BaseBook Ops · Internal Status

Ops-страница инфраструктуры BaseBook

BaseBook развёрнут на VPS и работает через Caddy, BookStack и authentik. OIDC-вход уже рабочий, существующий admin привязан, а новые пользователи могут регистрироваться, подтверждать email и автоматически получать роль Reader в BookStack.

Открыть приложение authentik Статус сервисов Portainer

Активные домены

  • app.basebook.online — BookStack
  • auth.basebook.online — authentik / единый вход
  • admin.basebook.online — Portainer
  • status.basebook.online — Uptime Kuma
  • ops.basebook.online — внутренняя ops-страница

Зарезервированы

  • hooks.basebook.online
  • n8n.basebook.online
  • grafana.basebook.online
  • logs.basebook.online

Routing

  • app.basebook.online127.0.0.1:6875
  • auth.basebook.online127.0.0.1:9001
  • admin.basebook.online127.0.0.1:9000
  • status.basebook.online127.0.0.1:3001
  • ops.basebook.online → static

Edge

Caddy отвечает за TLS, reverse proxy и выдачу статики.

Auth / Registration

OIDC для BookStack работает
admin привязан к OIDC
signup + email confirmation работают
Reader назначается автоматически

Текущая схема

  • authentik работает как единый IdP через auth.basebook.online;
  • BookStack переведён на OIDC;
  • включён group sync из OIDC-групп в роли BookStack;
  • существующий admin-аккаунт BookStack успешно связан с OIDC;
  • новый пользователь регистрируется через enrollment flow и получает доступ без ручного вмешательства.

Маппинг групп → ролей

  • 01 Reader → роль Reader
  • 02 Commenter → роль Commenter

Reader enrollment flow

  • basebook-reader-enrollment
  • basebook-reader-signup-prompt
  • basebook-reader-user-write
  • basebook-reader-user-login

Контекст проекта

Для рабочего контекста проекта использовать файлы:

  • BASEBOOK_PROJECT_SHORT.md — краткая выжимка
  • BASEBOOK_STATE.md — текущее состояние
  • BASEBOOK_CHANGELOG.md — журнал изменений

Бэкапы и защита

локальный backup активен
FirstVDS backup активен
restore-тесты ещё не подтверждены
  • UFW включён
  • fail2ban активен
  • наружу открыты только 22/tcp, 80/tcp, 443/tcp
  • ops.basebook.online защищён Basic Auth

Правило обновления контекста

  • изменилось текущее рабочее состояние — обновить BASEBOOK_STATE.md;
  • завершён этап или внедрено значимое изменение — добавить запись в BASEBOOK_CHANGELOG.md;
  • если изменение меняет базовый контекст проекта — синхронно обновить короткое описание проекта;
  • локальные и мелкие изменения не раздувают project description, а фиксируются в соответствующем md-файле.

Следующие шаги

  • включить MFA для администраторов authentik;
  • нормализовать naming групп и role mappings;
  • решить, оставлять open signup или переходить на invite-only;
  • расширять модель ролей после стабилизации Reader flow;
  • подключать следующие сервисы к SSO только после доводки auth-контура.
BaseBook Ops · internal page · protected by Basic Auth · updated 2026-04-29