feat(ssh_locker): implement ssh locker helper scripts and configuration for Duo API integration
This commit is contained in:
@@ -1,3 +0,0 @@
|
|||||||
#!/bin/bash
|
|
||||||
POD_NAME=$(kubectl get pods -n nextcloud -l app=nextcloud -o jsonpath="{.items[0].metadata.name}")
|
|
||||||
kubectl -n nextcloud exec -it $POD_NAME -- /bin/su -s /bin/bash www-data -c "/var/www/html/occ $*"
|
|
||||||
Executable
+15
@@ -0,0 +1,15 @@
|
|||||||
|
#bin/bash
|
||||||
|
|
||||||
|
function usage() {
|
||||||
|
echo "Usage: ssh_locker_helper <user> <action>"
|
||||||
|
echo "Actions:"
|
||||||
|
echo " lock - Lock the SSH locker"
|
||||||
|
echo " unlock - Unlock the SSH locker"
|
||||||
|
}
|
||||||
|
|
||||||
|
if [ -z "$1" ] || [ -z "$2" ]; then
|
||||||
|
usage
|
||||||
|
exit 1
|
||||||
|
fi
|
||||||
|
|
||||||
|
sectool exec bash -c "bin/ssh_locker_helper $1 $2"
|
||||||
Executable
+27
@@ -0,0 +1,27 @@
|
|||||||
|
#/!/bin/bash
|
||||||
|
function usage() {
|
||||||
|
echo "Usage: ssh_locker_helper <user> <action>"
|
||||||
|
echo "Actions:"
|
||||||
|
echo " lock - Lock the SSH locker"
|
||||||
|
echo " unlock - Unlock the SSH locker"
|
||||||
|
}
|
||||||
|
if [ -z "$SERVER_API_ACCESS_TOKEN" ]; then
|
||||||
|
echo "Please set the SERVER_API_ACCESS_TOKEN environment variable."
|
||||||
|
exit 1
|
||||||
|
fi
|
||||||
|
if [ -z "$1" ] || [ -z "$2" ]; then
|
||||||
|
usage
|
||||||
|
exit 1
|
||||||
|
fi
|
||||||
|
|
||||||
|
response=$(curl -s -o /dev/null -w "%{redirect_url}" \
|
||||||
|
-X POST https://alexpires.me/api/ssh_locker/action \
|
||||||
|
-H "Content-Type: application/json" \
|
||||||
|
-H "X-Auth-Token: $SERVER_API_ACCESS_TOKEN" \
|
||||||
|
-d '{"user":"'$1'","action":"'$2'"}')
|
||||||
|
|
||||||
|
if [ -n "$response" ]; then
|
||||||
|
xdg-open "$response"
|
||||||
|
else
|
||||||
|
echo "No redirect URL received."
|
||||||
|
fi
|
||||||
@@ -8,3 +8,4 @@ SCW_ACCESS_KEY=$SCALEWAY_ACCESS_KEY
|
|||||||
SCW_SECRET_KEY=$SCALEWAY_SECRET_KEY
|
SCW_SECRET_KEY=$SCALEWAY_SECRET_KEY
|
||||||
SCW_DEFAULT_PROJECT_ID=$SCALEWAY_PROJECT_ID
|
SCW_DEFAULT_PROJECT_ID=$SCALEWAY_PROJECT_ID
|
||||||
SCW_DEFAULT_ORGANIZATION_ID=$SCALEWAY_ORGANIZATION_ID
|
SCW_DEFAULT_ORGANIZATION_ID=$SCALEWAY_ORGANIZATION_ID
|
||||||
|
SERVER_API_ACCESS_TOKEN=$SERVER_API_ACCESS_TOKEN
|
||||||
@@ -128,3 +128,14 @@ module "trivy" {
|
|||||||
from_email = "trivy@${local.primary_domain}"
|
from_email = "trivy@${local.primary_domain}"
|
||||||
to_email = "c.alexandre.pires@${local.primary_domain}"
|
to_email = "c.alexandre.pires@${local.primary_domain}"
|
||||||
}
|
}
|
||||||
|
|
||||||
|
module "ssh_locker_web" {
|
||||||
|
source = "../modules/apps/ssh_locker_web"
|
||||||
|
|
||||||
|
duo_client_id = var.server_api_duo_client_id
|
||||||
|
duo_client_secret = var.server_api_duo_client_secret
|
||||||
|
access_token = var.server_api_access_token
|
||||||
|
duo_api_host = "api-7cda1654.duosecurity.com"
|
||||||
|
redirect_uri = "https://alexpires.me/api/ssh_locker/duo-callback"
|
||||||
|
socket_path = "/var/run/ssh_locker/provision.sock"
|
||||||
|
}
|
||||||
|
|||||||
@@ -9,3 +9,14 @@ location ^~ /config/dav {
|
|||||||
proxy_set_header X-Forwarded-Host $host;
|
proxy_set_header X-Forwarded-Host $host;
|
||||||
proxy_set_header X-Forwarded-Port $server_port;
