Morpheus
Expérience opérateur / Sécurité & sauvegarde

SecOps & Backup Waybar

Interface locale qui transforme SecOps, intégrité, Restic, support backup et maintenance en états Waybar lisibles et actionnables.

Waybar Restic SecOps UX opérateur résolution guidée
Flux public SecOps et Backup Waybar
Waybar restitue des états préparés: SecOps, intégrité, backup, support, timers et prompts utilisateur.
01

Afficher

Montrer OK T0, INT OK, RUN, FULL, CHECK, Retry, USB ou FAIL sans ouvrir les logs.

02

Expliquer

Donner dans le tooltip le sens de T, M, intégrité, backup et prochain timer.

03

Agir

Associer clic gauche, milieu et droit à des actions bornées et confirmées.

04

Classifier

Traiter les scripts Restic connus comme maintenance attendue dans SecOps.

Contexte

Le problème réel.

Les contrôles SecOps et backup sont utiles seulement si l'opérateur comprend vite l'état réel: menace active, maintenance attendue, support absent, backup en cours, retry ou échec.

Objectifs

Ce que la solution devait garantir.

  • Remplacer les notifications Restic répétitives par un état persistant et lisible.
  • Conserver les maintenances dans le tooltip sans encombrer la pilule principale.
  • Garder les actions dangereuses hors du menu quotidien.
  • Relier SecOps, backup, retry et support USB dans une même UX opérateur.
Architecture publique

Structure documentée, détails exploitables retirés.

Exemples anonymisés

Ce qui peut être montré sans exposer le système réel.

États SecOps

La pilule montre les menaces; les maintenances attendues restent dans le tooltip.

texte         classe     interprétation
OK T0         info       aucune menace active
WARN T1       warning    lire le tooltip et le rapport
CRIT T3       critical   investiguer immédiatement

tooltip:
  maintenance=3
  intégrité=OK
  corrélateur=OK

États Backup

Les états Restic sont ramenés à des signaux courts et persistants.

Support: prêt
Backup: chargé/inactif/succès
Full: chargé/inactif/succès
Retry: masqué quand inactif
Next: date systemd réelle

RUN    sauvegarde incrémentale en cours
FULL   sauvegarde complète en cours ou dernière complète en échec
CHECK  maintenance en cours ou dernière maintenance en échec
USB    support backup absent
FAIL   dernière incrémentale en échec

Classification Restic

Les scripts Restic connus deviennent du contexte attendu dans SecOps.

scripts restic connus:
  restic-backup
  restic-maintenance
  restic-restore-smoke

classification:
  level=info
  corr=expected_backup_maintenance
  verdict=expected_admin_action
  risk=maintenance

shell root arbitraire reste suspicious_exec/high

Routage des signaux

La télémétrie est conservée, mais seules les anomalies actionnables atteignent la file opérateur.

maintenance attendue:
  journal=conservé
  tooltip=compteur
  dunst=silencieux

menace ou contexte inattendu:
  journal=conservé
  pilule=visible
  dunst=actif
Runbook public

Commandes et états attendus issus de la documentation privée.

Les commandes ci-dessous sont volontairement anonymisées: chemins, noms de machines, interfaces, dépôts, périphériques et actions destructrices sont remplacés par des placeholders.

Documentation privée: secops-backup-waybar + secops-quickstart

État nominal SecOps

Commandes anonymisées

<secops-status-script>
<secops-report-script> 24
systemctl --user status <audit-correlator-service> --no-pager
tail -n 20 <operator-state>/audit-security.log

État attendu

OK T0 est nominal
les maintenances attendues restent dans l'infobulle et les journaux
INT OK signifie que intégrité paquets, repo FIM et system FIM sont cohérents
WARN, CRIT ou T>0 demandent une revue du journal et du rapport
Documentation privée: secops-backup-waybar

