From 97d0e3960eac35f45cfed4ace6caa715e2da9d35 Mon Sep 17 00:00:00 2001
From: hermes <hermes@ntu.edu.rs>
Date: Thu, 14 May 2026 21:03:48 +0800
Subject: [PATCH] Document installer env variables

---
 README.md | 21 ++++++++++++++++++++-
 1 file changed, 20 insertions(+), 1 deletion(-)

diff --git a/README.md b/README.md
index 6d87b21..69aaf98 100644
--- a/README.md
+++ b/README.md
@@ -22,7 +22,26 @@
 Repo 內提供：
 
 - `install.env.example`：給人類/agent 複製參考
-- `install.env`：空值 placeholder，可在安裝前填入 `INSTALL_VAULT_PASS_METHOD`、`VAULT_PASS_URL`、`VAULT_PASS_ZIP_PASSWORD_FILE` 等設定
+- `install.env`：空值 placeholder；安裝前先填入 vault-pass 來源設定
+
+常用變數說明：
+
+| 變數 | 用途 | 範例 |
+|---|---|---|
+| `VAULT_PASS_FILE` | 最後要產生/使用的 vault password file 路徑 | `$HOME/.config/vault-pass.txt` |
+| `INSTALL_VAULT_PASS_METHOD` | 指定安裝方式；可填 `create`、`manual`、`url`、`archive` | `url` |
+| `VAULT_PASS_URL` | 當 method=`url` 時，從這個 URL 下載 `vault-pass.txt` | `https://example.com/one-time/vault-pass.txt` |
+| `VAULT_PASS_ZIP_PASSWORD_FILE` | 當 method=`archive` 時，讀取 zip 密碼的本機檔案路徑；比直接寫密碼安全 | `/secure/path/zip-password.txt` |
+| `VAULT_PASS_ZIP_PASSWORD` | 當 method=`archive` 時，直接提供 zip 密碼；只適合安全 shell，不建議寫進可提交檔案 | `...` |
+| `VAULT_PASS_CONTENT` | 當 method=`manual` 時，直接提供 `vault-pass.txt` 內容；高風險，只適合受控環境 | `...` |
+| `VAULT_PASS_ARCHIVE` | 覆寫密碼保護 zip 的路徑；預設是 `secrets/vault-pass.txt.zip` | `/path/to/vault-pass.txt.zip` |
+
+安裝方式含義：
+
+- `create`：產生新的 vault password；只適合全新 vault，既有 vault 無法解密時不會自動覆蓋。
+- `manual`：由人類輸入或用 `VAULT_PASS_CONTENT` 提供 vault password 內容。
+- `url`：從 `VAULT_PASS_URL` 下載 `vault-pass.txt`；適合一次性 URL / 內網安全下載。
+- `archive`：從密碼保護 zip 解出 `vault-pass.txt`；密碼可放在 `VAULT_PASS_ZIP_PASSWORD_FILE` 或 `VAULT_PASS_ZIP_PASSWORD`。
 
 `install.env` 不應填入真實 secrets 後再 commit；若要保存本機私密設定，使用 `install.local.env` 並透過 `INSTALL_ENV_FILE=install.local.env` 指定。