domovoy/Техническое задание - Домовой.md

Краткое описание

Нужно разработать self-hosted web-приложение "Домовой" для инвентаризации домашней и малой серверной инфраструктуры.

Главная идея: приложение не требует вручную заносить всю инфраструктуру с нуля. Оно умеет сканировать заданные локальные сетевые диапазоны, находить устройства, предлагать создать карточки устройств, затем после добавления доступа к устройству запускать read-only deep scan по SSH и предлагать создать карточки сервисов, контейнеров, портов, доменов, cron-задач и backup-подсказок.

Приложение должно быть безопасным, локальным и read-only в части сканирования. Оно не должно ничего менять на удалённых хостах.

Основной стек

Backend:

• PHP 8.3+
• Slim Framework 4
• PDO
• MariaDB/MySQL

Frontend:

• Bootstrap 5.3
• Vanilla JavaScript (только для тривиальных действий)
• htmx для частичных обновлений без перезагрузки страницы
• server-side rendered templates

htmx использовать для:

• обновления таблицы scan jobs;
• принятия/игнорирования найденного host;
• запуска сканирования;
• подгрузки деталей без полной перезагрузки;
• создания устройства из discovered_host.

Alpine.js — только если htmx не покрывает кейс. Никакого "чистый JS потом допишем" — весь JS должен быть заявлен заранее и обоснован.

Deploy:

• Docker Compose

Composer-зависимости:

• slim/slim:"4.*"
• slim/psr7
• php-di/php-di
• monolog/monolog
• vlucas/phpdotenv
• ramsey/uuid
• symfony/process
• phpseclib/phpseclib:"~3.0"
• defuse/php-encryption

composer require robmorgan/phinx

Dev-зависимости: composer require --dev phpunit/phpunit

Не использовать тяжёлый frontend framework. Не использовать ORM в первой версии. Не использовать произвольное выполнение shell-команд от пользователя.

Миграции выполняются через Phinx: php vendor/bin/phinx migrate php vendor/bin/phinx rollback php vendor/bin/phinx create MigrationName

Каждая миграция — отдельный класс с методами up() и down(). Файл phinx.php — точка входа для конфигурации Phinx.

Архитектура выполнения задач

HTTP-запросы НЕ должны выполнять сканирование напрямую. Правильная архитектура:

1. Web UI создаёт запись в scan_jobs (status=pending).
2. Отдельный CLI worker (bin/run-scan-worker.php) забирает pending-задачи и выполняет их.
3. Web UI показывает статус задачи через polling (htmx).

Это означает:

• PHP не висит внутри HTTP-запроса во время сканирования.
• Время выполнения HTTP-запроса — миллисекунды.
• Worker можно запускать вручную или через cron/supervisor.
• Worker должен обрабатывать сигналы (SIGTERM) для graceful shutdown.

Важные ограничения безопасности

1. Сканировать только явно добавленные пользователем диапазоны.
2. По умолчанию считать допустимыми только private/local сети:
   • 10.0.0.0/8
   • 172.16.0.0/12
   • 192.168.0.0/16
   • fd00::/8
   • link-local
3. Не делать brute force.
4. Не делать exploit/probe.
5. Не пытаться подбирать пароли.
6. Deep scan запускать только после явного добавления доступа пользователем.
7. Все команды deep scan должны быть read-only.
8. Секреты хранить только в зашифрованном виде.
9. Секреты не выводить в UI и логи.
10. Любой найденный объект сначала попадает в "Найденное", а не автоматически в основной инвентарь.
11. Все действия сканера логировать.
12. Запрещено делать универсальный shell executor, принимающий произвольную команду из UI.

Главный пользовательский сценарий

1. Пользователь устанавливает приложение через Docker Compose.
2. Заходит в web UI.
3. Создаёт первый локальный аккаунт.
4. Добавляет сетевой диапазон, например 192.168.1.0/24.
5. Запускает скан сети.
6. Видит список найденных хостов.
7. Для нужных хостов нажимает "Создать устройство".
8. Открывает карточку устройства.
9. Добавляет SSH-доступ.
10. Нажимает "Тест подключения".
11. Если тест успешен, нажимает "Глубокий скан".
12. Приложение собирает read-only информацию с хоста.
13. Приложение показывает найденные порты, Docker-контейнеры, systemd-сервисы, cron-задачи, nginx-vhost-ы.
14. Пользователь подтверждает найденные сервисы.
15. Приложение создаёт карточки сервисов и связи между устройством, сервисами, портами, доменами и backup-подсказками.

