+# Host Manager MVP

+

+Host Manager este o aplicație web locală, Perl-only, pentru registrul de hosturi Madagascar. Nu folosește npm, pip sau pachete CPAN instalate direct pe host.

+

+## Politica de dependențe

+

+Perl-ul livrat de distribuție este acceptat ca bază de runtime. Modulele Perl incluse în distribuție sau în core pot fi folosite direct.

+

+Pachetele CPAN nu se instalează direct pe host cu `cpan`, `cpanm` sau mecanisme similare. Dacă aplicația are nevoie de un modul CPAN, modulul trebuie făcut disponibil prin repo-ul local după audit. Este acceptabilă o versiune mai veche/stabilă din repo-ul local; nu urmărim neapărat ultima versiune upstream.

+

+MVP-ul curent nu are dependențe CPAN externe.

+

+## Rol

+

+`config/hosts.yaml` este registrul editabil și trebuie menținut în git. Aplicația îl expune read-only pentru servicii și, cu autentificare OTP, permite modificări controlate în working tree.

+

+Git rămâne mecanismul de audit, istoric și rollback. Aplicația nu înlocuiește repo-ul și nu devine o bază de date separată.

+

+Endpoint-uri publice read-only:

+

+- `/download/hosts.yaml` — registrul complet

+- `/download/local-hosts.tsv` — manifest DNS local derivat

+- `/download/monitoring.json` — listă pentru monitorizare

+- `/api/hosts` — JSON cu hosturi și probleme detectate

+

+Endpoint-uri cu OTP:

+

+- `POST /api/hosts/upsert`

+- `POST /api/hosts/delete`

+- `POST /api/render/local-hosts-tsv`

+

+## Pornire locală

+

+```bash

+HOST_MANAGER_TOTP_SECRET="BASE32_SECRET_AICI" \

+perl scripts/host_manager.pl --bind 127.0.0.1 --port 8088

+```

+

+Deschide:

+

+```text

+http://127.0.0.1:8088/

+```

+

+Implicit serverul ascultă doar pe loopback. Pe jumper, publicarea se face prin nginx, ca vhost separat, cu proxy către `127.0.0.1:8088`.

+

+Vhost-ul implicit propus este:

+

+```text

+hosts.madagascar.xdev.ro

+```

+

+Configurațiile de deployment sunt în `deploy/jumper/`.

+

+Instanța de pe jumper este instalată în `/usr/local/xdev-host-manager` și publicată prin:

+

+```text

+http://hosts.madagascar.xdev.ro/

+```

+

+Secretul TOTP nu este în repo. Pentru bootstrap, citește URI-ul root-only de pe jumper:

+

+```bash

+ssh is-vpn-gw 'cat /etc/xdev/host-manager.totp-uri'

+```

+

+## OTP

+

+`HOST_MANAGER_TOTP_SECRET` trebuie să fie un secret Base32 compatibil TOTP. Fără această variabilă, download-urile read-only funcționează, dar login-ul și scrierile nu.

+

+Secretul nu se comite în repo. Dacă avem nevoie de integrare cu un manager de secrete sau systemd environment file, se definește separat pe host.

+

+## Flux

+

+1. Hosturile se editează în aplicație sau direct în `config/hosts.yaml`.

+2. Serviciile externe descarcă `/download/hosts.yaml`, `/download/local-hosts.tsv` sau `/download/monitoring.json`.

+3. Pentru DNS local, butonul `Write local-hosts.tsv` regenerează `config/local-hosts.tsv`.

+4. Sincronizarea efectivă către is-vpn-gw și as01 rămâne:

+

+```bash

+./scripts/sync_local_hosts.sh --apply --verify

+```

+

+## Git și managementul cheilor

+

+Varianta preferată pentru servicii automate este să citească `config/hosts.yaml` din git, nu să depindă direct de sesiunea web. Serviciile care sincronizează DNS, monitorizare sau inventare primesc chei dedicate, cu acces minim.

+

+Reguli:

+

+- Fiecare host/serviciu automat are propria cheie SSH, fără reutilizare între roluri.

+- Cheile de consum sunt read-only pentru repo.

+- Cheile care pot scrie în repo sunt rare, separate și folosite doar de componenta de management.

+- Cheile nu se comit în repo și nu se pun în `hosts.yaml`.

+- Pentru deployment pe hosturi, se preferă chei restrânse la comanda necesară sau deploy keys read-only unde platforma git permite.

+- Pull-ul automat trebuie să valideze fișierele înainte de aplicare; de exemplu `perl -c scripts/host_manager.pl` și `./scripts/sync_local_hosts.sh --verify` după generarea DNS.

+

+Modelul recomandat:

+

+```text

+git repo

+  config/hosts.yaml        sursă versionată

+  config/local-hosts.tsv   manifest generat/versionat pentru DNS local

+

+jumper

+  host-manager             editează working tree cu OTP

+  sync_local_hosts.sh      aplică DNS după review/verificare

+

+servicii consumatoare

+  git pull read-only       citesc hosts.yaml/monitoring.json/local-hosts.tsv

+```

+

+Pentru etapa MVP, aplicația nu face commit/push automat. După o modificare, schimbarea rămâne vizibilă în working tree și se comite explicit după review. Automatizarea commit/push poate fi adăugată ulterior, dar numai cu cheie separată și reguli clare de semnare/audit.

+

+## Limitări MVP

+

+- Parserul YAML acceptă schema strictă generată de aplicație, nu YAML arbitrar.

+- Conflict engine-ul verifică doar consistența locală din `hosts.yaml`.

+- DHCP, mDNS, `hosts-local.yaml` și `madagascar.json` sunt încă surse pentru audit manual sau pentru următorul collector.

+# Adăugare hosturi locale — madagascar network

+

+Rețeaua madagascar folosește un **DNS intern dual**: is-vpn-gw (192.168.2.100) ca resolver principal și as01 (192.168.2.2) ca fallback. Un hostname nou trebuie adăugat în **ambele locuri**.

+

+Regula importantă: local nu se folosește wildcard pentru `*.madagascar.xdev.ro`. Doar hostname-urile cunoscute din `config/local-hosts.tsv` se rezolvă local; orice nume necunoscut, inclusiv typo-uri precum `nohost.madagascar.xdev.ro`, trebuie să întoarcă `NXDOMAIN`.

+

+Domeniul vechi `.vad.is.xdev.ro` este deprecated. Nu se adaugă intrări noi pentru el și nu se păstrează aliasuri locale pentru acest namespace.

+

+## De ce dual?

+

+is-vpn-gw este sus pe "lista de sacrificiu" la power outage — poate fi oprit deliberat. Fără intrările de pe as01, clienții nu pot rezolva hostname-urile interne când jumper e oprit.

+

+## Unde se adaugă

+

+| Loc | Fișier | Rol |

+|-----|--------|-----|

+| is-vpn-gw `/etc/hosts` | resolver principal, precedență maximă față de dnscrypt-proxy | Funcționează și când dnscrypt-proxy e down |

+| is-vpn-gw `/etc/dnscrypt-proxy/cloaking-rules.txt` | servit clienților LAN prin dnscrypt-proxy | Clienții care cer DNS la 192.168.2.100 primesc IP-ul intern |

+| as01 `/ip dns static` (MikroTik) | fallback când is-vpn-gw e oprit | as01 servește direct din cache static propriu |

+

+Zona publică poate avea nume Madagascar care ajung la IP-ul public `89.32.222.226`. Pentru LAN, fiecare nume real care există și local trebuie să aibă override exact în ambele resolvere, altfel va cădea în DNS public și va ajunge greșit la `.226`.

+

+Implementarea versionată este:

+

+| Fișier | Rol |

+|--------|-----|

+| `config/local-hosts.tsv` | sursa unică pentru IP-uri, hostname-uri și aliasuri locale |

+| `scripts/sync_local_hosts.sh` | generează și sincronizează `/etc/hosts`, `cloaking-rules.txt` și `/ip dns static` |

+

+## Ierarhia surselor

+

+Când inventarele se contrazic, ordinea de încredere este:

+

+1. DHCP lease/reservation pe router (`admin@192.168.2.1`) — autoritatea pentru alocarea IP-urilor pe LAN. Configurațiile statice locale nu au voie să mute un IP peste DHCP; cel mult semnalează o rezervare lipsă sau o intrare veche.

