diff --git a/hermes-nyora/vps-contabo-acces-claude-supervision.md b/hermes-nyora/vps-contabo-acces-claude-supervision.md new file mode 100644 index 0000000..3bc64c7 --- /dev/null +++ b/hermes-nyora/vps-contabo-acces-claude-supervision.md @@ -0,0 +1,17 @@ +# VPS Contabo — Accès supervision Claude (claude-oversight, sudo NOPASSWD, alerte connexion) + +**Date** : 2026-07-05 +**Instance** : hermes-nyora +**Tags** : nyora, vps, contabo, securite, acces, supervision + +## Décision +Nabil a demandé un accès root pour que Claude puisse vérifier/cadrer/intervenir en cas de problème grave sur le VPS. Root SSH direct (`PermitRootLogin yes`) écarté — mauvaise pratique même pour un accès de confiance, ça ouvre une porte système au lieu d'un compte individuel traçable. + +## Solution retenue +User dédié `claude-oversight`, `sudo NOPASSWD: ALL` (capacité root équivalente), `PermitRootLogin` reste désactivé. `ForceCommand` sur ce user exécute un wrapper qui envoie une alerte Telegram à Nabil AVANT d'ouvrir le shell — connexion toujours visible, jamais silencieuse. + +## Politique d'usage +Nyora reste l'exécutant par défaut de toute opération sur ce VPS (setup, maintenance, backup). `claude-oversight` sert exclusivement à la vérification a posteriori et à l'intervention d'urgence — pas à l'exécution routinière, pour éviter la désynchronisation entre deux acteurs qui modifient la même machine. + +## Fichier +`hermes-nyora/data/workspace/contabo-vps/setup-claude-oversight-vps.sh`