Архитектура каталогов

Создать структуру:

domovoy/ app/ Controllers/ Services/ Discovery/ HostScan/ Inventory/ Security/ Jobs/ Analysis/ Repositories/ Middleware/ public/ index.php assets/ css/ js/ templates/ layout.php auth/ dashboard/ discovery/ devices/ credentials/ services/ documents/ migrations/ storage/ logs/ scans/ reports/ bin/ console run-scan-worker.php docker/ docker-compose.yml composer.json .env.example README.md

База данных

Нужны миграции для таблиц:

users

• id
• username
• password_hash
• created_at
• updated_at

network_ranges

• id
• name
• cidr
• enabled
• created_at
• updated_at

scan_jobs

• id
• type
• status
• started_at
• finished_at
• error_message
• created_by
• created_at

type:

• network_discovery
• host_deep_scan
• docker_scan
• nginx_scan
• cron_scan

status:

• pending
• running
• done
• failed
• cancelled

discovered_hosts

• id
• scan_job_id
• ip_address
• mac_address
• hostname
• vendor
• detected_os
• open_ports_json
• protocols_json
• fingerprint_json
• confidence
• status
• matched_device_id
• first_seen
• last_seen
• created_at
• updated_at

status:

• new
• accepted
• merged
• ignored
• ignored_always

devices

• id
• name
• type
• description
• primary_ip
• mac_address
• hostname
• vendor
• os_name
• os_version
• location
• importance
• status
• created_at
• updated_at

type:

• server
• router
• nas
• desktop
• laptop
• phone
• printer
• iot
• vm
• container_host
• unknown

credentials

• id
• device_id
• type
• name
• username
• port
• auth_method
• encrypted_secret
• encrypted_private_key
• public_key_fingerprint
• last_test_status
• last_test_at
• created_at
• updated_at

type:

• ssh
• snmp
• http_api
• routeros
• manual

MVP реализует только ssh.

host_scans

• id
• device_id
• credential_id
• scan_job_id
• status
• raw_json_path
• summary_json
• started_at
• finished_at
• error_message
• created_at

detected_services

• id
• host_scan_id
• device_id
• kind
• name
• source
• port
• protocol
• raw_json
• suggested_service_id
• status
• created_at
• updated_at

kind:

• open_port
• systemd_unit
• docker_container
• nginx_vhost
• cron_job
• backup_hint
• database_hint

status:

• new
• accepted
• merged
• ignored

services

• id
• name
• type
• description
• device_id
• status
• importance
• url
• main_port
• created_at
• updated_at

type:

• web_app
• database
• reverse_proxy
• backup
• monitoring
• storage
• git
• media
• system
• unknown

service_endpoints

• id
• service_id
• protocol
• host
• port
• url
• is_public
• created_at
• updated_at

domains

• id
• domain
• target_service_id
• target_device_id
• source
• notes
• created_at
• updated_at

relations

• id
• from_type
• from_id
• to_type
• to_id
• relation_type
• created_at

relation_type:

• runs_on
• depends_on
• proxied_by
• uses_database
• uses_volume
• backed_up_by
• exposes
• resolves_to

documents

• id
• entity_type
• entity_id
• title
• body_markdown
• created_at
• updated_at

audit_log

• id
• user_id
• action
• entity_type
• entity_id
• details_json
• created_at

Web UI

Общий layout

Сделать Bootstrap layout:

Левое меню:

• Dashboard
• Сканирование сети
• Устройства
• Сервисы
• Документы
• Настройки

Верхняя панель:

• название "Домовой"
• текущий пользователь
• logout

Dashboard

Показывать:

• количество устройств
• количество сервисов
• количество новых находок
• количество предупреждений
• последний сетевой скан
• последние найденные хосты
• последние deep scan результаты

Сканирование сети

Страница должна позволять:

1. Добавить network range.
2. Включить/выключить range.
3. Запустить scan.
4. Посмотреть список scan jobs.
5. Посмотреть результаты discovered_hosts.

