Harden UI security and add deployment templates

deploy/README.md

@@ -0,0 +1,84 @@
+# Deploy
+
+Практичный минимум для запуска `ignis-core` как `systemd`-сервиса.
+
+В папке:
+
+- `ignis-core.service` -- шаблон unit-файла
+- `ignis-core.env.example` -- пример переменных окружения
+
+## Предположения
+
+Ниже используется такая раскладка:
+
+- код проекта: `/opt/ignis/ignis-core`
+- env-файл: `/etc/ignis-core/ignis-core.env`
+- Unix-пользователь: `ignis`
+- SQLite БД: `/var/lib/ignis-core/ignis.db`
+
+Если у вас другие пути, просто поправьте unit и env-файл.
+
+## 1. Подготовить пользователя
+
+```bash
+sudo useradd --system --home /opt/ignis --shell /usr/sbin/nologin ignis
+```
+
+## 2. Разложить проект
+
+```bash
+sudo mkdir -p /opt/ignis
+sudo cp -R /path/to/ignis-core /opt/ignis/ignis-core
+cd /opt/ignis/ignis-core
+python3 -m venv .venv
+. .venv/bin/activate
+pip install -r requirements.txt
+sudo chown -R ignis:ignis /opt/ignis
+```
+
+## 3. Подготовить env-файл
+
+```bash
+sudo mkdir -p /etc/ignis-core
+sudo cp deploy/ignis-core.env.example /etc/ignis-core/ignis-core.env
+sudo chmod 640 /etc/ignis-core/ignis-core.env
+sudo chown root:ignis /etc/ignis-core/ignis-core.env
+```
+
+Что важно заполнить обязательно:
+
+- `IGNIS_API_KEY`
+- `SCAN_NETWORK`
+
+Для домашней сети лучше задавать `SCAN_NETWORK` явно, особенно если на хосте есть VPN или несколько интерфейсов.
+
+## 4. Установить unit
+
+```bash
+sudo cp deploy/ignis-core.service /etc/systemd/system/ignis-core.service
+sudo systemctl daemon-reload
+sudo systemctl enable --now ignis-core.service
+```
+
+## 5. Проверка
+
+```bash
+sudo systemctl status ignis-core.service
+sudo journalctl -u ignis-core.service -n 100 --no-pager
+curl -H 'X-API-Key: <master-key>' http://127.0.0.1:8000/auth/me
+```
+
+## Обновление
+
+```bash
+cd /opt/ignis/ignis-core
+. .venv/bin/activate
+pip install -r requirements.txt
+sudo systemctl restart ignis-core.service
+```
+
+## Замечания
+
+- `StateDirectory=ignis-core` в unit создаёт `/var/lib/ignis-core` автоматически.
+- По умолчанию сервис слушает `0.0.0.0:8000`.
+- Если нужен reverse proxy, его проще ставить перед `ignis-core`, а сам сервис оставить на локальном порту.

deploy/ignis-core.env.example

@@ -0,0 +1,9 @@
+IGNIS_API_KEY=change-me
+APP_TIMEZONE=Asia/Novosibirsk
+SCAN_NETWORK=192.168.0.0/24
+DISCOVERY_INTERVAL_SECONDS=600
+DISCOVERY_BACKGROUND_MISSING_THRESHOLD=2
+LOG_LEVEL=INFO
+EVENT_LOG_RETENTION_DAYS=30
+IGNIS_DATABASE_URL=sqlite+aiosqlite:////var/lib/ignis-core/ignis.db
+IGNIS_SYNC_DATABASE_URL=sqlite:////var/lib/ignis-core/ignis.db

deploy/ignis-core.service

@@ -0,0 +1,24 @@
+[Unit]
+Description=Ignis Core FastAPI service
+After=network-online.target
+Wants=network-online.target
+
+[Service]
+Type=simple
+User=ignis
+Group=ignis
+WorkingDirectory=/opt/ignis/ignis-core
+EnvironmentFile=/etc/ignis-core/ignis-core.env
+ExecStart=/opt/ignis/ignis-core/.venv/bin/python -m uvicorn main:app --host 0.0.0.0 --port 8000
+Restart=on-failure
+RestartSec=3
+TimeoutStopSec=20
+NoNewPrivileges=true
+PrivateTmp=true
+ProtectHome=true
+ProtectSystem=full
+ReadWritePaths=/opt/ignis/ignis-core /var/lib/ignis-core
+StateDirectory=ignis-core
+
+[Install]
+WantedBy=multi-user.target