+2. `cluster/cluster-context/madagascar.json` — autoritatea pentru roluri, topologie și IP-uri de serviciu. Pentru nodurile Proxmox, DNS-ul de serviciu poate folosi interfața `thunderbridge` (`192.168.10.x`) chiar dacă management/WAN este `192.168.2.x`.

+3. `config/local-hosts.tsv` — manifestul DNS local publicat pe is-vpn-gw și as01. Acesta trebuie să fie derivat sau validat din DHCP plus topologia clusterului, nu folosit ca sursă primară de alocare IP.

+4. `hosts-local.yaml` — inventar SSH: aliasuri, utilizatori, entrypoint-uri și căi de acces. IP-urile de aici sunt utile pentru audit, dar pot fi stale dacă DHCP spune altceva.

+5. mDNS (`*.local`) — sursă observată de descoperire și validare. Confirmă prezența unui host sau propune aliasuri, dar nu creează automat intrări `madagascar.xdev.ro`.

+6. DNS public — folosit doar pentru acces extern. Local, numele interne trebuie shadow-uite exact sau lăsate nerezolvate; wildcard-ul public nu este autoritate pentru LAN.

+

+Reguli de împăcare:

+

+- Pentru un IP de LAN, DHCP câștigă în fața oricărei valori hardcodate în inventare.

+- Pentru un IP de serviciu non-LAN, `madagascar.json` câștigă dacă explică explicit interfața sau rolul.

+- Pentru VM-uri, regula `vmid -> 192.168.2.vmid` este convenție de propunere și audit, nu autoritate. Rezervarea DHCP finală decide.

+- Prefixele istorice `is-`, `vad-` și `b-` se elimină la normalizarea numelor. `.vad.is.xdev.ro` rămâne deprecated și nu se reactivează prin aliasuri.

+- Dacă o sursă observată există doar în mDNS sau doar în lease-uri dinamice, se raportează ca propunere, nu se sincronizează automat în DNS.

+

+Pe `is-vpn-gw`, LAN-ul trebuie servit direct de `dnscrypt-proxy` pe `192.168.2.100:53`. `systemd-resolved` rămâne doar stub local și trebuie să aibă `ReadEtcHosts=no` plus upstream unic `DNS=127.0.0.1:5300`. Altfel fie publică intrările din `/etc/hosts` către clienții LAN, fie ocolește cloaking-rules și întreabă DNS public direct. Scriptul de sync verifică și aplică aceste setări.

+

+`dnscrypt-proxy` folosește blocklist; `google.com` și `www.google.com` sunt allowlist-uite explicit ca să nu fie întoarse ca `0.0.0.0`.

+

+Rulează întâi dry-run:

+

+```bash

+./scripts/sync_local_hosts.sh

+```

+

+Aplică și verifică:

+

+```bash

+./scripts/sync_local_hosts.sh --apply --verify

+```

+

+## Pași pentru un hostname nou

+

+```bash

+# 1. Adaugă hostul în config/local-hosts.tsv

+# Format: hosts_ip<TAB>dns_ip<TAB>name alias...

+192.168.2.XXX   192.168.2.XXX   host.madagascar.xdev.ro host

+

+# 2. Aplică pe ambele resolvere

+./scripts/sync_local_hosts.sh --apply --verify

+

+# 3. Verificare manuală, dacă e nevoie

+dig @192.168.2.100 host.madagascar.xdev.ro +short   # via is-vpn-gw

+dig @192.168.2.2   host.madagascar.xdev.ro +short   # via as01

+

+# 4. Verificare negativă: numele inexistente nu trebuie să se rezolve

+dig @192.168.2.100 nohost.madagascar.xdev.ro +short

+dig @192.168.2.2   nohost.madagascar.xdev.ro +short

+```

+

+Comenzile negative de mai sus trebuie să întoarcă output gol, iar cu `+comments` statusul trebuie să fie `NXDOMAIN`.

+

+## Hosturi speciale — excepții

+

+| Hostname | /etc/hosts pe is-vpn-gw | cloaking-rules | Motiv |

+|----------|------------------------|----------------|-------|

+| `mazeri.madagascar.xdev.ro` | 192.168.2.102 | 192.168.2.102 | Mașina Debian la .102, separată de is-vpn-gw chiar dacă Exim folosește acest hostname |

+| `jumper.madagascar.xdev.ro` | 127.0.0.1 | 192.168.2.100 | is-vpn-gw se referă la sine prin loopback (necesar pentru Exim local delivery); clienții LAN primesc IP-ul real |

+

+## Hosturi existente

+

+| Hostname | IP |

+|----------|----|

+| `baobab.madagascar.xdev.ro` | 192.168.10.91 |

+| `mazeri.madagascar.xdev.ro` | 192.168.2.102 |

+| `jumper.madagascar.xdev.ro` | 192.168.2.100 (127.0.0.1 local) |

+| `hosts.madagascar.xdev.ro` | 192.168.2.100 (vhost nginx pe jumper) |

+| `zabbix.madagascar.xdev.ro` | 192.168.2.107 |

+| `toltec.madagascar.xdev.ro` | 192.168.2.103 |

+| `ebony.madagascar.xdev.ro` | 192.168.10.92 |

+| `tapia.madagascar.xdev.ro` | 192.168.10.93 |

+| `autonas01.madagascar.xdev.ro` | 192.168.10.21 |

+| `autonas02.madagascar.xdev.ro` | 192.168.10.22 |

+| `anjothibe.madagascar.xdev.ro` | 192.168.2.95 |

+| `andrafiabe.madagascar.xdev.ro` | 192.168.2.96 |

+| `pmx.baobab.madagascar.xdev.ro` | 192.168.10.91 |

+| `pmx.ebony.madagascar.xdev.ro` | 192.168.10.92 |

+| `pmx.tapia.madagascar.xdev.ro` | 192.168.10.93 |

+| `pbs.anjothibe.madagascar.xdev.ro` | 192.168.2.95 |

+| `pbs.andrafiabe.madagascar.xdev.ro` | 192.168.2.96 |

+

+## Verificări obligatorii după modificări

+

+```bash

+# Host real: trebuie să întoarcă IP intern pe ambele resolvere

+dig @192.168.2.100 baobab.madagascar.xdev.ro +short

+dig @192.168.2.2   baobab.madagascar.xdev.ro +short

+

+# Host inexistent: trebuie să rămână nerezolvat local

+dig @192.168.2.100 nohost.madagascar.xdev.ro +noall +comments

+dig @192.168.2.2   nohost.madagascar.xdev.ro +noall +comments

+```

+

+## DNS public (zones/xdev.ro.zone)

+

+Hostname-urile interne **nu se adaugă** în zona publică. Excepție: dacă un hostname intern are și un port forward public, se adaugă în zona publică numai pentru acces extern și trebuie shadow-uit local prin override exact.

+

+> RFC 2181: un MX record nu poate pointa la un CNAME. Dacă adaugi un hostname care va primi MX, trebuie să fie A record în zona publică — vezi cazul `mazeri`.

+/backups/

+*.log

+*.tmp

+*.temp

+*~

+.DS_Store

+config/host-manager.env

+# Xdev Host Manager

+

+Local host registry and management UI for the Madagascar network.

+

+This project lives on jumper and is the local source for:

+

+- `config/hosts.yaml` - git-versioned host registry

+- `config/local-hosts.tsv` - DNS manifest exported for local resolvers

+- `scripts/host_manager.pl` - Perl-only web app

+- `scripts/sync_local_hosts.sh` - local DNS sync to is-vpn-gw and as01

+

+The public `xdev.ro` zone is maintained in the separate DNS public-zone repository.

+

+Runtime path:

+

+```text

+/usr/local/xdev-host-manager

+```

+

+Secrets live outside git in `/etc/xdev/host-manager.env`.

