# ULTIMÁTNÍ PRŮVODCE: Termius (build 2026) Od prvního přihlášení až po power-user workflow. SSH, SFTP, Mosh, Telnet, Serial, port forwarding, snippets, vault, tým, mobilní automatizace, bezpečnost, integrace s vlastním infrastruktura-stack. > **Pro koho je tento průvodce:** uživatel, který Termius poprvé otevřel a neví, co s ním. Ale i power-user, který chce vyždímat víc — workspace templates, Secure Enclave klíče, tunelování LiteLLM/Ollamy z mobilu, snippet chains, hooks na Tailscale. > > **Délka:** opravdu dlouhý dokument. Použij obsah níže. Část I–IV jsou základy, ČÁST V–XII jsou jádro, ČÁST XIII+ jsou pokročilé. > > **Hodnoty průvodce:** přesnost, ověřená fakta, žádné lhaní. Pokud něco patří jen do Pro/Premium tieru, je to označené. Pokud něco není ověřitelné z oficiálních zdrojů, je to napsané. --- ## OBSAH - **ČÁST I — První kroky a orientace v aplikaci** 1. Co Termius je a co není 2. Instalace na všech platformách 3. Vytvoření účtu a master password 4. Orientace v UI: Vaults / Hosts / SFTP / Port Forwarding / Workspaces - **ČÁST II — Připojení k serverům** 5. Hosts, Groups, Identities — model uspořádání 6. SSH připojení — krok za krokem 7. Mosh — odolné spojení přes UDP 8. Telnet a Serial — legacy a hardware 9. Jump Hosts a Host Chains (proxy chains) 10. Discover Local Devices (LAN scan) a import z `~/.ssh/config` - **ČÁST III — SSH klíče a bezpečnost autentizace** 11. Typy klíčů: RSA, Ed25519, ECDSA, FIDO2 (ed25519-sk / ecdsa-sk) 12. Generování a správa klíčů v Termiusu 13. Hardware klíče (YubiKey, SoloKey, OnlyKey, Titan) 14. Biometrické klíče v Apple Secure Enclave (Face ID / Touch ID) 15. Identities — recyklovatelné kombinace user+klíč 16. SSH Agent Forwarding - **ČÁST IV — Port Forwarding (tunely)** 17. Local Forwarding — připoj se k vzdálené službě 18. Remote Forwarding — vystav lokální službu na server 19. Dynamic Forwarding (SOCKS proxy) 20. Praktické příklady (DB, web, Ollama, n8n) - **ČÁST V — SFTP a přenos souborů** 21. SFTP tab, drag & drop, Transfers 22. Mobilní SFTP a Files / Documents app integrace 23. Workflow pro úpravu souborů na vzdáleném serveru - **ČÁST VI — Snippets, scripts a automatizace** 24. Tvorba snippetů a uspořádání 25. Variables in snippets (parametrizace) 26. Mass-execute (broadcast a multi-host) 27. Sdílení snippetů v týmu - **ČÁST VII — Workspaces, Tabs, Split View, Broadcast Input** 28. Tabs a horizontal navigation 29. Split View — až 16 panelů 30. Workspaces — uložit, obnovit, sdílet 31. Focus Mode vs. Split Mode 32. Broadcast Input — psaní do více terminálů najednou - **ČÁST VIII — Vzhled (témata, fonty)** 33. Vestavěná témata 34. Nerd Fonts a ligatury 35. Vlastní (custom) témata - **ČÁST IX — Mobile (iOS / iPadOS / Android)** 36. Customizace klávesnice (key groups) 37. Sidebar, gesta, externí klávesnice 38. Siri Shortcuts (iOS) a widgety 39. Volume button mapping (Android) 40. Tablet/iPad layout (desktop-like) - **ČÁST X — Desktop (macOS, Windows, Linux)** 41. Command Palette 42. Klávesové zkratky desktopu 43. Lokální terminál v Termiusu 44. URI handler `ssh://` a `termius://` - **ČÁST XI — Sync, Vault, end-to-end encryption** 45. Termius Cloud sync — co přesně se synchronizuje 46. End-to-end encryption (E2EE) detaily 47. Vaults jako jednotka organizace a access control 48. Master password — zacházení a recovery 49. Local-only mode (bez sync) - **ČÁST XII — Session Logs, Bookmarks a audit** 50. Co Termius loguje a kde to je 51. Bookmarks — uchování důležitých sessions 52. Tým: sdílené logy a handover - **ČÁST XIII — Team features (Pro/Business/Enterprise)** 53. Team Vaults a sdílení 54. Role a RBAC 55. SSO (SAML, OIDC) 56. Audit log - **ČÁST XIV — Termius CLI a hromadné operace** 57. Stav termius-cli (důležité varování) 58. Alternativy: SSH config import, scriptování přes systémový SSH - **ČÁST XV — Tarify (Free, Pro, Team, Business, Enterprise)** - **ČÁST XVI — Pokročilé workflow & inovace** 59. Termius + Tailscale (mobilní LAN bez veřejné IP) 60. Termius + tvůj `ai-orchestrator` stack (Ollama, LiteLLM, n8n, OpenClaw, RAG proxy, SearXNG) 61. Snippet chains pro DevOps na mobilu 62. iOS Shortcuts → Termius (Siri ovládá tvůj server) 63. Color-coding by environment (prod/staging/dev) 64. 1Password SSH Agent + Termius — co reálně jde - **ČÁST XVII — Bezpečnostní best practices** 65. Hardening: 12 doporučení 66. Co Termius nedělá (a co musíš sám) - **ČÁST XVIII — Cheat sheet** - **ČÁST XIX — FAQ, Troubleshooting, Glossary** - **Appendix A — Co je v původním Blink průvodci jinak / přesněji u Termiusu** --- --- # ČÁST I: PRVNÍ KROKY A ORIENTACE --- ## 1. Co Termius je a co není **Termius je modern multi-platform SSH klient.** Hlavní hodnoty: cloud sync mezi všemi tvými zařízeními (macOS, Windows, Linux, iOS, Android, iPad), end-to-end šifrovaná encryption credentials/snippetů/portů, jednotné GUI nad protokoly SSH, SFTP, Mosh, Telnet, Serial. **Co Termius je:** - SSH/SFTP klient s týmovou kolaborací - Manager hostů, klíčů, snippetů, port-forward pravidel a session logů - Cross-device synchronizace přes Termius Cloud (volitelná) - Mobilní terminál, který opravdu jde používat — i v jednom prstu na iPhone **Co Termius není:** - Není to terminálový multiplexer (na to máš tmux/screen na serveru) - Není to nahrávač videa session — nahrává textové logy, ne obrazovky - Není to VPN klient — pro VPN použij Tailscale, WireGuard atp. - Není to programátorský IDE — je to klient k běhu vzdálených příkazů a přesunu souborů - Sám o sobě nešifruje data uvnitř SSH — tu šifruje SSH protokol; Termius šifruje *uloženou konfiguraci* a synchronizovaná metadata > **Porovnání s Blink Shellem (kontext):** Blink je iOS-only terminál postavený nad mosh/SSH s důrazem na klávesnici a developer-experience na iPhonu. Termius je multi-platform GUI client s fokusem na správu mnoha hostů, týmů a synchronizaci. Pokud máš pouze iPhone a chceš především mosh + tmux na jeden Mac → Blink. Pokud máš víc serverů, víc zařízení a chceš sdílet credentials s týmem → Termius. **Mohou koexistovat — používej oba podle úkolu.** --- ## 2. Instalace na všech platformách | Platforma | Instalace | |-----------|-----------| | macOS | App Store nebo `brew install --cask termius` | | Windows | Microsoft Store nebo .exe installer z `termius.com/windows` | | Linux | `.deb`/`.rpm`/`.AppImage`/Snap z `termius.com/linux` | | iOS / iPadOS | App Store (App ID 549039908) | | Android | Google Play (`com.server.auditor.ssh.client`) | **Verzování:** Termius má společný build napříč desktopy s číslem (např. 9.x v roce 2026), iOS/iPadOS sdílí jeden build, Android má svůj. Aktualizace probíhají přes app store každé platformy. **Vždy preferuj nejnovější verzi** — release notes jsou na `termius.com/changelog/{desktop,ios,android}-changelog`. **Beta program** je dostupný na `termius.com/beta-program` (TestFlight pro iOS, beta kanál pro Android, beta installer pro desktop). Doporučuje se pouze pokud chceš vidět nové features dřív a jsi ochoten řešit občasné chyby. ### 2.1 Multi-zařízení setup (doporučeno) 1. Stáhni Termius na všechna zařízení, kde chceš pracovat. 2. Vytvoř účet (viz dále). 3. Nastav stejný master password všude. 4. Po prvním přihlášení proběhne sync, máš všude stejné hosts/keys/snippets. > **Pro Klimnitskeho/B2B realitu (Sunmill, Climbing Lab):** instaluj Termius na firemní MacBook + iPhone + (volitelně) Android tablet. Pro server-side admina si pořiď i Linux Termius do produkčního VM, abys mohl rychle skočit na server odjinud. --- ## 3. Vytvoření účtu a master password 1. Při prvním spuštění klikni **Sign Up**. 2. Zadej e-mail a **strong master password** (alespoň 16 znaků, raději passphrase, raději z password manageru). 3. Termius pošle ověřovací e-mail. 4. Po ověření tě požádá nastavit master password znovu pro vault encryption. **KRITICKÉ:** - **Master password se neukládá nikde na serverech Termiusu.** Slouží k decrypt privátního klíče, který šifruje tvůj vault. - **Pokud master password zapomeneš, NIKDO — ani Termius staff — ti nepomůže obnovit data.** - Existuje "reset password without losing data" workflow, ale funguje pouze pokud máš ještě přihlášené **alespoň jedno zařízení** s odemčeným vaultem. To zařízení reencryptne data novým heslem. Pokud nemáš žádné odemčené zařízení, data jsou nenávratně ztracena. **Doporučení:** ulož master password do password manageru (1Password, Bitwarden, KeePassXC) a vytiskni recovery sheet do trezoru. ### 3.1 Local-only mode Pokud nechceš sync (např. air-gapped prostředí, paranoia, nebo prostě ne), můžeš **používat Termius bez účtu**. Limitace: nesynchronizujou se data mezi zařízeními, ale vše ostatní funguje. Účet můžeš přidat kdykoli později (a data se zazálohují do cloudu). V některých Free verzích bývá account povinný — vždy si ověř na `termius.com/pricing`. --- ## 4. Orientace v UI Po přihlášení uvidíš (na desktopu) levý sidebar s ikonami: | Sekce | Co tam je | |-------|-----------| | **Vaults** | Tvoje vaulty (Personal Vault + případné Team Vaults) | | **Hosts** | Seznam serverů, organizovaný v Groups | | **Keys** | SSH klíče (vlastní vygenerované i importované) | | **Identities** | Pojmenované kombinace user+klíč (recyklace přes hosts) | | **Snippets** | Uložené příkazy/skripty | | **Port Forwarding** | Pravidla pro tunely | | **Known Hosts** | Akceptované server fingerprinty | | **SFTP** | Přenos souborů | | **Logs / Bookmarks** | Session logy (Pro+) | | **Workspaces** | Uložené sady spojení | | **Settings** | Účet, sync, vzhled, klávesové zkratky, biometrie | V horní části je **horizontal tab bar** (od redesignu „Termius X" v polovině 2024) — zde se otevírají skutečné session taby. Mezi nimi přepínáš `CMD+J` (macOS) / `CTRL+J` (Windows/Linux). Nový tab `CMD+T` / `CTRL+T`. **Command Palette** (klíčový power-user nástroj) — typicky `CMD+K` nebo `CTRL+K` (zkontroluj v Settings → Shortcuts) — fuzzy search přes hosts, snippets, akce. Na **mobilu** jsou sekce v dolním tab baru (iPhone) nebo v levém sidebaru (iPad/Android tablet). Aktuální navigace má 3 hlavní taby: **Vaults**, **Connections**, **Profile** (od UI redesignu 2025). --- --- # ČÁST II: PŘIPOJENÍ K SERVERŮM --- ## 5. Hosts, Groups, Identities — model uspořádání Termius má jednotný datový model: ``` Vault └── Group (např. "Production", "Climbing Lab", "Home Lab") └── Host (server) ├── Address, Port, Protocol ├── Identity (user + auth method) ├── Snippets attached ├── Port forwarding rules └── (volitelně) Mosh / Telnet / SFTP override ``` **Identity** je centrální koncept: jednou definuješ "production-ed25519" = `km2 + mojeed25519klic` a pak ji recykluješ na 30 hostech. Když rotuješ klíč, změníš ji na jednom místě. **Group** může mít vlastní default Identity, default