karim/OPENBUREAU
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
3dd8d5edd43ce87d5e221e507bce96e13d8e22a2
OPENBUREAU/cms/proxmox/create-openbureau-lxc.sh
T
karim 9163f5c90d security: public Deploy härten (Reverse-Proxy, GoTrue-Rate-Limit, RLS-Revoke) 
Für die öffentlich erreichbare Instanz (dev.openbureau.ch):

1. Reverse-Proxy nur /auth/* durchreichen — /rest, /storage, /realtime raus.
   PostgREST /rest/v1/ gab die komplette DB-Schema-Beschreibung (OpenAPI) preis;
   der Browser nutzt Supabase nur fürs Login, Daten laufen über /api/*.
   (Caddy-Block in create-openbureau-lxc.sh + proxmox/README.md angepasst.)
2. GoTrue GOTRUE_RATE_LIMIT_TOKEN_REFRESH=100 — bremst Brute-Force aufs /token,
   das public direkt gegen GoTrue läuft (nicht übers Node-Rate-Limit).
3. db/schema.sql: revoke all from anon/authenticated auf posts/comments/forums/
   threads; grants nur noch service_role. RLS bleibt so auch bei künftigen
   Policies dicht (Defense-in-Depth statt "RLS ohne Policy").

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
2026-06-04 05:11:19 +02:00

228 lines
9.1 KiB
Bash
Executable File
Raw Blame History

#!/usr/bin/env bash
#
# OPENBUREAU — All-in-One LXC für Proxmox VE (Supabase-Kern + CMS).
#
# AUSFÜHREN AUF DEM PROXMOX-HOST (nicht im Container), als root:
# bash create-openbureau-lxc.sh
#
# Legt einen unprivileged Debian-12-LXC an (Docker-fähig: nesting + keyctl),
# installiert Docker, zieht das Repo, generiert alle Secrets (POSTGRES_PASSWORD,
# JWT_SECRET, ANON_KEY, SERVICE_ROLE_KEY) und befüllt die .env. Optional baut
# und startet es den Stack direkt.
set -euo pipefail
############################ CONFIG ############################
# Alle Werte sind per Umgebungsvariable überschreibbar, z.B.:
# ROOTFS_STORAGE=local-zfs HOSTNAME=openbureau-dev SITE_DOMAIN=dev.openbureau.ch \
# IP=192.168.1.134/24 GATEWAY=192.168.1.1 bash create-openbureau-lxc.sh
CTID="${CTID:-$(pvesh get /cluster/nextid)}"
HOSTNAME="${HOSTNAME:-openbureau}"
# Storage
TEMPLATE_STORAGE="${TEMPLATE_STORAGE:-local}"
ROOTFS_STORAGE="${ROOTFS_STORAGE:-local-lvm}"
DISK_GB="${DISK_GB:-20}" # Supabase + CMS
# Ressourcen
RAM_MB="${RAM_MB:-4096}"
SWAP_MB="${SWAP_MB:-1024}"
CORES="${CORES:-2}"
# Netzwerk
BRIDGE="${BRIDGE:-vmbr0}"
IP="${IP:-dhcp}" # "dhcp" ODER statisch z.B. "192.168.1.50/24"
GATEWAY="${GATEWAY:-}" # nur bei statischer IP
# Öffentliche Domain hinter einem Reverse-Proxy (Caddy o.ä.) mit Pfad-Routing
# (/auth/* + /rest/* → :8000, Rest → :8080). Leer = LAN-Direktzugriff per IP:Port.
SITE_DOMAIN="${SITE_DOMAIN:-}"
# Zugang
SSH_PUBKEY_FILE="${SSH_PUBKEY_FILE:-$HOME/.ssh/id_ed25519.pub}"
ROOT_PASSWORD=""
# Repo ist öffentlich → Clone braucht KEIN Token.
# GIT_TOKEN nur setzen, wenn das CMS später per GIT_PUBLISH nach Gitea
# zurückschreiben soll (git push braucht Auth). Format: "tokenname:tokenwert".
GIT_TOKEN="${GIT_TOKEN:-}"
REPO_HOST="git.kgva.ch/karim/OPENBUREAU.git"
APP_DIR="/opt/openbureau"
# Admin (sieht/bearbeitet ALLE Beiträge). Wird auch als erster Login-User vorgeschlagen.
ADMIN_EMAIL="${ADMIN_EMAIL:-karim@gabrielevarano.ch}"
# Stack nach dem Setup direkt bauen + starten?
COMPOSE_UP="true"
##################################################################
say() { echo -e "\n\033[1;36m▸ $*\033[0m"; }
# --- 0. Interaktiv nachfragen (Enter = Default) --------------------------
# Übersprungen, wenn kein Terminal (z.B. CI) — dann gelten die Defaults oben
# bzw. vorab gesetzte Umgebungsvariablen.
if [ -t 0 ]; then
echo "OPENBUREAU LXC-Setup — Enter übernimmt den Default in [Klammern]."