+version: 1

+updated_at: "2026-06-05T00:00:00Z"

+policy:

+  ip_authority: "dhcp"

+  topology_authority: "madagascar.json"

+  dns_manifest: "config/local-hosts.tsv"

+  storage_authority: "git"

+  consumer_access: "read-only deploy keys"

+hosts:

+  - id: "baobab"

+    status: "active"

+    hosts_ip: "192.168.10.91"

+    dns_ip: "192.168.10.91"

+    names:

+      - "baobab.madagascar.xdev.ro"

+      - "pmx.baobab.madagascar.xdev.ro"

+      - "baobab"

+      - "pmx.baobab"

+    roles:

+      - "proxmox"

+      - "pmx"

+    sources:

+      - "local-hosts.tsv"

+      - "madagascar.json"

+    monitoring: "pending"

+    notes: "Service DNS uses thunderbridge."

+  - id: "ebony"

+    status: "active"

+    hosts_ip: "192.168.10.92"

+    dns_ip: "192.168.10.92"

+    names:

+      - "ebony.madagascar.xdev.ro"

+      - "pmx.ebony.madagascar.xdev.ro"

+      - "ebony"

+      - "pmx.ebony"

+    roles:

+      - "proxmox"

+      - "pmx"

+    sources:

+      - "local-hosts.tsv"

+      - "madagascar.json"

+    monitoring: "pending"

+    notes: "Service DNS uses thunderbridge."

+  - id: "tapia"

+    status: "active"

+    hosts_ip: "192.168.10.93"

+    dns_ip: "192.168.10.93"

+    names:

+      - "tapia.madagascar.xdev.ro"

+      - "pmx.tapia.madagascar.xdev.ro"

+      - "tapia"

+      - "pmx.tapia"

+    roles:

+      - "proxmox"

+      - "pmx"

+    sources:

+      - "local-hosts.tsv"

+      - "madagascar.json"

+    monitoring: "pending"

+    notes: "Service DNS uses thunderbridge."

+  - id: "autonas01"

+    status: "active"

+    hosts_ip: "192.168.10.21"

+    dns_ip: "192.168.10.21"

+    names:

+      - "autonas01.madagascar.xdev.ro"

+      - "autonas01"

+    roles:

+      - "storage"

+    sources:

+      - "local-hosts.tsv"

+    monitoring: "pending"

+    notes: ""

+  - id: "autonas02"

+    status: "active"

+    hosts_ip: "192.168.10.22"

+    dns_ip: "192.168.10.22"

+    names:

+      - "autonas02.madagascar.xdev.ro"

+      - "autonas02"

+    roles:

+      - "storage"

+    sources:

+      - "local-hosts.tsv"

+    monitoring: "pending"

+    notes: ""

+  - id: "anjothibe"

+    status: "active"

+    hosts_ip: "192.168.2.95"

+    dns_ip: "192.168.2.95"

+    names:

+      - "anjothibe.madagascar.xdev.ro"

+      - "pbs.anjothibe.madagascar.xdev.ro"

+      - "anjothibe"

+      - "pbs.anjothibe"

+    roles:

+      - "pbs"

+      - "backup"

+    sources:

+      - "local-hosts.tsv"

+      - "madagascar.json"

+    monitoring: "pending"

+    notes: ""

+  - id: "andrafiabe"

+    status: "active"

+    hosts_ip: "192.168.2.96"

+    dns_ip: "192.168.2.96"

+    names:

+      - "andrafiabe.madagascar.xdev.ro"

+      - "pbs.andrafiabe.madagascar.xdev.ro"

+      - "andrafiabe"

+      - "pbs.andrafiabe"

+    roles:

+      - "pbs"

+      - "backup"

+    sources:

+      - "local-hosts.tsv"

+      - "madagascar.json"

+    monitoring: "pending"

+    notes: ""

+  - id: "mazeri"

+    status: "active"

+    hosts_ip: "192.168.2.102"

+    dns_ip: "192.168.2.102"

+    names:

+      - "mazeri.madagascar.xdev.ro"

+      - "mazeri"

+    roles:

+      - "service"

+    sources:

+      - "local-hosts.tsv"

+      - "hosts-local.yaml"

+    monitoring: "pending"

+    notes: ""

+  - id: "toltec"

+    status: "active"

+    hosts_ip: "192.168.2.103"

+    dns_ip: "192.168.2.103"

+    names:

+      - "toltec.madagascar.xdev.ro"

+      - "toltec"

+    roles:

+      - "service"

+    sources:

+      - "local-hosts.tsv"

+      - "hosts-local.yaml"

+    monitoring: "pending"

+    notes: ""

+  - id: "zabbix"

+    status: "active"

+    hosts_ip: "192.168.2.107"

+    dns_ip: "192.168.2.107"

+    names:

+      - "zabbix.madagascar.xdev.ro"

+      - "zabbix"

+    roles:

+      - "monitoring"

+    sources:

+      - "local-hosts.tsv"

+      - "hosts-local.yaml"

+    monitoring: "enabled"

+    notes: ""

+  - id: "jumper"

+    status: "active"

+    hosts_ip: "127.0.0.1"

+    dns_ip: "192.168.2.100"

+    names:

+      - "jumper.madagascar.xdev.ro"

+      - "hosts.madagascar.xdev.ro"

+      - "jumper"

+    roles:

+      - "entrypoint"

+      - "dns"

+    sources:

+      - "local-hosts.tsv"

+      - "hosts-local.yaml"

+    monitoring: "enabled"

+    notes: "Loopback only for local delivery on is-vpn-gw; LAN DNS gets 192.168.2.100."

+# Local DNS manifest for the madagascar network.

+#

+# Format:

+# hosts_ip<TAB>dns_ip<TAB>name [aliases...]

+#

+# hosts_ip is written to /etc/hosts on is-vpn-gw.

+# dns_ip is written to dnscrypt-proxy cloaking rules and MikroTik static DNS.

+# Use different values only for host-local exceptions such as jumper.

+#

+# Priority rule:

+# - DHCP lease/reservation on 192.168.2.1 is canonical for LAN IP allocation.

+# - madagascar.json is canonical for cluster roles and service interfaces.

+# - This file publishes approved local DNS records derived from those sources.

+192.168.10.91	192.168.10.91	baobab.madagascar.xdev.ro pmx.baobab.madagascar.xdev.ro baobab pmx.baobab

+192.168.10.92	192.168.10.92	ebony.madagascar.xdev.ro pmx.ebony.madagascar.xdev.ro ebony pmx.ebony

+192.168.10.93	192.168.10.93	tapia.madagascar.xdev.ro pmx.tapia.madagascar.xdev.ro tapia pmx.tapia

+192.168.10.21	192.168.10.21	autonas01.madagascar.xdev.ro autonas01

+192.168.10.22	192.168.10.22	autonas02.madagascar.xdev.ro autonas02

+192.168.2.95	192.168.2.95	anjothibe.madagascar.xdev.ro pbs.anjothibe.madagascar.xdev.ro anjothibe pbs.anjothibe

+192.168.2.96	192.168.2.96	andrafiabe.madagascar.xdev.ro pbs.andrafiabe.madagascar.xdev.ro andrafiabe pbs.andrafiabe

+192.168.2.102	192.168.2.102	mazeri.madagascar.xdev.ro mazeri

+192.168.2.103	192.168.2.103	toltec.madagascar.xdev.ro toltec

+192.168.2.107	192.168.2.107	zabbix.madagascar.xdev.ro zabbix

+127.0.0.1	192.168.2.100	jumper.madagascar.xdev.ro hosts.madagascar.xdev.ro jumper

+# Jumper Deployment

+

+Host Manager rulează pe jumper ca serviciu Perl local, ascultând numai pe `127.0.0.1:8088`. Nginx publică aplicația prin vhost pe IP-ul de management `192.168.2.100:80`.

+

+Vhost implicit:

+

+```text

+hosts.madagascar.xdev.ro

+```

+

+Instanța curentă este instalată pe jumper în `/usr/local/xdev-host-manager` și publicată prin nginx. `/opt` rămâne rezervat pentru aplicații 3rd party/vendor.

+

+## Pachete

+

+Se folosesc doar pachete din distribuție:

+

+- `perl`

+- `nginx`

+

+Nu se instalează npm, pip sau CPAN direct pe host.