Таблица discovered_hosts:

• IP
• Hostname
• MAC
• Vendor
• Open ports
• Confidence
• Status
• Actions

Actions:

• Создать устройство
• Объединить с устройством
• Игнорировать
• Детали

Устройства

Страницы:

• список устройств
• создание устройства вручную
• редактирование устройства
• карточка устройства

Карточка устройства должна показывать:

• основные поля
• IP/MAC/hostname/vendor
• тип
• важность
• заметки
• доступы
• найденные сервисы
• подтверждённые сервисы
• история сканов
• документы

Доступы

На карточке устройства добавить блок SSH-доступов.

Для SSH-доступа:

• name
• username
• port
• auth_method password/private_key
• password/private_key

Кнопки:

• Тест
• Сохранить

Тест должен проверять подключение через phpseclib.

Секреты хранить в зашифрованном виде.

Deep scan

На карточке устройства добавить кнопку:

"Глубокий скан"

После запуска:

• создать scan_job
• выполнить read-only SSH команды
• сохранить raw JSON в storage/scans/
• summary сохранить в host_scans.summary_json
• создать detected_services

Network discovery implementation

Сделать сервисы:

• NetworkScanner
• PingScanner
• TcpPortScanner
• ArpTableReader
• HostFingerprintService

Первый MVP network scan:

1. Получить список IP из CIDR.
2. Для каждого IP:
   • ping check
   • TCP connect scan по базовым портам
   • reverse DNS lookup
3. После sweep прочитать ARP table:
   • ip neigh
   • arp -a как fallback
4. Обогатить найденные хосты MAC-адресами.
5. Если MAC известен — попытаться определить vendor через локальную OUI-базу или оставить пустым.
6. Сохранить discovered_hosts.

Базовые TCP-порты:

• 22
• 23
• 53
• 80
• 443
• 445
• 548
• 631
• 3306
• 5432
• 6379
• 8000
• 8080
• 8443
• 9000
• 9090
• 9100

Не делать агрессивное сканирование. Добавить timeout. Добавить limit параллельности.

SSH deep scan implementation

Сделать сервисы:

• SshClientFactory
• LinuxHostScanner
• DockerScanner
• NginxScanner
• CronScanner
• SystemdScanner
• BackupHintScanner
• CommandWhitelist
• SecretMasker

Все команды должны быть в CommandWhitelist.

Запрещено принимать произвольную команду из UI.

Формат команд в CommandWhitelist — массивы аргументов, НЕ строки:

'linux.docker_ps' => ['docker', 'ps', '--format', '{{json .}}'] 'linux.hostnamectl' => ['hostnamectl'] 'linux.ip_addr' => ['ip', '-j', 'addr']

ЗАПРЕЩЕНО использовать строковые шаблоны: // НЕПРАВИЛЬНО: 'linux.docker_ps' => "docker ps --format '{{json .}}'"

Массивы аргументов безопаснее — не ломаются при передаче через Symfony Process, не конфликтуют с Twig-шаблонами, не требуют экранирования кавычек и фигурных скобок.

Разрешённые read-only команды (формат: ключ => массив аргументов):

'linux.hostname' => ['hostname'] 'linux.hostnamectl' => ['hostnamectl'] 'linux.uname' => ['uname', '-a'] 'linux.os_release' => ['cat', '/etc/os-release'] 'linux.ip_addr' => ['ip', '-j', 'addr'] 'linux.ip_route' => ['ip', 'route'] 'linux.ss_tulpen' => ['ss', '-tulpen'] 'linux.df' => ['df', '-h'] 'linux.lsblk' => ['lsblk', '-J'] 'linux.mount' => ['mount'] 'linux.systemctl_units' => ['systemctl', 'list-units', '--type=service', '--all', '--no-pager'] 'linux.systemctl_timers' => ['systemctl', 'list-timers', '--all', '--no-pager'] 'linux.crontab_user' => ['crontab', '-l'] 'linux.crontab_system' => ['cat', '/etc/crontab'] 'linux.crontab_d' => ['ls', '-la', '/etc/cron.d', '/etc/cron.daily', '/etc/cron.hourly', '/etc/cron.weekly', '/etc/cron.monthly'] 'linux.docker_ps' => ['docker', 'ps', '--format', '{{json .}}'] 'linux.docker_networks' => ['docker', 'network', 'ls', '--format', '{{json .}}'] 'linux.docker_volumes' => ['docker', 'volume', 'ls', '--format', '{{json .}}'] 'linux.docker_compose_ls' => ['docker', 'compose', 'ls', '--format', 'json']

Каждая команда выполняется отдельно. Если отдельная команда возвращает ошибку или timeout — записать ошибку в raw JSON этого collector-а, продолжить остальные.

