feat: preAlpha propagation — agent-types, contexts/, session-orchestrator, metabolism-scribe, helloWorld, _template type field
This commit is contained in:
168
profil/contexts/commands.md
Normal file
168
profil/contexts/commands.md
Normal file
@@ -0,0 +1,168 @@
|
||||
# commands.md — Contexte commandes CLI sécurisées
|
||||
|
||||
> **Type :** Contexte — propriétaire : `vps`, `debug`, `ci-cd`
|
||||
> Rédigé : 2026-03-14
|
||||
> Résout : "commandes destructives exécutées sans dry-run, flags dangereux non identifiés, prod impacté"
|
||||
|
||||
---
|
||||
|
||||
## Problème résolu
|
||||
|
||||
Certaines commandes CLI sont irréversibles ou ont un impact prod immédiat. Sans protocole, un agent propose `rm -rf`, `docker system prune`, ou `git push --force` sans avertissement. Ce contexte donne les règles de comportement et les patterns de sécurité pour toute suggestion de commande.
|
||||
|
||||
---
|
||||
|
||||
## Règles fondamentales
|
||||
|
||||
### 1. Dry-run avant exécution
|
||||
|
||||
Toute commande destructive doit avoir un équivalent dry-run proposé en premier :
|
||||
|
||||
| Commande réelle | Dry-run |
|
||||
|----------------|---------|
|
||||
| `rsync src/ dest/` | `rsync -n src/ dest/` |
|
||||
| `find . -name "*.log" -delete` | `find . -name "*.log"` (sans -delete) |
|
||||
| `sed -i 's/old/new/' file` | `sed 's/old/new/' file` (sans -i) |
|
||||
| `docker system prune` | `docker system df` d'abord |
|
||||
| `git clean -fd` | `git clean -n` |
|
||||
| `certbot renew` | `certbot renew --dry-run` |
|
||||
|
||||
### 2. Flags dangereux — annotation obligatoire
|
||||
|
||||
Toute commande avec un flag destructif ou irréversible est annotée `⚠️ DESTRUCTIF` ou `⚠️ IRRÉVERSIBLE` :
|
||||
|
||||
```bash
|
||||
rm -rf /path/ # ⚠️ DESTRUCTIF — irréversible, pas de corbeille
|
||||
git push --force # ⚠️ IRRÉVERSIBLE — écrase l'historique distant
|
||||
git reset --hard # ⚠️ DESTRUCTIF — perd les modifications non commitées
|
||||
docker system prune -a # ⚠️ DESTRUCTIF — supprime toutes les images inutilisées
|
||||
DROP TABLE users; # ⚠️ IRRÉVERSIBLE — données perdues
|
||||
```
|
||||
|
||||
### 3. Confirmation avant commande prod
|
||||
|
||||
Avant toute commande sur un système de production :
|
||||
```
|
||||
⚠️ Commande prod — confirme avant d'exécuter :
|
||||
Commande : <commande complète>
|
||||
Impact : <ce qui sera modifié ou supprimé>
|
||||
Réversible : oui / non
|
||||
```
|
||||
|
||||
---
|
||||
|
||||
## Patterns sécurisés par domaine
|
||||
|
||||
### Git
|
||||
```bash
|
||||
# Toujours préférer
|
||||
git push origin <branch> # branche explicite
|
||||
git revert <commit> # réversible — crée un commit inverse
|
||||
|
||||
# Avec confirmation obligatoire
|
||||
git push --force-with-lease # moins destructif que --force (vérifie upstream)
|
||||
git reset --soft HEAD~1 # récupérable (staging intact)
|
||||
|
||||
# Jamais sans confirmation
|
||||
git push --force # ⚠️ IRRÉVERSIBLE
|
||||
git reset --hard # ⚠️ DESTRUCTIF
|
||||
git clean -fd # ⚠️ DESTRUCTIF