+

+Dacă nginx nu este instalat pe jumper, se instalează din repo-ul distribuției:

+

+```bash

+sudo dnf install nginx

+```

+

+## Layout recomandat

+

+```text

+/usr/local/xdev-host-manager

+  config/hosts.yaml

+  config/local-hosts.tsv

+  scripts/host_manager.pl

+  scripts/sync_local_hosts.sh

+

+/etc/xdev/host-manager.env

+/etc/systemd/system/host-manager.service

+/etc/nginx/conf.d/hosts.madagascar.xdev.ro.conf

+```

+

+## Instalare manuală

+

+Pe jumper:

+

+```bash

+id -u host-manager >/dev/null 2>&1 || sudo useradd --system --home-dir /usr/local/xdev-host-manager --shell /usr/sbin/nologin host-manager

+sudo install -d -o host-manager -g host-manager /usr/local/xdev-host-manager

+sudo install -d -m 0750 /etc/xdev

+sudo install -m 0644 deploy/jumper/host-manager.service /etc/systemd/system/host-manager.service

+sudo install -m 0644 deploy/jumper/nginx-host-manager.conf /etc/nginx/conf.d/hosts.madagascar.xdev.ro.conf

+```

+

+Copiază `deploy/jumper/host-manager.env.example` la `/etc/xdev/host-manager.env` și setează secretul TOTP real.

+

+La instalarea inițială se poate genera automat secretul TOTP. URI-ul de bootstrap rămâne doar pe jumper, root-only:

+

+```bash

+sudo cat /etc/xdev/host-manager.totp-uri

+```

+

+Validare:

+

+```bash

+sudo systemctl daemon-reload

+sudo systemctl enable --now host-manager

+sudo nginx -t

+sudo systemctl reload nginx

+curl -fsS http://127.0.0.1:8088/healthz

+curl -fsS http://hosts.madagascar.xdev.ro/healthz

+```

+

+Verificări de securitate de bază:

+

+```bash

+curl -o /dev/null -w '%{http_code}\n' -X POST http://hosts.madagascar.xdev.ro/api/render/local-hosts-tsv

+# trebuie să întoarcă 401 fără sesiune OTP

+```

+

+## DNS local

+

+Vhost-ul trebuie să existe în registrul intern:

+

+```text

+hosts.madagascar.xdev.ro -> 192.168.2.100

+```

+

+Nu se adaugă wildcard local. Doar acest nume exact trebuie publicat.

+# Copy to /etc/xdev/host-manager.env on jumper.

+# Do not commit the real file.

+

+HOST_MANAGER_BIND=127.0.0.1

+HOST_MANAGER_PORT=8088

+HOST_MANAGER_DATA=/usr/local/xdev-host-manager/config/hosts.yaml

+HOST_MANAGER_LOCAL_HOSTS_TSV=/usr/local/xdev-host-manager/config/local-hosts.tsv

+

+# Base32 TOTP secret. Required for write access.

+HOST_MANAGER_TOTP_SECRET=CHANGE_ME_BASE32

+

+# Optional stable random value used to sign local sessions.

+HOST_MANAGER_SESSION_SECRET=CHANGE_ME_RANDOM_HEX

+[Unit]

+Description=Xdev Host Manager

+After=network-online.target

+Wants=network-online.target

+

+[Service]

+Type=simple

+User=host-manager

+Group=host-manager

+WorkingDirectory=/usr/local/xdev-host-manager

+EnvironmentFile=/etc/xdev/host-manager.env

+ExecStart=/usr/bin/perl /usr/local/xdev-host-manager/scripts/host_manager.pl --bind 127.0.0.1 --port 8088

+Restart=on-failure

+RestartSec=3

+NoNewPrivileges=true

+PrivateTmp=true

+ProtectSystem=full

+ProtectHome=true

+ReadWritePaths=/usr/local/xdev-host-manager /usr/local/xdev-host-manager/backups

+

+[Install]

+WantedBy=multi-user.target

+server {

+    listen 192.168.2.100:80;

+    server_name hosts.madagascar.xdev.ro;

+

+    access_log /var/log/nginx/hosts.madagascar.xdev.ro.access.log main;

+    error_log /var/log/nginx/hosts.madagascar.xdev.ro.error.log warn;

+

+    client_max_body_size 256k;

+

+    add_header X-Content-Type-Options nosniff always;

+    add_header X-Frame-Options DENY always;

+    add_header Referrer-Policy no-referrer always;

+

+    location / {

+        proxy_pass http://127.0.0.1:8088;

+        proxy_http_version 1.1;

+        proxy_set_header Host $host;

+        proxy_set_header X-Real-IP $remote_addr;

+        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

+        proxy_set_header X-Forwarded-Proto $scheme;

+        proxy_read_timeout 30s;

+    }

+}

+#!/usr/bin/env perl

+#

+# host_manager.pl - Minimal host registry web app with no CPAN dependencies.

+#

+

+use strict;

+use warnings;

+

+use Cwd qw(abs_path);

+use Digest::SHA qw(hmac_sha1 hmac_sha256_hex sha256_hex);

+use File::Basename qw(dirname);

+use File::Path qw(make_path);

+use IO::Socket::INET;

+use POSIX qw(strftime);

+use Time::HiRes qw(time);

+

+my $script_dir = dirname(abs_path($0));

+my $project_dir = dirname($script_dir);

+

+my %opt = (

+    bind => $ENV{HOST_MANAGER_BIND} || '127.0.0.1',

+    port => $ENV{HOST_MANAGER_PORT} || 8088,

+    data => $ENV{HOST_MANAGER_DATA} || "$project_dir/config/hosts.yaml",

+    local_hosts_tsv => $ENV{HOST_MANAGER_LOCAL_HOSTS_TSV} || "$project_dir/config/local-hosts.tsv",

+);

+

+while (@ARGV) {

+    my $arg = shift @ARGV;

+    if ($arg eq '--bind') {

+        $opt{bind} = shift @ARGV;

+    } elsif ($arg eq '--port') {

+        $opt{port} = shift @ARGV;

+    } elsif ($arg eq '--data') {

+        $opt{data} = shift @ARGV;

+    } elsif ($arg eq '--local-hosts-tsv') {

+        $opt{local_hosts_tsv} = shift @ARGV;

+    } elsif ($arg eq '--help' || $arg eq '-h') {

+        usage();

+        exit 0;

+    } else {

+        die "Unknown option: $arg\n";

+    }

+}

+

+my $session_secret = $ENV{HOST_MANAGER_SESSION_SECRET} || random_hex(32);

+my %sessions;

+

+my $server = IO::Socket::INET->new(

+    LocalHost => $opt{bind},

+    LocalPort => $opt{port},

+    Proto => 'tcp',

+    Listen => 10,

+    ReuseAddr => 1,

+) or die "Cannot listen on $opt{bind}:$opt{port}: $!\n";

+

+print "host-manager listening on http://$opt{bind}:$opt{port}\n";

+print "data file: $opt{data}\n";

+print "OTP login: " . ($ENV{HOST_MANAGER_TOTP_SECRET} ? "enabled\n" : "disabled; set HOST_MANAGER_TOTP_SECRET\n");

+

+while (my $client = $server->accept) {

+    eval {

+        $client->autoflush(1);

+        handle_client($client);

+    };

+    if ($@) {

+        eval { send_json($client, 500, { error => 'internal_error', detail => "$@" }); };

+    }

+    close $client;

+}

+

+sub usage {

+    print <<"EOF";

+Usage: perl scripts/host_manager.pl [--bind 127.0.0.1] [--port 8088]

+

+Environment:

+  HOST_MANAGER_TOTP_SECRET      Base32 TOTP secret required for write access.

+  HOST_MANAGER_SESSION_SECRET   Optional session signing secret.

+  HOST_MANAGER_DATA             Defaults to config/hosts.yaml.

+  HOST_MANAGER_LOCAL_HOSTS_TSV  Defaults to config/local-hosts.tsv.

+

+Read-only endpoints do not require authentication.

