feat: サーバー初期設定時に初期パスワードを要求できるように (#14626)
* feat: サーバー初期設定時専用の初期パスワードを設定できるように * 無いのに入力された場合もエラーにする * 🎨 * 🎨 * cypress-devcontainerにもpassを設定(テストが失敗するため) * [ci skip] 🎨 * ✌️ * test: please revert this commit before merge * Revert "test: please revert this commit before merge" This reverts commit 66b2b48f66830d2450d8cda03955c143feba76c7. * Update locales/ja-JP.yml Co-authored-by: syuilo <4439005+syuilo@users.noreply.github.com> * build assets * Update Changelog * fix condition * fix condition * add comment * change error code * 他のエラーコードと合わせる * Update CHANGELOG.md --------- Co-authored-by: syuilo <4439005+syuilo@users.noreply.github.com>
This commit is contained in:
parent
75ea964312
commit
2c1a7470d3
10 changed files with 113 additions and 5 deletions
|
@ -2,6 +2,19 @@
|
||||||
# Misskey configuration
|
# Misskey configuration
|
||||||
#━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
|
#━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
|
||||||
|
|
||||||
|
# ┌────────────────────────┐
|
||||||
|
#───┘ Initial Setup Password └─────────────────────────────────────────────────────
|
||||||
|
|
||||||
|
# Password to initiate setting up admin account.
|
||||||
|
# It will not be used after the initial setup is complete.
|
||||||
|
#
|
||||||
|
# Be sure to change this when you set up Misskey via the Internet.
|
||||||
|
#
|
||||||
|
# The provider of the service who sets up Misskey on behalf of the customer should
|
||||||
|
# set this value to something unique when generating the Misskey config file,
|
||||||
|
# and provide it to the customer.
|
||||||
|
initialPassword: example_password_please_change_this_or_you_will_get_hacked
|
||||||
|
|
||||||
# ┌─────┐
|
# ┌─────┐
|
||||||
#───┘ URL └─────────────────────────────────────────────────────
|
#───┘ URL └─────────────────────────────────────────────────────
|
||||||
|
|
||||||
|
|
|
@ -59,6 +59,19 @@
|
||||||
#
|
#
|
||||||
# publishTarballInsteadOfProvideRepositoryUrl: true
|
# publishTarballInsteadOfProvideRepositoryUrl: true
|
||||||
|
|
||||||
|
# ┌────────────────────────┐
|
||||||
|
#───┘ Initial Setup Password └─────────────────────────────────────────────────────
|
||||||
|
|
||||||
|
# Password to initiate setting up admin account.
|
||||||
|
# It will not be used after the initial setup is complete.
|
||||||
|
#
|
||||||
|
# Be sure to change this when you set up Misskey via the Internet.
|
||||||
|
#
|
||||||
|
# The provider of the service who sets up Misskey on behalf of the customer should
|
||||||
|
# set this value to something unique when generating the Misskey config file,
|
||||||
|
# and provide it to the customer.
|
||||||
|
initialPassword: example_password_please_change_this_or_you_will_get_hacked
|
||||||
|
|
||||||
# ┌─────┐
|
# ┌─────┐
|
||||||
#───┘ URL └─────────────────────────────────────────────────────
|
#───┘ URL └─────────────────────────────────────────────────────
|
||||||
|
|
||||||
|
|
|
@ -1,6 +1,11 @@
|
||||||
## 2024.10.0
|
## 2024.10.0
|
||||||
|
|
||||||
|
### Note
|
||||||
|
- サーバー初期設定時に使用する初期パスワードを設定できるようになりました。今後Misskeyサーバーを新たに設置する際には、初回の起動前にコンフィグファイルの`initialPassword`を必ず変更してください。(すでに初期設定を完了しているサーバーについては、この変更に伴い対応する必要はありません)
|
||||||
|
ホスティングサービスを運営している場合は、コンフィグファイルを構築する際に`initialPassword`をランダムな値に設定し、ユーザーに通知するようにしてください。
|
||||||
|
|
||||||
### General
|
### General
|
||||||
|
- Feat: サーバー初期設定時に初期パスワードを設定できるように
|
||||||
- Enhance: セキュリティ向上のため、サインイン時もCAPTCHAを求めるようになりました
|
- Enhance: セキュリティ向上のため、サインイン時もCAPTCHAを求めるようになりました
|
||||||
- Enhance: 依存関係の更新
|
- Enhance: 依存関係の更新
|
||||||
- Enhance: l10nの更新
|
