/var/log/janio

SOPS + age: Gerenciamento de segredos declarativo, seguro e sem a dor de cabeça do GPG

Tue, 26 May 2026 07:00:00 +0000

Como já discuti anteriormente no post sobre secret management no macOS e no Linux, o grande problema de gerenciar chaves e tokens não é a criptografia em si, mas sim reduzir o vazamento acidental sem transformar a rotina do sysadmin num inferno burocrático. Nos últimos anos, porém, uma dupla de ferramentas ganhou espaço e mudou completamente essa dinâmica: o Mozilla SOPS e o age. Juntos, eles permitem uma abordagem declarativa (GitOps-friendly), extremamente segura e com fricção quase zero. Este post é uma análise detalhada sobre o funcionamento dessas ferramentas e como integrá-las de forma prática no seu dia a dia.

Secret management no macOS e no Linux: uma abordagem teórico-prática

Sun, 17 May 2026 11:34:00 +0000

Existe um momento na vida de praticamente todo sysadmin em que ele percebe que espalhou segredos demais pelo ambiente: uma senha em .env aqui, um token no histórico do shell ali, um webhook esquecido dentro de um docker-compose.yml, uma API key hardcoded num script “temporário” que continua rodando dois anos depois. Nada disso parece grave isoladamente; o problema é que a infraestrutura quase nunca quebra por uma decisão única e gigantesca. Ela quebra pelo acúmulo de pequenas concessões feitas em nome da praticidade.

Hugin on steroids: tags, links e edição numa só TUI

Sat, 18 Apr 2026 13:13:00 +0000

No post sobre o Hugin apresentei a ferramenta que uso para gerar tags e resumos nos meus blogs Hugo. Duas semanas depois, no post sobre o Munin, mostrei o irmão dele: um segundo programa que descobre e insere links internos entre posts usando embeddings e LLM.

Os dois funcionavam bem. Separados, funcionavam bem.

O problema de ter dois programas

Na teoria, dividir responsabilidades entre ferramentas é uma boa prática. Na prática, o fluxo para processar um post novo era assim: abrir o Hugin, navegar até o post, gerar tags, gerar resumo, fechar o Hugin. Abrir o Munin, esperar o modelo de embeddings carregar, navegar até o mesmo post, verificar links existentes, gerar sugestões de links, aplicar. Se precisasse corrigir um typo no título que só apareceu depois de olhar o post no Hugin, fechar tudo e abrir o Pages CMS ou o vim.

Munin: links internos para Hugo com IA

Fri, 17 Apr 2026 10:49:00 +0000

No post sobre o Hugin contei como resolvi o problema de tags e resumos no meu blog Hugo. Mas tinha outro problema, menos óbvio e mais chato: links internos. Aqueles links que conectam um post a outro, que ajudam o leitor a navegar pelo conteúdo relacionado, e que o Google adora ver num site bem estruturado.

O problema é que ninguém linka nada. Você escreve um post sobre systemd timers, outro sobre cron, outro sobre launchd — e nenhum dos três menciona os outros. São ilhas de conteúdo que poderiam estar conectadas. A solução óbvia é reler cada post, lembrar quais outros existem, e ir inserindo links manualmente. Com 30 posts, é viável. Com 400, é insano.

Hugin: tags e resumos para Hugo com IA

Sat, 11 Apr 2026 15:33:00 +0000

Quem mantém um blog estático com Hugo sabe que existem duas tarefas que ninguém gosta de fazer: classificar posts com tags e escrever meta descriptions. São aquelas coisas que você pula na hora de publicar porque o post já está pronto, o deploy já está configurado, e ficar escolhendo entre “selfhosted” e “self-hosted” não é exatamente o uso mais nobre do seu tempo. O resultado é previsível: posts sem tags, descriptions vazias ou copiadas do primeiro parágrafo, e uma taxonomia que mais atrapalha do que ajuda.

De WordPress a Hugo: Temas Não São o Que Você Pensa

Sat, 04 Apr 2026 14:59:00 +0000

Quem trabalha com WordPress por tempo suficiente desenvolve uma intuição sobre o que um tema é e o que ele faz. Essa intuição funciona bem dentro do ecossistema — ela guia decisões sobre estrutura de arquivos, sobre onde colocar lógica e sobre como estender funcionalidades. O problema aparece quando você migra para o Hugo e tenta aplicar esse mesmo modelo mental.