snippets, default Host Chain (jump host). To dramaticky zjednodušuje správu desítek hostů ve stejné infrastruktuře. > **Doporučená struktura pro tvé firmy:** > > ``` > Personal Vault > ├── Home Lab (Tailnet, NAS, Win11, RPi) > ├── Sunmill - Prod (default Group identity: ssh-prod) > ├── Sunmill - Stg > ├── Climbing Lab (default identity: cl-admin) > └── Misc > ``` --- ## 6. SSH připojení — krok za krokem ### 6.1 Nový host 1. **Hosts** → **+ New Host** 2. Vyplň: - **Address** — `100.78.136.55`, `srv.firma.cz`, nebo Tailnet hostname - **Port** — výchozí 22, ale buď agresivní → **používej non-standard port** (např. 2222) na produkci, snižuje šum z brute-force - **Username** — ten, kdo se přihlašuje - **Authentication** — heslo / klíč / agent / FIDO2 / biometrie - **Label** (alias) — krátké pojmenování pro fuzzy search - **Group** — kam patří 3. **Save**. ### 6.2 Volba autentizační metody | Metoda | Kdy použít | Bezpečnost | |--------|-----------|------------| | Heslo | Jen pro testovací VM. **Nikdy** na produkci. | Špatná | | SSH klíč (ed25519) | Default volba pro většinu serverů | Výborná | | FIDO2 (ed25519-sk) | Když chceš touch-to-confirm s YubiKey | Excelentní | | Biometric (Secure Enclave) | iOS/macOS, klíč se nemůže odejít z device | Excelentní (vázáno na zařízení) | | Agent | Když používáš `ssh-agent`, 1Password Agent, KeePassXC Agent | Záleží na agentu | | GSSAPI/Kerberos | Enterprise SSO pro SSH | Záleží na infra | ### 6.3 Připojení samotné - **Desktop:** dvojklik na host v seznamu, nebo `Enter` po výběru, nebo `CMD+T` → vyber host. - **Mobile:** klepni na host v seznamu Connections. Při prvním připojení uvidíš **server fingerprint dialog** (TOFU — Trust On First Use). Termius si fingerprint uloží do **Known Hosts**. Při budoucím připojení se mismatch fingerprintu projeví dialogem (= možný MITM útok, nepřipojuj se "naslepo"). ### 6.4 Volba protokolu pro stejný host Jeden host může mít více protokolů zaráz: **SSH, SFTP, Mosh, Telnet**. V detailu hosta jsou checkboxy. Pak v Connections vybereš, kterým protokolem se chceš připojit. --- ## 7. Mosh — odolné spojení přes UDP **Mosh** (mobile shell) je SSH-kompatibilní protokol, který drží session i přes výpadky sítě, roaming mezi Wi-Fi a LTE, a dlouhý sleep mode. Místo TCP používá UDP s vlastním sequencingem. **Kdy zapnout Mosh:** - Mobilní práce (vlak, auto, jeskyně...) - Slabý signal - Long-running interactive sessions - Když nesnášíš znovu-přihlašování po každém spánku telefonu **Kdy ne:** - Krátké připojení pro snippet a hned pryč (zbytečné) - Síťové prostředí bez UDP (některé corporate firewally) - Když potřebuješ kompletní záznam přesných výstupů (mosh re-renderuje terminál) ### 7.1 Nastavení Mosh v Termiusu V detailu hosta: 1. Zaškrtni **Mosh** 2. Volitelně: **Mosh server path** (default `mosh-server` v `$PATH`; na macOS s Homebrew na ARM je to `/opt/homebrew/bin/mosh-server`, na Intel `/usr/local/bin/mosh-server`) 3. Volitelně: **Mosh ports** (rozsah UDP, default 60000-61000) **Předpoklad na serveru:** `mosh` musí být nainstalovaný (`apt install mosh`, `brew install mosh`, atd.) a UDP porty musí projít firewallem. ### 7.2 Známá omezení Mosh - **Žádný scrollback** — řeší se buď tmux/screen na serveru (`Ctrl+b [` v tmuxu = copy mode), nebo `Ctrl+L` pro redraw. - **Bez SFTP** — Mosh je čistě interaktivní shell. Pro přenos souborů přepni protokol na SFTP. - **Predictive echo** může vizuálně blikat na pomalých sítích. Termius nemá `--predict=never` flag jako CLI mosh, ale podobné chování je dosažitelné jiným způsobem (viz Troubleshooting). > **Pozn. ke kontextu Blink průvodce:** Blink Shell má známé issues s mosh predictive echo + autosugescemi shellu (fish, zsh-autosuggestions). Termius používá vlastní mosh client implementaci, takže symptomatika může být jiná. Pokud něco bliká, zkus na serveru dočasně vypnout autosuggestions plugin. --- ## 8. Telnet a Serial ### 8.1 Telnet **Telnet posílá data v plain textu, včetně hesel. Nepoužívej ho přes internet. Nikdy.** Použít ho dává smysl pouze: - Lokální debug (telnet localhost 25 pro SMTP test) - Legacy zařízení v izolovaném management VLANu (switch, router, firewall configurující se pouze přes telnet) V Termiusu: vytvoř host, zaškrtni Telnet, nastav port (typicky 23). Žádné šifrování, žádný klíč, jen heslo. ### 8.2 Serial (RS-232 přes USB-C / Lightning) **Termius umí connect na serial port** přes USB-C / Lightning — typicky pro switche a routery, kde administraci děláš přes konzolový kabel. **Podporované kabely (oficiálně testované):** - Redpark **C4-RJ45V** — USB-C → RJ45 serial konzole (Cisco-like) - Redpark **L2RJ45V3** — Lightning → RJ45 serial konzole V iPhone/iPad: po zapojení kabelu se v Termiusu objeví Serial možnost. Nastav baud rate (typicky 9600), parity, stop bits podle docs zařízení. **Poznámka:** Serial je jediný režim, ve kterém Termius opravdu nahrazuje vyhrazenou aplikaci jako PuTTY/screen na desktopu. Skvělé pro výjezdy „k zákazníkovi" s iPadem místo notebooku. --- ## 9. Jump Hosts a Host Chains Pokud máš **bastion host** (jump server), který je jediným vstupem do private VPC, nemusíš se nejdřív přihlašovat tam, pak ssh dál. Termius má **Host Chain**: ``` [Tvůj Termius] → Bastion (jump) → Production target ``` ### 9.1 Nastavení Host Chain 1. Vytvoř host pro Bastion (např. `bastion.firma.cz`). 2. Vytvoř host pro target (`db1.internal`). 3. Otevři detail target hosta → **Use Host Chain** → vyber Bastion jako jump. 4. Save. Klik na target → automaticky se přihlásí přes Bastion. Můžeš řetězit více jumpů: `lokál → bastion1 → bastion2 → target`. ### 9.2 Host Chain na Group Můžeš nastavit Host Chain pro celou Group → všechny hosty v ní automaticky používají daný bastion. Tím udržuješ konfiguraci na jednom místě, když firma změní bastion. **Ekvivalent v ~/.ssh/config** (pro porovnání): ```ssh Host db1 ProxyJump bastion.firma.cz HostName 10.0.1.5 User app ``` Termius `Use Host Chain` ≡ `ProxyJump`. ### 9.3 HTTP/SOCKS proxy Pokud sedíš za firemní HTTP/SOCKS5 proxy (corporate, VPN s explicit proxy), v detailu hosta najdeš **Proxy** sekci, kde nastavíš HTTP/SOCKS5 proxy s adresou a credentials. Termius pak SSH provoz tunneluje přes ní. --- ## 10. Discover Local Devices (LAN scan) a import z `~/.ssh/config` ### 10.1 Discover Local Devices Termius má vestavěný **scanner lokální sítě**, který hledá zařízení s otevřeným portem 22 (SSH). Funkce se nazývá **Discover Local Devices** a je dostupná na Android (a postupně na iOS) — v posledních verzích **zdarma** (dříve byla v Pro tieru). **Kde to najdeš:** - **Android:** Hosts → "+" → **Discover Local Devices** (nebo přes Sidebar) - **iOS:** Hosts → "+" → Scan Local Network (název UI se liší podle verze) - **Desktop:** Hosts → "+" → New Host → existují varianty „Add by IP" a „Discover" v rozbalovacím menu (závislé na verzi) **Jak funguje:** Termius využívá mDNS/Bonjour discovery (`_ssh._tcp.local`) a/nebo aktivní scan ARP rangu lokální subnet. Najde zařízení, ukáže jejich IP, hostname (pokud mDNS odpovídá) a nabídne ti je rovnou přidat jako Host. **Důležité limitace, o kterých Termius mluví málo:** - **Funguje jen na sítích, kde jsi fyzicky** (LTE, mobilní data → nic neuvidíš). - Některé routery blokují mDNS — pak vidíš jen aktivní scan. - Skenování není port-scan ve smyslu nmap — Termius hledá specificky SSH (port 22 v základu, případně další oznámené přes mDNS). - Nedělá vulnerability scan, není to bezpečnostní nástroj. > **Pokud chceš opravdu důkladný LAN scan**, pusť na serveru (nebo lokálním Linux Termius) `nmap -sV 192.168.1.0/24` a výsledky importuj ručně. Discover Local Devices v Termiusu je convenience feature pro "rychle najdi RPi v síti", ne enterprise discovery tool. ### 10.2 Import z `~/.ssh/config` a `known_hosts` Pokud máš historii v klasickém SSH config: 1. **Hosts** → **+ New Host** → rozbalovací šipka → **Import** 2. Vyber `~/.ssh/config` (nebo přetáhni soubor) 3. Termius parsuje `Host`, `HostName`, `User`, `Port`, `IdentityFile`, `ProxyJump` a vytvoří Hosts + Identities. Importovat lze i **klíče samotné** (`~/.ssh/id_ed25519`, `id_rsa`) a **known_hosts**. **Pozn.:** některé pokročilejší konstrukce (`Match`, `Include` s wildcards, `ControlMaster` atd.) Termius při importu ignoruje. Po importu projdi vytvořené Hosts a doplň, co chybí. ### 10.3 mDNS / DNS-SD discovery Pro tvůj Home Lab: pokud máš na serverech `avahi-daemon` (Linux) nebo Bonjour (macOS), oznámují se přes `_ssh._tcp.local`. Termius je pak najde okamžitě v Discover Local Devices bez aktivního scanu. Doporučená věc do home labu — `apt install avahi-daemon avahi-utils`, pak `avahi-publish-service "MyServer SSH" _ssh._tcp 22 &` v autostartu. --- --- # ČÁST III: SSH KLÍČE A BEZPEČNOST AUTENTIZACE --- ## 11. Typy klíčů: RSA, Ed25519, ECDSA, FIDO2 | Typ klíče | Síla | Doporučení | |-----------|------|-----------| | **RSA-2048** | OK pro legacy | Nepoužívej pro nové klíče | | **RSA-4096** | Stále silné | Použij jen pokud server nepodporuje ed25519 | | **ECDSA (NIST P-256/384/521)** | Silné, ale historie kontroverzí | Nepoužívej, raději ed25519 | | **Ed25519** | **Doporučená volba** | **Default pro vše nové** | | **ed25519-sk** | Ed25519 + FIDO2 hardware key | Top tier pro lidskou autentizaci | | **ecdsa-sk** | ECDSA + FIDO2 hardware key | Pokud server nepodporuje ed25519-sk | **Proč ed25519:** - Krátký klíč (32 bajtů privát, 32 bajtů veřejný) - Rychlejší než RSA - Žádné parameter-choice problémy jako ECDSA - Standardní podpora v OpenSSH 6.5+ (od r. 2014) **FIDO2 (`-sk` varianty):** privátní klíč nikdy neopustí hardware. Pro každé připojení musíš fyzicky dotknout klíče (touch). Vyžaduje **OpenSSH 8.4+** na serveru. --- ## 12. Generování a správa klíčů v Termiusu ### 12.1 Vygenerovat nový klíč v Termiusu 1. **Keys** → **+ New Key** → **Generate** 2. Zvol typ: - Ed25519 (doporučeno) - RSA (2048/4096) - ECDSA - **ed25519-sk / ecdsa-sk** — pokud máš FIDO2 zařízení 3. Volitelně **passphrase** (Termius si ji může zapamatovat) 4. **Generate** Termius klíč uloží do tvého **vault** (lokálně + zašifrovaně do cloudu, pokud je sync zapnutý). ### 12.2 Export veřejného klíče na server 1. Detail klíče → **Copy public key** 2. Připoj se na server jakkoli (heslem) 3. `mkdir -p ~/.ssh && echo "...public key..." >> ~/.ssh/authorized_keys && chmod 600 ~/.ssh/authorized_keys` 4. Případně použij `ssh-copy-id` z lokálního terminálu, nebo **Termius má "Copy public key" → Snippet** pro automatizaci. ### 12.3 Import existujícího klíče 1. **Keys** → **+** → **Import** 2. Vyber `~/.ssh/id_ed25519` (privátní část) 3. Pokud má passphrase, Termius ji zachová **Bezpečnostní pozn.:** importovaný klíč se nahraje do tvého vault a synchronizuje se (zašifrovaně) na všechna zařízení. Pokud chceš klíč mít *jen* na jednom zařízení, vypni mu sync (advanced setting) nebo použij Biometric Key (kapitola 14). --- ## 13. Hardware klíče (YubiKey, SoloKey, OnlyKey, Titan) Termius podporuje FIDO2/U2F hardware keys pro SSH (od kapitoly 11: ed25519-sk a ecdsa-sk). ### 13.1 Generování FIDO2 klíče v Termiusu 1. Vlož hardware key 2. **Keys** → **+** → **FIDO2** → **Generate FIDO2 keys** 3. Vyber typ (`ed25519-sk` doporučeno; `ecdsa-sk` pokud server nemá ed25519-sk podporu) 4. Volitelná konfigurace: - **Require User Presence** (touch) — doporučeno ON - **Require PIN code** — doporučeno ON pro produkci - **Resident key** (uloží se do hardware key i jeho metadata; lze pak portovat na jiný počítač) vs. discoverable=false (zachovává jen handle, klíč nelze recoverovat bez původního zařízení) 5. Termius vyžádá touch na klíči (LED bliká) 6. Vyzkoušej `Copy public key` a vlož na server ### 13.2 Připojení s FIDO2 klíčem V detailu hosta vyber FIDO2 klíč jako Identity. Při connect Termius prompt: 1. „Touch your security key" 2. Stiskni dotykovou plochu YubiKey (nebo zlaté kruhové tlačítko Titan) 3. Pokud máš PIN, dialog na PIN 4. Hotovo **Multi-platform poznámka:** Hardware FIDO2 funguje na desktopu vždycky (USB), iOS přes Lightning/USB-C YubiKey nebo NFC, Android přes USB-C/NFC. ### 13.3 Doporučená kompozice klíčů (best practice) Pro paranoidní setup: - **Primární klíč:** ed25519-sk na YubiKey 5C NFC (touch + PIN) - **Backup klíč:** ed25519-sk na druhém YubiKey (uložený doma v trezoru), nahraný na serverech vedle primárního v `authorized_keys` - **Recovery klíč:** ed25519 (software) v offline encrypted backup (pro emergency) > **Ztráta hardware klíče:** pokud máš jen jeden a ztratíš ho, jsi vyzamknutý ze všech serverů. Vždycky měj backup. --- ## 14. Biometrické klíče v Apple Secure Enclave **Pouze macOS, iOS, iPadOS.** Termius umí vygenerovat **SSH klíč přímo v Apple Secure Enclave (SE)** — izolovaný hardware koprocesor. Klíč: - Nikdy neopustí Secure Enclave - Je nepřesouvatelný mezi zařízeními (ani Termius ho nedostane ven) - Pro každé použití vyžaduje Touch ID / Face ID - Nezasynchronuje se mezi zařízeními (logicky — nelze ho exportovat) ### 14.1 Vygenerování biometrického klíče 1. **Keys** → **+** → **Biometric Key (Apple Secure Enclave)** 2. Pojmenuj 3. Authorize Touch/Face ID 4. Termius vygeneruje klíč v SE a uloží jeho **public part** + **handle** 5. Public key zveřejni na server (`authorized_keys`) ### 14.2 Připojení s biometrickým klíčem Při SSH connect Termius požádá SE o podpis dat. macOS/iOS zobrazí Touch/Face ID prompt. Pokud potvrdíš, podpis se vrátí Termiusu, který ho pošle na server. **Vypadá to, jako bys autentizoval na server biometrií.** ### 14.3 Limitace - **Per-device:** klíč je vázaný na jedno zařízení. Pokud rozbiješ iPhone, klíč je pryč. - **Žádný sync** mezi zařízeními - **Žádný export** — recovery není možná - **Pouze SSH** — nelze použít pro git commit signing apod. **Doporučení:** používej biometrický klíč jako *jeden ze dvou* autorizovaných klíčů. Druhý ať je na hardware FIDO2 nebo software ed25519 v offline backupu. > **Pozn.:** v UI se to v posledních verzích jmenuje **"Biometric Key"**. Starší verze měly „Secure Enclave Key" / „Touch ID Key". Stejná věc. --- ## 15. Identities — recyklovatelné kombinace user+klíč **Identity** = pojmenovaná dvojice (username, autentizační metoda). Příklad: ``` Identity: prod-admin username: km2 authentication: Key 'company-ed25519' (passphrase saved) Identity: prod-deploy username: deploy authentication: Key 'deploy-ed25519' (passphrase saved) ``` V detailu hosta jen vybereš identity z dropdownu místo opakovaného vyplňování username + key. Identities se synchronizují s vault. **Změna klíče:** rotace SSH klíče = upravím Identity (`prod-admin` → použije nový klíč), všech 30 hostů s touto identity automaticky přejde na nový klíč. --- ## 16. SSH Agent Forwarding **Agent Forwarding** = používáš lokální SSH agent na vzdáleném serveru. Příklad: SSH na bastion → odtud `git clone` přes klíč, který sedí v lokálním Termiusu (nikdy neopustí tvé zařízení). V Termiusu (Pro+ feature): 1. Detail hosta → **SSH Settings** → **Agent Forwarding** = ON 2. Volitelně přidej `IdentityForwarding` 3. Connect **Bezpečnostní caveat:** kdo má root na serveru, kam jsi forwardoval agent, **může používat tvůj klíč** během trvání session. Forwarduj pouze na servery, kterým plně důvěřuješ. **Alternativa:** raději používej **Host Chain** s `ProxyJump` než Agent Forwarding. Jump host neuvidí tvůj klíč. --- --- # ČÁST IV: PORT FORWARDING (TUNELY) Termius má vestavěnou správu **3 typů SSH tunelů**: Local, Remote, Dynamic. Wizard tě provede založením, pravidla se synchronizují. --- ## 17. Local Forwarding — připoj se k vzdálené službě **Schéma:** ``` [lokální port 5432] → SSH tunel → [server] → [interní DB na 127.0.0.1:5432] ``` Z tvého počítače můžeš poslouchat lokální port a přes SSH tunel se připojuješ k službě, která je dostupná pouze ze serveru. ### 17.1 Použití v Termiusu 1. **Port Forwarding** → **+ New Rule** → **Local** 2. Vyplň: - **Bind address** (default `127.0.0.1` — jen lokál) nebo `0.0.0.0` (přístupné v LAN) - **Local port** — co poslouchá u tebe (např. 15432) - **Host (server)** — který hostitel slouží jako tunel - **Remote host** — cíl uvnitř sítě serveru (`localhost` pokud DB běží přímo na serveru, jinak interní IP) - **Remote port** — port služby (5432) 3. **Save** → klik na rule → **Start tunnel** Pak na svém PC: `psql -h 127.0.0.1 -p 15432 -U app db` → ve skutečnosti se připojuješ na DB v serverové síti. ### 17.2 Reálné use-case - Postgres / MySQL / MongoDB GUI klient → vzdálená DB - Web admin GUI dostupné jen na 127.0.0.1 serveru → tvůj browser - Redis CLI → vzdálená Redis instance --- ## 18. Remote Forwarding — vystav lokální službu na server **Schéma:** ``` [lokální Ollama na 127.0.0.1:11434] → SSH tunel → [server poslouchá na 0.0.0.0:11434] ``` Otočený směr — tvoje lokální služba je dostupná zvenku přes server. ### 18.1 Použití v Termiusu 1. **Port Forwarding** → **+ New Rule** → **Remote** 2. Vyplň: - **Local host** — typicky `127.0.0.1` (kde lokálně běží služba) - **Local port** — port lokální služby (11434) - **Server** — který tunel - **Remote bind address** — `127.0.0.1` (jen pro server) nebo `0.0.0.0` (vystaveno do internetu — buď opatrný) - **Remote port** — kde má server poslouchat (např. 11434) 3. **Save** → **Start** > **Poznámka:** aby `0.0.0.0` Remote forwarding fungoval, server musí mít `GatewayPorts yes` v `/etc/ssh/sshd_config`. ### 18.2 Reálné use-case - Vystavení lokálního dev serveru pro demo (raději použij Tailscale Funnel nebo ngrok) - Webhook receiver lokálně, který chce volat externí služba - IoT zařízení v home labu zpřístupněné dočasně přes server --- ## 19. Dynamic Forwarding (SOCKS proxy) **Schéma:** ``` [browser] → SOCKS5 proxy 127.0.0.1:1080 → SSH tunel → [server jako exit node] ``` Vytvoříš lokální SOCKS5 proxy. Cokoliv pošleš přes ni jde přes server. ### 19.1 Použití v Termiusu 1. **Port Forwarding** → **+ New Rule** → **Dynamic** 2. **Local port** — kde poslouchá SOCKS (typicky 1080) 3. **Server** — exit node 4. **Save** → **Start** Pak v browseru/aplikaci nastav SOCKS5 proxy na `127.0.0.1:1080`. Veškerý provoz pak teče přes daný server. ### 19.2 Reálné use-case - Bezpečné brouzdání z hotelové Wi-Fi přes vlastní VPS - Přístup do firemní sítě (geo-restricted resources) přes office bastion - Prokliknutí firewallu přes jediný SSH > **Caveat:** SOCKS přes SSH má větší latenci než plné VPN řešení. Pro pravidelné použití zvaž Tailscale. --- ## 20. Praktické příklady ### 20.1 Tunel pro Ollama (mobilní LLM přístup) Jakubův home lab: Win11 s Ollamou poslouchající na 11434. Chceš z mobilu (LTE) volat lokální model. **Setup:** ``` Mobile Termius Port Forwarding → Local Local: 11434 (na mobilu samotném — virtuální) Server: tvůj-server-na-internetu (Tailscale exit node) Remote host: ollama-host.tail-xxxx.ts.net Remote port: 11434 Start ``` Ale jednodušší: **použij Tailscale na mobilu**, nepotřebuješ SSH tunel — Tailscale dělá to samé na L3 bez SSH overhead. ### 20.2 Tunel pro LiteLLM proxy (4000) Stejný princip — pokud běží LiteLLM na home Win11 a chceš ho volat z mobilního ChatGPT-like UI: ``` Local: 4000 Remote host: 127.0.0.1 Remote port: 4000 Server: home-win11 ``` ### 20.3 Tunel pro n8n (5678) Webhook na mobilu → n8n na home machine — typický **Remote Forwarding**: ``` Remote rule: Local: 5678 (n8n běží lokálně na home machine) Server: vps-na-internetu Remote bind: 0.0.0.0 Remote port: 80 ``` Pak externí služby volají `vps:80` a request teče tunelem na home n8n. ### 20.4 SOCKS pro brouzdání ``` Dynamic rule: Local: 1080 Server: vps-cz Start ``` Browser → Settings → Proxy → SOCKS5 `127.0.0.1:1080`. --- --- # ČÁST V: SFTP A PŘENOS SOUBORŮ --- ## 21. SFTP tab, drag & drop, Transfers Termius má vlastní SFTP klient zabudovaný — nepotřebuješ Cyberduck/FileZilla. ### 21.1 Otevření SFTP - Detail hosta → **+ Open SFTP**, nebo - V Connections panel klikni na host pravým → **SFTP**, nebo - `CMD/CTRL+T` → vyber host → SFTP varianta Otevře se nový tab se split-view: vlevo lokál (tvé zařízení), vpravo remote (server). Naviguj klikáním do složek nebo psaním cesty do address bar. ### 21.2 Drag & drop přenosy - Soubor z lokálu na remote: drag z levého panelu na pravý - Z remote na lokál: drag z pravého na levý - **Mezi dvěma SFTP sessions** (Pro+): otevři dva SFTP taby na různých serverech, drag mezi nimi → server-to-server přes tvůj klient (nahraje a stáhne, není to scp jako rovnou) ### 21.3 Transfers panel Dolní panel ukazuje běžící uploady/downloady. Můžeš: - **Pause / Resume** velkých přenosů - **Cancel** - **Retry** na neúspěšných ### 21.4 Editace souboru - Pravý klik na soubor → **Edit** → otevře v default editoru OS (TextEdit/Notepad/...) - Po uložení Termius automaticky uploadne změněnou verzi - Dobré pro rychlou editaci `nginx.conf` apod. > **Pro velké editace** raději SSH a `vim`/`nano` přímo na serveru. Editace přes SFTP má cyklus „download → edit → upload" a riziko desync. --- ## 22. Mobilní SFTP a Files / Documents app integrace ### 22.1 iOS/iPadOS - **Files app integrace:** Termius se zaregistruje jako "File Provider". V Files vidíš Termius servery jako složky a můžeš je procházet. - **Drag z Files do SFTP session:** otevři Termius SFTP tab → Files app v split → drag soubor → upload spustí - **Copy file paths v SFTP** — long-press → Copy path ### 22.2 Android - Stejně přes integraci s Storage Access Framework (SAF) - Termius umí být pozván z jakékoli app, která má "Share" → SFTP destinace ### 22.3 Mezi mobilem a desktopem Pokud máš sync zapnutý, hosts/keys jsou všude. Otevřeš Termius na iPhone → SFTP na server → uploadneš soubor z Files. Žádné airdrop, žádné webové uploady. --- ## 23. Workflow pro úpravu vzdálených souborů **Doporučený postup:** 1. **Drobná konfig editace (1-5 řádků):** SFTP → pravý klik → Edit → uprav v defaultním editoru → save 2. **Větší editace, programování:** SSH session, `vim` přímo na serveru, ideální s `tmux` pro persistenci 3. **Bulk přenos / sync:** SFTP s drag & drop + Transfers panel pro monitoring 4. **Pravidelný sync (deploy):** raději `rsync` ze snippetu nebo `git pull` na serveru — Termius SFTP není diff-aware, vždy přepisuje --- --- # ČÁST VI: SNIPPETS, SCRIPTS A AUTOMATIZACE --- ## 24. Tvorba snippetů a uspořádání **Snippet** = pojmenovaný blok jednoho nebo více shell příkazů, který spustíš jedním klikem na vybraném serveru (nebo více serverech). ### 24.1 Vytvoření snippetu 1. **Snippets** → **+ New Snippet** 2. Pojmenuj (`restart-nginx`, `disk-usage-top10`, `tail-error-log`) 3. Vlož script: ```bash #!