- Enhance: l10nの更新
|
||||||
|
|
|
@ -23,6 +23,7 @@ describe('Before setup instance', () => {
|
||||||
|
|
||||||
cy.intercept('POST', '/api/admin/accounts/create').as('signup');
|
cy.intercept('POST', '/api/admin/accounts/create').as('signup');
|
||||||
|
|
||||||
|
cy.get('[data-cy-admin-initial-password] input').type('example_password_please_change_this_or_you_will_get_hacked');
|
||||||
cy.get('[data-cy-admin-username] input').type('admin');
|
cy.get('[data-cy-admin-username] input').type('admin');
|
||||||
cy.get('[data-cy-admin-password] input').type('admin1234');
|
cy.get('[data-cy-admin-password] input').type('admin1234');
|
||||||
cy.get('[data-cy-admin-ok]').click();
|
cy.get('[data-cy-admin-ok]').click();
|
||||||
|
|
14
locales/index.d.ts
vendored
14
locales/index.d.ts
vendored
|
@ -48,6 +48,20 @@ export interface Locale extends ILocale {
|
||||||
* パスワード
|
* パスワード
|
||||||
*/
|
*/
|
||||||
"password": string;
|
"password": string;
|
||||||
|
/**
|
||||||
|
* 初期設定開始用パスワード
|
||||||
|
*/
|
||||||
|
"initialPasswordForSetup": string;
|
||||||
|
/**
|
||||||
|
* 初期設定開始用のパスワードが違います。
|
||||||
|
*/
|
||||||
|
"initialPasswordIsIncorrect": string;
|
||||||
|
/**
|
||||||
|
* Misskeyを自分でインストールした場合は、設定ファイルに入力したパスワードを使用してください。
|
||||||
|
* Misskeyのホスティングサービスなどを使用している場合は、提供されたパスワードを使用してください。
|
||||||
|
* パスワードを設定していない場合は、空欄にしたまま続行してください。
|
||||||
|
*/
|
||||||
|
"initialPasswordForSetupDescription": string;
|
||||||
/**
|
/**
|
||||||
* パスワードを忘れた
|
* パスワードを忘れた
|
||||||
*/
|
*/
|
||||||
|
|
|
@ -8,6 +8,9 @@ search: "検索"
|
||||||
notifications: "通知"
|
notifications: "通知"
|
||||||
username: "ユーザー名"
|
username: "ユーザー名"
|
||||||
password: "パスワード"
|
password: "パスワード"
|
||||||
|
initialPasswordForSetup: "初期設定開始用パスワード"
|
||||||
|
initialPasswordIsIncorrect: "初期設定開始用のパスワードが違います。"
|
||||||
|
initialPasswordForSetupDescription: "Misskeyを自分でインストールした場合は、設定ファイルに入力したパスワードを使用してください。\nMisskeyのホスティングサービスなどを使用している場合は、提供されたパスワードを使用してください。\nパスワードを設定していない場合は、空欄にしたまま続行してください。"
|
||||||
forgotPassword: "パスワードを忘れた"
|
forgotPassword: "パスワードを忘れた"
|
||||||
fetchingAsApObject: "連合に照会中"
|
fetchingAsApObject: "連合に照会中"
|
||||||
ok: "OK"
|
ok: "OK"
|
||||||
|
|
|
@ -63,6 +63,8 @@ type Source = {
|
||||||
|
|
||||||
publishTarballInsteadOfProvideRepositoryUrl?: boolean;
|
publishTarballInsteadOfProvideRepositoryUrl?: boolean;
|
||||||
|
|
||||||
|
initialPassword?: string;
|
||||||
|
|
||||||
proxy?: string;
|
proxy?: string;
|
||||||
proxySmtp?: string;
|
proxySmtp?: string;
|
||||||
proxyBypassHosts?: string[];
|
proxyBypassHosts?: string[];
|
||||||
|
@ -152,6 +154,7 @@ export type Config = {
|
||||||
|
|
||||||
version: string;
|
version: string;
|
||||||
publishTarballInsteadOfProvideRepositoryUrl: boolean;
|
publishTarballInsteadOfProvideRepositoryUrl: boolean;
|
||||||
|
initialPassword: string | undefined;
|
||||||
host: string;
|
host: string;
|
||||||
hostname: string;
|
hostname: string;
|
||||||
scheme: string;
|
scheme: string;
|
||||||
|
@ -232,6 +235,7 @@ export function loadConfig(): Config {
|
||||||
return {
|
return {
|
||||||
version,
|
version,
|
||||||
publishTarballInsteadOfProvideRepositoryUrl: !!config.publishTarballInsteadOfProvideRepositoryUrl,
|
publishTarballInsteadOfProvideRepositoryUrl: !!config.publishTarballInsteadOfProvideRepositoryUrl,
|
||||||
|
initialPassword: config.initialPassword,
|
||||||
url: url.origin,
|
url: url.origin,
|
||||||
port: config.port ?? parseInt(process.env.PORT ?? '', 10),
|
port: config.port ?? parseInt(process.env.PORT ?? '', 10),
|
||||||
socket: config.socket,
|
socket: config.socket,