SSH таймауты

Все SSH-операции должны иметь жёсткие таймауты. Конфигурируются через .env:

SSH_CONNECT_TIMEOUT_SECONDS=5 SSH_AUTH_TIMEOUT_SECONDS=10 SSH_COMMAND_TIMEOUT_SECONDS=8 SSH_TOTAL_SCAN_TIMEOUT_SECONDS=60 SSH_RETRY_COUNT=0

Для MVP retry отключён — лучше быстро упасть, чем зависнуть. Каждый collector внутри deep scan должен обрабатывать timeout отдельно — ошибка одного collector-а не роняет весь scan.

Если команда недоступна или возвращает ошибку, не падать всем сканом. Записать ошибку конкретного collector-а в raw JSON.

DockerScanner

Если docker доступен:

1. Получить список контейнеров.
2. Для каждого контейнера получить:
   • name
   • image
   • status
   • ports
   • mounts
   • networks
   • labels
   • restart policy
   • health status
3. Не показывать значения секретных env-переменных.
4. По контейнерам создать detected_services kind=docker_container.

Секретные имена:

• PASSWORD
• PASS
• SECRET
• TOKEN
• KEY
• PRIVATE
• CREDENTIAL

NginxScanner

Если nginx найден:

1. Проверить наличие:
   • /etc/nginx/nginx.conf
   • /etc/nginx/sites-enabled/
   • /etc/nginx/conf.d/
2. Прочитать только конфиги.
3. Не читать private key files.
4. Вытащить:
   • server_name
   • listen
   • proxy_pass
   • root
   • ssl_certificate
5. Создать detected_services kind=nginx_vhost.
6. Создать domain suggestions.

CronScanner и BackupHintScanner

CronScanner должен собрать:

• crontab -l
• /etc/crontab
• файлы /etc/cron.d

BackupHintScanner должен искать признаки:

• rsync
• borg
• restic
• rclone
• tar
• zip
• mysqldump
• mariadb-dump
• pg_dump
• sqlite
• docker exec
• scp
• sftp

Если найдено, создать detected_services kind=backup_hint.

Формулировка в UI: "Похоже на backup job", а не "Это точно backup".

Создание сервиса из detected_service

На странице найденных сервисов добавить действие:

"Создать сервис"

При создании:

1. Создать services.
2. Создать service_endpoints, если есть порт/url.
3. Создать relation:
   • Device runs_on Service или
   • Service exposes Endpoint
4. detected_service.status = accepted

Merge / deduplication

Для discovered_hosts сделать простую логику:

Если MAC совпадает с device.mac_address:

• предложить merge с высокой уверенностью.

Если hostname совпадает:

• предложить merge со средней уверенностью.

Если IP совпадает:

• предложить merge с низкой уверенностью, потому что IP может меняться.

В MVP достаточно показывать suggestions в UI. Автоматически не объединять.

Audit log

Логировать:

• login
• logout
• network scan started
• host scan started
• device created from discovered host
• credential created
• credential tested
• service created from detected service
• object ignored
• object merged

Docker Compose

Сделать docker-compose.yml:

services:

• app
• db

app:

• PHP 8.3
• composer install
• volume для проекта
• volume storage
• depends_on db

db:

• mariadb
• volume db_data
• env из .env

Добавить .env.example:

• APP_ENV
• APP_SECRET
• DB_HOST
• DB_PORT
• DB_DATABASE
• DB_USERNAME
• DB_PASSWORD
• ENCRYPTION_KEY

README

README должен содержать:

1. Что такое Домовой.
2. Предупреждение: сканировать только свои сети.
3. Установка.
4. Запуск docker-compose.
5. Создание первого пользователя.
6. Добавление network range.
7. Первый scan.
8. Создание устройства из найденного хоста.
9. Добавление SSH-доступа.
10. Запуск deep scan.
11. Где смотреть логи.
12. Как запустить миграции.

CI/CD и smoke tests

Создать файл scripts/check.sh — локальный чек-скрипт, который запускается после каждой итерации.

