snippet"
+      printf '%s\n' "$end_marker"
+    } >> "$target"
+    color_ok "$target に NODE_EXTRA_CA_CERTS を追記"
+  done
+}
+
+# 「UNABLE_TO_GET_ISSUER_CERT_LOCALLY が出た時に何を確認すべきか」のガイド表示。
+# フォールバックも効かなかった最終手段ケース用。
+_print_tls_failure_guidance() {
+  # ヘッダーだけ printf で色付け。本文は cat <<EOF で複数行を読みやすく出す。
+  printf '\n\033[1;31m✗ node の TLS 検証が修復できませんでした。\033[0m\n'
+  cat <<EOF
+
+  curl は通るのに node だけ落ちる場合、お使いの Mac/PC に
+  HTTPS 通信を検査しているソフトが入っている可能性が高いです。
+  典型例:
+    - ウィルス対策ソフト (Sophos / Norton / Trend Micro / Symantec 等)
+    - 親会社配布のセキュリティアプリ
+    - SSL インスペクション機能つきの VPN クライアント
+    - 広告ブロッカー (NextDNS / 1.1.1.1 for Families / AdGuard 等)
+
+  以下のコマンドで「実際の証明書発行者」が見えます。
+  ここに表示される \`issuer\` が \`Let's Encrypt\` や \`DigiCert\` ではなく、
+  特定のソフト名 (ZScaler / Cocorograph / 製品名 等) なら、それが原因です:
+
+    node -e 'const t=require("tls");const s=t.connect(443,"registry.npmjs.org",{servername:"registry.npmjs.org",rejectUnauthorized:false},()=>{let c=s.getPeerCertificate(true);while(c&&Object.keys(c).length){console.log("issuer:",JSON.stringify(c.issuer));if(!c.issuerCertificate||c.issuerCertificate===c)break;c=c.issuerCertificate;}s.end();});'
+
+  暫定的に install を進めたい場合（自分の環境を信頼している前提）:
+
+    npm install -g $PACKAGE_NAME --strict-ssl=false
+    npm install -g $CLAUDE_CODE_PACKAGE --strict-ssl=false
+    hub-agent enroll <token> --hub-url <hub-url>
+    hub-agent install-service
+
+  詳細サポートは Hub の cockpit チャネルへ。
+
+EOF
+}
+
+# pre-flight TLS 検査 + 自動 fallback の本体。
+# main() から ensure_npm_user_prefix の直後で呼ぶ想定。
+ensure_node_tls_works() {
+  # Linux の中には node を持たない経路 (本スクリプトより前に node が入る) もあるので
+  # node が無ければスキップ (後段の ensure_global_install で別エラーになる)。
+  present node || return 0
+
+  color_step "node の TLS 検証を pre-flight check"
+
+  # ステップ 0: brew link 直後はシェル command hash に古い node/npm パスが残る
+  # ことがあるので、念のためクリアしてから検査する。
+  hash -r 2>/dev/null || true
+
+  if _test_node_tls >/dev/null 2>&1; then
+    color_ok "node TLS 検証 OK (registry.npmjs.org に到達可能)"
+    return 0
+  fi
+
+  color_warn "node TLS 検証失敗 → OS 信頼ストアから CA をエクスポートして再試行"
+
+  local ca_pem
+  if ! ca_pem=$(_export_os_ca_bundle); then
+    color_err "OS の信頼ストア (macOS Keychain / Linux ca-certificates) からの CA エクスポートに失敗"
+    _print_tls_failure_guidance
+    exit 1
+  fi
+  color_ok "$ca_pem に OS 信頼ストアの CA を書き出し ($(wc -l < "$ca_pem" | tr -d ' ') 行)"
+
+  export NODE_EXTRA_CA_CERTS="$ca_pem"
+  _persist_node_extra_ca_certs "$ca_pem"
+
+  # 再テスト
+  if _test_node_tls >/dev/null 2>&1; then
+    color_ok "node TLS 検証 OK (NODE_EXTRA_CA_CERTS=$ca_pem 経由)"
+    return 0
+  fi
+
+  color_err "OS 信頼ストアを渡しても node TLS 検証が通りません"
+  _print_tls_failure_guidance
+  exit 1
+}
+
 ensure_pkg() {
   local cmd="$1"
   local brew_pkg="$2"
@@ -371,6 +548,11 @@ main() {
   ensure_pkg tmux tmux tmux
   ensure_node_version
   ensure_npm_user_prefix
+  # ensure_node_version 直後だと brew link でシェルの command hash がズレている
+  # 場合があるため、prefix 設定後にまとめて TLS pre-flight check + 自動 fallback
+  # を行う。失敗時はガイダンス付きで exit するので、後段の npm install で TLS
+  # エラーを再度浴びる経路はカットされる。
+  ensure_node_tls_works
   ensure_global_install
   ensure_claude_code
   do_enroll

package/src/service-install.mjs

@@ -41,11 +41,43 @@ async function readTemplate(name) {
   return fs.readFile(p, "utf-8")
 }
 