+EOF

+}

+

+sub handle_client {

+    my ($client) = @_;

+    my $request_line = <$client>;

+    return unless defined $request_line;

+    $request_line =~ s/\r?\n$//;

+    my ($method, $target) = $request_line =~ m{^([A-Z]+)\s+(\S+)\s+HTTP/};

+    return send_text($client, 400, 'bad request') unless $method && $target;

+

+    my %headers;

+    while (my $line = <$client>) {

+        $line =~ s/\r?\n$//;

+        last if $line eq '';

+        my ($k, $v) = split /:\s*/, $line, 2;

+        $headers{lc $k} = $v if defined $k && defined $v;

+    }

+

+    my $body = '';

+    if (($headers{'content-length'} || 0) > 0) {

+        read($client, $body, int($headers{'content-length'}));

+    }

+

+    my ($path, $query) = split /\?/, $target, 2;

+    my %query = parse_params($query || '');

+

+    if ($method eq 'GET' && $path eq '/') {

+        return send_html($client, 200, app_html());

+    }

+    if ($method eq 'GET' && $path eq '/healthz') {

+        return send_json($client, 200, { ok => json_bool(1), data => $opt{data} });

+    }

+    if ($method eq 'GET' && $path eq '/api/session') {

+        return send_json($client, 200, { authenticated => is_authenticated(\%headers) ? json_bool(1) : json_bool(0) });

+    }

+    if ($method eq 'GET' && $path eq '/api/hosts') {

+        my $registry = load_registry();

+        return send_json($client, 200, registry_payload($registry));

+    }

+    if ($method eq 'GET' && $path eq '/download/hosts.yaml') {

+        return send_file($client, $opt{data}, 'application/x-yaml; charset=utf-8', 'hosts.yaml');

+    }

+    if ($method eq 'GET' && $path eq '/download/local-hosts.tsv') {

+        my $registry = load_registry();

+        return send_download($client, 200, render_local_hosts_tsv($registry), 'text/tab-separated-values; charset=utf-8', 'local-hosts.tsv');

+    }

+    if ($method eq 'GET' && $path eq '/download/monitoring.json') {

+        my $registry = load_registry();

+        return send_download($client, 200, json_encode(render_monitoring($registry)), 'application/json; charset=utf-8', 'monitoring-hosts.json');

+    }

+    if ($method eq 'POST' && $path eq '/api/login') {

+        return send_json($client, 503, { error => 'otp_not_configured' }) unless $ENV{HOST_MANAGER_TOTP_SECRET};

+        my $payload = request_payload(\%headers, $body);

+        my $otp = $payload->{otp} || '';

+        if (!verify_totp($ENV{HOST_MANAGER_TOTP_SECRET} || '', $otp)) {

+            return send_json($client, 401, { error => 'invalid_otp' });

+        }

+        my $token = create_session();

+        return send_json($client, 200, { ok => json_bool(1) }, [ "Set-Cookie: hm_session=$token; HttpOnly; SameSite=Strict; Path=/" ]);

+    }

+    if ($method eq 'POST' && $path eq '/api/logout') {

+        expire_session(\%headers);

+        return send_json($client, 200, { ok => json_bool(1) }, [ "Set-Cookie: hm_session=deleted; Max-Age=0; Path=/" ]);

+    }

+

+    if ($method eq 'POST' && $path =~ m{^/api/}) {

+        return send_json($client, 401, { error => 'authentication_required' }) unless is_authenticated(\%headers);

+

+        if ($path eq '/api/hosts/upsert') {

+            my $payload = request_payload(\%headers, $body);

+            return upsert_host($client, $payload);

+        }

+        if ($path eq '/api/hosts/delete') {

+            my $payload = request_payload(\%headers, $body);

+            return delete_host($client, $payload->{id} || '');

+        }

+        if ($path eq '/api/render/local-hosts-tsv') {

+            my $registry = load_registry();

+            my $content = render_local_hosts_tsv($registry);

+            backup_file($opt{local_hosts_tsv});

+            write_file($opt{local_hosts_tsv}, $content);

+            return send_json($client, 200, { ok => json_bool(1), file => $opt{local_hosts_tsv} });

+        }

+    }

+

+    return send_json($client, 404, { error => 'not_found' });

+}

+

+sub load_registry {

+    return parse_hosts_yaml(read_file($opt{data}));

+}

+

+sub save_registry {

+    my ($registry) = @_;

+    $registry->{updated_at} = iso_now();

+    backup_file($opt{data});

+    write_file($opt{data}, render_hosts_yaml($registry));

+}

+

+sub registry_payload {

+    my ($registry) = @_;

+    my $problems = analyze_hosts($registry->{hosts});

+    return {

+        version => $registry->{version},

+        updated_at => $registry->{updated_at},

+        policy => $registry->{policy},

+        hosts => $registry->{hosts},

+        problems => $problems,

+        counts => {

+            hosts => scalar @{ $registry->{hosts} },

+            problems => scalar @$problems,

+        },

+    };

+}

+

+sub upsert_host {

+    my ($client, $payload) = @_;

+    my $id = clean_id($payload->{id} || '');

+    return send_json($client, 400, { error => 'invalid_id' }) unless $id;

+

+    my $hosts_ip = clean_scalar($payload->{hosts_ip} || '');

+    my $dns_ip = clean_scalar($payload->{dns_ip} || '');

+    return send_json($client, 400, { error => 'missing_ip' }) unless $hosts_ip && $dns_ip;

+

+    my @names = clean_list($payload->{names});

+    return send_json($client, 400, { error => 'missing_names' }) unless @names;

+

+    my $registry = load_registry();

+    my %host = (

+        id => $id,

+        status => clean_scalar($payload->{status} || 'active'),

+        hosts_ip => $hosts_ip,

+        dns_ip => $dns_ip,

+        names => \@names,

+        roles => [ clean_list($payload->{roles}) ],

+        sources => [ clean_list($payload->{sources}) ],

+        monitoring => clean_scalar($payload->{monitoring} || 'pending'),

+        notes => clean_scalar($payload->{notes} || ''),

+    );

+

+    my $replaced = 0;

+    for my $i (0 .. $#{ $registry->{hosts} }) {

+        if ($registry->{hosts}->[$i]{id} eq $id) {

+            $registry->{hosts}->[$i] = \%host;

+            $replaced = 1;

+            last;

+        }

+    }

+    push @{ $registry->{hosts} }, \%host unless $replaced;

+    save_registry($registry);

+    return send_json($client, 200, { ok => json_bool(1), host => \%host });

+}

+

+sub delete_host {

+    my ($client, $id) = @_;

+    $id = clean_id($id);

+    return send_json($client, 400, { error => 'invalid_id' }) unless $id;

+

+    my $registry = load_registry();

+    my @kept = grep { $_->{id} ne $id } @{ $registry->{hosts} };

+    return send_json($client, 404, { error => 'not_found' }) if @kept == @{ $registry->{hosts} };

+    $registry->{hosts} = \@kept;

+    save_registry($registry);

+    return send_json($client, 200, { ok => json_bool(1) });

+}

+

+sub analyze_hosts {

+    my ($hosts) = @_;

+    my @problems;

+    my (%names, %ids);

+    for my $host (@$hosts) {

+        push @problems, problem($host, 'duplicate-id', "Duplicate id $host->{id}") if $ids{ $host->{id} }++;

+        my @fqdn = grep { /\.madagascar\.xdev\.ro$/ } @{ $host->{names} || [] };

+        push @problems, problem($host, 'missing-fqdn', 'No madagascar.xdev.ro FQDN') unless @fqdn || ($host->{status} || '') ne 'active';

+        push @problems, problem($host, 'deprecated-vad-is', 'Deprecated vad.is.xdev.ro name present')

+            if grep { /\.vad\.is\.xdev\.ro$/ } @{ $host->{names} || [] };

+        push @problems, problem($host, 'legacy-prefix', 'Legacy prefix should be normalized out')

+            if grep { /^(is|vad|b)-/ } @{ $host->{names} || [] };

+        for my $name (@{ $host->{names} || [] }) {

+            push @problems, problem($host, 'duplicate-name', "Duplicate name $name") if $names{$name}++;

+        }

+        if (($host->{hosts_ip} || '') ne ($host->{dns_ip} || '') && ($host->{hosts_ip} || '') ne '127.0.0.1') {

