promotional bannermobile promotional banner

SEKURY – All-in-One Backup, Admin & Moderation Panel

a web-based admin panel for backups (S3-compatible), antispam,chatfilter,logging, inventory Inspektor ,monitoring, and anti-cheat including XRay detection.
Install via App

File Details
DownloadInstall

sekury-2.0.5b.jar

ByFellurion
  • R
  • Mar 25, 2026
  • 53.94 MB
  • 25
  • Early Access

File Name

sekury-2.0.5b.jar

Supported Versions

  • Early Access

Motion Anticheat & System Commands / Inv System



English

What shipped


Motion anticheat — Speed, fly, noclip, and teleport checks with VL, setbacks, optional kicks, and grace ticks after teleports / velocity pushes. Config lives in the log database (SQL or Mongo), same idea as X-Ray / chat filter.


Creative flight vs. permission (optional) — In creative-style gamemodes the server often sets canFly, which turns off strict fly/speed paths. You can enable “enforce creative flight permission” in Security → Movement anticheat → Fly: if the player lacks sekury.anticheat.motion.allowed.creative_flight (or your custom string in permissions.allowedCreativeFlight), those checks run as if they were not allowed to fly. Default is off so existing servers behave unchanged. Legit builders need that permission (or bypass).


Flags & alerts — Console + in-game staff alerts (permission-gated); optional MOVEMENT rows in the flag DB with cooldown, visible in the web UI and via getflags.


Runtime — One shared XRayService from SekuryRuntime for the Hytale plugin and the web stack (WebServer / SekuryServer).


Player inventories (moderation / anti-dupe support)Security → Player inventories lists online players plus offline UUIDs from Hytale’s player storage. You can inspect hotbar, storage, armor, utility, tools, backpack (not arbitrary open UI windows). Online edits run on the world thread and refresh the client inventory packet; offline edits load/save the player BSON file (avoid editing someone who is simultaneously online). Dashboard permissions: security.inventory.view / security.inventory.edit. REST: /api/player-inventory/*. The item-type picker uses server item IDs from Item.getAssetMap(); optional icon path string from assets is shown as a small hint — the web UI does not load Hytale client textures (grid + text only).


Inventory audit log (dashboard)Security → Inventory audit log (/api/security-tools/audit) stores staff actions (inventory edits from the web UI) and, when configured, live in-game inventory / duplicate-watch events (category filter: all, inventory, duplicate watch). The table is compact (time, actor, action, target preview). Click a row (or focus + Enter/Space) to open a detail modal with category, actor user id, full target UUID, and pretty-printed JSON payload — same UX pattern as Ban history. Requires the log database and security.inventory.view.


/system (alias /sys)

Requires sekury.system.

Command What it does
getflags <player> Stored anticheat flags (all types, including movement).
xray list X-Ray block rules from DB.
xray add <blockType> [max] [second\|minute] Add rule.
xray remove <id> Remove by ID.
motion reload Reload motion settings from log DB (no restart).
kick <player> [reason…] Disconnect only (no ban).
ban <player> [durations…] [reason…] Ban through Sekury → Hytale. No duration = permanent. Tokens: 1d, 24h, 60m, 60s, 2w (combinable, e.g. 1d 12h).
bans [filter] Active Hytale bans; shows Sekury anticheat vs other sources.
logs [--level LEVEL] [--limit N] System logs for this server instance; console shows timing in ms.

Motion permissions (Hytale, JSON permissions)

Default node Role
sekury.anticheat.motion.admin Admin / reload alignment.
sekury.anticheat.motion.alerts In-game alert messages.
sekury.anticheat.motion.bypass Full bypass (+ bypass.speed, .fly, .noclip, .teleport).
sekury.anticheat.motion.allowed.creative_flight When fly enforcement is on: required for server canFly to count as “allowed” for speed/fly checks.

Dashboard

MOVEMENT flags in the anticheat overview (DE/EN). X-Ray flag APIs accept flagType; deep links respect XRAY vs MOVEMENT. Panels: Security → Movement anticheat (settings + flags), Security → Player inventories, Security → Inventory audit log; APIs /api/motion-anticheat/*, /api/player-inventory/*, /api/security-tools/audit; web permissions security.motion.view / security.motion.edit, security.inventory.view / security.inventory.edit.

If you integrate the plugin

  • WebServer needs XRayService + MotionAnticheatSettingsService (see SekuryPlugin / SekuryServer).
  • SekuryRuntime.init takes MotionAnticheatSettingsService as fourth argument.
  • One log backend: logDbType picks Mongo or SQL. For Mongo, getLogDbUrl() is the URI; don’t assume JDBC. Use isLogDatabaseConfigured() instead of guessing from URLs.

Caveats

  • In-game logs is console/chat style; heavy filtering stays in the dashboard.
  • No built-in full-screen log UI in Hytale without extra UI work.

Outstanding

  • SSO integration (web dashboard) — still on the roadmap; authentication remains the current setup until that ships.


Deutsch

Was dabei ist


Bewegungs-Anticheat — Speed, Fly, NoClip, Teleport mit VL, Setbacks, optionalem Kick und Gnaden-Ticks nach Teleport bzw. Velocity.


