Monitor napisany w Pythonie, który działa na Twoim serwerze, sprawdza 12 rzeczy co 4 godziny i odzywa się tylko wtedy, gdy coś naprawdę wymaga uwagi. Wciśnij powiadomienie na telefonie, a aktualizacja bezpieczeństwa zainstaluje się sama. Bez logowania przez SSH. Całość uruchamiamy za Ciebie.
Wdrożenie na Twoim serwerze: admin@belikebee.com
Dwanaście sprawdzeń, wszystkie oparte na standardowych narzędziach Linuksa, które już
znasz: apt, systemctl, openssl, dig,
fail2ban-client, AIDE. Jeden systemowy timer uruchamia je co cztery godziny.
Żadnych agentów, żadnych zewnętrznych usług w chmurze, żadnej telemetrii. Z serwera nie
wypływa nic poza tym, na co świadomie skierujesz kanał powiadomień.
-security traktuje priorytetowo.
CRITICAL przy bezpieczeństwie
MemAvailable z /proc/meminfo.
WARN <500 MB
systemctl is-active dla każdej jednostki oznaczonej jako krytyczna.
CRITICAL gdy padnie
:latest w rejestrze, wykrywa przestarzałe kontenery.
INFO gdy nieaktualny
/etc, /usr, /bin; wykrywa podmianę plików binarnych i konfiguracji.
CRITICAL przy zmianach
Każde sprawdzenie to jeden plik Pythona: zwięzły, czytelny kod. Potrzebujesz sprawdzenia dopasowanego do Twojej infrastruktury? Dodajemy je w ramach usługi.
Wszystkie kanały działają równolegle i dzielą jeden stan: gdy uciszysz sprawdzenie w aplikacji mobilnej, Telegram też przestanie o nim przypominać. Wybierz to, co pasuje do chwili.
/runnow, /status, /clearignoresSECURITY: opensslSECURITY: libssl3
Bot Telegrama. Te same przyciski trafiają do aplikacji mobilnej jako powiadomienia push.
Panel webowy na Twoim serwerze pod api.watchlog.pl. Jedna karta na wszystkie serwery.
Natywna aplikacja we Flutterze. Sparuj jednym skanem kodu QR i naprawiaj prosto z ekranu blokady.
watchlog wykrywa, a unattended-upgrades instaluje. Oba są sprawdzone w boju,
oba są częścią Ubuntu, oba działają jako timery systemd. Łączymy je raz, a pętla zamyka się
sama: od chwili wydania poprawki przez Ubuntu aż po w pełni zaktualizowany serwer, bez ani
jednej sesji SSH.
Nowa paczka pojawia się w gałęzi -security. Serwery lustrzane zwykle synchronizują się w ciągu 30 minut.
apt list --upgradable-security/status.json zaktualizowany dla zewnętrznych monitorówUsługa uruchamia unattended-upgrade -v, wynik komendy wraca prosto na czat lub do aplikacji, a samo działanie trafia do dziennika zdarzeń. Z kanapy, w kilka sekund, z potwierdzeniem biometrycznym po stronie aplikacji.
-securityNajwyższy poziom ważności wraca do OK lub INFO. Wątek powiadomień zamyka się sam. Bez ponaglających e-maili, bez codziennego zalewu podsumowań.
Za każdym działaniem bota Telegrama i aplikacji mobilnej stoi udokumentowany punkt końcowy FastAPI. Usługa nasłuchuje na localhoście, TLS kończysz na swoim nginxie lub Caddym, a watchloga integrujesz z czymkolwiek, co mówi po HTTP. Pełna dokumentacja OpenAPI / Swagger żyje obok samego API.
read i actsudo watchlog api qr na serwerzeGET /api/v1/health
GET /api/v1/status
age_seconds. Ustrukturyzowane metrics dla każdego sprawdzenia (status.json v2).GET /api/v1/host
GET /api/v1/checks/info
GET /api/v1/reports[/{date}]
POST /api/v1/runs
watchlog run i zwraca zebrany wynik.POST /api/v1/state/{snooze,ignore}
POST /api/v1/actions/apply-security
unattended-upgrade -v. Komenda z białej listy, nigdy dowolna powłoka.POST /api/v1/actions/restart-service
{"service": "nginx"}. Zapisywane w dzienniku zdarzeń.POST /api/v1/actions/reboot
shutdown -r +1, czyli 60 sekund na przerwanie.POST /api/v1/actions/logs
journalctl dla jednostki z białej listy. Tylko do odczytu.GET /api/v1/actions
GET · PATCH /api/v1/push/preferences
POST /api/v1/pair
watchlog api qr na token dla urządzenia. Bez autoryzacji, z limitem prób.GET /api/v1/audit
Łącznie około 25 punktów końcowych. Pełny schemat obejrzysz pod api.watchlog.pl/docs (wymaga tokena Bearer).
watchlog działa na serwerze, wykonuje komendy jako root i rozmawia z Twoim telefonem, więc model bezpieczeństwa liczy się tu bardziej niż lista funkcji. Każde ustawienie domyślne jest tym bezpiecznym, a każdy ryzykowny punkt końcowy pozostaje wyłączony, dopóki świadomie go nie włączysz.