/usr/bin/env bash df -h | sort -k 5 -h -r | head -10 ``` 4. Volitelné: **Tags** pro kategorizaci, **Color** pro vizuální rozlišení 5. **Save** ### 24.2 Spuštění - Drag snippet na otevřenou session → spustí se v ní - Pravý klik na host → **Run Snippet** → vyber → spustí v nové session - Z Connections panel → Snippets sidebar → klik ### 24.3 Organizace - **Folders** v Snippets sekci pro hierarchii (např. `linux/`, `docker/`, `k8s/`, `homelab/`) - **Search** přes všechny (Command Palette nebo dedikované pole) - **Pin** často používané > **Pro tvůj home lab:** udělej si folder `homelab/` se snippets: > > - `services-status` — `systemctl status ollama litellm n8n nginx` > - `restart-litellm` — `systemctl restart litellm && journalctl -u litellm -n 20` > - `gpu-temp` — `nvidia-smi --query-gpu=temperature.gpu --format=csv` (Win11 přes WSL2 nebo přímo) > - `tail-litellm` — `journalctl -u litellm -f` (a nech běžet pro live monitoring) > - `docker-prune` — `docker system prune -af --volumes` --- ## 25. Variables in snippets (parametrizace) Termius umí v snippetech používat **proměnné** (postupně dostupné napříč platformami; aktuálně Android měl tuto feature jako první podle changelogu). **Syntaxe:** ```bash # Snippet: deploy-service systemctl restart {{service_name}} journalctl -u {{service_name}} -n {{lines}} ``` Při spuštění Termius zobrazí dialog s vstupy pro `service_name` a `lines`. Vyplníš → snippet se substituuje a spustí. **Use-case:** jeden generický snippet `restart-and-tail` pro všechny systemd služby místo 10 specifických. --- ## 26. Mass-execute (broadcast a multi-host) ### 26.1 Run on multiple hosts 1. V **Hosts** zaškrtni více serverů (Ctrl/Cmd + klik) 2. **Run Snippet** → vyber snippet 3. Termius otevře paralelní sessions a v každé spustí snippet Užitečné pro `apt update`, `restart fail2ban`, `tail /var/log/auth.log` napříč fleetem. ### 26.2 Broadcast Input (live) Liší se od Run Snippet — **píšeš živě v jedné konzoli a každý znak se posílá do všech otevřených sessions současně**. Detail v ČÁST VII. --- ## 27. Sdílení snippetů v týmu Pokud jsi v Team plánu: 1. Vytvoř snippet ve **Team Vault** (vyber Vault při vytváření) 2. Všichni členové vault ho vidí (read podle role) 3. Editor / Owner ho mohou upravovat 4. Member ho jen spouští **Use-case pro firmy** (Sunmill, Climbing Lab): - Sdílené snippets pro deploy, pro restart služeb, pro disk audit, pro user provisioning - Junior nemusí znát ten správný `systemctl` / `kubectl` zaklínač — pustí snippet `deploy-app-staging` a má hotovo - Audit log uvidí, kdo kdy snippet spustil (Business+ tier) --- --- # ČÁST VII: WORKSPACES, TABS, SPLIT VIEW, BROADCAST INPUT --- ## 28. Tabs a horizontal navigation Od redesignu **Termius X (mid-2024)** má desktop horizontální tab bar v záhlaví, podobně jako browser. Mobilní verze měly tab bar dříve. **Klávesy (desktop):** | Akce | macOS | Win/Linux | |------|-------|-----------| | Nový tab | `CMD+T` | `CTRL+T` | | Zavřít tab | `CMD+W` | `CTRL+W` | | Mezi taby | `CMD+J` (nebo `CMD+1..9`) | `CTRL+J` (nebo `CTRL+1..9`) | | Přepínat doleva/doprava | `CMD+SHIFT+[` / `]` | `CTRL+TAB` / `CTRL+SHIFT+TAB` | | Reorder tab | drag & drop | | > **Skutečné klávesy se mohou lišit verzí — vždy zkontroluj Settings → Keyboard Shortcuts (v posledních verzích plně customizable).** --- ## 29. Split View — až 16 panelů **Split** = rozdělíš tab na více panelů, každý vlastní session (nebo opakovanou session stejného hosta). - Pravý klik na tab nebo na pane → **Split horizontally / vertically** - Maximum **16 paneů v jednom Split View tabu** - Každý pane lze zavřít/resize/přesunout - `CMD/CTRL + SHIFT + arrow` typicky přepíná focus mezi panely **Use-case:** deploy do 4 prostředí najednou — stg-eu, stg-us, prod-eu, prod-us — všechny v jednom okně. --- ## 30. Workspaces — uložit, obnovit, sdílet **Workspace** = pojmenovaný snapshot tvých otevřených tabs + jejich layoutu (split, focus). ### 30.1 Vytvoření Workspace 1. Otevři kombinaci tabů, jak je chceš mít (např. 3 sessions na různé servery, jeden Split View se 4 panely) 2. **Save Workspace** (CMD/CTRL+S podle Settings) 3. Pojmenuj (`incident-response`, `daily-monitoring`, `deploy-pipeline`) ### 30.2 Restore - **Workspaces** sekce → klik na workspace → otevře vše naráz - Workspace si pamatuje **working directory** a **běžící aplikaci** (např. tmux session) — když restoreš, vrátí se do `/var/log` se spuštěným `tail` ### 30.3 Sdílení (Team) Workspace lze uložit do **Team Vault** → ostatní členové ho mají k dispozici. Junior pak otevře `daily-monitoring` workspace a má 8 oken nastavených tak, jak senior chce. ### 30.4 Local terminals v workspace templates Workspace si může pamatovat i **lokální terminály** (Termius má lokální shell, ČÁST X). Použití: dev workflow s lokálním `npm run dev` + 3 SSH sessions na backend služby — všechno v jednom restore. --- ## 31. Focus Mode vs. Split Mode V rámci jednoho workspace přepínáš: - **Focus Mode:** zobrazí jen jeden pane na full screen (užitečné pro psaní v jediném terminálu) - **Split Mode:** všechny pane vidíš najednou **Klávesy:** `CMD+SHIFT+M` / `CTRL+SHIFT+M` (přepínač Focus ↔ Split). --- ## 32. Broadcast Input — psaní do více terminálů najednou Killer feature pro fleet management. ### 32.1 Aktivace 1. Otevři Split View se 2-16 panely (každý pane = jiný server) 2. V toolbaru zapni **Broadcast Input** (ikona megafonu, nebo z menu) 3. Cokoliv napíšeš v aktivním pane se posílá do **všech panelů ve Splitu** 4. **Hotkeys a escape sequences** se broadcastují také (Ctrl+C zastaví všude, Tab spustí completion všude) ### 32.2 Toggle per workspace V každém workspace lze Broadcast nezávisle zapnout/vypnout. Můžeš mít 2 Splits — jeden broadcast on (`apt upgrade -y` na 8 hostech), druhý off (samostatný debug v rohu). ### 32.3 Bezpečnost - Vždy si dvakrát ověř, kde je Broadcast aktivní (UI to vizuálně označuje) - **Pozor:** `rm -rf /` rozpošleš všude. Pro destruktivní operace zvaž místo Broadcastu run snippetu na multi-host (kapitola 26.1) — máš review před spuštěním. --- --- # ČÁST VIII: VZHLED (TÉMATA, FONTY) --- ## 33. Vestavěná témata Termius nabízí dlouhý seznam vestavěných témat. Aktuálně (2026) zahrnuje: - **Klasiky:** Solarized Dark/Light, Dracula, Monokai, Nord Light/Dark, Tomorrow Night - **Cyberpunk řada:** Cyberpunk, Cyberpunk Scarlet - **Ayu:** Ayu Dark, Ayu Light - **Kanagawa řada:** Kanagawa Wave, Kanagawa Dragon, Kanagawa Lotus - **Hacker řada:** Hacker Blue, Hacker Green, Hacker Red **Aplikace tématu:** - Globálně: Settings → Appearance → Theme - Per host: Detail hosta → Appearance Override → Theme (užitečné pro **color-coding podle prostředí** — viz ČÁST XVI.63) --- ## 34. Nerd Fonts a ligatury Termius umí používat **Nerd Fonts v3**: - FiraCode Nerd Font - JetBrainsMono Nerd Font - Meslo Nerd Font (často používané s p10k zsh prompt) - Source Code Pro Nerd Font - DejaVu Sans Mono Nerd Font - Ubuntu Mono Nerd Font - Cascadia Code Nerd Font **Proč Nerd Fonts:** přidávají glyphs (ikony) — Powerline symboly, Material Design ikony, Font Awesome. Esenciální pro starship/p10k prompty, lazygit, neovim s nvim-tree, atd. **Nastavení:** - Settings → Appearance → Font → vyber z dropdownu - **Ligatures** — checkbox; FiraCode/JetBrainsMono mají ligatures pro `==`, `=>`, `!=`, `->`, `>=`, `===` atd. - Font size — slider; pro mobil 12-15pt, desktop 13-16pt ### 34.1 Custom font V některých verzích lze nahrát vlastní font (`.ttf`/`.otf`): - macOS: nainstaluj font do systému (Font Book), Termius ho uvidí - Windows: stejně přes Settings → Personalization → Fonts - Linux: `~/.local/share/fonts/`, `fc-cache -fv`, restart Termius - Mobil: Custom font upload je v UI roadmapy/feature requests; prozatím povinný výběr z předdefinovaných --- ## 35. Vlastní (custom) témata Custom terminal themes jsou na **Product Roadmap** (ideas.termius.com c/45). V některých posledních verzích už lze definovat **per-color** vlastní palety (16 ANSI barev + foreground/background/cursor). Podle verze: - Settings → Appearance → **Custom Theme** → klikni na barvu pro úpravu - Export/Import JSON s definicí (pro sdílení v týmu) **Pokud feature tvoje verze nemá**, použij vestavěné téma blízké tvému stylu a customizuj per-host pouze barvu pozadí pro environmental color-coding. --- --- # ČÁST IX: MOBILE (iOS / iPadOS / Android) --- ## 36. Customizace klávesnice (key groups) Klávesnice na mobilu je **rozšířena o softwarovou lištu** nad systémovou klávesnicí. Lišta obsahuje speciální klávesy pro terminál: `Esc`, `Tab`, `Ctrl`, `Alt`, šipky, `|`, `~`, `/`, `\`, `Page Up/Down`, F-klávesy, Ctrl+C atd. ### 36.1 Vytvoření Key Group Pokud používáš často 4-5 specifických kombinací (`Ctrl+C`, `Ctrl+R`, `Ctrl+L`, `Ctrl+Z`): 1. Settings → Keyboard → **Key Groups** → **+ New Group** 2. Pojmenuj (`vim-essentials`, `git-essentials`) 3. Vyber 4 klávesy/kombinace 4. Save → group se objeví na klávesnicové liště ### 36.2 Přidané klávesy v posledních verzích - **Shift+Tab** (snippet picker / autocompletion variants v některých shellech) - **Voice typing** (mikrofon na liště → diktuj příkaz) - Custom user-defined kombinace --- ## 37. Sidebar, gesta, externí klávesnice ### 37.1 Sidebar (mobile) Při běžící session: swipe z pravé strany dovnitř → sidebar: - **Snippets list** (rychlé spuštění) - **Command history** - **Special keys** (Esc, Fn klíče) - **Themes** (rychlá změna barev) ### 37.2 Gesta v terminálu (Termius) Standardní iOS gesta: | Gesto | Akce | |-------|------| | Tap | umístit kurzor (jen omezeně, terminál to nepodporuje plně) | | Long press | text selection a paste menu | | Pinch | zoom (zvětšit/zmenšit font) | | 2-finger swipe | scroll | | Swipe z okraje | sidebar | ### 37.3 