|
||||||
|
|
|
@ -12,11 +12,27 @@ import { UserEntityService } from '@/core/entities/UserEntityService.js';
|
||||||
import { InstanceActorService } from '@/core/InstanceActorService.js';
|
import { InstanceActorService } from '@/core/InstanceActorService.js';
|
||||||
import { localUsernameSchema, passwordSchema } from '@/models/User.js';
|
import { localUsernameSchema, passwordSchema } from '@/models/User.js';
|
||||||
import { DI } from '@/di-symbols.js';
|
import { DI } from '@/di-symbols.js';
|
||||||
|
import type { Config } from '@/config.js';
|
||||||
|
import { ApiError } from '@/server/api/error.js';
|
||||||
import { Packed } from '@/misc/json-schema.js';
|
import { Packed } from '@/misc/json-schema.js';
|
||||||
|
|
||||||
export const meta = {
|
export const meta = {
|
||||||
tags: ['admin'],
|
tags: ['admin'],
|
||||||
|
|
||||||
|
errors: {
|
||||||
|
accessDenied: {
|
||||||
|
message: 'Access denied.',
|
||||||
|
code: 'ACCESS_DENIED',
|
||||||
|
id: '1fb7cb09-d46a-4fff-b8df-057708cce513',
|
||||||
|
},
|
||||||
|
|
||||||
|
wrongInitialPassword: {
|
||||||
|
message: 'Initial password is incorrect.',
|
||||||
|
code: 'INCORRECT_INITIAL_PASSWORD',
|
||||||
|
id: '97147c55-1ae1-4f6f-91d6-e1c3e0e76d62',
|
||||||
|
},
|
||||||
|
},
|
||||||
|
|
||||||
res: {
|
res: {
|
||||||
type: 'object',
|
type: 'object',
|
||||||
optional: false, nullable: false,
|
optional: false, nullable: false,
|
||||||
|
@ -35,6 +51,7 @@ export const paramDef = {
|
||||||
properties: {
|
properties: {
|
||||||
username: localUsernameSchema,
|
username: localUsernameSchema,
|
||||||
password: passwordSchema,
|
password: passwordSchema,
|
||||||
|
initialPassword: { type: 'string', nullable: true },
|
||||||
},
|
},
|
||||||
required: ['username', 'password'],
|
required: ['username', 'password'],
|
||||||
} as const;
|
} as const;
|
||||||
|
@ -42,6 +59,9 @@ export const paramDef = {
|
||||||
@Injectable()
|
@Injectable()
|
||||||
export default class extends Endpoint<typeof meta, typeof paramDef> { // eslint-disable-line import/no-default-export
|
export default class extends Endpoint<typeof meta, typeof paramDef> { // eslint-disable-line import/no-default-export
|
||||||
constructor(
|
constructor(
|
||||||
|
@Inject(DI.config)
|
||||||
|
private config: Config,
|
||||||
|
|
||||||
@Inject(DI.usersRepository)
|
@Inject(DI.usersRepository)
|
||||||
private usersRepository: UsersRepository,
|
private usersRepository: UsersRepository,
|
||||||
|
|
||||||
|
@ -52,7 +72,23 @@ export default class extends Endpoint<typeof meta, typeof paramDef> { // eslint-
|
||||||
super(meta, paramDef, async (ps, _me, token) => {
|
super(meta, paramDef, async (ps, _me, token) => {
|
||||||
const me = _me ? await this.usersRepository.findOneByOrFail({ id: _me.id }) : null;
|
const me = _me ? await this.usersRepository.findOneByOrFail({ id: _me.id }) : null;
|
||||||
const realUsers = await this.instanceActorService.realLocalUsersPresent();
|
const realUsers = await this.instanceActorService.realLocalUsersPresent();
|
||||||
if ((realUsers && !me?.isRoot) || token !== null) throw new Error('access denied');
|
|
||||||
|
if (!realUsers && me == null && token == null) {
|
||||||
|
// 初回セットアップの場合
|
||||||
|
if (this.config.initialPassword != null) {
|
||||||
|
// 初期パスワードが設定されている場合
|
||||||
|
if (ps.initialPassword !== this.config.initialPassword) {
|
||||||
|
// 初期パスワードが違う場合
|
||||||
|
throw new ApiError(meta.errors.wrongInitialPassword);
|
||||||
|
}
|
||||||
|
} else if (ps.initialPassword != null && ps.initialPassword.trim() !== '') {
