fix: file permissions & security fixes (urllib deps), healthcheck

leonpwd · leonpwd · commit 90f1d283c7b3 · 2026-01-21T14:21:40.000+01:00
diff --git a/Dockerfile b/Dockerfile
@@ -10,20 +10,26 @@ WORKDIR /app
 RUN adduser --disabled-password --gecos "" --shell /sbin/nologin appuser
 
 # Création du dossier /config avec les bonnes permissions pour appuser
-RUN mkdir -p /config && chown -R appuser /app /config
+RUN mkdir -p /config && chown -R appuser:appuser /app /config
+
+# Installer su-exec et les certificats CA
+RUN apk add --no-cache su-exec ca-certificates && update-ca-certificates
 
 COPY requirements.txt .
 RUN pip install --no-cache-dir --require-hashes -r requirements.txt
+# Corriger une vulnérabilité connue d'urllib3 via mise à niveau contrôlée
+RUN pip install --no-cache-dir --upgrade 'urllib3>=2.6.3,<3'
 
 COPY . .
 
 COPY entrypoint.sh /entrypoint.sh
-RUN chmod +x /entrypoint.sh && chmod 0755 /entrypoint.sh
-
-RUN apk add --no-cache su-exec
+RUN chmod +x /entrypoint.sh && chown appuser:appuser /entrypoint.sh
 
-USER appuser
+# Passer en root temporairement pour l'entrypoint (qui doit gérer les permissions du volume)
+# L'entrypoint s'assurera que appuser peut écrire dans /config
+USER root
 
 ENTRYPOINT ["/entrypoint.sh"]
-CMD ["python", "src/main.py"]
+CMD ["su-exec", "appuser", "python", "src/main.py"]
+HEALTHCHECK --interval=5m --timeout=20s --start-period=30s CMD pgrep -f "python src/main.py" >/dev/null || exit 1
 LABEL org.opencontainers.image.source="https://github.com/leonpwd/NotifyNotes"
diff --git a/entrypoint.sh b/entrypoint.sh
@@ -1,6 +1,37 @@
 #!/bin/sh
 # filepath: entrypoint.sh
 
-# On tourne déjà en tant qu'appuser grâce à USER appuser dans le Dockerfile.
-# Pas besoin de su-exec : il échoue sur setgroups en environnement non privilégié.
-exec "$@"
+set -eu
+set -o pipefail
+
+# Réduire les permissions par défaut des fichiers créés
+umask 077
+
+# Créer le répertoire /config s'il n'existe pas
+mkdir -p /config
+
+# Restreindre les permissions du répertoire /config et assigner le propriétaire
+chmod 700 /config 2>/dev/null || true
+chown -R appuser:appuser /config 2>/dev/null || true
+
+# S'assurer que les fichiers JSON existent avec les bonnes permissions
+for file in /config/new_notes.json /config/old_notes.json; do
+    if [ ! -f "$file" ]; then
+        # Crée un fichier JSON vide avec permissions restrictives
+        echo "[]" > "$file" 2>/dev/null || true
+        chmod 600 "$file" 2>/dev/null || true
+        chown appuser:appuser "$file" 2>/dev/null || true
+    else
+        chmod 600 "$file" 2>/dev/null || true
+        chown appuser:appuser "$file" 2>/dev/null || true
+    fi
+done
+
+# Si su-exec est disponible, exécuter la commande sous appuser; sinon, tenter avec su -s
+if command -v su-exec >/dev/null 2>&1; then
+    exec "$@"
+else
+    echo "Avertissement: su-exec introuvable, tentative de bascule via su" >&2
+    # shellcheck disable=SC2039
+    exec sh -c "su -s /bin/sh appuser -c '$*'"
+fi
diff --git a/src/main.py b/src/main.py
@@ -1,4 +1,6 @@
 import requests
+from requests.adapters import HTTPAdapter
+from urllib3.util.retry import Retry
 import time
 import os
 import compare_json as comparator
@@ -38,11 +40,25 @@ def get_notes_content():
         'Sec-Fetch-User': '?1',
         'Cache-Control': 'max-age=0'
     }
-    response = requests.get(URL, headers=headers, timeout=30, verify=True)
+    # Session avec retry et backoff pour la robustesse réseau
+    session = requests.Session()
+    retries = Retry(
+        total=3,
+        backoff_factor=1.0,
+        status_forcelist=[429, 500, 502, 503, 504],
+        allowed_methods=["GET"],
+        raise_on_redirect=False,
+        raise_on_status=False,
+    )
+    session.mount("https://", HTTPAdapter(max_retries=retries))
+    session.mount("http://", HTTPAdapter(max_retries=retries))
+
+    # Désactiver les redirections pour réduire les risques liés aux redirects
+    response = session.get(URL, headers=headers, timeout=(5, 30), verify=True, allow_redirects=False)
     
     if response.status_code != 200:
-        error_text = response.text[:500]  # Limiter la longueur du message d'erreur
-        raise Exception(f"Erreur lors de la récupération des notes: {response.status_code} - {error_text}")
+        # N'imprime pas le corps pour éviter d'exposer des données
+        raise Exception(f"Erreur lors de la récupération des notes: {response.status_code}")
     response.raise_for_status()
     return response.text
 
diff --git a/src/parse.py b/src/parse.py
@@ -1,4 +1,5 @@
 from bs4 import BeautifulSoup
+import os
 import re
 import json
 import unicodedata
@@ -138,6 +139,10 @@ def convert_notes_to_json(url_response, json_file):
 
         with open(json_file, "w", encoding="utf-8") as f:
             json.dump(organized, f, ensure_ascii=False, indent=2)
+        try:
+            os.chmod(json_file, 0o600)
+        except Exception:
+            pass
     except Exception as e:
         print(f"Erreur lors du parsing HTML: {e}")
         raise