Externí klávesnice Termius **plně podporuje hardware keyboard** (Bluetooth/Magic Keyboard/Logitech, Smart Keyboard pro iPad): - Modifier keys (Cmd, Ctrl, Alt, Shift) fungují nativně - Můžeš nastavit Caps Lock jako Ctrl (Settings → Keyboard) - Voice typing & Shift+Tab přidáno do additional keyboard - F-klávesy přes Fn (na Magic Keyboard) nebo přes mapping --- ## 38. Siri Shortcuts (iOS) a widgety ### 38.1 Siri Shortcuts Termius vystavuje 2 hlavní Shortcuts intent: 1. **Connect to host** — Siri otevře danou session 2. **Execute snippet** — Siri spustí snippet na konkrétním hostu **Setup:** 1. iPhone Settings → Shortcuts → najdi „Termius" 2. Přidej shortcut pro Connect (vyber host) 3. Přidej shortcut pro Snippet (vyber snippet + host) 4. Přiřaď fráze: "Hej Siri, zkontroluj produkční disky" > **Use-case pro tvůj home lab:** „Hej Siri, restart LiteLLM" → Siri spustí snippet `restart-litellm` na home Win11 přes Termius. Nebo „Hej Siri, server status" → snippet `services-status`. ### 38.2 Widgety Termius má **iOS widgety** (Today View, Home Screen): - **Recent Hosts** — přístup na poslední 4 hosty - **Snippets** — rychlé spuštění bookmarknutých snippetů - **Active Connections** — vidíš co běží V některých verzích jsou widgety ještě v betě / chybí — feature roadmapa. --- ## 39. Volume button mapping (Android) Specifické pro Android: můžeš přiřadit **Volume Up / Volume Down** na softwarové akce (např. Esc, Shift+Tab) nebo aktivovat akci přes **shake gesture** (otočení telefonu). **Setup:** - Settings → Keyboard → **Hardware key bindings** - Vyber `Volume Up` → akce (Esc / Tab / custom kombinace) - Save Zachraňuje, když máš hardware klávesnici bez ESC, nebo držíš telefon v jedné ruce. --- ## 40. Tablet/iPad layout (desktop-like) Na **iPad** a **Android tabletu** Termius zobrazuje desktop-style layout: - **Top tab bar** místo bottom tab bar - **Sidebar levým palcem**, terminál většinu obrazovky - **Multi-tab Split View** funguje (až 4 splits na iPadu typicky) S Magic Keyboard pro iPad to v zásadě nahradí MacBook pro většinu sysadmin práce. --- --- # ČÁST X: DESKTOP (macOS, WINDOWS, LINUX) --- ## 41. Command Palette **Killer feature pro klávesnici-first práci.** - Klávesa: typicky `CMD+K` (macOS) / `CTRL+K` (Windows/Linux) — zkontroluj v Settings - Otevře prompt s fuzzy search přes: - Hosts (otevři session) - Snippets (spusť snippet) - Akce (open SFTP, new tab, toggle broadcast, atd.) - Recent connections - Settings (jdi rovnou do `Appearance > Theme`) > **Pro power-usery:** zapomeň klikat. `CMD+K` → napíš `prod-` → enter na hosta → další `CMD+K` → `restart-` → enter na snippet → snippet běží na otevřené session. --- ## 42. Klávesové zkratky desktopu Všechny klávesy jsou customizable v Settings → Keyboard Shortcuts. Defaulty: | Akce | macOS | Win/Linux | |------|-------|-----------| | Nový tab | `CMD+T` | `CTRL+T` | | Zavřít tab | `CMD+W` | `CTRL+W` | | Mezi taby | `CMD+J` / `CMD+1..9` | `CTRL+J` / `CTRL+1..9` | | Command Palette | `CMD+K` | `CTRL+K` | | Save Workspace | `CMD+S` | `CTRL+S` | | Toggle Focus/Split | `CMD+SHIFT+M` | `CTRL+SHIFT+M` | | Split horizontally | `CMD+D` | `CTRL+D` | | Split vertically | `CMD+SHIFT+D` | `CTRL+SHIFT+D` | | Toggle Broadcast | `CMD+SHIFT+B` | `CTRL+SHIFT+B` | | Find in terminal | `CMD+F` | `CTRL+F` | | Settings | `CMD+,` | `CTRL+,` | | Quit | `CMD+Q` | `ALT+F4` / `CTRL+Q` | > **Skutečné klávesy ověř ve své verzi Settings → Keyboard Shortcuts.** Termius je v aktivním vývoji, defaulty se mezi minor verzemi mění. --- ## 43. Lokální terminál v Termiusu Termius má **vestavěný lokální terminál** — nemusíš mít otevřený separátní Terminal.app/Windows Terminal/gnome-terminal. ### 43.1 Spuštění - **Hosts** → **+** → **Local Terminal**, nebo - Command Palette → `local` - Otevře se tab s tvým systémovým shellem (bash/zsh/PowerShell) ### 43.2 Use-cases - Spusť `git status` lokálně, hned vedle vzdálených SSH tabů - Pusť lokální `npm run dev` v jednom panelu workspace, vedle 3 SSH session na backend - Použij Termius jako **jeden terminál pro vše** — přepneš `CMD+J` mezi lokálem a serverem ### 43.3 Lokální terminál ve Workspace template Lokální terminály lze ukládat ve Workspace templates (poslední updates) → restoreneš dev workflow plný lokálních + remote shellů. --- ## 44. URI handler `ssh://` a `termius://` Termius se zaregistruje jako handler pro: - **`ssh://user@host:port`** — kdekoliv ve Finderu, browseru, Notes klikneš → otevře v Termiusu (pokud je default SSH client) - **`sftp://user@host:port/path`** — otevře SFTP session - **`termius://`** custom scheme — pro deep-linking (např. `termius://snippet/uuid` spustí konkrétní snippet) Užitečné pro: - Linky v interní wiki / Notion / Confluence rovnou na servery - Bookmarky v browseru pro rychlý přístup - Shortcuts workflows (iOS Shortcuts → Open URL `termius://...`) > **Bezpečnostní pozn.:** klikání na `ssh://` linky z neznámých zdrojů je riskantní — můžou tě zalogovat na MITM server. Klikání pouze na linky, kterým důvěřuješ. --- --- # ČÁST XI: SYNC, VAULT, END-TO-END ENCRYPTION --- ## 45. Termius Cloud sync — co přesně se synchronizuje **Synchronizováno:** - Hosts (adresy, porty, identities) - Groups - Keys (privátní + veřejné, encrypted) - Identities - Snippets - Port Forwarding rules - Known Hosts (server fingerprinty) - Workspaces - Settings (částečně) - Session logs (pokud máš logging zapnuté, Pro+) - Bookmarks **NESYNCHRONIZOVÁNO:** - **Biometric Keys (Apple Secure Enclave)** — fyzicky nemůžou opustit zařízení - Master password (nikdy se neukládá) - Local-only nastavení specifické pro daný OS - Cache souborů z SFTP **Sync probíhá automaticky** na pozadí, real-time. Konflikty řešeny last-write-wins typicky; vault ti řekne, pokud je sync zaseknutý (Settings → Sync status). --- ## 46. End-to-end encryption (E2EE) detaily **Co znamená E2EE u Termiusu:** - Tvá data se šifrují **na tvém zařízení** před odesláním na sync server - Termius servery vidí **pouze šifrovaný blob** - Klíč k dešifrování (privátní) **nikdy neopustí tvé zařízení v plain textu** - Privátní klíč je sám zašifrován tvým **master password**, který Termius nezná **Algoritmy** (oficiální dokumentace, security overview): - **Public-key encryption:** X25519 key exchange + XSalsa20 stream cipher + Poly1305 MAC - **Secret-key encryption:** XSalsa20 stream cipher + Poly1305 MAC (NaCl-style) - **Klíče v keystore:** generovány pomocí cryptographically secure RNG na klientu **Šifrování v transitu:** TLS 1.2 (a vyšší dle dostupnosti). **Hybrid encryption schéma:** 1. Random encryption key se vygeneruje 2. Tvá data se zašifrují tímto random key 3. Random key se zašifruje tvým public klíčem (X25519) 4. Tvůj private key (X25519) je sám zašifrován derivovaným klíčem z master password 5. Vše se uloží na server > **Důsledek:** ani Termius staff, ani útočník na jejich servery, nedokáže rozšifrovat tvá data bez tvého master password. To je hlavní security promise produktu. --- ## 47. Vaults jako jednotka organizace a access control **Vault** = top-level kontejner pro veškerá tvá data v Termiusu. - **Personal Vault** — tvůj soukromý, jen ty máš přístup - **Team Vaults** (Pro Team+) — sdílené vaulty s definovanými členy a rolemi Vault obsahuje: Hosts, Groups, Keys, Snippets, Port Forwarding, Known Hosts. **Vault-level access control:** - Member přidaný do Team Vault uvidí všechno v tom vault - Jiný Team Vault je oddělený — `Sunmill Vault` neuvidí servery v `Climbing Lab Vault` - Pro granulaci nastav víc vault s různým členstvím --- ## 48. Master password — zacházení a recovery ### 48.1 Změna master password Settings → Account → **Change Master Password**. Termius re-šifruje tvá data novým klíčem na **každém přihlášeném zařízení**. Vyžaduje, aby alespoň jedno zařízení bylo aktivní a online. ### 48.2 Reset password without losing data Pokud zapomeneš master password, **ale máš ještě přihlášené zařízení**: 1. Na tom zařízení Settings → Account → **Reset Password** 2. Zadej nový master password 3. Termius re-šifruje data Pokud nemáš žádné aktivní zařízení s odemčeným vault, **data jsou nenávratně ztracena** a musíš začít s prázdným účtem. ### 48.3 Doporučení - Master password do 1Password/Bitwardenu - Recovery sheet do trezoru - Druhé zařízení vždy přihlášené (záloha) - Nepoužívej stejný password jako na účet (e-mail) — kompromitace e-mailu pak neumožňuje útočníkovi přístup k vault --- ## 49. Local-only mode (bez sync) Pokud nechceš sync (paranoia, regulační compliance, izolovaná infra): - Při setup vyber **Use without account** (pokud verze nabízí) - Nebo Settings → Account → **Sign Out** + **Keep local data** - Vault zůstane na zařízení, ale nesynchronizuje se nikam **Trade-off:** žádný backup. Pokud zařízení selže, vault je ztracen. Doporučení: pravidelný export do encrypted bundle. --- --- # ČÁST XII: SESSION LOGS, BOOKMARKS A AUDIT --- ## 50. Co Termius loguje a kde to je **Session logs** = textový záznam vstupu/výstupu každé SSH session. - **Auto-collect:** Termius (od poslední generace updates) loguje sessions **automaticky pro každý host** - Logy jsou **synchronizované přes vault** (E2EE) na všechna tvá zařízení - V Team Vault se sdílí s členy týmu **Kde to najdeš:** - Detail hosta → **Logs** tab - Vidíš seznam sessions s timestampy, durationem, useremem - Klik na session → kompletní transcript **Co se loguje:** - Standardní vstup (co jsi psal) - Standardní výstup (co server psal zpět) - Errory - Timestamp každého řádku **Co se neloguje:** - Heslové prompts (skryto pro bezpečnost) - TUI aplikace (vim/htop/tmux) renderují ANSI escape sequences, ne čistý text — log to obsahuje, ale je to nečitelné při raw čtení --- ## 51. Bookmarks — uchování důležitých sessions Auto-logy **rotují** (po čase nebo size limit). Pokud chceš session uchovat dlouhodobě: 1. Otevři session log 2. Vyber relevantní úsek (text) 3. **Add Bookmark** 4. Pojmenuj (`prod-incident-2026-04-30-rds-failover`) Bookmark se uloží do vault permanentně (dokud ho nesmažeš). **Use-cases:** - Postmortem incidentu — uchovaj přesně, co se dělo - Tricky troubleshooting — abys si za rok pamatoval *jak* jsi to opravil - Knowledge sharing — bookmark sdílený s týmem --- ## 52. Tým: sdílené logy a handover V **Team Vault**: - Všichni členové vidí sessions všech ostatních (na stejném hostu) - Junior se může podívat, jak senior debug minulý týden řešil - Easier handover — odjíždíš na dovolenou, kolega vidí tvoje sessions na production hostech **Compliance / audit:** Business+ tier má **audit log** akcí (kdo se kdy přihlásil, co spustil). Pro PCI/SOC2 prostředí relevantní. --- --- # ČÁST XIII: TEAM FEATURES (Pro/Business/Enterprise) --- ## 53. Team Vaults a sdílení **Team Vault** = vault