As palavras são parecidas — templates, layouts, partials — mas o que elas significam na prática é radicalmente diferente. Um tema no WordPress é, em essência, uma aplicação PHP completa que consulta banco de dados, toma decisões de lógica e renderiza HTML, tudo no mesmo lugar. Um tema no Hugo é uma coleção de templates que recebe dados já processados e se limita a apresentá-los. Parece uma diferença sutil até você sentar para construir o seu primeiro layout e perceber que quase tudo que você sabia precisa ser reaprendido.

Apagando e-mails automaticamente no Apple Mail com AppleScript + launchd

Mon, 30 Mar 2026 20:24:00 +0000

Minha caixa de entrada vive cheia de notificações com assunto no formato [Ticket ID: 12345] Atualização do chamado. Elas são úteis por algumas horas e depois viram ruído. Não são e-mails que precisam ser arquivados, respondidos ou revisitados, então acabam só ocupando espaço mental.

Apagar manualmente é aquele tipo de tarefa pequena que nunca vira prioridade, mas que cobra juros em distração. Então resolvi tratar como qualquer outro problema recorrente: automatizar localmente, sem depender de serviço externo, sem webhook e sem integrações. A ideia é rodar periodicamente um script que mova para o lixo as mensagens cujo assunto contenha um padrão específico e que tenham mais de 48 horas.

Tailscale no Homelab — Acesso Remoto sem Abrir Portas

Sun, 29 Mar 2026 21:58:00 +0000

Quem mantém um homelab — ou mesmo um único Raspberry Pi rodando serviços — eventualmente esbarra no mesmo obstáculo: como acessar esses dispositivos de fora da rede local? A resposta clássica envolve abrir portas no roteador, configurar port forwarding, lidar com IP dinâmico via DDNS e torcer para que nenhum bot descubra aquela porta SSH exposta na internet. Funciona, mas a superfície de ataque cresce a cada porta aberta, e a manutenção vira uma dor de cabeça silenciosa que só aparece quando algo quebra.

Comentários em sites estáticos com Isso — leve, self-hosted e sem rastreamento

Sat, 28 Mar 2026 13:34:00 +0000

Um site estático não tem backend. Não tem banco de dados, não tem servidor de aplicação processando requisições — e é exatamente isso que o torna rápido, barato e resiliente. Mas essa simplicidade cobra um preço quando você quer algo que dependa de estado persistente, e comentários são o caso mais óbvio. No WordPress ou Ghost, o sistema de comentários faz parte da aplicação. Num site gerado por Hugo, Jekyll ou Eleventy, essa camada simplesmente não existe.

Expondo serviços do homelab na internet com Cloudflare Tunnel

Fri, 27 Mar 2026 18:24:00 +0000

No post anterior, mostrei como o SSH-J.com resolve um problema específico: acessar via SSH uma máquina que está atrás de NAT, sem abrir portas no roteador e sem depender de IP público. O túnel reverso funciona bem para sessões interativas e transferência de arquivos, e o SSH-J.com como jump host torna tudo trivial de configurar. Para SSH, continua sendo a solução mais simples que conheço.

Mas SSH é só uma peça do quebra-cabeça. Quem mantém um homelab — mesmo que seja só um mini PC embaixo da mesa ou um Raspberry Pi no canto da sala — inevitavelmente acaba rodando serviços web: um leitor de RSS, um dashboard de monitoramento, um Gitea, um Jellyfin, um Immich. Esses serviços escutam em portas HTTP locais e funcionam perfeitamente enquanto você está na mesma rede. O problema aparece quando você quer acessá-los de fora — do escritório, do celular no ônibus, de qualquer lugar que não seja a sua rede local.

Convertendo imagens automaticamente para WEBP e AVIF

Thu, 26 Mar 2026 22:19:00 +0000

Os dois posts anteriores montaram a infraestrutura de monitoramento — WatchPaths no macOS, systemd path units e inotifywait no Linux — e prometeram que os scripts viriam depois. O gatilho está pronto: o launchd ou o systemd detecta quando algo muda num diretório e dispara um comando. Falta o comando.