|
proxy_set_header X-Forwarded-Port $server_port;
|
||||||
}
|
}
|
||||||
|
|
||||||
|
location ^~ /api/ssh_locker/ {
|
||||||
|
rewrite ^/api/ssh_locker/(.*)$ /$1 break;
|
||||||
|
proxy_pass https://backend.ssh-locker-web.svc.cluster.local;
|
||||||
|
proxy_set_header Host $host;
|
||||||
|
proxy_set_header X-Real-IP $remote_addr;
|
||||||
|
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
|
||||||
|
proxy_set_header X-Forwarded-Proto $scheme;
|
||||||
|
proxy_set_header X-Forwarded-Host $host;
|
||||||
|
proxy_set_header X-Forwarded-Port $server_port;
|
||||||
|
}
|
||||||
@@ -106,3 +106,19 @@ variable "gitea_jwt_secret" {
|
|||||||
type = string
|
type = string
|
||||||
sensitive = true
|
sensitive = true
|
||||||
}
|
}
|
||||||
|
|
||||||
|
variable "server_api_duo_client_id" {
|
||||||
|
description = "Duo client ID"
|
||||||
|
type = string
|
||||||
|
sensitive = true
|
||||||
|
}
|
||||||
|
variable "server_api_duo_client_secret" {
|
||||||
|
description = "Duo client secret"
|
||||||
|
type = string
|
||||||
|
sensitive = true
|
||||||
|
}
|
||||||
|
variable "server_api_access_token" {
|
||||||
|
description = "Access token for ssh_locker API"
|
||||||
|
type = string
|
||||||
|
sensitive = true
|
||||||
|
}
|
||||||
|
|||||||
@@ -28,3 +28,6 @@ TF_VAR_gitea_lfs_jwt_secret=$GITEA_LFS_JWT_SECRET
|
|||||||
TF_VAR_gitea_secret_key=$GITEA_SECRET_KEY
|
TF_VAR_gitea_secret_key=$GITEA_SECRET_KEY
|
||||||
TF_VAR_gitea_internal_token=$GITEA_INTERNAL_TOKEN
|
TF_VAR_gitea_internal_token=$GITEA_INTERNAL_TOKEN
|
||||||
TF_VAR_gitea_jwt_secret=$GITEA_JWT_SECRET
|
TF_VAR_gitea_jwt_secret=$GITEA_JWT_SECRET
|
||||||
|
TF_VAR_server_api_duo_client_id=$SERVER_API_DUO_CLIENT_ID
|
||||||
|
TF_VAR_server_api_duo_client_secret=$SERVER_API_DUO_CLIENT_SECRET
|
||||||
|
TF_VAR_server_api_access_token=$SERVER_API_ACCESS_TOKEN
|
||||||
@@ -0,0 +1,14 @@
|
|||||||
|
locals {
|
||||||
|
config = {
|
||||||
|
"clientId" : var.duo_client_id
|
||||||
|
"clientSecret" : var.duo_client_secret
|
||||||
|
"apiHost" : var.duo_api_host
|
||||||
|
"redirectUri" : var.redirect_uri
|
||||||
|
"accessToken" : var.access_token
|
||||||
|
"socketPath" : "/app/socket"
|
||||||
|
"tlsCert" : var.tls_enabled ? "/etc/ssl/certs/private/tls.crt" : ""
|
||||||
|
"tlsKey" : var.tls_enabled ? "/etc/ssl/certs/private/tls.key" : ""
|
||||||
|
}
|
||||||
|
config_json = jsonencode(local.config)
|
||||||
|
config_checksum = sha256(local.config_json)
|
||||||
|
}
|
||||||
@@ -0,0 +1,191 @@
|
|||||||
|
resource "kubernetes_namespace" "ssh_locker_web" {
|
||||||
|
metadata {
|
||||||
|
name = "ssh-locker-web"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
|
||||||
|
resource "kubernetes_secret" "ssh_locker_web" {
|
||||||
|
metadata {
|
||||||
|
name = "ssh-locker-web-config"
|
||||||
|
namespace = kubernetes_namespace.ssh_locker_web.metadata[0].name
|
||||||
|
}
|
||||||
|
data = {
|
||||||
|
"config.json" = local.config_json
|
||||||
|
}
|
||||||
|
type = "Opaque"
|
||||||
|
}
|
||||||
|
|
||||||
|
resource "kubernetes_service_account" "ssh_locker_web" {
|
||||||
|
metadata {
|
||||||
|
name = "ssh-locker-web"
|
||||||
|
namespace = kubernetes_namespace.ssh_locker_web.metadata[0].name
|
||||||
|
}
|
||||||
|
|
||||||
|
automount_service_account_token = false