|
||||
```
|
||||
|
||||
### Docker
|
||||
```bash
|
||||
# Toujours lire avant d'agir
|
||||
docker ps -a # containers existants
|
||||
docker images # images présentes
|
||||
docker system df # espace utilisé
|
||||
|
||||
# Dry-run equivalent
|
||||
docker system prune --dry-run # (si dispo) ou df d'abord
|
||||
|
||||
# Avec confirmation
|
||||
docker stop <container> # arrêt — reversible
|
||||
docker rm <container> # ⚠️ supprime le container (données volumes ok)
|
||||
docker rmi <image> # supprime l'image
|
||||
docker system prune -a # ⚠️ DESTRUCTIF — toutes images non utilisées
|
||||
```
|
||||
|
||||
### MySQL
|
||||
```bash
|
||||
# Backup AVANT toute modification
|
||||
mysqldump -u root -p <db> > backup-$(date +%Y%m%d-%H%M).sql
|
||||
|
||||
# Transactions pour DDL risqués
|
||||
START TRANSACTION;
|
||||
ALTER TABLE ...;
|
||||
-- vérifier avant COMMIT
|
||||
ROLLBACK; -- ou COMMIT si ok
|
||||
|
||||
# Jamais sans backup
|
||||
DROP TABLE ... # ⚠️ IRRÉVERSIBLE
|
||||
TRUNCATE TABLE .. # ⚠️ IRRÉVERSIBLE
|
||||
DELETE FROM ... # ⚠️ sans WHERE = table vidée
|
||||
```
|
||||
|
||||
### Fichiers système
|
||||
```bash
|
||||
# Préférer cp avant modification
|
||||
cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.bak
|
||||
|
||||
# Tester avant reload
|
||||
nginx -t # validation config
|
||||
apache2ctl configtest
|
||||
|
||||
# Jamais sans backup
|
||||
rm -rf /var/www/<app>/ # ⚠️ DESTRUCTIF
|
||||
```
|
||||
|
||||
---
|
||||
|
||||
## Ordre de validation pour les commandes VPS
|
||||
|
||||
```
|
||||
1. Lire l'état actuel (status, logs, df)
|
||||
2. Proposer la commande + dry-run si disponible
|
||||
3. Annoter les flags dangereux
|
||||
4. Attendre confirmation si commande prod/destructive
|
||||
5. Exécuter
|
||||
6. Vérifier l'état après (status, logs)
|
||||
```
|
||||
|
||||
---
|
||||
|
||||
## Trigger de chargement
|
||||
|
||||
```
|
||||
Propriétaire : vps, debug, ci-cd
|
||||
Trigger : session deploy, debug infra, ou toute commande shell sur VPS
|
||||
Section : Sources au démarrage (vps, ci-cd) — Sources conditionnelles (debug si infra détectée)
|
||||
```
|
||||
|
||||
---
|
||||
|
||||
## Maintenance
|
||||
|
||||
```
|
||||
Propriétaire : vps (mise à jour si nouveau pattern CLI validé)
|
||||
Mise à jour : en fin de session si un nouveau flag dangereux ou pattern sécurisé identifié
|
||||
Jamais modifié par : agents non-infra
|
||||
```
|
||||
|
||||
---
|
||||
|
||||
## Cycle de vie
|
||||
|
||||
| État | Condition | Action |
|
||||
|------|-----------|--------|
|
||||
| **Actif** | Sessions VPS/deploy fréquentes | Enrichi après chaque pattern validé |
|
||||
| **Stable** | Stack stable | Consulté, rarement modifié |
|
||||
| **Archivé** | N/A | Non applicable |
|
||||
|
||||
---
|
||||
|
||||
## Changelog
|
||||
|
||||
| Date | Changement |
|
||||
|------|------------|
|
||||
| 2026-03-14 | Création — règles dry-run, flags dangereux annotés, patterns git/docker/mysql/fichiers |
|
||||
Reference in New Issue
Block a user