Widget backup

Commandes anonymisées

<backup-status-script>
findmnt <backup-mount>
systemctl list-timers | rg '<backup-timer-prefix>'
journalctl -u <backup-service> -n 40 --no-pager

État attendu

le support est prêt quand le média est monté
la sauvegarde incrémentale affiche loaded/inactive/success en état nominal
les états full et check sont visibles quand pertinents
retry est masqué quand inactif
la prochaine date de backup vient de systemd
le widget n'affiche pas n/a en état nominal
Documentation privée: secops-backup-waybar

Actions exposées

Commandes anonymisées

secops left-click    -> recommended journal
secops middle-click  -> recommended report
secops right-click   -> safe action menu
backup left-click    -> interactive backup actions
backup middle-click  -> restic state and logs
backup right-click   -> recovery / support assistant

État attendu

le menu SecOps expose une résolution guidée et un état détaillé
les diffs sont affichés avant toute décision de confiance
chaque rebaseline exige une confirmation explicite
le nettoyage large et le déploiement complet ne sont pas exposés
le prompt est géré par un service utilisateur, pas par un service root ouvrant une UI
les actions destructrices demandent un runbook explicite hors widget
Documentation privée: secops-backup-waybar

Classification Restic

Commandes anonymisées

<secops-status-script>
<backup-status-script>
systemctl --user restart <audit-correlator-service>
systemctl list-timers | rg '<backup-timer-prefix>'

État attendu

la maintenance Restic connue est classée info
corr=expected_backup_maintenance
verdict=expected_admin_action
risk=maintenance
un shell root arbitraire reste suspicious_exec/high
Travail réalisé

Décisions techniques publiables.

SecOps

Le menu expose une résolution guidée et un état détaillé; aucune baseline n'est acceptée sans revue.

Backup

Le menu propose incremental, full avec relecture, snapshots, suppression sécurisée et maintenance Restic.

Prompt

Le prompt utilisateur optionnel est géré par systemd user, pas par un service root ouvrant un terminal.

Corrélation

Les scripts Restic connus sont classés expected_backup_maintenance au lieu de générer une alerte forte.

Signal

Les maintenances attendues restent journalisées, mais sont retirées de Dunst et du texte principal Waybar.

Résolution

Les trois contrôles d'intégrité sont suivis en parallèle avec progression et timeout; une rebaseline produit déjà son instantané neuf, sans second cycle complet redondant.

Validation

Preuves et contrôles retenus.

Preuves visuelles

Contrôles observables et portée de la preuve.

Résultats publics

Ce que le chantier démontre.

Anonymisation

Ce qui reste privé.

  • Chemins Waybar, état utilisateur, montage backup et dépôt Restic remplacés par placeholders.
  • Noms d'unités systemd réels généralisés lorsque la précision n'apporte pas de valeur publique.
  • Pas de scripts opérateur complets ni de commande destructrice directement réutilisable.
  • Références repo privées résumées en documentation interne SecOps/Backup.
Sources privées

Documentation d'origine.

  • Documentation SecOps & Backup Waybar.
  • Quickstart d'exploitation SecOps.
  • Documentation backup Waybar.
  • Journal de corrélation Restic.

Supplément de documentation privée anonymisé

SecOps & Backup Waybar - état validé

Cette page résume l'état opérationnel validé après nettoyage SecOps, amélioration du widget backup et corrélation Restic. Elle montre l'interface d'exploitation visible: états, menus, backup, retry, support et classification des maintenances attendues.

État nominal

SecOps

OK T0
INT OK
Health OK
class info

tooltip:
  Maintenance events: 3
  Integrity: OK
  Correlator: OK

Les maintenances attendues restent consultables dans l'infobulle et les journaux, sans allonger la pilule principale.

Backup

Support: ready
Backup: loaded/inactive/success
Full: loaded/inactive/success
Retry: hidden when inactive
Next backup: real systemd date

Le widget ne doit plus afficher n/a en régime nominal.