Usługa API słucha wyłącznie lokalnie, nigdy wprost z internetu. Połączenia z zewnątrz przechodzą przez szyfrowany TLS na serwerze proxy stojącym przed nią.
Każdy sparowany telefon ma własny token. Gubisz urządzenie, wpisujemy watchlog api tokens revoke tok_xxx, a pozostałe nadal działają.
Jawny token pokazujemy raz przy wydaniu i nigdy więcej. Usługa trzyma tylko jego skrót.
Kod QR zawiera 6-znakowy kod jednorazowy (nie token). Wygasa po 5 minutach, blokada po 3 nieudanych próbach. Prawdziwy token wędruje tylko raz, przy wymianie.
Każde uwierzytelnienie, parowanie, wydanie i odwołanie tokenu oraz każde działanie trafia do /var/log/watchlog/audit.log jako JSON. Aplikacja mobilna to pokazuje, nic nie jest ukryte.
Restart usługi, instalacja poprawek, podgląd logów, restart serwera: każde to stała lista komend, na które operator się zgodził. Żadnej dowolnej powłoki.
Bot przyjmuje odpowiedzi wyłącznie od chat_id z konfiguracji. Cokolwiek innego jest po cichu odrzucane i zapisywane.
Opcjonalny Face ID, odcisk palca lub PIN urządzenia. Na Androidzie FLAG_SECURE ukrywa zawartość przed zrzutami ekranu i przełącznikiem aplikacji. Tokeny żyją w Keystore / Keychain.
Aplikacja mobilna eksportuje listę serwerów, tokeny i ustawienia do pliku zaszyfrowanego hasłem (AES-256-GCM, PBKDF2 600k). Odtworzysz je na nowym telefonie bez ponownego parowania.
Żadne raporty o awariach ani statystyki użycia nie opuszczają urządzenia, dopóki sam tego nie włączysz w Ustawieniach. Nie zbieramy tokenów, nazw hostów ani danych osobowych.
watchlog nie ma żadnego elementu w chmurze. Każde sprawdzenie działa lokalnie; tylko włączone kanały (Telegram, e-mail, FCM) wysyłają cokolwiek na zewnątrz.
Około 4 tysięcy linii Pythona, czytelnych od początku do końca. Żadnych kluczy licencyjnych, żadnego dzwonienia do domu, żadnego ukrytego elementu w chmurze.
Tak. Aplikacja w telefonie nie wysyła na serwer żadnej komendy do wykonania. Przekazuje tylko informację, który przycisk nacisnąłeś, a serwer ma z góry ustalone, co wolno mu zrobić. Nie da się więc niczego dopisać ani przemycić.
Telefon wybiera wyłącznie z gotowej listy działań, które wcześniej zatwierdziłeś: zainstaluj aktualizacje bezpieczeństwa, zrestartuj wskazaną usługę, pokaż logi. Cokolwiek spoza tej listy serwer po prostu odrzuca i zapisuje w dzienniku.
Każde działanie wymaga prywatnego klucza Twojego urządzenia (gubisz telefon, odbierasz mu dostęp jednym poleceniem), a połączenie jest szyfrowane i nie wisi na otwartym internecie. W najgorszym wypadku ktoś z Twoim telefonem mógłby co najwyżej wcisnąć te same bezpieczne przyciski co Ty. Nie zdobędzie dostępu do serwera ani nie uruchomi niczego spoza listy.
watchloga się nie pobiera. Wdrażamy go i prowadzimy za Ciebie jako usługę zarządzaną. Instalację, konfigurację sprawdzeń, podłączenie Telegrama, powiadomień push i aplikacji mobilnej bierzemy na siebie, więc nie musisz zaglądać do plików konfiguracyjnych ani do systemd.
Wyślij wiadomość na admin@belikebee.com i opisz, co chcesz monitorować. Dobierzemy konfigurację do Twojej infrastruktury i odpiszemy z kolejnymi krokami.
Instalujemy watchloga na Twoim serwerze, podłączamy sprawdzenia, kanały powiadomień i API, a pierwsze uruchomienie sprawdzamy razem z Tobą.
Gdy wszystko działa, parujesz aplikację mobilną i zaczynasz odbierać powiadomienia. Po każdą zmianę lub kolejny serwer po prostu zgłaszasz się na admin@belikebee.com.