s definovanými členy. Vše uvnitř (hosts, keys, snippets, port forwards) je sdílené. ### 53.1 Vytvoření Team Vault 1. Pre-rekvizit: Pro Team plan 2. Settings → Vaults → **+ Create Team Vault** 3. Pojmenuj (`Sunmill Production`, `Climbing Lab Infra`) 4. Pozvi členy přes e-mail 5. Přiřaď jim role (viz dále) ### 53.2 Migrace dat do Team Vault - Vyber hosts/snippets/keys v Personal Vault - Pravý klik → **Move to vault** → vyber Team Vault - Nebo drag & drop mezi vaulty v sidebaru --- ## 54. Role a RBAC Termius role (Team a vyšší tier): | Role | Práva | |------|-------| | **Owner** | Vše. Billing, member management, konfig vault | | **Admin** | Member management, konfig vault. Ne billing | | **Editor** | Vytvoří/edituje hosts, snippets, klíče. Nemůže měnit vault settings | | **Member** | Read-only přístup. Použije připojení, spustí snippet. Nemůže přidávat | | **Custom Roles** | Business+/Enterprise — granulární per-feature práva | > **Best practice:** princip nejmenších práv. Junior = Member. Mid = Editor s konkrétním vault. Senior/SRE = Admin. Owner = 1-2 osoby maximum. --- ## 55. SSO (SAML, OIDC) **Business** a **Enterprise** plány podporují **SSO** přes: - **SAML 2.0** (Okta, OneLogin, Azure AD, Google Workspace, JumpCloud, atd.) - **OIDC** (OpenID Connect) - **SCIM** provisioning (auto-create/disable users) **Použití:** 1. Owner v Settings → SSO → konfiguruje IdP 2. Členové se přihlašují přes IdP, ne Termius password 3. Při off-boardu — disable v IdP, Termius přístup okamžitě zablokován 4. Master password vault zůstává v users hands (E2EE princip nelze obejít) --- ## 56. Audit log **Business+** má detailní audit log: - Kdo se kdy přihlásil - Z jakého zařízení - Které hosts otevřel - Které snippets spustil - Které soubory transferoval Export do JSON/CSV pro SIEM (Splunk, ELK, Datadog). --- --- # ČÁST XIV: TERMIUS CLI A HROMADNÉ OPERACE --- ## 57. Stav termius-cli (důležité varování) **`termius-cli` je open-source CLI nástroj** (`pip install termius`), původně vytvořený Crystalnixem (firma za Termiusem). **Aktuální stav (2026):** repo `github.com/termius/termius-cli` existuje, ale **vývoj je málo aktivní**. Nástroj byl primárně určen pro starou verzi backendu Termiusu (před aktuálním E2EE schématem) a **nemusí podporovat všechny nové features** (Team Vaults, FIDO2 keys, Workspaces). **Co CLI typicky umí:** ```bash pip install -U termius termius init termius login termius pull # stáhne hosts termius host --address localhost --label myhost termius connect myhost termius push # uploadne změny termius snippet --label backup-db --script "pg_dumpall > /tmp/x.sql" ``` **Před produkčním použitím:** - Ověř datum posledního commitu na GitHub - Otestuj s testovacím účtem, ne hlavním vault - Backup vaultu před push - Sleduj issue tracker pro známé problémy > **Doporučení:** pro automatizaci hromadných operací **nespoléhej výhradně na termius-cli**. Pro programatickou správu hosts/snippetů zvaž místo toho: > > - Udržovat zdroj pravdy v `~/.ssh/config` (versionovaný v gitu) a importovat do Termiusu při potřebě > - Pro automatizaci na serverech: Ansible / SaltStack / Pulumi a Termius pouze jako interaktivní klient > - Pro CI/CD: použij standardní `ssh` z runneru, ne `termius-cli` --- ## 58. Alternativy pro hromadné operace ### 58.1 SSH config jako source of truth Udržuj `~/.ssh/config` v privátním git repo. Při potřebě: 1. Klonuj na nové zařízení 2. V Termiusu: Hosts → Import → `~/.ssh/config` 3. Synchronizuje se přes vault na další tvá zařízení ### 58.2 Bulk add přes import CSV/JSON s definicí hostů (custom skript) → konvertuj do `~/.ssh/config` → import do Termiusu. ### 58.3 Snippet management v gitu Tvé snippety jako `.sh` soubory v git repo. Termius zatím neumí auto-import z folderu, ale komunita má skripty pro convert do Termius API formátu. > **Inovace pro tvůj setup:** udržuj `infrastructure-as-code` repo s `hosts.yml` (seznam serverů) + `snippets/` (jednotlivé skripty). Při změně commitneš, pull na všechny pracovní stroje, manuální import do Termiusu (nebo skript přes termius-cli s opatrností). --- --- # ČÁST XV: TARIFY (FREE, PRO, TEAM, BUSINESS, ENTERPRISE) > **Ceny se mohou měnit. Vždy ověř aktuální na `termius.com/pricing`.** Hodnoty níže jsou orientační dle data pořízení (2026 Q2). | Plan | Cena | Klíčové features | |------|------|------------------| | **Free (Starter)** | $0 | SSH/SFTP/Mosh klient, omezený sync (nebo no sync), základní snippets, **Snippets a SFTP již nejsou paid-only** (od desktop redesignu), Discover Local Devices | | **Pro** | ~$10/měs (yearly) / ~$20/měs (monthly) | Unlimited hosts, full sync, port forwarding, advanced security (FIDO2, Biometric), agent forwarding, snippet sharing, vault, themes, Workspaces | | **Team** | ~$12.5/user/měs (yearly), per-user pricing | Vše z Pro + Team Vaults, snippet sharing s týmem, role-based access, sdílené session logs | | **Business** | Custom (per-user) | Vše z Team + SSO (SAML/OIDC), audit log, SCIM provisioning, advanced compliance | | **Enterprise** | Custom | Vše z Business + dedicated support, SLA, on-premise / private cloud option, custom contracts | ### 15.1 Co se v posledních updates změnilo - **Snippets a SFTP** byly přesunuty z paid features do **free pro desktop** (zlepšení onboardingu) - **Discover Local Devices** je **free** (předtím bylo Pro) - Generování FIDO2 (`ed25519-sk`, `ecdsa-sk`) klíčů přidáno na desktop - Broadcast Input rozšířen o hotkeys a escape sequences ### 15.2 Doporučení per use-case - **Solo dev / IT pro:** Pro plan ($10/měs) - **Malá firma 2-5 lidí:** Team plan ($12.5/user/měs) - **Firma s compliance (SOC2, HIPAA, ISO 27001):** Business plan - **Velká korporace:** Enterprise s SSO a dedicated support > **Pro tvé firmy (Sunmill, Climbing Lab):** zvaž Team plan na 2-3 účty (ty + možná správce). Pokud máš někoho na compliance / audit, řeš až Business. --- --- # ČÁST XVI: POKROČILÉ WORKFLOW & INOVACE Tato sekce je **konkrétní pro tvůj setup**. Obecné best practices doplněné o praktické integrace s tvým existujícím stackem (`C:\Users\jakub\Desktop\ai-orchestrator\`: Ollama, LiteLLM, OpenClaw, n8n, RAG proxy, SearXNG, Win11 host). --- ## 59. Termius + Tailscale (mobilní LAN bez veřejné IP) **Problém:** chceš z mobilu (LTE) přistoupit na home Win11 / NAS / RPi, které jsou za NAT bez veřejné IP a port forwardingu. **Řešení:** **Tailscale** — postavený nad WireGuardem, peer-to-peer mesh VPN, nulová konfigurace, NAT traversal automatický. ### 59.1 Setup 1. Nainstaluj Tailscale na všechna zařízení: - Win11 home: `winget install Tailscale.Tailscale` - iPhone: App Store - MacBook: `brew install --cask tailscale` - VPS: `curl -fsSL https://tailscale.com/install.sh | sh` 2. Přihlas se stejným účtem (Google/GitHub/Microsoft) 3. Každé zařízení dostane **stable Tailnet IP** (`100.x.x.x`) a **MagicDNS hostname** (`win11-home.tail-xxxxx.ts.net`) ### 59.2 Termius config V Termiusu: - **Host address:** Tailnet hostname (`win11-home.tail-xxxxx.ts.net`) — preferuj DNS, ne IP, IP se může změnit při re-enrollment - Žádné port forwarding na routeru, žádné dyndns - Tailscale na mobilu **musí běžet** (jinak jsi mimo tailnet) ### 59.3 Tailscale SSH (alternativa) Tailscale má vestavěnou SSH funkcionalitu (`tailscale ssh user@host`) bez nutnosti vlastních klíčů — auth jde přes Tailscale identitu. Ale to obchází Termius (a jeho UI/snippets/logs). **Doporučení:** používej Tailscale jako transport, ale klasické SSH klíče v Termiusu — máš správu v jednom nástroji. ### 59.4 Subnet routing Pokud máš v home labu RPi, NAS, IoT v subnetu `192.168.1.0/24`, ale Tailscale jen na Win11: 1. Na Win11 nastav **Subnet Router**: `tailscale up --advertise-routes=192.168.1.0/24` 2. V Tailscale admin → schvaľ route 3. Na mobilu → **Use exit node** / **subnets enabled** v Tailscale options 4. Termius pak může adresovat `192.168.1.50` (RPi) přímo > **Inovativní detail:** s Tailscale se ti `~/.ssh/config` zjednoduší — všechny servery oslovuješ MagicDNS jmény, žádné `.firma.cz` proxy chains. Termius Host Chain pak používáš jen pro skutečné bastion hosts (cloud VPC). --- ## 60. Termius + tvůj `ai-orchestrator` stack Tvůj home stack: Ollama (LLM), LiteLLM (proxy), OpenClaw (?) , n8n (automation), RAG proxy, SearXNG (search). Vše typicky na Win11 v `C:\Users\jakub\Desktop\ai-orchestrator\`. ### 60.1 Server preparation (jednorázově) Na Win11 (možná v WSL2 nebo nativně) nainstaluj OpenSSH Server: ```powershell # PowerShell jako admin Add-WindowsCapability -Online -Name OpenSSH.Server~~~~0.0.1.0 Start-Service sshd Set-Service -Name sshd -StartupType Automatic # UFW / Windows Firewall: New-NetFirewallRule -Name sshd -DisplayName 'OpenSSH Server (sshd)' -Enabled True -Direction Inbound -Protocol TCP -Action Allow -LocalPort 22 ``` Vytvoř SSH klíč na MacBooku/iPhonu (Termius), public part vlož do `C:\Users\jakub\.ssh\authorized_keys`. ### 60.2 Termius profile pro home Win11 ``` Vault: Personal Group: Home Lab Host: Label: home-win11 Address: win11-home.tail-xxxxx.ts.net Port: 22 Username: jakub Identity: home-ed25519-fido2 (FIDO2 + Tailscale) Color: zelená (home/safe environment) ``` ### 60.3 Snippets pro AI-orchestrator stack Vytvoř v Termiusu folder `homelab/ai-orchestrator/`: | Snippet name | Skript | |--------------|--------| | `services-status` | `Get-Service ollama, litellm, n8n; sc.exe query openclaw` | | `restart-litellm` | `Stop-Service litellm; Start-Service litellm; Get-Service litellm` | | `tail-litellm-log` | `Get-Content "C:\logs\litellm.log" -Tail 100 -Wait` | | `restart-ollama` | `Stop-Service ollama; Start-Service ollama` | | `gpu-status` | `nvidia-smi --query-gpu=name,temperature.gpu,memory.used,memory.total --format=csv` | | `ollama-models` | `ollama list` | | `n8n-restart` | `wsl --shutdown; Stop-Service n8n; Start-Service n8n` | | `disk-free` | `Get-PSDrive C \| Select Used,Free` | | `docker-prune` | `docker system prune -af --volumes` (pokud máš Docker Desktop) | | `searxng-up` | `cd C:\stack\searxng && docker compose up -d` | | `health-check-all` | sekvence ping na všech endpointech (`curl localhost:11434/api/tags`, `curl localhost:4000/health`, atd.) | ### 60.4 Port Forwarding rules Pro vzdálený přístup z mobilu na lokální AI služby: | Rule | Type | Local | Server | Remote | |------|------|-------|--------|--------| | Ollama tunnel | Local | 11434 | home-win11 | 127.0.0.1:11434 | | LiteLLM tunnel | Local | 4000 | home-win11 | 127.0.0.1:4000 | | n8n web UI | Local | 5678 | home-win11 | 127.0.0.1:5678 | | SearXNG | Local | 8888 | home-win11 | 127.0.0.1:8080 | | RAG proxy | Local | 8000 | home-win11 | 127.0.0.1:8000 | > **Alternativa:** s Tailscale + správnou bind adresou (`0.0.0.0` v Ollama / LiteLLM), nepotřebuješ SSH tunely vůbec — služby jsou přímo dostupné na Tailnet IP. SSH tunneling **dává smysl**, když chceš striktně nevystavit služby ani na Tailnet (lokál-only bind), ale potřebuješ ad-hoc remote přístup. ### 60.5 Workspace template Workspace `homelab-monitoring`: - Tab 1: SSH home-win11 → tmux `monitoring` session - Tab 2: Split View 4-pane: - PaneA: `tail-litellm-log` snippet running - PaneB: `tail-ollama-log` running - PaneC: `nvidia-smi -l 5` (live GPU) - PaneD: lokální `htop` na MacBooku - Tab 3: SFTP na home-win11 Save → restore jedním klikem. ### 60.6 iOS Shortcut → Siri → home Win11 Setup: 1. iPhone Shortcuts app → New Shortcut 2. Add Action → Termius → **Execute Snippet** 3. Snippet: `services-status` 4. Host: `home-win11` 5. Phrase: "Stav serveru" 6. Save → "Hej Siri, stav serveru" → Termius spustí snippet, zobrazí výstup. **Funguje i ze zaparkovaného auta s Apple Watch.