read -rp " Storage für die Disk [${ROOTFS_STORAGE}]: " _x; ROOTFS_STORAGE="${_x:-$ROOTFS_STORAGE}"
read -rp " Netzwerk-Bridge [${BRIDGE}]: " _x; BRIDGE="${_x:-$BRIDGE}"
read -rp " IP (dhcp | x.x.x.x/24) [${IP}]: " _x; IP="${_x:-$IP}"
[ "$IP" != "dhcp" ] && { read -rp " Gateway: " GATEWAY; }
read -rp " Admin-E-Mail [${ADMIN_EMAIL}]: " _x; ADMIN_EMAIL="${_x:-$ADMIN_EMAIL}"
fi
# --- 1. Template sicherstellen -------------------------------------------
say "Suche aktuelles Debian-12-Template…"
pveam update >/dev/null || true
TEMPLATE="$(pveam available --section system \
| awk '/debian-12-standard/{print $2}' | sort -V | tail -1)"
[ -n "$TEMPLATE" ] || { echo "Kein debian-12-Template gefunden."; exit 1; }
if ! pveam list "$TEMPLATE_STORAGE" | grep -q "$TEMPLATE"; then
say "Lade Template $TEMPLATE"
pveam download "$TEMPLATE_STORAGE" "$TEMPLATE"
fi
TEMPLATE_REF="${TEMPLATE_STORAGE}:vztmpl/${TEMPLATE}"
# --- 2. Netzwerk ----------------------------------------------------------
if [ "$IP" = "dhcp" ]; then
NET="name=eth0,bridge=${BRIDGE},ip=dhcp"
else
[ -n "$GATEWAY" ] || { echo "Statische IP, aber GATEWAY leer."; exit 1; }
NET="name=eth0,bridge=${BRIDGE},ip=${IP},gw=${GATEWAY}"
fi
# --- 3. Container erstellen ----------------------------------------------
say "Erstelle LXC $CTID ($HOSTNAME)…"
CREATE_ARGS=(
"$CTID" "$TEMPLATE_REF"
--hostname "$HOSTNAME"
--cores "$CORES" --memory "$RAM_MB" --swap "$SWAP_MB"
--rootfs "${ROOTFS_STORAGE}:${DISK_GB}"
--net0 "$NET"
--unprivileged 1
--features "nesting=1,keyctl=1"
--onboot 1
)
[ -n "$ROOT_PASSWORD" ] && CREATE_ARGS+=(--password "$ROOT_PASSWORD")
[ -f "$SSH_PUBKEY_FILE" ] && CREATE_ARGS+=(--ssh-public-keys "$SSH_PUBKEY_FILE")
pct create "${CREATE_ARGS[@]}"
say "Starte Container…"
pct start "$CTID"
sleep 5
# Clone-URL (mit Token, falls gesetzt)
if [ -n "$GIT_TOKEN" ]; then
REPO_URL="https://${GIT_TOKEN}@${REPO_HOST}"
else
REPO_URL="https://${REPO_HOST}"
fi
# --- 4. Provisionierung im Container -------------------------------------
say "Installiere Docker + Git, ziehe Repo, generiere Secrets…"
pct exec "$CTID" -- bash -euo pipefail -c "
export DEBIAN_FRONTEND=noninteractive
apt-get update -qq
apt-get install -y -qq ca-certificates curl git openssl >/dev/null
curl -fsSL https://get.docker.com | sh >/dev/null
systemctl enable --now docker
if [ ! -d '${APP_DIR}/.git' ]; then
git clone --quiet '${REPO_URL}' '${APP_DIR}' || {
echo 'WARN: Clone fehlgeschlagen (Token nötig?). Setup hier gestoppt.'; exit 0; }
fi
cd '${APP_DIR}/cms'
if [ ! -f .env ]; then
cp .env.example .env
# Secrets generieren
PW=\$(openssl rand -hex 32)
JWT=\$(openssl rand -hex 32)
sed -i \"s|^POSTGRES_PASSWORD=.*|POSTGRES_PASSWORD=\${PW}|\" .env
sed -i \"s|^JWT_SECRET=.*|JWT_SECRET=\${JWT}|\" .env
# ANON_KEY + SERVICE_ROLE_KEY via Wegwerf-Node-Container ableiten
KEYS=\$(docker run --rm -v \"\$PWD\":/w -w /w node:20-alpine \
node scripts/generate-keys.mjs \"\$JWT\" 2>/dev/null)
ANON=\$(echo \"\$KEYS\" | sed -n 's/^ANON_KEY=//p')
SVC=\$(echo \"\$KEYS\" | sed -n 's/^SERVICE_ROLE_KEY=//p')