+            push @problems, problem($host, 'split-ip', 'hosts_ip differs from dns_ip; check that this is intentional');

+        }

+    }

+    return \@problems;

+}

+

+sub problem {

+    my ($host, $code, $message) = @_;

+    return { host_id => $host->{id}, code => $code, message => $message };

+}

+

+sub render_local_hosts_tsv {

+    my ($registry) = @_;

+    my $out = "# Local DNS manifest for the madagascar network.\n";

+    $out .= "# Generated by scripts/host_manager.pl from config/hosts.yaml.\n";

+    $out .= "#\n";

+    $out .= "# Format:\n";

+    $out .= "# hosts_ip<TAB>dns_ip<TAB>name [aliases...]\n";

+    $out .= "#\n";

+    $out .= "# Priority rule:\n";

+    $out .= "# - DHCP lease/reservation on 192.168.2.1 is canonical for LAN IP allocation.\n";

+    $out .= "# - madagascar.json is canonical for cluster roles and service interfaces.\n";

+    $out .= "# - This file publishes approved local DNS records derived from those sources.\n";

+    for my $host (sort { $a->{id} cmp $b->{id} } @{ $registry->{hosts} }) {

+        next unless ($host->{status} || 'active') eq 'active';

+        next unless @{ $host->{names} || [] };

+        $out .= join("\t", $host->{hosts_ip}, $host->{dns_ip}, join(' ', @{ $host->{names} })) . "\n";

+    }

+    return $out;

+}

+

+sub render_monitoring {

+    my ($registry) = @_;

+    my @hosts;

+    for my $host (sort { $a->{id} cmp $b->{id} } @{ $registry->{hosts} }) {

+        next unless ($host->{status} || 'active') eq 'active';

+        next if ($host->{monitoring} || 'pending') eq 'disabled';

+        push @hosts, {

+            id => $host->{id},

+            primary_name => $host->{names}[0],

+            address => $host->{dns_ip},

+            aliases => [ @{ $host->{names} || [] } ],

+            roles => [ @{ $host->{roles} || [] } ],

+            monitoring => $host->{monitoring} || 'pending',

+            notes => $host->{notes} || '',

+        };

+    }

+    return {

+        version => $registry->{version},

+        generated_at => iso_now(),

+        source => 'config/hosts.yaml',

+        hosts => \@hosts,

+    };

+}

+

+sub parse_hosts_yaml {

+    my ($text) = @_;

+    my %registry = (

+        version => 1,

+        updated_at => '',

+        policy => {},

+        hosts => [],

+    );

+    my ($section, $current, $list_key);

+    for my $line (split /\n/, $text) {

+        next if $line =~ /^\s*$/ || $line =~ /^\s*#/;

+        if ($line =~ /^version:\s*(\d+)/) {

+            $registry{version} = int($1);

+        } elsif ($line =~ /^updated_at:\s*(.+)$/) {

+            $registry{updated_at} = yaml_unquote($1);

+        } elsif ($line =~ /^policy:\s*$/) {

+            $section = 'policy';

+        } elsif ($line =~ /^hosts:\s*$/) {

+            $section = 'hosts';

+        } elsif (($section || '') eq 'policy' && $line =~ /^  ([A-Za-z0-9_]+):\s*(.+)$/) {

+            $registry{policy}{$1} = yaml_unquote($2);

+        } elsif (($section || '') eq 'hosts' && $line =~ /^  - id:\s*(.+)$/) {

+            $current = {

+                id => yaml_unquote($1),

+                status => 'active',

+                hosts_ip => '',

+                dns_ip => '',

+                names => [],

+                roles => [],

+                sources => [],

+                monitoring => 'pending',

+                notes => '',

+            };

+            push @{ $registry{hosts} }, $current;

+            $list_key = undef;

+        } elsif ($current && $line =~ /^    ([A-Za-z0-9_]+):\s*$/) {

+            $list_key = $1;

+            $current->{$list_key} ||= [];

+        } elsif ($current && defined $list_key && $line =~ /^      -\s*(.+)$/) {

+            push @{ $current->{$list_key} }, yaml_unquote($1);

+        } elsif ($current && $line =~ /^    ([A-Za-z0-9_]+):\s*(.*)$/) {

+            $current->{$1} = yaml_unquote($2);

+            $list_key = undef;

+        }

+    }

+    return \%registry;

+}

+

+sub render_hosts_yaml {

+    my ($registry) = @_;

+    my $out = "version: " . int($registry->{version} || 1) . "\n";

+    $out .= "updated_at: " . yq($registry->{updated_at} || iso_now()) . "\n";

+    $out .= "policy:\n";

+    for my $key (sort keys %{ $registry->{policy} || {} }) {

+        $out .= "  $key: " . yq($registry->{policy}{$key}) . "\n";

+    }

+    $out .= "hosts:\n";

+    for my $host (sort { $a->{id} cmp $b->{id} } @{ $registry->{hosts} || [] }) {

+        $out .= "  - id: " . yq($host->{id}) . "\n";

+        for my $key (qw(status hosts_ip dns_ip)) {

+            $out .= "    $key: " . yq($host->{$key} || '') . "\n";

+        }

+        for my $key (qw(names roles sources)) {

+            $out .= "    $key:\n";

+            for my $value (@{ $host->{$key} || [] }) {

+                $out .= "      - " . yq($value) . "\n";

+            }

+        }

+        $out .= "    monitoring: " . yq($host->{monitoring} || 'pending') . "\n";

+        $out .= "    notes: " . yq($host->{notes} || '') . "\n";

+    }

+    return $out;

+}

+

+sub request_payload {

+    my ($headers, $body) = @_;

+    my $type = $headers->{'content-type'} || '';

+    if ($type =~ m{application/json}) {

+        return json_decode($body || '{}');

+    }

+    return { parse_params($body || '') };

+}

+

+sub json_bool {

+    my ($value) = @_;

+    return bless \(my $bool = $value ? 1 : 0), 'HostManager::JSONBool';

+}

+

+sub json_encode {

+    my ($value) = @_;

+    if (!defined $value) {

+        return 'null';

+    }

+    my $ref = ref($value);

+    if (!$ref) {

+        return $value if $value =~ /\A-?(?:0|[1-9][0-9]*)(?:\.[0-9]+)?\z/;

+        return json_string($value);

+    }

+    if ($ref eq 'HostManager::JSONBool') {

+        return $$value ? 'true' : 'false';

+    }

+    if ($ref eq 'ARRAY') {

+        return '[' . join(',', map { json_encode($_) } @$value) . ']';

+    }

+    if ($ref eq 'HASH') {

+        return '{' . join(',', map { json_string($_) . ':' . json_encode($value->{$_}) } sort keys %$value) . '}';

+    }

+    return json_string("$value");

+}

+

+sub json_string {

+    my ($value) = @_;

+    $value = '' unless defined $value;

+    $value =~ s/\\/\\\\/g;

+    $value =~ s/"/\\"/g;

+    $value =~ s/\n/\\n/g;

+    $value =~ s/\r/\\r/g;

+    $value =~ s/\t/\\t/g;

+    $value =~ s/([\x00-\x1f])/sprintf("\\u%04x", ord($1))/eg;

+    return qq("$value");

+}

+

+sub json_decode {

+    my ($text) = @_;

+    my $i = 0;

+    my $len = length($text);

+    my ($parse_value, $parse_string, $parse_array, $parse_object, $parse_number, $skip_ws);

+

+    $skip_ws = sub {

+        $i++ while $i < $len && substr($text, $i, 1) =~ /\s/;

+    };

+

+    $parse_string = sub {

+        die "Expected JSON string\n" unless substr($text, $i, 1) eq '"';

+        $i++;

+        my $out = '';

+        while ($i < $len) {

+            my $ch = substr($text, $i++, 1);

+            return $out if $ch eq '"';

+            if ($ch eq "\\") {

+                die "Bad JSON escape\n" if $i >= $len;

+                my $esc = substr($text, $i++, 1);

+                if ($esc eq '"' || $esc eq "\\" || $esc eq '/') {

+                    $out .= $esc;

+                } elsif ($esc eq 'b') {

+                    $out .= "\b";