** --- ## 61. Snippet chains pro DevOps na mobilu Termius **nemá nativní "snippet chains"** (sekvence snippetů spouštěná jako workflow), ale máš workaround: **Použij jeden snippet s víc kroky:** ```bash #!/usr/bin/env bash set -e echo "[1/4] Pull from git..." cd /opt/app && git pull echo "[2/4] Build..." docker compose build echo "[3/4] Restart..." docker compose up -d echo "[4/4] Health check..." sleep 5 curl -fsSL http://localhost:8080/health echo "✅ Deploy complete" ``` Nebo **pomocí n8n / Ansible playbooks** spuštěného přes Termius snippet — vícestupňová orchestrace tam patří, snippet je trigger. > **Inovace:** napiš si vlastní `runchain.sh` skript na serveru, který bere jako argument seznam kroků (`runchain build deploy verify rollback-on-fail`). Termius snippet jen zavolá `runchain ...`. Veškerá logika orchestrace je versioned a testovatelná na serveru. --- ## 62. iOS Shortcuts → Termius (pokročilé) Příklady creative use: ### 62.1 NFC tag triggers SSH 1. Shortcut „SSH home" → Connect to host `home-win11` 2. Programuj NFC tag (např. nálepku u monitoru) Shortcut „Run Shortcut" → vyber „SSH home" 3. Přiložíš iPhone k tagu → Termius otevře session ### 62.2 Apple Watch komplikace Shortcut na Apple Watch (komplikace na watch face) → spustí snippet `services-status` → vidíš výstup na zápěstí. ### 62.3 Automation: Když odjedu z domu, restart vacuum Shortcuts → Automation → "When I leave home" → Run snippet `restart-vacuum` na home automation serveru. ### 62.4 Podmíněné akce Shortcuts má `If/Else`, `Repeat`, `Ask for input`. Můžeš stavět pseudo-programy: ``` Ask for input: "Které prostředí?" If input is "prod": Termius Run Snippet: "deploy-prod" on host "prod-deploy" Else: Termius Run Snippet: "deploy-stg" on host "stg-deploy" Notification: "Deploy started" ``` --- ## 63. Color-coding by environment (prod/staging/dev) **Visual safety rule** — extrémně doporučeno. | Environment | Barva pozadí terminálu | |-------------|------------------------| | **Production** | Tmavě **červená** (`#3a0000` background) | | **Staging** | **Žlutá**/oranžová (`#3a3a00`) | | **Dev** | **Modrá**/cyan (`#00203a`) | | **Home Lab** | **Zelená**/black (`#001a00`) | | **Localhost** | Šedá / default | **V Termiusu:** 1. Detail hosta → **Appearance Override** → **Background color** nebo **Theme** (vyber/vytvoř téma s vhodným pozadím) 2. Save 3. Pokaždé, když se na tomhle hostu dostaneš, terminál má signální barvu **Proč:** mozek pracuje vizuálně. Pokud jsi rozkliknul prod místo stg a pozadí je rudé, vystřízlivíš dřív, než stiskneš Enter na `DROP TABLE`. > **Stejný princip** — color-code i SSH user prompt na serveru samotném (přes `~/.bashrc` / `~/.zshrc`): > > ```bash > if [ "$ENV" = "prod" ]; then > PS1='\[\e[1;41;37m\]PROD\[\e[0m\] \w \$ ' > fi > ``` --- ## 64. 1Password SSH Agent + Termius **Status (2026):** Termius **nemá nativní integraci** se 1Password SSH Agent, ale lze je propojit přes standardní SSH agent socket. ### 64.1 Setup 1. V 1Password (desktop) → Developer → **SSH agent** → Enable 2. 1Password vystaví socket: macOS `~/.1password/agent.sock`, Windows `\\.\pipe\openssh-ssh-agent` (Windows OpenSSH) 3. Nastav environment proměnnou: ```bash # macOS / Linux export SSH_AUTH_SOCK=~/.1password/agent.sock ``` 4. V Termiusu detail hosta → **Authentication** → **Agent** (místo specifického klíče) 5. Connect → Termius dotáže systémový agent (1Password) → 1Password se zeptá biometrií ### 64.2 Limitace - **Mobile:** 1Password má SSH agent na iOS, ale Termius mobilní nemá `SSH_AUTH_SOCK` propojený s 1Password agentem. Tady použij Biometric Key v Termiusu (kapitola 14). - **Windows:** podpora 1Password SSH agent přes named pipe je v některých verzích Termius beta. Otestuj. ### 64.3 Alternativa Pokud používáš 1Password masivně, zvaž ne-Termius cestu: vyřaď klíče z Termius vault, nech je všechny v 1Password, na desktopu používej Termius s agent auth, na mobilu Termius s Biometric Key (per-device key, klíč žije v Secure Enclave). Tím **klíče existují na 2 nezávislých místech** — útočník musí kompromitovat oboje. --- --- # ČÁST XVII: BEZPEČNOSTNÍ BEST PRACTICES --- ## 65. Hardening: 12 doporučení 1. **Master password** ≥ 16 znaků, raději passphrase 4-6 slov, **nikdy reuse** z jiné služby 2. **MFA na účet** (Settings → Account → 2FA) — TOTP přes Authy/1Password/Aegis 3. **Master password do password manageru** + offline recovery sheet 4. **Biometric Key** na všech mobilních zařízeních (Touch ID / Face ID, klíč v Secure Enclave) 5. **FIDO2 / hardware key** pro produkční servery (touch-to-confirm) 6. **Color-coding** prostředí (prod = červené pozadí) 7. **Color-coding** username v shellu na serveru 8. **Nepoužívat heslové autentizace** na produkci. Vůbec. 9. **Disable password auth** na sshd (`PasswordAuthentication no` v `/etc/ssh/sshd_config`) 10. **Rotuj klíče** pravidelně (1× ročně) — díky Identities je to změna na jednom místě 11. **Auto-lock** Termiusu po inaktivitě (Settings → Security → Auto-lock 5/10 min) 12. **Audit log review** (Business+) jednou měsíčně — neočekávané přihlášení? ### 65.1 Bonus: bastion-only přístup Místo otevřených SSH portů na všech serverech: - 1 bastion host s `0.0.0.0:22` přístupný (nebo lépe za WireGuardem/Tailscale) - Všechny ostatní servery jen `internal_ip:22` v privátní síti - V Termiusu: **Host Chain** přes bastion na všechny target hosts Tím útočná plocha = 1 server místo 30. ### 65.2 Audit klíčů na serverech Pravidelně kontroluj `~/.ssh/authorized_keys` na serverech: ```bash # Snippet "audit-authorized-keys" for u in $(cut -d: -f1 /etc/passwd); do f=$(getent passwd "$u" | cut -d: -f6)/.ssh/authorized_keys [ -f "$f" ] && echo "=== $u ===" && cat "$f" done ``` → Spusť na všech hostech přes mass-execute. Hledej klíče, které nepoznáváš. --- ## 66. Co Termius nedělá (a co musíš sám) - **Nehlídá expirování klíčů** — ručně sleduj (kalendář, password manager s expiry) - **Neaplikuje patch management na servery** — to je tvoje odpovědnost (`apt upgrade`, `dnf upgrade`, automatické aktualizace) - **Nedetekuje MITM po prvním Trust on First Use** — pokud server fingerprint poprvé akceptuješ špatný (např. první spojení přes nedůvěryhodnou síť), Termius si ho uloží jako platný - **Neudržuje audit trail změn vault** — víš, kdo se přihlásil, ale ne kdo přidal hosta v t-30 dní (Enterprise feature) - **Není SIEM** — pro corporate compliance integruj audit log do Splunk/Datadog - **Není centrální správa SSH klíčů serveru** — `authorized_keys` synchronizuje konfigurační manager (Ansible), ne Termius --- --- # ČÁST XVIII: CHEAT SHEET --- ## Klávesové zkratky desktop (defaulty) ``` NOVÝ TAB: CMD/CTRL + T ZAVŘÍT TAB: CMD/CTRL + W PŘEPÍNAT TABY: CMD/CTRL + J | CMD/CTRL + 1..9 COMMAND PALETTE: CMD/CTRL + K SAVE WORKSPACE: CMD/CTRL + S TOGGLE FOCUS/SPLIT: CMD/CTRL + SHIFT + M SPLIT HOR/VER: CMD/CTRL + D | CMD/CTRL + SHIFT + D TOGGLE BROADCAST: CMD/CTRL + SHIFT + B FIND IN TERMINAL: CMD/CTRL + F SETTINGS: CMD + , | CTRL + , QUIT: CMD + Q | ALT + F4 ``` > Vše customizable v Settings → Keyboard Shortcuts. ## Mobile gesta ``` LONG PRESS: text selection / paste PINCH: font size SWIPE z OKRAJE: sidebar 2-finger swipe: scroll ``` ## Connection workflow ``` 1. Vault → Group → Host (model) 2. Identity = (user, key) — recyklovatelná 3. Host Chain = ProxyJump (bastion) 4. Discover Local Devices = LAN scan (mDNS + active) 5. Import z ~/.ssh/config existuje ``` ## Klíče ``` Doporučený typ: Ed25519 S hardware tokenem: ed25519-sk (FIDO2) S Apple bio: Biometric Key (Secure Enclave) Software klíč: ed25519 nebo RSA-4096 (legacy) ``` ## Port Forwarding ``` LOCAL: připoj se k VZDÁLENÉ službě (DB, web) REMOTE: vystav LOKÁLNÍ službu na server DYNAMIC: SOCKS5 proxy ``` ## Snippets ``` Variables: {{var_name}} placeholders Mass-exec: vyber víc hostů → Run Snippet Sdílení: do Team Vault ``` ## Workspaces ``` Save: CMD/CTRL + S (otevřené taby + layout) Restore: klik z Workspaces sekce Focus/Split: CMD/CTRL + SHIFT + M Broadcast Input: psaní do víc terminálů zaráz ``` ## Sync / Vault ``` Synced: hosts, keys (krom Biometric), snippets, port-fwd, identities, known hosts, workspaces, logs NOT synced: Biometric Keys (per-device), master password E2EE: X25519 + XSalsa20 + Poly1305 ``` ## Bezpečnostní golden rules ``` □ Master password v password manageru □ MFA na účet □ Biometric Key na mobilu □ FIDO2 na desktopu pro produkci □ Color-code per environment □ Disable password auth na serveru □ Auto-lock 5-10 min □ Bastion + Host Chain místo otevřených portů □ Rotace klíčů 1× ročně □ Audit authorized_keys 1× kvartálně ``` ## Termius CLI (pip) ```bash pip install -U termius termius init termius login termius pull termius host --address X --label Y termius push termius connect Y # CAVEAT: údržba CLI je nízká, neotestuje na produkčním vault ``` --- --- # ČÁST XIX: FAQ, TROUBLESHOOTING, GLOSSARY --- ## FAQ **Q: Můžu mít Termius zdarma navždy?** A: Ano, Free (Starter) plán je trvale zdarma s omezeným feature setem. Bez full sync, bez Workspaces, bez Team features. Snippets a SFTP jsou v posledních verzích zdarma i pro Free. **Q: Jak Termius porovnat s alternativami (PuTTY, Tabby, Royal TS, Bitvise)?** A: Termius je jediný **opravdu cross-platform včetně mobilu** s nativním sync. PuTTY je Windows-only old-school. Tabby je open-source desktop only. Royal TS má skvělé connection management (RDP+SSH+VNC...). Bitvise má pokročilý SFTP. Termius vyhrává, pokud chceš jednu app na všech zařízeních. **Q: Funguje Mosh přes Tailscale?** A: Ano. Tailscale tunnel přenese UDP, mosh běží přes UDP (porty 60000-61000 default). Funguje skvěle. **Q: Jak migruji z PuTTY na Termius?** A: Export z PuTTY do `~/.ssh/config` formátu (jsou converters online), pak Import v Termiusu. **Q: Jak na 2FA na cílových serverech (ne na Termius účet)?