sed -i \"s|^ANON_KEY=.*|ANON_KEY=\${ANON}|\" .env
sed -i \"s|^SERVICE_ROLE_KEY=.*|SERVICE_ROLE_KEY=\${SVC}|\" .env
# URLs setzen — bei gesetzter SITE_DOMAIN auf die öffentliche HTTPS-Domain
# (Browser ruft /auth/* + /rest/* same-origin auf, der Proxy routet sie an
# :8000), sonst auf die Container-IP fürs LAN.
HOSTIP=\$(hostname -I | awk '{print \$1}')
SITE_DOMAIN='${SITE_DOMAIN}'
if [ -n \"\$SITE_DOMAIN\" ]; then
SITE_URL=\"https://\$SITE_DOMAIN\"; API_URL=\"https://\$SITE_DOMAIN\"
else
SITE_URL=\"http://\${HOSTIP}:8080\"; API_URL=\"http://\${HOSTIP}:8000\"
fi
sed -i \"s|^SITE_URL=.*|SITE_URL=\${SITE_URL}|\" .env
sed -i \"s|^API_EXTERNAL_URL=.*|API_EXTERNAL_URL=\${API_URL}|\" .env
sed -i \"s|^ADMIN_EMAILS=.*|ADMIN_EMAILS=${ADMIN_EMAIL}|\" .env
# Auf allen Interfaces lauschen, damit Reverse-Proxy bzw. LAN drankommen.
sed -i \"s|^BIND_ADDR=.*|BIND_ADDR=0.0.0.0|\" .env
# CORS auf die Browser-Origin (= SITE_URL) festnageln statt „*\".
sed -i \"s|__CORS_ORIGIN__|\${SITE_URL}|g\" kong.yml
echo 'OK: .env generiert.'
fi
# Der CMS-Container läuft als non-root (uid 1000). Das gemountete Repo muss
# ihm gehören, damit Hugo public/ bauen und content/ schreiben kann.
chown -R 1000:1000 '${APP_DIR}'
if [ '${COMPOSE_UP}' = 'true' ]; then
echo '→ Baue + starte Stack (dauert beim ersten Mal ein paar Minuten)…'
docker compose up -d --build
fi
# Tägliches DB-Backup (3:15 Uhr) — Dialog-Daten liegen NUR in Postgres.
printf 'PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin\n15 3 * * * root cd ${APP_DIR}/cms && bash scripts/backup-db.sh >> /var/log/openbureau-backup.log 2>&1\n' > /etc/cron.d/openbureau-backup
echo 'OK: tägliches DB-Backup eingerichtet (/etc/cron.d/openbureau-backup).'
"
# --- 5. Abschluss --------------------------------------------------------
IPADDR="$(pct exec "$CTID" -- hostname -I 2>/dev/null | awk '{print $1}')"
say "Fertig. LXC $CTID läuft${IPADDR:+ unter $IPADDR}."
if [ -n "$SITE_DOMAIN" ]; then
cat <<EOF
Öffentlich: https://${SITE_DOMAIN} (sobald der Reverse-Proxy auf ${IPADDR:-<ip>} zeigt)
Caddy-Block: ${SITE_DOMAIN} {
# Nur /auth/* muss public ans Gateway (Browser-Login). Daten
# laufen über /api/* (Node spricht kong intern an). /rest, /storage,
# /realtime NICHT exponieren — unnötige Angriffsfläche.
@auth path /auth/*
reverse_proxy @auth ${IPADDR:-<ip>}:8000
reverse_proxy ${IPADDR:-<ip>}:8080
}
EOF
fi
cat <<EOF
Admin: http://${IPADDR:-<ip>}:8080/admin/
Live: http://${IPADDR:-<ip>}:8080/
Supabase: http://${IPADDR:-<ip>}:8000 (nur API-Gateway, keine Web-UI — / gibt 404, ist normal)
Login-User anlegen (im Container, nach dem Start):
pct enter ${CTID}
cd ${APP_DIR}/cms
source .env
curl -s -X POST "http://localhost:8000/auth/v1/admin/users" \\
-H "apikey: \$SERVICE_ROLE_KEY" \\
-H "Authorization: Bearer \$SERVICE_ROLE_KEY" \\
-H "Content-Type: application/json" \\
-d '{"email":"${ADMIN_EMAIL}","password":"DEIN-PASSWORT","email_confirm":true}'
Hinweise:
• :8000 ist das Supabase-API-Gateway (Kong), keine Web-Oberfläche.
Das Admin-Login (:8080/admin/) spricht im Hintergrund damit.
• Für Domain/HTTPS: SITE_URL + API_EXTERNAL_URL in .env auf die
öffentliche Adresse setzen und 'docker compose up -d --build' neu.
• Logs: pct enter ${CTID}; cd ${APP_DIR}/cms; docker compose logs -f
EOF
Reference in New Issue View Git Blame Copy Permalink