Creative-Flug und Rechte (optional) — Im Creative-ähnlichen Modus setzt der Server oft canFly; dann greifen strenge Fly-/Speed-Pfade kaum. Unter Security → Bewegungs-Anticheat → Fly gibt es die Option Creative-Flug nur mit Hytale-Permission: fehlt sekury.anticheat.motion.allowed.creative_flight (oder dein eigener String unter permissions.allowedCreativeFlight), laufen Speed- und Fly-Checks so, als dürfte der Spieler nicht fliegen. Standard: aus, damit nichts Unerwartetes bricht. Builder mit echtem Creative-Flug brauchen diese Permission oder einen Bypass.

Flags — Konsole + Team-Alerts (rechtebasiert); optional DB-Flags MOVEMENT mit Cooldown, Dashboard und getflags.

Laufzeit — Eine gemeinsame XRayService-Instanz für Plugin und Web.


Spieler-Inventar (Moderation / Duplikat-Hilfe)Security → Spieler-Inventar: online plus offline UUIDs aus dem Hytale-Spielerspeicher. Sichtbar: Hotbar, Lager, Rüstung, Utility, Werkzeuge, Rucksack (keine beliebigen Fenster-Slots). Online-Änderungen laufen auf dem Welt-Thread, Client bekommt das Inventar-Paket neu; offline wird die Spieler-BSON geladen und gespeichert (nicht parallel zum Login desselben Accounts bearbeiten). Web-Rechte: security.inventory.view / security.inventory.edit. REST: /api/player-inventory/*. Item-Auswahl: alle serverseitig registrierten Item-IDs; optionaler Icon-Pfad aus den Assets nur als Hinweis — keine echten Spiel-Texturen im Browser, nur Raster und Text.


Inventar-Audit (Dashboard)Security → Inventar-Protokoll (/api/security-tools/audit): protokolliert Staff-Aktionen (Inventar-Änderungen über das Web) und bei Konfiguration Live-Inventar- bzw. Duplikatüberwachungs-Ereignisse (Kategorie-Filter: alle, Inventar, Duplikatüberwachung). Die Tabelle ist kompakt (Zeit, Bearbeiter, Aktion, Ziel-Vorschau). Zeile anklicken (oder Fokus + Enter/Leertaste) öffnet ein Detail-Modal mit Kategorie, Benutzer-ID, vollständiger Ziel-UUID und formatiertem JSON — gleiches Bedienkonzept wie Ban-Historie. Voraussetzung: Log-Datenbank und security.inventory.view.


/system (Alias /sys)

Benötigt sekury.system.

Befehl Kurz
getflags <Spieler> Gespeicherte Anticheat-Flags (alle Typen, inkl. Bewegung).
xray list X-Ray-Blockregeln aus der DB.
xray add <blockTyp> [max] [second\|minute] Regel anlegen.
xray remove <id> Regel per ID löschen.
motion reload Bewegungs-Anticheat aus Log-DB neu laden.
kick <Spieler> [Grund…] Trennen, kein Ban-Eintrag.
ban <Spieler> [Dauern…] [Grund…] Ban über Sekury → Hytale; ohne Dauer = permanent; 1d, 24h, 60m, 60s, 2w kombinierbar.
bans [Filter] Aktive Hytale-Bans; Quelle Sekury-Anticheat vs. sonstige.
logs [--level LEVEL] [--limit N] System-Logs dieser Instanz; Ausführungszeit in ms in der Konsole.

Berechtigungen Motion (Hytale, JSON permissions)

Standard-Node Zweck
sekury.anticheat.motion.admin Admin / Reload.
sekury.anticheat.motion.alerts Ingame-Alerts.
sekury.anticheat.motion.bypass Komplett (+ speed / fly / noclip / teleport).
sekury.anticheat.motion.allowed.creative_flight Wenn Creative-Flug-Enforcement an: nötig, damit serverseitiges canFly für Speed/Fly zählt.

Dashboard

Anticheat-Übersicht mit MOVEMENT, Texte DE/EN. API mit flagType; Sprünge aus der Liste unterscheiden XRAY und MOVEMENT. Bereiche Bewegungs-Anticheat (Einstellungen + Flags), Spieler-Inventar, Inventar-Protokoll; APIs u. a. /api/motion-anticheat/*, /api/player-inventory/*, /api/security-tools/audit; Rechte security.motion.view / security.motion.edit, security.inventory.view / security.inventory.edit.

Einbindung (für Entwickler)

  • WebServer: XRayService + MotionAnticheatSettingsService.
  • SekuryRuntime.init: viertes Argument MotionAnticheatSettingsService.
  • Eine Log-DB: logDbType = Mongo oder SQL; bei Mongo getLogDbUrl() = URI. Prüfung per isLogDatabaseConfigured().

Einschränkungen

  • logs ingame bleibt Konsolen-/Chat-Format; Feintuning im Web-Dashboard.
  • Kein eigenes Log-Fenster im Client ohne extra Hytale-UI.

Ausstehend

  • SSO-Integration fürs Web-Dashboard — geplant, aber noch nicht umgesetzt; bis dahin bleibt es beim bisherigen Login.

Hinweis für Admins: sekury.system und die Motion-Bypass-/Alert-Nodes nur an vertrauenswürdige Gruppen vergeben; bei aktivem Creative-Flug-Enforcement die allowed.creative_flight-Node an alle legitimen Creative-Nutzer.