** A: Server-side 2FA (PAM modul s Google Authenticator) funguje normálně. Termius zobrazí prompt v session, ty zadáš TOTP kód. **Q: Můžu sdílet snippet bez Pro plánu?** A: V Free ne. Snippet sdílení je v Pro a vyšší. **Q: Co se stane se synchronizovanými klíči, když ztratím master password?** A: Pokud máš ještě aktivní zařízení s odemčeným vault, můžeš použít Reset Password without losing data. Pokud ne, **klíče jsou nenávratně ztracené**. Vytvoř nové, distribuj na servery. **Q: Funguje Termius s YubiKey 5C NFC na iPhone přes NFC?** A: Ano. iOS od 13+ podporuje FIDO2 přes NFC. Tap YubiKey na záda telefonu při auth promptu. **Q: Jak otevřu lokální terminál v Termiusu?** A: Hosts → + → Local Terminal, nebo Command Palette → "local". **Q: Existuje Termius pro Linux ARM (RPi)?** A: AppImage funguje na ARM64 (RPi 4/5 64-bit OS). Snap balík taky. **Q: Co to "OpenClaw" v tvém home stacku?** A: Toto je tvoje vlastní pojmenování pravděpodobně něčeho specifického. Pokud jde o konkrétní projekt, ošetři ho stejně jako jakoukoli Windows službu — `Get-Service`, `Stop-Service`, `Start-Service` snippety. **Q: Jak na "compose mode" jako Blink Snips?** A: V Termiusu napiš dlouhý příkaz buď do snippetu (uloží se a opakuješ), nebo na mobilu otevři Notes, napiš, zkopíruj, paste do terminálu. Termius nemá vyhrazený compose-then-send mode, ale snippets to nahrazují plnohodnotně. --- ## Troubleshooting | Problém | Diagnostika | Řešení | |---------|-------------|--------| | **„Connection refused"** | sshd neběží na serveru, špatný port, firewall | `nc -zv host port` z jiného klienta, zkontroluj `sudo systemctl status sshd` | | **„Permission denied (publickey)"** | Špatný klíč / username / klíč není v `authorized_keys` | Termius detail hosta → ověř Identity, na serveru `cat ~/.ssh/authorized_keys`, `chmod 600` | | **„Host key verification failed"** | Server fingerprint se změnil (re-install, MITM) | **Nepřijímej automaticky.** Ověř přes druhý kanál (out-of-band). Pokud OK, smaž starý fingerprint v Known Hosts | | **Mosh nefunguje, SSH ano** | UDP porty firewall, mosh-server chybí | `which mosh-server` na serveru; otevři UDP 60000-61000 ve firewallu | | **Sync zaseknutý** | Token expired, network | Settings → Sync → Force resync; Sign out + Sign in | | **FIDO2 prompt nezobrazí** | Driver, USB problém | Otestuj YubiKey jinde (`ssh-keygen -t ed25519-sk` v terminálu) | | **Biometric Key nelze vytvořit** | macOS bez Touch ID / iPhone bez Face ID | Vyžaduje hardware s Secure Enclave (T2/M1/M2/M3 Mac, iPhone X+) | | **SFTP transfer pomalý** | Network throughput, SSH cipher | V Settings zkus `aes128-gcm` cipher (rychlejší než `chacha20`); zkontroluj síť | | **„Cannot decrypt vault"** | Špatný master password / corrupted local vault | Odhlásí se, znovu sign in. Pokud i tak chyba, kontaktuj support | | **Termius spotřebovává CPU/baterku** | Pravděpodobně zaseknutá session, debug logging | Restart app, zkontroluj background sync settings | | **Discover Local Devices nic nenajde** | mDNS blokovaný, jiná subnet | Ověř, že jsi ve stejné subnetě, na serverech zkontroluj `avahi-daemon` (Linux) / Bonjour (mac) | | **Workspace nerestoruje stejný stav** | Server side state se mění (`tmux session` chybí) | Workspace pamatuje cestu+command, ale ne aktuální stav procesů. Pro state persistence použij tmux/screen na serveru | --- ## Glossary - **SSH** — Secure Shell, šifrovaný protokol pro vzdálený shell (port 22) - **SFTP** — SSH File Transfer Protocol (běží přes SSH, port 22) - **Mosh** — Mobile shell, UDP-based remote shell s persistencí (companion k SSH) - **Telnet** — Plain text remote shell, **nešifrované**, jen pro lokální debug nebo legacy zařízení - **Serial** — Sériová linka (RS-232) přes USB-C/Lightning kabel pro switche, routery - **TOFU** — Trust On First Use (akceptace server fingerprint poprvé) - **Known Hosts** — Lokální databáze akceptovaných server fingerprintů - **Identity** — Pojmenovaná dvojice (user, klíč) v Termiusu - **Host Chain** — Termius ekvivalent SSH `ProxyJump` (řetězení přes bastion) - **Bastion / Jump host** — Server, přes který se přihlašuješ na další interní servery - **Vault** — Top-level kontejner dat v Termiusu (Personal nebo Team) - **E2EE** — End-to-End Encryption (data šifrovaná na klientu, server vidí jen blob) - **Master password** — Heslo, které dešifruje tvůj privátní klíč v Termiusu - **FIDO2** — Standard pro hardware autentizaci (YubiKey, Solo, Titan, OnlyKey) - **ed25519-sk / ecdsa-sk** — SSH klíčové typy vázané na FIDO2 hardware - **Secure Enclave (SE)** — Hardware koprocesor v Apple SoC pro nepřesouvatelné klíče - **Snippet** — Pojmenovaný shell skript v Termiusu, spouštitelný jedním kliknutím - **Variables in snippets** — Placeholders `{{name}}` v snippetu, vyplněné za běhu - **Workspace** — Snapshot otevřených tabů + layoutu - **Split View** — Více panelů (až 16) v jednom tabu - **Focus Mode** — Jeden pane fullscreen v workspace - **Broadcast Input** — Psaní do víc terminálů paralelně - **Local Forwarding** — SSH tunel: lokální port → vzdálená služba - **Remote Forwarding** — SSH tunel: vzdálený port → lokální služba - **Dynamic Forwarding** — SOCKS5 proxy přes SSH tunel - **Tailscale** — Mesh VPN postavená nad WireGuardem, NAT traversal automatický - **MagicDNS** — Tailscale DNS, umožňuje oslovit hosty jménem (`win11.tail-xxxx.ts.net`) - **mDNS / Bonjour** — Lokální service discovery v LAN (basis pro Discover Local Devices) - **PAM** — Pluggable Authentication Modules (Linux/Unix auth framework, kde se konfiguruje 2FA na serveru) - **SAML / OIDC** — Standardy pro Single Sign-On - **SCIM** — System for Cross-domain Identity Management (auto-provisioning userů z IdP) --- # Appendix A: Co je v původním Blink průvodci jinak / přesněji u Termiusu > Tato sekce shrnuje **co se v Termiusu chová odlišně oproti popisům v `blink-claudecode-ultimate-guide.md`**, a kde byly v Blink průvodci formulace, které u Termiusu neplatí 1:1. | Téma | Blink přístup | Termius přístup | Pozor / nepřesnost | |------|---------------|------------------|--------------------| | **Connection management** | Single host preference, CLI-style `mosh mac` z prompt | GUI seznam hostů, kliknutí na host v sidebar | Termius má organizaci (Vault → Group → Host) navrch | | **Mosh `--predict=never`** | V Blink jako CLI flag mosh | Termius nemá tento flag exposed v UI; vlastní mosh client implementace | Pokud bliká, řeš na serveru autosuggestions, ne v Termius UI | | **Compose mode / Snips** | Blink má vlastní Snips funkci | Termius má **Snippets** (pokročilejší, s variables, mass-exec, sharing) | Blink Snips ≠ Termius Snippets — Termius je výrazně mocnější | | **tmux jako essence persistence** | Blink doporučuje `tmux a -t main` v startup | Termius má **Workspaces** s save/restore stavu — tmux na serveru je **stále potřeba** pro session persistenci na serverové straně, ale Termius řeší persistenci tabů na klientské straně | Workspace ≠ tmux session. Workspace je client-side layout, tmux je server-side process persistence. **Používej oba.** | | **`Ctrl+L` redraw** | Univerzální | Funguje stejně, ale Termius umí `Find in terminal` (`CMD/CTRL+F`) — Blink to nemá nativně | Termius má lepší search v scrollback bufferu | | **Klíče s `--predict-overwrite`** | Není v Blink (issue #1034) | N/A | Termius mosh client je samostatná implementace, žádost na úrovni mosh CLI flagu nedává smysl | | **iOS Shortcuts** | Blink omezenější API | Termius má **Connect to host** + **Execute snippet** Shortcuts | Termius je hotový pro Siri-driven sysadmin | | **Discover Local Devices** | Blink nemá (musíš znát IP) | Termius má vestavěný (mDNS + active scan) | Termius win pro home lab | | **Cross-device sync** | Blink ukládá konfig lokálně, sync přes iCloud (volitelně) | Termius Cloud sync přes vlastní E2EE infrastruktura | Termius je lepší pro multi-device, multi-OS scenarios | | **Token economy / dlouhá session** | Blink + tmux + mosh = nekonečná session | Termius umí totéž; navíc Workspaces a Logs | Žádný rozdíl v základní funkčnosti | | **Klávesové zkratky textu** | Standardní Blink Smart Keys | Termius má vlastní **Key Groups** customizable | Mobilní Termius klávesnice je flexibilnější | | **Editování dlouhého příkazu** | `Ctrl+G` v Claude Code (sekce Blink průvodce) | V Termiusu `fc` v shellu, nebo Snippet uložení | `Ctrl+G` je Claude Code feature, **ne shell feature** — pokud chceš stejný komfort v Termiusu, ulož si jako snippet | ### Konkrétní formulace v Blink průvodci, které u Termiusu **NEPLATÍ stejně**: 1. **„Mosh sám historii nemá, tmux ano"** (Blink, sekce 4) — *platí pro Termius také*. Mosh re-renderuje terminál, scrollback je v tmux/screen na serveru, ne v Mosh klientu. 2. **„`mosh --predict=never mac` (po nastavení hosta v config)"** (Blink, cheatsheet) — v Termiusu nelze takto explicitně předat flag. Termius používá vlastní mosh implementaci s vlastním adaptive prediction algorithmem. 3. **„Smart Keys lišta"** (Blink, sekce 3.3) — v Termiusu se ekvivalent jmenuje **„Additional keyboard"** s **Key Groups**. Funkčně podobné, jiné názvosloví. 4. **„`config` → `Hosts` → `+`"** (Blink, sekce 3.1) — v Termiusu je to **levý sidebar → Hosts → + New Host**, ne přes textový `config` příkaz. 5. **„Pragmata font má ligatury"** (Blink, sekce 3.2) — Termius **nemá Pragmata** v default sadě, ale má **JetBrains Mono, FiraCode, Cascadia Code** (všechny s ligatures, Nerd Fonts varianty pro glyphs). ### Nepřesnosti, které jsou pravděpodobně v Blink průvodci samém (rychle kontrolované): - Tvrzení „Issue #524 — Broken unicode" je dle GitHub blinksh/blink uzavřené v některé z 18.x verzí — může být already fixed v nejnovějším buildu, který používáš. - Verze „18.3.0 (květen 2025)" — ověř v App Store, jestli dnes (2026-04-30) je už další minor/patch (pravděpodobně ano). > **Doporučení pro Blink průvodce:** přidat poznámku „aktualizuj App Store, mnoho issues může být fixed v další verzi", a periodicky updatovat verzi v textu. --- *Aktualizováno: duben 2026 (Termius desktop ~9.x era, iOS/iPad univerzální build, Android samostatný build)* *Zdroje: docs.termius.com, termius.com/blog, termius.com/changelog/{desktop,ios,android}-changelog, termius.com/documentation, support.termius.com, github.com/termius/termius-cli, ideas.termius.com, security.termius.com* *Poznámka: Termius je v aktivním vývoji. Klávesové zkratky, UI texty a feature dostupnost se mezi minor verzemi mění. Vždy validuj proti vlastní instanci v Settings → Keyboard Shortcuts a oficiální changelog.* *Hodnoty průvodce: přesnost, ověřená fakta, robustnost, flexibilita, škálovatelnost. Kde něco nelze 100% verifikovat z oficiálních zdrojů, je to v textu poznamenáno.*