|
||||||
|
}
|
||||||
|
|
||||||
|
resource "kubernetes_manifest" "internal_cert" {
|
||||||
|
count = var.tls_enabled ? 1 : 0
|
||||||
|
manifest = {
|
||||||
|
apiVersion = "cert-manager.io/v1"
|
||||||
|
kind = "Certificate"
|
||||||
|
metadata = {
|
||||||
|
name = "internal-cert"
|
||||||
|
namespace = kubernetes_namespace.ssh_locker_web.metadata[0].name
|
||||||
|
}
|
||||||
|
spec = {
|
||||||
|
secretName = "internal-cert"
|
||||||
|
issuerRef = {
|
||||||
|
name = var.issuer
|
||||||
|
kind = "ClusterIssuer"
|
||||||
|
}
|
||||||
|
commonName = "backend.ssh-locker-web.svc.cluster.local"
|
||||||
|
dnsNames = ["backend.ssh-locker-web.svc.cluster.local"]
|
||||||
|
}
|
||||||
|
}
|
||||||
|
}
|
||||||
|
resource "kubernetes_deployment" "ssh_locker_web" {
|
||||||
|
metadata {
|
||||||
|
name = "backend"
|
||||||
|
namespace = kubernetes_namespace.ssh_locker_web.metadata[0].name
|
||||||
|
labels = {
|
||||||
|
app = "backend"
|
||||||
|
}
|
||||||
|
annotations = {
|
||||||
|
"config/checksum" = local.config_checksum
|
||||||
|
}
|
||||||
|
}
|
||||||
|
|
||||||
|
spec {
|
||||||
|
replicas = 1
|
||||||
|
|
||||||
|
selector {
|
||||||
|
match_labels = {
|
||||||
|
app = "backend"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
|
||||||
|
template {
|
||||||
|
metadata {
|
||||||
|
labels = {
|
||||||
|
app = "backend"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
|
||||||
|
spec {
|
||||||
|
security_context {
|
||||||
|
run_as_user = var.user_id
|
||||||
|
run_as_group = var.group_id
|
||||||
|
fs_group = var.group_id
|
||||||
|
run_as_non_root = true
|
||||||
|
}
|
||||||
|
container {
|
||||||
|
name = "backend"
|
||||||
|
image = "a13labs/ssh_locker_web:latest"
|
||||||
|
|
||||||
|
security_context {
|
||||||
|
allow_privilege_escalation = false
|
||||||
|
}
|
||||||
|
|
||||||
|
port {
|
||||||
|
container_port = var.tls_enabled ? 8443 : 8080
|
||||||
|
name = var.tls_enabled ? "https" : "http"
|
||||||
|
}
|
||||||
|
|
||||||
|
readiness_probe {
|
||||||
|
tcp_socket {
|
||||||
|
port = var.tls_enabled ? 8443 : 8080
|
||||||
|
}
|
||||||
|
}
|
||||||
|
|
||||||
|
liveness_probe {
|
||||||
|
tcp_socket {
|
||||||
|
port = var.tls_enabled ? 8443 : 8080
|
||||||
|
}
|
||||||
|
}
|
||||||
|
|
||||||
|
volume_mount {
|
||||||
|
name = "config-volume"
|
||||||
|
mount_path = "/app/config.json"
|
||||||
|
sub_path = "config.json"
|
||||||
|
read_only = true
|
||||||
|
}
|
||||||
|
|
||||||
|
volume_mount {
|
||||||
|
name = "socket-volume"
|
||||||
|
mount_path = "/app/socket"
|
||||||
|
}
|
||||||
|
|
||||||
|
dynamic "volume_mount" {
|
||||||
|
for_each = var.tls_enabled ? [1] : []
|
||||||
|
content {
|
||||||
|
name = "internal-cert"
|
||||||
|
mount_path = "/etc/ssl/certs/private"
|
||||||
|
read_only = true
|
||||||
|
}
|
||||||
|
|
||||||
|
}
|
||||||
|
}
|
||||||
|
|
||||||
|
volume {
|
||||||
|
name = "config-volume"
|
||||||
|
secret {
|
||||||
|
secret_name = kubernetes_secret.ssh_locker_web.metadata[0].name
|
||||||
|
items {
|
||||||
|
key = "config.json"
|
||||||
|
path = "config.json"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
}
|
||||||
|
|
||||||
|
volume {
|
||||||
|
name = "socket-volume"
|
||||||
|
host_path {
|
||||||
|
path = var.socket_path
|