+function escapeXmlText(s) {
+  // plist の <string> 中身を埋めるための最小エスケープ。
+  // パスに XML 特殊文字が入っているケースは現実にはほぼ無いが、念のため。
+  return String(s)
+    .replaceAll("&", "&amp;")
+    .replaceAll("<", "&lt;")
+    .replaceAll(">", "&gt;")
+}
+
 function expandTemplate(text, hubAgentBin) {
+  // hub-agent デーモンの runtime 環境に必須な追加 env を、各プラットフォームの
+  // 起動ファイル形式 (plist / systemd) に合わせて差し込むためのプレースホルダ展開。
+  //
+  // NODE_EXTRA_CA_CERTS: install.sh の TLS pre-flight で OS Keychain → PEM
+  // エクスポート経由で設定された場合 (e.g. MITM 環境)、シェル profile の export
+  // だけだと launchd / systemd には届かない。install-service 実行時の env に
+  // 残っている値を plist/unit に永続化する。未 set なら関連行を空に置換するので
+  // 通常環境への副作用はゼロ。
+  const nodeExtraCa = process.env.NODE_EXTRA_CA_CERTS || ""
+  let plistEntry = ""
+  let systemdLine = ""
+  if (nodeExtraCa) {
+    // plist 側: EnvironmentVariables dict の inside に <key>...</key><string>...</string>
+    // 2 行を追加 (インデント 4 スペースは既存 PATH/HOME と揃える)。末尾に \n を付けて
+    // テンプレートの "__...__\n" を綺麗に消費する。
+    plistEntry =
+      `    <key>NODE_EXTRA_CA_CERTS</key>\n` +
+      `    <string>${escapeXmlText(nodeExtraCa)}</string>\n`
+    // systemd 側: Environment=KEY=VALUE の 1 行。末尾 \n でテンプレ "__...__\n" を吸収。
+    systemdLine = `Environment=NODE_EXTRA_CA_CERTS=${nodeExtraCa}\n`
+  }
   return text
     .replaceAll("__HUB_AGENT_BIN__", hubAgentBin)
     .replaceAll("__HOME__", os.homedir())
     .replaceAll("__PATH__", process.env.PATH || "/usr/local/bin:/usr/bin:/bin")
+    .replaceAll("__NODE_EXTRA_CA_CERTS_PLIST_ENTRY__", plistEntry)
+    .replaceAll("__NODE_EXTRA_CA_CERTS_SYSTEMD_LINE__", systemdLine)
 }
 
 async function ensureDir(p) {

package/templates/co.cocorograph.hub-agent.plist

@@ -31,13 +31,21 @@
   <key>WorkingDirectory</key>
   <string>__HOME__</string>
 
+  <!--
+    EnvironmentVariables は launchd 起動時の env を完全に置き換える (ログイン
+    シェルや .zprofile の export を継承しない)。シェル profile に export した
+    cert 系 env 等を agent デーモンに届けるには plist に明示する必要がある。
+    下の placeholder 行は install-service 実行時に expandTemplate() が「env が
+    set されていれば NODE_EXTRA_CA_CERTS entry に、未 set なら空文字列に」展開する。
+    未 set 時は当該行ごと消えるので、通常環境への副作用はゼロ。
+  -->
   <key>EnvironmentVariables</key>
   <dict>
     <key>PATH</key>
     <string>__PATH__</string>
     <key>HOME</key>
     <string>__HOME__</string>
-  </dict>
+__NODE_EXTRA_CA_CERTS_PLIST_ENTRY__  </dict>
 
   <!-- KeepAlive で過剰再起動した時に 10 秒スロットルする -->
   <key>ThrottleInterval</key>

package/templates/hub-agent.service

@@ -5,9 +5,14 @@ Wants=network-online.target
 
 [Service]
 Type=simple
+# Environment は systemd ユニット起動時の env を明示指定する (ログインシェルや
+# .bashrc / .profile の export を継承しないため、agent デーモンに必要な env は
+# ここに書く必要がある)。下の placeholder 行は install-service 実行時に
+# expandTemplate() が「env が set されていれば Environment=NODE_EXTRA_CA_CERTS=...
+# 行に、未 set なら空文字列に」展開する。
 Environment=PATH=__PATH__
 Environment=HOME=__HOME__
-WorkingDirectory=__HOME__
+__NODE_EXTRA_CA_CERTS_SYSTEMD_LINE__WorkingDirectory=__HOME__
 ExecStart=__HUB_AGENT_BIN__ start
 Restart=always
 RestartSec=10