Harden security

scripts/quadlet/manage.sh

@@ -37,6 +37,7 @@ PROSODY_CERTS_DIR="${QUADLET_PROSODY_CERTS_DIR:-$ROOT_DIR/.podman/gia_prosody_ce
 PROSODY_DATA_DIR="${QUADLET_PROSODY_DATA_DIR:-$ROOT_DIR/.podman/gia_prosody_data}"
 PROSODY_LOGS_DIR="${QUADLET_PROSODY_LOGS_DIR:-$ROOT_DIR/.podman/gia_prosody_logs}"
 PROSODY_ENABLED="${PROSODY_ENABLED:-false}"
+ENSURE_XMPP_SECRET_SCRIPT="$ROOT_DIR/utilities/prosody/ensure_xmpp_secret.sh"
 if [[ -n "${STACK_ID}" ]]; then
   VRUN_DIR="/code/vrun/${STACK_ID}"
 else
@@ -48,6 +49,10 @@ load_env() {
   . "$STACK_ENV"
   set +a
   PROSODY_ENABLED="${PROSODY_ENABLED:-false}"
+  if [[ -x "$ENSURE_XMPP_SECRET_SCRIPT" ]]; then
+    XMPP_SECRET="$("$ENSURE_XMPP_SECRET_SCRIPT" "$STACK_ENV")"
+    export XMPP_SECRET
+  fi
 }
 
 is_remote() {
@@ -226,6 +231,7 @@ start_stack() {
       --replace \
       --name "$PROSODY_CONTAINER" \
       --pod "$POD_NAME" \
+      --env-file "$STACK_ENV" \
       -v "$PROSODY_CONFIG_FILE:/etc/prosody/prosody.cfg.lua:ro" \
       -v "$PROSODY_CERTS_DIR:/etc/prosody/certs" \
       -v "$PROSODY_DATA_DIR:/var/lib/prosody" \

scripts/quadlet/render_units.py

@@ -184,7 +184,7 @@ WantedBy={target_ref}
             f"Pod={pod_ref}",
             f"User={host_uid}:{host_gid}",
             f"EnvironmentFile={env_file}",
-            "Environment=SIGNAL_HTTP_URL=http://127.0.0.1:8080",
+            "Environment=SIGNAL_HTTP_URL=http://localhost:8080",
             f"Environment=APP_DATABASE_PATH={app_db_path_in_container}",
             f"Volume={repo_dir}:/code",
             f"Volume={sqlite_data_dir}:/conf",