|
||||||
|
// 初期パスワードが設定されていないのに初期パスワードが入力された場合
|
||||||
|
throw new ApiError(meta.errors.wrongInitialPassword);
|
||||||
|
}
|
||||||
|
} else if ((realUsers && !me?.isRoot) || token !== null) {
|
||||||
|
// 初回セットアップではなく、管理者でない場合 or 外部トークンを使用している場合
|
||||||
|
throw new ApiError(meta.errors.accessDenied);
|
||||||
|
}
|
||||||
|
|
||||||
const { account, secret } = await this.signupService.signup({
|
const { account, secret } = await this.signupService.signup({
|
||||||
username: ps.username,
|
username: ps.username,
|
||||||
|
|
|
@ -14,6 +14,10 @@ SPDX-License-Identifier: AGPL-3.0-only
|
||||||
</div>
|
</div>
|
||||||
<div class="_gaps_m" style="padding: 32px;">
|
<div class="_gaps_m" style="padding: 32px;">
|
||||||
<div>{{ i18n.ts.intro }}</div>
|
<div>{{ i18n.ts.intro }}</div>
|
||||||
|
<MkInput v-model="initialPassword" type="password" data-cy-admin-initial-password>
|
||||||
|
<template #label>{{ i18n.ts.initialPasswordForSetup }} <div v-tooltip:dialog="i18n.ts.initialPasswordForSetupDescription" class="_button _help"><i class="ti ti-help-circle"></i></div></template>
|
||||||
|
<template #prefix><i class="ti ti-lock"></i></template>
|
||||||
|
</MkInput>
|
||||||
<MkInput v-model="username" pattern="^[a-zA-Z0-9_]{1,20}$" :spellcheck="false" required data-cy-admin-username>
|
<MkInput v-model="username" pattern="^[a-zA-Z0-9_]{1,20}$" :spellcheck="false" required data-cy-admin-username>
|
||||||
<template #label>{{ i18n.ts.username }}</template>
|
<template #label>{{ i18n.ts.username }}</template>
|
||||||
<template #prefix>@</template>
|
<template #prefix>@</template>
|
||||||
|
@ -47,6 +51,7 @@ import MkAnimBg from '@/components/MkAnimBg.vue';
|
||||||
|
|
||||||
const username = ref('');
|
const username = ref('');
|
||||||
const password = ref('');
|
const password = ref('');
|
||||||
|
const initialPassword = ref('');
|
||||||
const submitting = ref(false);
|
const submitting = ref(false);
|
||||||
|
|
||||||
function submit() {
|
function submit() {
|
||||||
|
@ -56,14 +61,27 @@ function submit() {
|
||||||
misskeyApi('admin/accounts/create', {
|
misskeyApi('admin/accounts/create', {
|
||||||
username: username.value,
|
username: username.value,
|
||||||
password: password.value,
|
password: password.value,
|
||||||
|
initialPassword: initialPassword.value === '' ? null : initialPassword.value,
|
||||||
}).then(res => {
|
}).then(res => {
|
||||||
return login(res.token);
|
return login(res.token);
|
||||||
}).catch(() => {
|
}).catch((err) => {
|
||||||
submitting.value = false;
|
submitting.value = false;
|
||||||
|
|
||||||
|
let title = i18n.ts.somethingHappened;
|
||||||
|
let text = err.message + '\n' + err.id;
|
||||||
|
|
||||||
|
if (err.code === 'ACCESS_DENIED') {
|
||||||
|
title = i18n.ts.permissionDeniedError;
|
||||||
|
text = i18n.ts.operationForbidden;
|
||||||
|
} else if (err.code === 'INCORRECT_INITIAL_PASSWORD') {
|
||||||
|
title = i18n.ts.permissionDeniedError;
|
||||||
|
text = i18n.ts.incorrectPassword;
|
||||||
|
}
|
||||||
|
|
||||||
os.alert({
|
os.alert({
|
||||||
type: 'error',
|
type: 'error',
|
||||||
text: i18n.ts.somethingHappened,
|
title,
|
||||||
|
text,
|
||||||
});
|
});
|
||||||
});
|
});
|
||||||
}
|
}
|
||||||
|
|
|
@ -5611,6 +5611,7 @@ export type operations = {
|
||||||
'application/json': {
|
'application/json': {
|
||||||
username: string;
|
username: string;
|
||||||
password: string;
|
password: string;
|
||||||
|
initialPassword?: string | null;
|
||||||
};
|
};
|
||||||
};
|
};
|
||||||
};
|
};
|
||||||
|
|
Loading…
Reference in a new issue