Este post entrega o script de conversão de imagens que aqueles gatilhos vão disparar. O objetivo é simples: PNGs e JPGs entram numa pasta, WEBP ou AVIF saem. Os originais são apagados ou movidos, dependendo da configuração. O script detecta quais encoders estão disponíveis na máquina e escolhe o melhor entre os instalados, com uma cadeia de fallback que garante funcionamento mesmo quando a ferramenta ideal não está presente. Se nenhum encoder compatível for encontrado, o script avisa o que instalar e em qual gerenciador de pacotes.

Monitorando arquivos e pastas no Linux com systemd path units (e inotifywait para quem não tem root)

Thu, 26 Mar 2026 19:27:00 +0000

No post anterior, o launchd do macOS monitorava arquivos e diretórios com WatchPaths para disparar scripts automaticamente quando algo mudava. O modelo é reativo — em vez de rodar um backup a cada hora ou uma conversão a cada cinco minutos, o sistema observa o caminho no disco e só executa o job quando detecta uma modificação real. Sem polling, sem desperdício, sem janela de vulnerabilidade entre a mudança e a ação.

Monitorando arquivos e pastas com launchd: WatchPaths na prática

Thu, 26 Mar 2026 18:56:00 +0000

No post anterior sobre launchd, o agendamento funcionava por horário: o StartCalendarInterval definia “todo dia às 7h” e o sistema cuidava do resto, incluindo recuperar execuções perdidas quando o Mac estava dormindo. Para tarefas periódicas como enviar um briefing diário ou rodar um script de manutenção, esse modelo resolve perfeitamente — é o equivalente funcional do cron, mas integrado ao ciclo de vida do macOS.

Só que nem toda automação faz sentido atrelada a um relógio. Tem tarefas que só precisam acontecer quando alguma coisa muda. Um backup que roda de hora em hora está desperdiçando 23 execuções por dia se o banco de dados só foi alterado uma vez. Uma conversão de imagens que roda a cada 5 minutos não tem o que converter na grande maioria das vezes, e quando finalmente tem, já se passaram até 5 minutos desde que o arquivo apareceu. O modelo baseado em tempo funciona, mas é um polling disfarçado de agendamento — e polling é quase sempre a solução menos elegante para qualquer problema de sincronização.

SSH atrás de NAT? SSH-J.com resolve.

Wed, 25 Mar 2026 22:26:00 +0000

Você trabalha remoto, tem um servidor em casa, um Raspberry Pi rodando serviços, ou uma máquina no escritório que precisa acessar de vez em quando. O cenário é comum e a solução óbvia é o SSH — que já está instalado, é seguro e funciona há décadas. O problema é que entre a sua máquina e o resto da internet existe um roteador, um NAT, e possivelmente um provedor que não te dá IP público fixo ou que bloqueia portas de entrada. De repente, o protocolo mais confiável da administração de sistemas se torna inacessível de fora da sua rede local.

Immich: suas fotos, seu servidor, suas regras

Wed, 25 Mar 2026 07:18:00 +0000

Existe um momento em que todo mundo para e pensa sobre onde estão as suas fotos. Geralmente acontece quando o Google manda aquele email simpático avisando que o armazenamento gratuito acabou — e que por apenas alguns reais por mês você pode continuar guardando suas memórias no servidor deles. É um empurrãozinho gentil na direção de uma assinatura mensal que, somada ao longo de anos, custa mais do que um HD externo de vários terabytes. Mas o preço em dinheiro é só a parte mais óbvia da equação. Existe um custo mais sutil em deixar todas as suas fotos, vídeos e memórias pessoais nas mãos de uma empresa que lucra com dados — e é sobre esse custo que vale a pena conversar antes de falar de qualquer ferramenta.

O Lado B do Site Grátis: Limites e Alternativas para Hugo + GitHub + Cloudflare Pages + Pages CMS

Tue, 24 Mar 2026 10:45:00 +0000

No post anterior, montamos um blog completo com Hugo, GitHub, Cloudflare Pages e Pages CMS sem gastar um centavo. A stack funciona, é rápida, e para a maioria dos blogs pessoais vai continuar funcionando por muito tempo sem pedir nada em troca. Mas “grátis” não significa “sem limites”, e entender onde estão as paredes antes de bater nelas é o tipo de coisa que poupa dor de cabeça lá na frente.

