Infrastructure

Оновлено: 2026-04-17

VPS

• IP: 31.131.26.203
• OS: Ubuntu 24.04
• Provider: HOSTiQ kVPS70 (Rotterdam)
• SSH: ssh root@31.131.26.203

GitHub Tokens

Назва	Token	Scopes	Expires
claude-server-vps	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	repo, workflow	No expiration
vps-ag-wiki	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	repo	May 14 2026

Git Setup на VPS

# Налаштувати git credentials з новим PAT
git config --global user.email "serhiivereschak@gmail.com"
git config --global user.name "Serhii Vereschak"

# Зберегти credentials
echo "https://serhiivereschak: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@github.com" > ~/.git-credentials
git config --global credential.helper store

# Клонувати всі проекти
cd /srv/services
for repo in ad-analytics biogaia-story family-tree loyalty-analysis plasma-skylab ruby-oort zest-content lunar-hubble pediatric-news; do
  git clone "https://serhiivereschak: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@github.com/serhiivereschak/$repo.git"
done

# Оновити ag-wiki
cd /srv/wiki && git pull

Services

Сервіс	URL / Path	Status
Caddy	/srv/caddy/Caddyfile	🟢
n8n	localhost:5678	🟢
Claude bot	systemd: claude-bot.service	🟢
ag-wiki	/srv/wiki/	🟢
claude-watchdog	/srv/services/claude-watchdog/watchdog.py	🟢 v2
Reports hub	/reports/ — FastAPI markdown-viewer на 127.0.0.1:8081	🟢
Perlite (Obsidian memory viewer)	/memory/ — docker-compose у /srv/perlite/, basic auth, read-only mirror	🟢 (2026-04-23)
Meta Ads toolkit	/srv/tools/meta-ads/ — скрипти аудиту кампаній	🟢 (2026-04-23)

Obsidian memory viewer (Perlite) — додано 2026-04-23

Ідея: веб-інтерфейс для перегляду нашої VPS memory (/root/.claude/projects/-/memory/) у стилі Obsidian. Read-only, з графом зв'язків і пошуком.

• URL: http://31.131.26.203/memory/ (basic auth: /srv/passepartout/obsidian-memory-access.txt)
• Стек: /srv/perlite/ — docker-compose (nginx + PHP-FPM sec77/perlite)
• Vault mirror: /srv/obsidian-vault/ (rsync з memory кожні 5 хв через cron)
• Caddy route: /etc/caddy/conf.d/memory.caddy + bcrypt basic auth
• Автогенерація metadata.json для графа: /srv/perlite/generate-metadata.py (сканує md-linky і wiki-linky, будує граф з 55 вузлів)
• Виключено з vault: MEMORY-PERSONAL, inbox-from-desktop, .git, службові

Далі (roadmap):

• [ ] Більше wiki-лінків [[]] всередині memory файлів щоб граф став насиченішим (зараз "зірка" з MEMORY у центрі)
• [ ] Рішення по read-write схемі (якщо Сергій захоче редагувати у Obsidian і щоб зміни поверталися — треба git sync-based варіант, зараз не розгорнутий)

Meta Ads toolkit — додано 2026-04-23

Програмний доступ до Meta Marketing API через власну app Deltamedical. Окремий проект: /srv/wiki/meta-ads-toolkit/.

Встановлене ПЗ (станом на 2026-04-17)

• Node.js v22.22.2, npm 10.9.7
• Bun 1.3.12
• Docker 29.4.0 + Docker Compose
• Claude Code 2.1.104 (Sonnet 4.6, Max subscription, OAuth auth)
• Gemini CLI 0.37.1 (Google AI Ultra for Business, OAuth auth)
• UFW (порти 22, 80, 443, 6080)
• Caddy 2 (Docker, reverse proxy)
• n8n latest (Docker, localhost:5678)
• fail2ban (з whitelist для 193.93.78.10)

Інцидент 2026-04-17 та Hardening

Root Cause

fail2ban заблокував IP 193.93.78.10 (домашній IP Сергія = egress IP Cowork sandbox). Причина: 4× "Failed password for root" при SSH-спробах о 08:32–08:34 UTC (maxretry=3, bantime=24h). fail2ban зберігає бани через persistent.bdb — бан пережив перезавантаження о 09:31 UTC.

Побічний ефект: Claude CLI polling завис у tmux-сесії (бот мовчав 15–17 квітня ~37 год), при цьому systemd вважав сервіс живим.

Після перезавантаження: Claude Code v2.1.112+ показує інтерактивний prompt "Enable auto mode?" → нова сесія бота блокувалась до натискання 1. Виправлено через watchdog v2.

Hardening (виконано 2026-04-17)

• jail.local → ignoreip = 127.0.0.1/8 ::1 193.93.78.10 — постійний whitelist нашого egress IP
• UFW re-enabled (правила: 22/tcp, 80/tcp, 443/tcp, 6080/tcp, 5001/tcp від 172.18.0.0/16)
• 50unattended-upgrades: Automatic-Reboot "false" — ядро більше не перезавантажується автоматично
• Watchdog v2 (/srv/services/claude-watchdog/watchdog.py): перевірка tmux-сесії + auto-mode unlock + cooldown 10 хв
• Telegram bot token ротовано через @BotFather /revoke (старий токен 401)
• ed25519 ключ sandbox доданий до /root/.ssh/authorized_keys (SHA256:tA5mTCBfdOkF+cCVO2h97Y6EMdxx76VqfyE+28+Cudg)

VNC Quirk (на майбутнє)

QEMU VNC mis-translates: _→-, >>→.., |→\. Shift+minus = _. Уникати складних команд через VNC.

Ще потребує дій (pending)

• [ ] Ротація root-пароля (старий проходив через чат)
• [ ] Ротація VNC-пароля в SolusVM panel
• [ ] Опціонально: третя ротація bot token без передачі токена через чат

GitHub Tokens

Назва	Scopes	Expires
claude-server-vps	repo, workflow	Без терміну
vps-ag-wiki	repo	14 травня 2026 ⚠️

⚠️ vps-ag-wiki спливає 14 травня 2026 — ~27 днів. Оновити до 1 травня.

Git Setup на VPS

git config --global user.email "serhiivereschak@gmail.com"
git config --global user.name "Serhii Vereschak"
git config --global credential.helper store
cd /srv/wiki && git pull

PAT зберігається в /root/.git-credentials та в remote URL wiki repo.