||||||
|
}
|
||||||
|
}
|
||||||
|
|
||||||
|
dynamic "volume" {
|
||||||
|
for_each = var.tls_enabled ? [1] : []
|
||||||
|
content {
|
||||||
|
name = "internal-cert"
|
||||||
|
secret {
|
||||||
|
secret_name = "internal-cert"
|
||||||
|
items {
|
||||||
|
key = "tls.crt"
|
||||||
|
path = "tls.crt"
|
||||||
|
}
|
||||||
|
items {
|
||||||
|
key = "tls.key"
|
||||||
|
path = "tls.key"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
}
|
||||||
|
}
|
||||||
|
|
||||||
|
service_account_name = kubernetes_service_account.ssh_locker_web.metadata[0].name
|
||||||
|
}
|
||||||
|
}
|
||||||
|
}
|
||||||
|
}
|
||||||
|
|
||||||
|
resource "kubernetes_service" "backend" {
|
||||||
|
metadata {
|
||||||
|
name = "backend"
|
||||||
|
namespace = kubernetes_namespace.ssh_locker_web.metadata[0].name
|
||||||
|
}
|
||||||
|
|
||||||
|
spec {
|
||||||
|
selector = {
|
||||||
|
app = "backend"
|
||||||
|
}
|
||||||
|
|
||||||
|
port {
|
||||||
|
name = var.tls_enabled ? "https" : "http"
|
||||||
|
port = var.tls_enabled ? 443 : 80
|
||||||
|
target_port = var.tls_enabled ? 8443 : 8080
|
||||||
|
}
|
||||||
|
|
||||||
|
type = "ClusterIP"
|
||||||
|
}
|
||||||
|
}
|
||||||
@@ -0,0 +1,7 @@
|
|||||||
|
output "namespace" {
|
||||||
|
value = kubernetes_namespace.ssh_locker_web.metadata[0].name
|
||||||
|
}
|
||||||
|
|
||||||
|
output "app_name" {
|
||||||
|
value = "ssh_locker_web"
|
||||||
|
}
|
||||||
@@ -0,0 +1,9 @@
|
|||||||
|
terraform {
|
||||||
|
required_version = "~>1.8"
|
||||||
|
required_providers {
|
||||||
|
kubernetes = {
|
||||||
|
source = "hashicorp/kubernetes"
|
||||||
|
version = "~>2.18"
|
||||||
|
}
|
||||||
|
}
|
||||||
|
}
|
||||||
@@ -0,0 +1,55 @@
|
|||||||
|
variable "duo_client_id" {
|
||||||
|
description = "Duo client ID"
|
||||||
|
type = string
|
||||||
|
sensitive = true
|
||||||
|
}
|
||||||
|
|
||||||
|
variable "duo_client_secret" {
|
||||||
|
description = "Duo client secret"
|
||||||
|
type = string
|
||||||
|
sensitive = true
|
||||||
|
}
|
||||||
|
|
||||||
|
variable "duo_api_host" {
|
||||||
|
description = "Duo API host"
|
||||||
|
type = string
|
||||||
|
}
|
||||||
|
|
||||||
|
variable "redirect_uri" {
|
||||||
|
description = "Redirect URI for Duo authentication"
|
||||||
|
type = string
|
||||||
|
}
|
||||||
|
|
||||||
|
variable "access_token" {
|
||||||
|
description = "Access token for Duo API"
|
||||||
|
type = string
|
||||||
|
sensitive = true
|
||||||
|
}
|
||||||
|
|
||||||
|
variable "socket_path" {
|
||||||
|
description = "Socket path for Duo API"
|
||||||
|
type = string
|
||||||
|
}
|
||||||
|
|
||||||
|
variable "user_id" {
|
||||||
|
description = "User for running the pod"
|
||||||
|
type = number
|
||||||
|
default = 1000
|
||||||
|
}
|
||||||
|
|
||||||
|
variable "group_id" {
|
||||||
|
description = "Group for running the pod"
|
||||||
|
type = number
|
||||||
|
default = 1000
|
||||||
|
}
|
||||||
|
|
||||||
|
variable "issuer" {
|
||||||
|
description = "The issuer for the certificate"
|
||||||
|
type = string
|
||||||
|
default = "internal-ca"
|
||||||
|
}
|
||||||
|
variable "tls_enabled" {
|
||||||
|
description = "Enable TLS for the SFTPGo server"
|
||||||
|
type = bool
|
||||||
|
default = true
|
||||||
|
}
|
||||||
Reference in New Issue
Block a user