feat: security audit fixes

start.sh

@@ -26,15 +26,10 @@ if [ "$ENV_MODE" != "600" ]; then
     chmod 600 .env
 fi
 
-# Logs dir для audit-log mount — container's app user is uid 1001
-mkdir -p logs
-chmod 750 logs
-# Если есть права — попытаться выставить нужный owner (требует sudo на host)
-if [ "$(stat -c %u logs 2>/dev/null)" != "1001" ]; then
-    chown 1001:1001 logs 2>/dev/null || echo "[INFO] chown logs 1001:1001 пропущен (нет прав; audit может не писаться)"
-fi
+# NOTE: logs/ директория НЕ нужна — audit-логи теперь в stdout (Docker logs).
+# Контейнер работает с read_only: true (см. docker-compose.yml).
 
-echo "[INFO] Building and starting containers..."
+echo "[INFO] Building and starting container..."
 docker compose up -d --build
 
 echo "[INFO] Waiting for API to become healthy..."
@@ -56,4 +51,4 @@ echo "  Перед публичным доступом → настрой revers
 echo "Health:                http://127.0.0.1:3001/api/health"
 echo "Docs:                  http://127.0.0.1:3001/api/docs"
 echo "Logs:                  docker compose logs -f api"
-echo "Audit:                 tail -f logs/audit.log"
+echo "Audit events:          docker compose logs api | grep '\"level\":\"audit\"'"