security(infra): remove senhas hardcoded do docker-compose

- Senha do banco deixa de ter default no compose: vem de SCOREO_DB_PASS (.env raiz
  em DEV; provisionar fora do git em PROD). `:?` faz o up falhar se faltar (fail-fast).
- DRAGONFLY_URL (com senha) sai do compose e passa a vir do env_file backend/.env.
- Host/usuário/banco mantêm default (não são segredo).
- Validado em DEV: db (pgdev) ok, cache ok, login ok.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
This commit is contained in:
VPS 4 Builder
2026-06-19 14:36:38 +02:00
parent fcf2fb15ba
commit 3aa6a444dc
+5 -2
View File
@@ -37,8 +37,11 @@ services:
- BAILEYS_ENGINE=infinite
- PORT=8018
- NODE_ENV=production
- DATABASE_URL=postgresql://${SCOREO_DB_USER:-scoreodonto_user}:${SCOREO_DB_PASS:-clube67_scoreodonto_pass_9903}@${SCOREO_DB_HOST:-10.99.0.3}:5432/${SCOREO_DB_NAME:-scoreodonto}?schema=public
- DRAGONFLY_URL=redis://:clube67_dragonfly_pass_9903@10.99.0.3:6379/1
# Senha do banco vem do ambiente (.env raiz em DEV; provisionado fora do git em PROD).
# `:?` falha o `up` se a senha não estiver definida — evita subir com senha vazia/errada.
# Host/usuário/banco mantêm default (não são segredo); só a senha é obrigatória via env.
- DATABASE_URL=postgresql://${SCOREO_DB_USER:-scoreodonto_user}:${SCOREO_DB_PASS:?defina SCOREO_DB_PASS no .env}@${SCOREO_DB_HOST:-10.99.0.3}:5432/${SCOREO_DB_NAME:-scoreodonto}?schema=public
# DRAGONFLY_URL (com senha) vem do env_file backend/.env — não fica em texto no compose.
- NATS_URL=nats://10.99.0.3:4222
- TEMPORAL_ADDRESS=10.99.0.3:7233
- BAILEYS_SESSIONS_PATH=/app/sessions