+                } elsif ($esc eq 'f') {

+                    $out .= "\f";

+                } elsif ($esc eq 'n') {

+                    $out .= "\n";

+                } elsif ($esc eq 'r') {

+                    $out .= "\r";

+                } elsif ($esc eq 't') {

+                    $out .= "\t";

+                } elsif ($esc eq 'u') {

+                    my $hex = substr($text, $i, 4);

+                    die "Bad JSON unicode escape\n" unless $hex =~ /\A[0-9A-Fa-f]{4}\z/;

+                    $out .= chr(hex($hex));

+                    $i += 4;

+                } else {

+                    die "Bad JSON escape\n";

+                }

+            } else {

+                $out .= $ch;

+            }

+        }

+        die "Unterminated JSON string\n";

+    };

+

+    $parse_number = sub {

+        my $start = $i;

+        $i++ if substr($text, $i, 1) eq '-';

+        $i++ while $i < $len && substr($text, $i, 1) =~ /[0-9]/;

+        if ($i < $len && substr($text, $i, 1) eq '.') {

+            $i++;

+            $i++ while $i < $len && substr($text, $i, 1) =~ /[0-9]/;

+        }

+        if ($i < $len && substr($text, $i, 1) =~ /[eE]/) {

+            $i++;

+            $i++ if $i < $len && substr($text, $i, 1) =~ /[+-]/;

+            $i++ while $i < $len && substr($text, $i, 1) =~ /[0-9]/;

+        }

+        return 0 + substr($text, $start, $i - $start);

+    };

+

+    $parse_array = sub {

+        die "Expected JSON array\n" unless substr($text, $i, 1) eq '[';

+        $i++;

+        my @out;

+        $skip_ws->();

+        if ($i < $len && substr($text, $i, 1) eq ']') {

+            $i++;

+            return \@out;

+        }

+        while (1) {

+            push @out, $parse_value->();

+            $skip_ws->();

+            my $ch = substr($text, $i++, 1);

+            last if $ch eq ']';

+            die "Expected JSON array comma\n" unless $ch eq ',';

+        }

+        return \@out;

+    };

+

+    $parse_object = sub {

+        die "Expected JSON object\n" unless substr($text, $i, 1) eq '{';

+        $i++;

+        my %out;

+        $skip_ws->();

+        if ($i < $len && substr($text, $i, 1) eq '}') {

+            $i++;

+            return \%out;

+        }

+        while (1) {

+            $skip_ws->();

+            my $key = $parse_string->();

+            $skip_ws->();

+            die "Expected JSON object colon\n" unless substr($text, $i++, 1) eq ':';

+            $out{$key} = $parse_value->();

+            $skip_ws->();

+            my $ch = substr($text, $i++, 1);

+            last if $ch eq '}';

+            die "Expected JSON object comma\n" unless $ch eq ',';

+        }

+        return \%out;

+    };

+

+    $parse_value = sub {

+        $skip_ws->();

+        die "Unexpected end of JSON\n" if $i >= $len;

+        my $ch = substr($text, $i, 1);

+        return $parse_string->() if $ch eq '"';

+        return $parse_object->() if $ch eq '{';

+        return $parse_array->() if $ch eq '[';

+        if (substr($text, $i, 4) eq 'true') {

+            $i += 4;

+            return json_bool(1);

+        }

+        if (substr($text, $i, 5) eq 'false') {

+            $i += 5;

+            return json_bool(0);

+        }

+        if (substr($text, $i, 4) eq 'null') {

+            $i += 4;

+            return undef;

+        }

+        return $parse_number->() if $ch =~ /[-0-9]/;

+        die "Unexpected JSON token\n";

+    };

+

+    my $value = $parse_value->();

+    $skip_ws->();

+    die "Trailing JSON content\n" if $i != $len;

+    return $value;

+}

+

+sub parse_params {

+    my ($text) = @_;

+    my %out;

+    for my $pair (split /&/, $text) {

+        next unless length $pair;

+        my ($k, $v) = split /=/, $pair, 2;

+        $out{url_decode($k)} = url_decode($v || '');

+    }

+    return %out;

+}

+

+sub clean_id {

+    my ($value) = @_;

+    $value = lc clean_scalar($value);

+    $value =~ s/[^a-z0-9_.-]+/-/g;

+    $value =~ s/^-+|-+$//g;

+    return $value;

+}

+

+sub clean_scalar {

+    my ($value) = @_;

+    $value = '' unless defined $value;

+    $value =~ s/[\r\n\t]+/ /g;

+    $value =~ s/^\s+|\s+$//g;

+    return $value;

+}

+

+sub clean_list {

+    my ($value) = @_;

+    return () unless defined $value;

+    my @items = ref($value) eq 'ARRAY' ? @$value : split /[\s,]+/, $value;

+    my @clean;

+    for my $item (@items) {

+        $item = clean_scalar($item);

+        push @clean, $item if length $item;

+    }

+    return @clean;

+}

+

+sub yq {

+    my ($value) = @_;

+    $value = '' unless defined $value;

+    $value =~ s/\\/\\\\/g;

+    $value =~ s/"/\\"/g;

+    return qq("$value");

+}

+

+sub yaml_unquote {

+    my ($value) = @_;

+    $value = '' unless defined $value;

+    $value =~ s/^\s+|\s+$//g;

+    if ($value =~ /^"(.*)"$/) {

+        $value = $1;

+        $value =~ s/\\"/"/g;

+        $value =~ s/\\\\/\\/g;

+    }

+    return $value;

+}

+

+sub verify_totp {

+    my ($secret, $otp) = @_;

+    return 0 unless $secret && $otp =~ /^\d{6}$/;

+    my $key = eval { base32_decode($secret) };

+    return 0 if $@ || !length $key;

+    my $counter = int(time() / 30);

+    for my $offset (-1, 0, 1) {

+        return 1 if totp_code($key, $counter + $offset) eq $otp;

+    }

+    return 0;

+}

+

+sub totp_code {

+    my ($key, $counter) = @_;

+    my $msg = pack('NN', int($counter / 4294967296), $counter & 0xffffffff);

+    my $hash = hmac_sha1($msg, $key);

+    my $offset = ord(substr($hash, -1)) & 0x0f;

+    my $bin = unpack('N', substr($hash, $offset, 4)) & 0x7fffffff;

+    return sprintf('%06d', $bin % 1_000_000);

+}

+

+sub base32_decode {

+    my ($text) = @_;

+    $text = uc($text || '');

+    $text =~ s/[^A-Z2-7]//g;

+    my %map;

+    my @chars = ('A'..'Z', '2'..'7');

+    @map{@chars} = (0..31);

+    my ($bits, $value, $out) = (0, 0, '');

+    for my $char (split //, $text) {

+        die "Invalid base32\n" unless exists $map{$char};

+        $value = ($value << 5) | $map{$char};

+        $bits += 5;

+        while ($bits >= 8) {

+            $bits -= 8;

+            $out .= chr(($value >> $bits) & 0xff);

+        }

+    }

+    return $out;

+}

+

+sub create_session {

+    my $nonce = random_hex(24);

+    my $expires = int(time() + 8 * 3600);

+    my $sig = hmac_sha256_hex("$nonce:$expires", $session_secret);

+    my $token = "$nonce:$expires:$sig";

+    $sessions{$token} = $expires;

+    return $token;

+}

+

+sub is_authenticated {

+    my ($headers) = @_;

+    my $token = cookie_value($headers->{'cookie'} || '', 'hm_session');

+    return 0 unless $token;

+    my ($nonce, $expires, $sig) = split /:/, $token;

+    return 0 unless $nonce && $expires && $sig;

+    return 0 if $expires < time();

+    return 0 unless hmac_sha256_hex("$nonce:$expires", $session_secret) eq $sig;

+    return exists $sessions{$token};

+}

+

+sub expire_session {

+    my ($headers) = @_;

+    my $token = cookie_value($headers->{'cookie'} || '', 'hm_session');

+    delete $sessions{$token} if $token;

+}

+

+sub cookie_value {

+    my ($cookie, $name) = @_;

+    for my $part (split /;\s*/, $cookie) {

+        my ($k, $v) = split /=/, $part, 2;