Минимальный набор проверок:

#!/usr/bin/env bash set -euo pipefail

echo "=== composer validate ===" composer validate --no-check-publish

echo "=== PHP syntax check ===" find app public bin -name "*.php" -print0 | xargs -0 -n1 php -l

echo "=== docker compose config ===" docker compose config > /dev/null

echo "=== docker compose up ===" docker compose up -d --build

echo "=== phinx migrate ===" docker compose exec app php vendor/bin/phinx migrate

echo "=== HTTP health check ===" curl -sI http://localhost:8080/login | head -1

echo "=== ALL CHECKS PASSED ==="

Для следующих итераций добавлять свои проверки:

• network scan: "docker compose exec app php bin/console scan:test"
• device CRUD: curl к страницам devices
• credentials: тест SSH mock-connection

Головное правило: итерация не считается завершённой, пока check.sh не прошёл успешно без ошибок.

Технические требования

1. Код должен быть простым и читаемым.
2. Не делать преждевременно сложную архитектуру.
3. Контроллеры не должны содержать бизнес-логику.
4. SQL изолировать в Repository-классах.
5. Сканеры изолировать в Services.
6. Все shell-команды запускать только через CommandWhitelist.
7. Все ошибки scanner collector-ов сохранять, но не ронять весь scan.
8. UI должен быть рабочим, пусть и простым.
9. Bootstrap использовать без сборки frontend.
10. Vanilla JS только для небольших интерактивных действий.
11. Никаких React/Vue.
12. Никаких внешних SaaS-зависимостей.

Порядок реализации

Итерация 1

Сделать каркас:

• Slim app
• Docker Compose
• DB connection
• migrations runner
• auth
• dashboard
• layout

Результат должен запускаться.

Итерация 2

Сделать:

• network_ranges CRUD
• scan_jobs table
• discovered_hosts table
• NetworkScanner с ping/tcp scan
• страницу результатов

Итерация 3

Сделать:

• devices CRUD
• создание device из discovered_host
• ignore discovered_host
• карточку устройства

Итерация 4

Сделать:

• credentials CRUD для SSH
• шифрование секрета
• тест SSH-подключения через phpseclib

Итерация 5

Сделать:

• HostScan по SSH
• LinuxHostScanner
• raw JSON сохранение
• summary на карточке устройства

Итерация 6

Сделать:

• DockerScanner
• detected_services из контейнеров
• страницу найденных сервисов

Итерация 7

Сделать:

• создание service из detected_service
• service_endpoints
• relations

Итерация 8

Сделать:

• NginxScanner
• CronScanner
• BackupHintScanner

Итерация 9

Сделать:

• RiskAnalyzer
• dashboard warnings
• scan history
• basic diff

Формат ответа после каждой итерации

После работы нужно выдать:

1. Что сделано.
2. Какие файлы созданы/изменены.
3. Как запустить.
4. Какие команды выполнить.
5. Что проверить вручную.
6. Известные ограничения.
7. Что делать следующей итерацией.

Не переходить к следующей итерации без успешного запуска текущей. Обязательно запустить scripts/check.sh и показать вывод. Без успешного smoke test итерация не считается завершённой.

Правила для owl-alpha / LLM-кодера

Запрещено:

• переписывать уже готовое без причины;
• делать большие коммиты — только маленькие атомарные;
• выдумывать несуществующие зависимости;
• делать произвольный shell executor;
• использовать строковые шаблоны для docker-команд;
• писать "чистый JS" без обоснования — весь JS заранее заявлен.

Требуется:

• маленькие коммиты;
• список изменённых файлов после каждой итерации;
• инструкции запуска;
• self-check через scripts/check.sh;
• показать реальный вывод smoke test, а не утверждать "готово".

Итерация 1

Сделай только Итерацию 1 проекта "Домовой".

Нужно:

• создать каркас Slim 4 приложения;
• настроить Docker Compose с app + MariaDB;
• сделать .env.example;
• сделать простой migrations runner;
• сделать таблицу users;
• сделать регистрацию первого пользователя через CLI или временную страницу setup;
• сделать login/logout;
• сделать Dashboard;
• сделать Bootstrap layout с меню;
• написать README с запуском.

Не реализовывать network scan, devices, credentials и deep scan в этой итерации. После выполнения выдать список файлов, команды запуска и что проверить вручную.