Agendando tarefas no macOS com launchd (sem cron, sem gambiarra)

Mon, 23 Mar 2026 21:29:00 +0000

No post anterior eu mostrei como os systemd timers substituem o cron em servidores Debian e Ubuntu com vantagens concretas: logging integrado, recuperação de execuções perdidas, dependências declarativas e controle de recursos. A lógica é convincente e a migração é direta — desde que você esteja num sistema que roda systemd. Mas se o seu dia a dia inclui um Mac, a história é outra.

O macOS tem seu próprio sistema de agendamento, anterior ao systemd e com uma filosofia diferente. Ele se chama launchd, existe desde o Mac OS X Tiger em 2005, e é responsável por praticamente tudo que roda em background no sistema — desde serviços internos da Apple até aquele updater do Spotify que você nunca pediu para instalar. Apesar de ser a forma oficial e recomendada de agendar tarefas no Mac, o launchd vive numa espécie de ponto cego: quem vem do Linux tende a procurar o cron por reflexo, e quem usa o Mac sem background em administração de sistemas nem sabe que a possibilidade existe.

Systemd Timers: hora de aposentar o cron

Mon, 23 Mar 2026 06:21:00 +0000

Se você administra servidores Debian ou Ubuntu há algum tempo, provavelmente tem uma relação de conforto com o cron. Uma linha no crontab, cinco campos de agendamento e o caminho do script — pronto, resolvido. O cron funciona assim desde os anos 1970, e essa simplicidade é justamente o que o manteve relevante por tanto tempo.

O problema é que “funciona” e “funciona bem em 2026” são coisas diferentes. Quando um job falha silenciosamente às três da manhã, quando você precisa descobrir qual dos vinte crontabs espalhados pelo sistema contém aquela tarefa específica, ou quando o servidor reinicia e simplesmente perde a execução que deveria ter acontecido durante o downtime — nesses momentos o cron mostra que foi projetado para uma época em que as expectativas sobre observabilidade e resiliência eram outras.

Limpando revisões antigas do Snap para liberar espaço no Ubuntu

Sun, 22 Mar 2026 00:00:00 +0000

Se você usa Ubuntu há algum tempo, provavelmente já notou que o diretório /var/lib/snapd cresce de forma silenciosa e constante. O motivo não são os pacotes Snap que você instalou — são as cópias antigas que o sistema guarda automaticamente toda vez que um desses pacotes recebe atualização. Em uma instalação com dezenas de snaps, é comum encontrar 5, 8 ou até mais gigabytes ocupados por revisões que você nunca vai usar. O problema é especialmente incômodo em partições menores, SSDs com espaço limitado ou VMs com disco enxuto. A boa notícia é que identificar e remover esse excesso leva poucos minutos, desde que você saiba onde olhar e o que não apagar.

Como criei este blog sem gastar um centavo (e sem tocar em WordPress)

Fri, 20 Mar 2026 00:10:00 +0000

Por que abandonar o WordPress

O peso de manter um CMS dinâmico

O WordPress é um software extraordinário que alimenta quase metade da internet. Dito isso, manter uma instalação WordPress saudável é um trabalho que nunca termina. Cada visita ao seu site dispara uma cadeia de eventos: o servidor recebe a requisição, o PHP acorda, consulta o MySQL, monta a página na hora, e devolve o HTML para o navegador. Multiplica isso por cem visitantes simultâneos e você tem um servidor suando para entregar páginas que, na maioria dos blogs, são exatamente iguais para todo mundo.

Por que mais um blog

Wed, 18 Mar 2026 13:36:00 +0000

Resolvi fazer mais um blog, depois de tantos que sobreviveram e tantos que pereceram, sem contar as contas no Substack, no Medium, as “segundos cérebros” locais, cadernos de anotação, etc.

Dessa vez o objetivo é centralizar aqui o conhecimento de DevOps que já tenho e que continuo adquirindo diariamente. Além de usar esse espaço como laboratório para uma nova abordagem: um site “à prova de falhas” utilizando apenas recursos gratuitos como o Github, para armazenamento do conteúdo, e as Cloudflare Pages para publicação.

Sobre

Mon, 01 Jan 0001 00:00:00 +0000

Janio Sarmento — sysadmin, 53 anos, brasileiro trabalhando de casa para o mundo. Cuido de servidores Linux, containers LXC, e-mail que não cai em spam, e gatos que não saem de cima do teclado.

Este blog documenta o dia a dia de quem mantém infraestrutura de pé, incluindo as coisas que quebram (e como consertar).