+        return $v if defined $k && $k eq $name;

+    }

+    return '';

+}

+

+sub send_json {

+    my ($client, $status, $payload, $extra_headers) = @_;

+    return send_response($client, $status, json_encode($payload), 'application/json; charset=utf-8', $extra_headers);

+}

+

+sub send_html {

+    my ($client, $status, $html) = @_;

+    return send_response($client, $status, $html, 'text/html; charset=utf-8');

+}

+

+sub send_text {

+    my ($client, $status, $text) = @_;

+    return send_response($client, $status, $text, 'text/plain; charset=utf-8');

+}

+

+sub send_download {

+    my ($client, $status, $content, $type, $filename) = @_;

+    return send_response($client, $status, $content, $type, [ qq(Content-Disposition: attachment; filename="$filename") ]);

+}

+

+sub send_file {

+    my ($client, $path, $type, $filename) = @_;

+    return send_json($client, 404, { error => 'missing_file' }) unless -f $path;

+    return send_download($client, 200, read_file($path), $type, $filename);

+}

+

+sub send_response {

+    my ($client, $status, $body, $type, $extra_headers) = @_;

+    my %reason = (200 => 'OK', 400 => 'Bad Request', 401 => 'Unauthorized', 404 => 'Not Found', 500 => 'Internal Server Error', 503 => 'Service Unavailable');

+    $body = '' unless defined $body;

+    print $client "HTTP/1.1 $status " . ($reason{$status} || 'OK') . "\r\n";

+    print $client "Content-Type: $type\r\n";

+    print $client "Content-Length: " . length($body) . "\r\n";

+    print $client "Cache-Control: no-store\r\n";

+    print $client "$_\r\n" for @{ $extra_headers || [] };

+    print $client "Connection: close\r\n\r\n";

+    print $client $body;

+}

+

+sub read_file {

+    my ($path) = @_;

+    open my $fh, '<', $path or die "Cannot read $path: $!";

+    local $/;

+    return <$fh>;

+}

+

+sub write_file {

+    my ($path, $content) = @_;

+    open my $fh, '>', $path or die "Cannot write $path: $!";

+    print {$fh} $content;

+    close $fh or die "Cannot close $path: $!";

+}

+

+sub backup_file {

+    my ($path) = @_;

+    return unless -f $path;

+    my $backup_dir = "$project_dir/backups/host-manager";

+    make_path($backup_dir) unless -d $backup_dir;

+    my $name = $path;

+    $name =~ s{.*/}{};

+    my $stamp = strftime('%Y%m%d_%H%M%S', localtime);

+    write_file("$backup_dir/$name.$stamp.bak", read_file($path));

+}

+

+sub url_decode {

+    my ($value) = @_;

+    $value = '' unless defined $value;

+    $value =~ tr/+/ /;

+    $value =~ s/%([0-9A-Fa-f]{2})/chr(hex($1))/eg;

+    return $value;

+}

+

+sub random_hex {

+    my ($bytes) = @_;

+    if (open my $fh, '<:raw', '/dev/urandom') {

+        read($fh, my $raw, $bytes);

+        close $fh;

+        return unpack('H*', $raw);

+    }

+    return sha256_hex(rand() . time() . $$);

+}

+

+sub iso_now {

+    return strftime('%Y-%m-%dT%H:%M:%SZ', gmtime);

+}

+

+sub app_html {

+    return <<'HTML';

+<!doctype html>

+<html lang="ro">

+<head>

+  <meta charset="utf-8">

+  <meta name="viewport" content="width=device-width, initial-scale=1">

+  <title>Host Manager</title>

+  <style>

+    :root {

+      color-scheme: light;

+      --ink: #152033;

+      --muted: #647084;

+      --line: #d8dee8;

+      --soft: #f4f6f9;

+      --panel: #ffffff;

+      --accent: #1267d8;

+      --bad: #b42318;

+      --warn: #946200;

+      --ok: #137333;

+    }

+    * { box-sizing: border-box; }

+    body { margin: 0; font-family: system-ui, -apple-system, BlinkMacSystemFont, "Segoe UI", sans-serif; color: var(--ink); background: #eef2f6; font-size: 14px; }

+    header { display: flex; align-items: center; justify-content: space-between; gap: 16px; padding: 14px 18px; background: var(--panel); border-bottom: 1px solid var(--line); position: sticky; top: 0; z-index: 2; }

+    h1 { margin: 0; font-size: 18px; font-weight: 700; letter-spacing: 0; }

+    main { padding: 16px; display: grid; gap: 16px; max-width: 1280px; margin: 0 auto; }

+    .toolbar, .panel { background: var(--panel); border: 1px solid var(--line); border-radius: 8px; }

+    .toolbar { display: flex; flex-wrap: wrap; align-items: center; gap: 8px; padding: 10px; }

+    .panel { overflow: hidden; }

+    .panel-head { display: flex; justify-content: space-between; align-items: center; gap: 12px; padding: 12px 14px; border-bottom: 1px solid var(--line); background: #fafbfc; }

+    .panel-head h2 { margin: 0; font-size: 14px; }

+    .stats { display: flex; gap: 8px; flex-wrap: wrap; }

+    .stat { padding: 6px 8px; border: 1px solid var(--line); border-radius: 6px; background: var(--soft); font-size: 12px; color: var(--muted); }

+    button, input, select, textarea { font: inherit; }

+    button, .linkbtn { border: 1px solid var(--line); background: #fff; color: var(--ink); border-radius: 6px; padding: 7px 10px; min-height: 34px; cursor: pointer; text-decoration: none; display: inline-flex; align-items: center; gap: 6px; }

+    button.primary { background: var(--accent); border-color: var(--accent); color: #fff; }

+    button.danger { color: var(--bad); }

+    button:disabled { opacity: .55; cursor: not-allowed; }

+    input, select, textarea { width: 100%; border: 1px solid var(--line); border-radius: 6px; padding: 8px; background: #fff; color: var(--ink); }

+    textarea { min-height: 74px; resize: vertical; }

+    table { width: 100%; border-collapse: collapse; table-layout: fixed; }

+    th, td { padding: 9px 10px; border-bottom: 1px solid var(--line); text-align: left; vertical-align: top; overflow-wrap: anywhere; }

+    th { color: var(--muted); font-size: 12px; font-weight: 700; background: #fafbfc; }

+    tr:hover td { background: #f8fafc; }

+    .pill { display: inline-block; padding: 2px 6px; border-radius: 999px; background: var(--soft); border: 1px solid var(--line); color: var(--muted); font-size: 12px; margin: 0 4px 4px 0; }

+    .pill.ok { color: var(--ok); border-color: #b7dfc1; background: #edf8ef; }

+    .pill.warn { color: var(--warn); border-color: #f1d184; background: #fff7df; }

+    .pill.bad { color: var(--bad); border-color: #f0b8b3; background: #fff0ee; }

+    .grid { display: grid; grid-template-columns: repeat(2, minmax(0, 1fr)); gap: 10px; padding: 14px; }

+    .span2 { grid-column: 1 / -1; }

+    label { display: grid; gap: 5px; color: var(--muted); font-size: 12px; font-weight: 650; }

+    .auth { display: flex; gap: 8px; align-items: center; }

+    .auth input { width: 130px; }

+    .muted { color: var(--muted); }

+    .problems { padding: 10px 14px; display: grid; gap: 8px; }

+    .problem { border-left: 3px solid var(--warn); padding: 7px 9px; background: #fffaf0; }

+    @media (max-width: 760px) {

+      header { align-items: stretch; flex-direction: column; }

+      .grid { grid-template-columns: 1fr; }

+      table { min-width: 760px; }

+      .table-wrap { overflow-x: auto; }

+    }

+  </style>

+</head>

+<body>

+  <header>

+    <h1>Host Manager</h1>

+    <form class="auth" id="login-form">

+      <span id="auth-state" class="muted">read-only</span>

+      <input id="otp" name="otp" inputmode="numeric" pattern="[0-9]*" autocomplete="one-time-code" placeholder="OTP">

+      <button class="primary" type="submit">Login</button>

+      <button type="button" id="logout">Logout</button>

+    </form>