Lecture rapide

SignalSens
T0Aucune menace active.
Maintenance: 3Trois événements attendus, visibles dans l'infobulle.
INT OKIntégrité paquets, repo FIM et system FIM cohérents.
RUNBackup incremental en cours.
FULLBackup complet en cours ou dernier full en échec.
CHECKMaintenance Restic en cours ou dernière maintenance en échec.
RetryNouvelle tentative planifiée après échec.
USBSupport backup absent.
FAILDernier backup incremental en échec.
?Unités ou états indisponibles.

Reset audit

<WAYBAR_SCRIPTS>/audit-reset.sh

archives then clears:
  <OPERATOR_STATE>/audit-security.log
  <OPERATOR_STATE>/audit-events.log

writes:
  <OPERATOR_STATE>/audit-active-since

Si le corrélateur vide encore un backlog, quelques événements peuvent apparaître juste après le reset. Le reset n'efface pas les diffs FIM; les anciens snapshots restent archivés mais sortent de la fenêtre active.

Widget backup

Le widget backup expose un état persistant et actionnable. Il remplace les notifications répétitives par une pilule Waybar lisible.

InteractionEffet
Clic gaucheGestion interactive des backups.
Clic milieuÉtat et journaux Restic.
Clic droitAssistant recovery / support USB.
<WAYBAR_SCRIPTS>/backup-action.sh backup
<WAYBAR_SCRIPTS>/backup-logs.sh
<WAYBAR_SCRIPTS>/backup-prompt.sh interactive
  • Attendre que <BACKUP_MOUNT> soit monté.
  • Vérifier que <RESTIC_REPO> existe.
  • Proposer de relancer un backup incremental.
  • Suivre le service systemd jusqu'au résultat final.

La validation profonde du dépôt reste faite côté precheck privilégié; le widget ne lit pas directement les fichiers protégés du dépôt.

Prompt automatique optionnel

systemctl --user enable --now <backup-prompt-path-unit> <backup-prompt-timer-unit>

optional user units:
  <backup-prompt-service>
  <backup-prompt-path>
  <backup-prompt-timer>

Le prompt est volontairement géré par systemd utilisateur. Un service root ne doit pas ouvrir un terminal Wayland.

Classification Restic dans SecOps

Les scripts Restic connus sont classés en maintenance attendue:

level=info
corr=expected_backup_maintenance
verdict=expected_admin_action
risk=maintenance

recognized scripts:
  <restic-backup-script>
  <restic-maintenance-script>
  <restic-restore-smoke-script>

Un shell root arbitraire reste un signal suspicious_exec fort.

Réduction du bruit sans perte de télémétrie

Les maintenances attendues restent archivées et comptées dans l'infobulle, mais n'émettent plus de notification Dunst SecOps. Les menaces, verdicts suspects et événements critiques restent visibles et notifiés.

Le parsing des champs est effectué directement en Bash. Sur le scénario local mesuré, le rendu est passé d'environ 2,34 s à 1,22 s, soit près de 48 % de gain sans retirer les contrôles systemd, FIM, auditd ou pare-feu.

Commandes utiles

<WAYBAR_SCRIPTS>/secops-status.sh
<WAYBAR_SCRIPTS>/backup-status.sh
findmnt <BACKUP_MOUNT>
systemctl --user restart <audit-correlator-service>
systemctl list-timers | rg '<restic-timer-prefix>'

Intégration système

Si le widget backup et le prompt utilisateur sont actifs, le popup répétitif d'échec backup peut être désactivé dans l'intégration privée.

  • Conserver le timer backup incremental.
  • Conserver le timer maintenance Restic.
  • Conserver le timer alerte disque/support.
  • Ne pas activer manuellement le timer retry: il est armé après échec puis stoppé après succès.

Références

  • Documentation interne SecOps & Backup Waybar.
  • Quickstart SecOps.
  • Notes internes backup Waybar et corrélation Restic.